Sugestões de controles a serem desabilitados no Security Hub

Recomendamos desativar alguns AWS Security Hub controles para reduzir o ruído de localização e limitar os custos.

Controles que usam recursos globais

Alguns Serviços da AWS oferecem suporte a recursos globais, o que significa que você pode acessar o recurso de qualquer um Região da AWS. Para economizar no custo de AWS Config, você pode desativar o registro de recursos globais em todas as regiões, exceto em uma. Depois de fazer isso, contudo, o Security Huib ainda executará verificações de segurança em todas as regiões em que os controles estejam habilitados e fará a cobrança com base no número de verificações por conta por região. Assim, para reduzir o ruído nas descobertas e economizar no custo do Security Hub, você deve desabilitar também os controles que envolvem recursos globais em todas as regiões, exceto na região que os registra.

Se um controle envolve recursos globais, mas está disponível somente em uma região, desabilitá-lo nessa região impede que você obtenha descobertas para o recurso subjacente. Nesse caso, recomendamos que você mantenha o controle habilitado. Ao usar a agregação entre regiões, a região na qual o controle está disponível deve ser a região de agregação ou uma das regiões vinculadas. Os controles a seguir envolvem recursos globais, mas estão disponíveis somente em uma região:

• Todos os CloudFront controles — Disponível somente no Leste dos EUA (Norte da Virgínia)

• GlobalAccelerator.1 — Disponível somente no Oeste dos EUA (Oregon)

• Route53.2: disponível apenas na região Leste dos EUA (Norte da Virgínia)

• WAF.1, WAF.6, WAF.7, and WAF.8: disponíveis apenas na região Leste dos EUA (Norte da Virgínia)

nota

Se você usar a configuração central, o Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, você pode atualizar as configurações do AWS Config gravador e desativar a gravação global de recursos em todas as regiões, exceto na região de origem.

Se um controle ativado que envolve recursos globais não for suportado na região de origem, o Security Hub tentará habilitar o controle em uma região vinculada onde o controle é suportado. Com a configuração central, você não tem cobertura para um controle que não está disponível na região de origem ou em qualquer uma das regiões vinculadas.

Para obter mais informações sobre a configuração central, consulte Entender a configuração central no Security Hub.

Para controles com um tipo de programação periódico, é necessário desativá-los no Security Hub para evitar o faturamento. Definir o AWS Config parâmetro como includeGlobalResourceTypes false não afeta os controles periódicos do Security Hub.

Veja a seguir uma lista dos controles do Security Hub que usam recursos globais:

• [Account.1] Informações de contato de segurança devem ser fornecidas para uma Conta da AWS

• [Account.2] Contas da AWS deve fazer parte de uma organização AWS Organizations

• [CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado

• [CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito

• [CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado

• [CloudFront.5] CloudFront as distribuições devem ter o registro ativado

• [CloudFront.6] as CloudFront distribuições deveriam ter habilitado WAF

• [CloudFront.7] CloudFront as distribuições devem usar certificados/personalizados SSL TLS

• [CloudFront.8] CloudFront as distribuições devem ser usadas SNI para atender às solicitações HTTPS

• [CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas

• [CloudFront.10] CloudFront as distribuições não devem usar SSL protocolos obsoletos entre pontos de presença e origens personalizadas

• [CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3

• [CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem

• [EventBridge.4] endpoints EventBridge globais devem ter a replicação de eventos ativada

• [GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados

• [IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"

• [IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas

• [IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos

• [IAM.4] A chave de acesso do usuário raiz do IAM não deve existir

• [IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console

• [IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz

• [IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes

• [IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas

• [IAM.9] A MFA deve estar habilitada para o usuário raiz

• [IAM.10] As políticas de senha para usuários do IAM devem ter durações fortes AWS Config

• 1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula

• 1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula

• 1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo

• Certifique-se de que política de senha do IAM exija pelo menos um número

• 1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais

• 1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas

• 1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos

• [IAM.18] Certifique-se de que uma função de suporte tenha sido criada para gerenciar incidentes com Suporte

• [IAM.19] A MFA deve estar habilitada para todos os usuários do IAM

• [IAM.21] As políticas gerenciadas pelo cliente do IAM que você cria não devem permitir ações curingas para serviços.

• [IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas

• [IAM.24] Os perfis do IAM devem ser marcados

• [IAM.25] Os usuários do IAM devem ser marcados

• [IAM.26] Os certificados SSL/TLS expirados gerenciados no IAM devem ser removidos

• [IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess

• [IAM.28] O analisador de acesso externo do IAM Access Analyzer deve ser habilitado

• [KMS.1] As políticas gerenciadas pelo cliente do IAM não devem permitir ações de descriptografia em todas as chaves do KMS

• [KMS.2] As entidades principais do IAM não devem ter políticas incorporadas do IAM que permitam ações de descriptografia em todas as chaves do KMS

• [Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas DNS

• [WAF.1] O ACL registro AWS WAF clássico da Web global deve estar ativado

• [WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição

• [WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra

• [WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras

• [WAF.10] a AWS WAF web ACLs deve ter pelo menos uma regra ou grupo de regras

• [WAF.11] o ACL registro AWS WAF na web deve estar ativado

CloudTrail controles de registro

Esse controle trata do uso de AWS Key Management Service (AWS KMS) para criptografar registros de AWS CloudTrail trilhas. Se você registrar essas trilhas em uma conta de registro centralizada, só precisará executar esse controle na conta e na região em que o registro centralizado ocorre.

nota

Se você usar a configuração central, o status de habilitação de um controle será alinhado entre a região inicial e as regiões vinculadas. Você não pode desabilitar um controle em algumas regiões e habilitá-lo em outras. Nesse caso, suprima as descobertas dos controles a seguir para reduzir o ruído de localização.

• [CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada

CloudWatch controles de alarmes

Se você preferir usar a Amazon GuardDuty para detecção de anomalias em vez dos CloudWatch alarmes da Amazon, você pode desativar esses controles, que se CloudWatch concentram nos alarmes.

• Um filtro de métrica de log e um alarme devem existir para o uso do usuário "raiz"

• [CloudWatch.2] Certifique-se de que um filtro e um alarme de métrica de logs existam para chamadas de API não autorizadas

• [CloudWatch.3] Certifique-se de que um filtro e um alarme de métrica de logs existam para login do Management Console sem a MFA

• 3.4 Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política do IAM

• [CloudWatch.5] Certifique-se de que exista um filtro métrico de log e um alarme para alterações na duração do CloudTrail AWS Config

• [CloudWatch.6] Certifique-se de que um filtro e um alarme de métrica de logs existam para falhas de autenticação do AWS Management Console

• 3.7 Certifique-se de que um filtro e um alarme de métrica de logs existam para a desativação ou exclusão programada de CMKs criadas pelo cliente

• [CloudWatch.8] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de política de bucket do S3

• [CloudWatch.9] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de configuração do AWS Config

• [CloudWatch.10] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de grupo de segurança

• [CloudWatch.11] Garanta que um filtro e um alarme de métrica de logs existem para alterações em listas de controle de acesso à rede (NACL)

• [CloudWatch.12] Garanta que um filtro e um alarme de métrica de logs existem para alterações em gateways de rede

• [CloudWatch.13] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de tabela de rotas

• [CloudWatch.14] Certifique-se de que um filtro e um alarme de métrica de logs existam para alterações de VPC