AWS Security Hub ermöglicht nun die Deaktivierung bestimmter Compliance-Kontrollen, wenn diese für Sie nicht relevant sind. Wenn beispielsweise die Kontrolle 2.3 im CIS AWS Foundations Benchmark ("Vergewissern Sie sich, dass der zum Speichern von CloudTrail-Protokollen verwendete S3-Bucket nicht öffentlich zugänglich ist.") für ein bestimmtes Konto oder eine Region nicht relevant ist, weil Sie in einem anderen Konto oder einer anderen Region einen zentralen Bucket für die Protokollierung eingerichtet haben, können Sie diese Kontrolle entweder über die Security Hub-Konsole oder über die API deaktivieren. Deaktivierte Kontrollen werden bei der Bewertung der Compliance-Bereitschaft für diesen Standard nicht berücksichtigt. Zudem muss in einem dafür vorgesehenen Feld obligatorisch angegeben werden, warum die Kontrolle deaktiviert wurde. Die Deaktivierung wird in AWS CloudTrail protokolliert. Die Dokumentation für Security Hub enthält konkrete Beispiele von Kontrollen, die Sie je nach der von Ihnen verwendeten Kontokonfiguration ggf. deaktivieren können.
Quelle: aws.amazon.com
Published by