Подавить или удалить результаты и нарушения (центр безопасности / конфигурация) для ресурсов, созданных по умолчанию диспетчерской вышкой?
Я развернул диспетчерскую вышку в регионе ca-central-1 и включил концентратор безопасности и конфигурацию aws через выделенную учетную запись администратора (учетная запись аудита предоставляется по умолчанию через диспетчерскую вышку).
Затем я включил следующие стандарты безопасности:
- PCI DSS v3.2.1
- CIS AWS Foundations Benchmark v1.2.0
- Рекомендации по основам безопасности AWS v1.0.0
Для AWS Config я развернул следующие пакеты соответствия:
- Лучшие практические методы работы для NIST CSF
- Лучшие методы работы для CIS AWS Foundations Benchmark v1.3, уровень 1
- Передовой опыт эксплуатации CIS AWS Foundations Benchmark v1.3, уровень 2
- Практические рекомендации для компонента безопасности AWS Well-Architected Framework
После включения этих стандартов концентратора безопасности и пакетов соответствия конфигурации мне были продемонстрированы следующие выводы и нарушения на соответствующих ресурсах:
- s3-bucket-logging-enabled (ведро, созданное по умолчанию диспетчерской вышкой: aws-controltower-s3-access-logs-ca-central-1)
- s3-bucket-default-lock-enabled (ведра, созданные по умолчанию диспетчерской вышкой: aws-controltower-s3-access-logs-ca-central-1 & aws-controltower-s3-logs-ca-central-1)
- Лямбда-функции должны быть в VPC (по умолчанию лямбда-выражения создаются диспетчерской вышкой: aws-controltower-NotificationForwarder)
- Лямбда-функции должны иметь настроенную очередь недоставленных сообщений (лямбда-выражения, созданные по умолчанию диспетчерской вышкой: aws-controltower-NotificationForwarder)
Чтобы избавиться от этих нарушений, мне нужно либо как-то исправить, либо подавить / удалить эти находки. Имейте в виду, что исправление может быть трудным и раздражающим из-за жестких SCP, которые не позволяют вносить изменения в указанные выше ресурсы и их конфигурации. Чтобы исправить это, вам нужно удалить SCP, перевести диспетчерскую вышку в состояние дрейфа, внести необходимые изменения, а затем отремонтировать диспетчерскую вышку. Вы можете понять, почему это не такая уж хорошая идея.
С точки зрения комплаенса, можно ли скрыть или удалить эти выводы / нарушения?