Controles sugeridos para desativar no Security Hub

Recomendamos desativar alguns AWS Security Hub controles para reduzir o ruído de localização e limitar os custos.

Controles que usam recursos globais

Alguns Serviços da AWS oferecem suporte a recursos globais, o que significa que você pode acessar o recurso de qualquer um Região da AWS. Para economizar no custo de AWS Config, você pode desativar o registro de recursos globais em todas as regiões, exceto em uma. Depois de fazer isso, contudo, o Security Huib ainda executará verificações de segurança em todas as regiões em que os controles estejam habilitados e fará a cobrança com base no número de verificações por conta por região. Assim, para reduzir o ruído de localização e economizar no custo do Security Hub, você também deve desativar os controles que envolvem recursos globais em todas as regiões, exceto na região que registra os recursos globais.

Se um controle envolver recursos globais, mas estiver disponível em apenas uma região, desativá-lo nessa região impedirá que você obtenha quaisquer descobertas sobre o recurso subjacente. Nesse caso, recomendamos manter o controle ativado. Ao usar a agregação entre regiões, a região na qual o controle está disponível deve ser a região de agregação ou uma das regiões vinculadas. Os controles a seguir envolvem recursos globais, mas estão disponíveis somente em uma única região:

• Todos os CloudFront controles — Disponível somente no Leste dos EUA (Norte da Virgínia)

• GlobalAccelerator.1 — Disponível somente no Oeste dos EUA (Oregon)

• Route53.2 — Disponível somente no Leste dos EUA (Norte da Virgínia)

• WAF.1, WAF .6, WAF .7 e WAF .8 — Disponível somente no Leste dos EUA (Norte da Virgínia)

nota

Se você usar a configuração central, o Security Hub desativará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região de origem. Outros controles que você escolhe ativar por meio de uma política de configuração são habilitados em todas as regiões em que estão disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem. Ao usar a configuração central, você não tem cobertura para um controle que não está disponível na região de origem ou em qualquer uma das regiões vinculadas. Para obter mais informações sobre a configuração central, consulte Entendendo a configuração central no Security Hub.

Para controles com um tipo de programação periódico, é necessário desativá-los no Security Hub para evitar o faturamento. Definir o AWS Config parâmetro como includeGlobalResourceTypes false não afeta os controles periódicos do Security Hub.

Veja a seguir uma lista dos controles do Security Hub que usam recursos globais:

• [Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS

• [Conta.2] Contas da AWS deve fazer parte de um AWS Organizations organização

• [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

• [CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

• [CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

• [CloudFront.5] CloudFront as distribuições devem ter o registro ativado

• [CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

• [CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

• [CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

• [CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

• [CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

• [CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

• [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

• [EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

• [GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

• [IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos

• [IAM.2] IAM os usuários não devem ter IAM políticas anexadas

• [IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos

• [IAM.4] a chave de acesso do usuário IAM root não deve existir

• [IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console

• [IAM.6] O hardware MFA deve estar habilitado para o usuário root

• [IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes

• [IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas

• [IAM.9] MFA deve ser habilitado para o usuário root

• [IAM.10] As políticas de senha para IAM usuários devem ter durações fortes AWS Config

• [IAM.11] Certifique-se de que a política de IAM senha exija pelo menos uma letra maiúscula

• [IAM.12] Certifique-se de que a política de IAM senha exija pelo menos uma letra minúscula

• [IAM.13] Certifique-se de que a política de IAM senha exija pelo menos um símbolo

• [IAM.14] Certifique-se de que a política de IAM senha exija pelo menos um número

• [IAM.15] Certifique-se de que a política de IAM senha exija um tamanho mínimo de senha de 14 ou mais

• [IAM.16] Certifique-se de que a política de IAM senha evite a reutilização de senhas

• [IAM.17] Certifique-se de que a política de IAM senhas expire as senhas em 90 dias ou menos

