Controles do Security Hub para AWS Config - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Controles do Security Hub para AWS Config

Esses controles do Security Hub avaliam o AWS Config serviço e os recursos.

Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulte Disponibilidade de controles por região.

[Config.1] AWS Config deve estar habilitado e usar a função vinculada ao serviço para gravação de recursos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, .800-53.r5 CM-3, .800-53.r5 CM-6 (1), CIS AWS .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST NIST PCI DSS PCI DSS

Categoria: Identificar > Inventário

Severidade: crítica

Tipo de recurso: AWS::::Account

AWS Config regra: Nenhuma (regra personalizada do Security Hub)

Tipo de programação: Periódico

Parâmetros:

Parâmetro Descrição Tipo Valores personalizados permitidos Valor padrão do Security Hub

includeConfigServiceLinkedRoleCheck

O controle não avalia se AWS Config usa a função vinculada ao serviço se o parâmetro estiver definido como. false

Booleano

true ou false

true

Esse controle verifica se AWS Config está ativado em sua conta na atual Região da AWS, registra todos os recursos que correspondem aos controles ativados na região atual e usa a função vinculada ao serviço AWS Config. O nome da função vinculada ao serviço é. AWSServiceRoleForConfig Se você não usar a função vinculada ao serviço e não definir o includeConfigServiceLinkedRoleCheck parâmetro comofalse, o controle falhará porque outras funções podem não ter as permissões necessárias AWS Config para registrar seus recursos com precisão.

O AWS Config serviço executa o gerenciamento da configuração dos AWS recursos compatíveis em sua conta e entrega arquivos de log para você. As informações registradas incluem o item de configuração (AWS recurso), os relacionamentos entre os itens de configuração e quaisquer alterações de configuração nos recursos. Recursos globais são recursos disponíveis em qualquer região.

O controle é avaliado da seguinte maneira:

  • Se a região atual for definida como sua região de agregação, o controle produzirá PASSED descobertas somente se AWS Identity and Access Management (IAM) recursos globais forem registrados (se você tiver ativado controles que os exijam).

  • Se a região atual for definida como uma região vinculada, o controle não avaliará se os recursos IAM globais estão registrados.

  • Se a região atual não estiver em seu agregador ou se a agregação entre regiões não estiver configurada em sua conta, o controle produzirá PASSED descobertas somente se os recursos IAM globais forem registrados (se você tiver ativado controles que os exijam).

Os resultados do controle não são afetados se você escolher o registro diário ou o registro contínuo das alterações no estado dos recursos do AWS Config. Porém, os resultados desse controle poderão mudar quando novos controles forem liberados se você tiver configurado a habilitação automática de novos controles ou tiver uma política de configuração central que habilite automaticamente novos controles. Nesses casos, se você não registrar todos os recursos, deverá configurar a gravação dos recursos associados a novos controles para receber uma descoberta PASSED.

As verificações de segurança do Security Hub funcionam conforme o esperado somente se você habilitar AWS Config em todas as regiões e configurar a gravação de recursos para controles que a exijam.

nota

O Config.1 exige que AWS Config esteja habilitado em todas as regiões nas quais você usa o Security Hub.

Como o Security Hub é um serviço regional, a verificação realizada nesse controle avalia somente a região atual da conta.

Para permitir verificações de segurança em relação aos recursos IAM globais em uma região, você deve registrar os recursos IAM globais nessa região. As regiões que não têm recursos IAM globais registrados receberão uma PASSED descoberta padrão para controles que verificam os recursos IAM globais. Como os recursos IAM globais são idênticos em todas as regiões Regiões da AWS, recomendamos que você registre os recursos IAM globais somente na região de origem (se a agregação entre regiões estiver ativada em sua conta). IAMos recursos serão registrados somente na região em que o registro global de recursos está ativado.

Os tipos de recursos registrados IAM globalmente que AWS Config oferecem suporte são IAM usuários, grupos, funções e políticas gerenciadas pelo cliente. Você pode considerar a desativação dos controles do Security Hub que verificam esses tipos de recursos em regiões onde a gravação global de recursos está desativada. Para obter mais informações, consulte Sugestões de controles a serem desabilitados no Security Hub.

Correção

Na região de origem e nas regiões que não fazem parte de um agregador, registre todos os recursos necessários para os controles habilitados na região atual, incluindo recursos IAM globais, se você tiver ativado controles que exigem recursos IAM globais.

Nas regiões vinculadas, você pode usar qualquer modo de AWS Config gravação, desde que esteja gravando todos os recursos que correspondem aos controles ativados na região atual. Nas regiões vinculadas, se você tiver ativado controles que exigem o registro de recursos IAM globais, você não receberá uma FAILED descoberta (seu registro de outros recursos é suficiente).

O StatusReasons campo no Compliance objeto de sua descoberta pode ajudá-lo a determinar por que você teve uma descoberta malsucedida para esse controle. Para obter mais informações, consulte Detalhes de conformidade para resultados de controle.

Para obter uma lista dos recursos que devem ser registrados para cada controle, consulte AWS Config Recursos necessários para descobertas de controle do Security Hub. Para obter informações gerais sobre como habilitar AWS Config e configurar a gravação de recursos, consulteHabilitando e configurando o AWS Config Security Hub.