• [IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com AWS Support

• [IAM.19] MFA deve ser ativado para todos os usuários IAM

• [IAM.21] as políticas gerenciadas pelo IAM cliente que você cria não devem permitir ações curinga para serviços

• [IAM.22] credenciais de IAM usuário não utilizadas por 45 dias devem ser removidas

• [IAM.24] IAM funções devem ser marcadas

• [IAM.25] IAM usuários devem ser marcados

• [IAM.26] ExpiradosSSL/TLScertificados gerenciados IAM devem ser removidos

• [IAM.27] IAM as identidades não devem ter a política anexada AWSCloudShellFullAccess

• [IAM.28] O analisador de IAM acesso externo do Access Analyzer deve estar ativado

• [KMS.1] as políticas gerenciadas pelo IAM cliente não devem permitir ações de descriptografia em todas as chaves KMS

• [KMS.2] IAM os diretores não devem ter políticas IAM embutidas que permitam ações de descriptografia em todas as chaves KMS

• [Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

• [WAF.1] AWS WAF O ACL registro clássico da Web global deve estar ativado

• [WAF.6] AWS WAF As regras globais clássicas devem ter pelo menos uma condição

• [WAF.7] AWS WAF Os grupos de regras globais clássicos devem ter pelo menos uma regra

• [WAF.8] AWS WAF A web global clássica ACLs deve ter pelo menos uma regra ou grupo de regras

• [WAF.10] AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras

• [WAF.11] AWS WAF o ACL registro na web deve estar ativado

CloudTrail controles de registro

Esse controle trata do uso de AWS Key Management Service (AWS KMS) para criptografar registros de AWS CloudTrail trilhas. Se você registrar essas trilhas em uma conta de registro centralizada, só precisará executar esse controle na conta e na região em que o registro centralizado ocorre.

nota

Se você usar a configuração central, o status de habilitação de um controle será alinhado entre a região inicial e as regiões vinculadas. Você não pode desabilitar um controle em algumas regiões e habilitá-lo em outras. Nesse caso, suprima as descobertas dos controles a seguir para reduzir o ruído de localização.

• [CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

CloudWatch controles de alarmes

Se você preferir usar a Amazon GuardDuty para detecção de anomalias em vez dos CloudWatch alarmes da Amazon, você pode desativar esses controles, que se CloudWatch concentram nos alarmes.

• [CloudWatch.1] Um filtro métrico de log e um alarme devem existir para uso do usuário “root”

• [CloudWatch.2] Certifique-se de que exista um filtro métrico de registro e um alarme para chamadas não API autorizadas

• [CloudWatch.3] Certifique-se de que exista um filtro métrico de registro e um alarme para o login no Management Console sem MFA

• [CloudWatch.4] Certifique-se de que exista um filtro métrico de log e um alarme para mudanças IAM de política

• [CloudWatch.5] Certifique-se de que exista um filtro métrico de registro e um alarme para CloudTrail AWS Config Mudanças de duração

• [CloudWatch.6] Certifique-se de que exista um filtro métrico de registro e um alarme para AWS Management Console falhas de autenticação

• [CloudWatch.7] Certifique-se de que exista um filtro métrico de registro e um alarme para desativar ou excluir programadamente as chaves gerenciadas pelo cliente

• [CloudWatch.8] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na política do bucket do S3

• [CloudWatch.9] Certifique-se de que exista um filtro métrico de registro e um alarme para AWS Config alterações de configuração

• [CloudWatch.10] Certifique-se de que exista um filtro métrico de log e um alarme para alterações no grupo de segurança

• [CloudWatch.11] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações nas listas de controle de acesso à rede () NACL

• [CloudWatch.12] Certifique-se de que exista um filtro métrico de log e um alarme para alterações nos gateways de rede

• [CloudWatch.13] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na tabela de rotas

• [CloudWatch.14] Certifique-se de que exista um filtro métrico de registro e um alarme para alterações VPC