Habilitar um padrão de segurança - AWS Security Hub
Habilitação de um padrão em várias contas e Regiões da AWSHabilitação de um padrão em uma única conta e Região da AWSVerificação do status de um padrão

Habilitar um padrão de segurança

Quando você habilita um padrão no CSPM do AWS Security Hub, ele cria e habilita automaticamente todos os controles que se aplicam ao padrão. O CSPM do Security Hub também começa a executar verificações de segurança e a gerar descobertas para os controles.

Para otimizar a cobertura e a precisão das descobertas, habilite e configure o registro de recursos do AWS Config antes de habilitar um padrão. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de recursos verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, consulte Habilitação e configuração do CSPM do AWS Config Security Hub.

Depois de habilitar um padrão, é possível desabilitar ou reabilitar posteriormente controles individuais que se aplicam ao padrão. Se você desabilitar um controle em um padrão, o CSPM do Security Hub parará de gerar descobertas para o controle. Além disso, o CSPM do Security Hub ignorará o controle ao calcular a pontuação de segurança do padrão. A pontuação de segurança é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do CSPM do Security Hub. As pontuações de segurança são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, a gravação de recursos deve estar configurada no AWS Config para que as pontuações sejam exibidas. Nas regiões da China e AWS GovCloud (US) Regions, pode levar até 24 horas para que o CSPM do Security Hub gere uma pontuação de segurança preliminar para um padrão. Depois que o CSPM do Security Hub gera uma pontuação preliminar, ele atualiza a pontuação a cada 24 horas. Para determinar quando uma pontuação de segurança foi atualizada pela última vez, é possível consultar um timestamp que o CSPM do Security Hub fornece para a pontuação. Para obter mais informações, consulte Calcular pontuações de segurança.

A forma como você habilita um padrão depende de se você usa a configuração central para gerenciar o CSPM do Security Hub para várias contas e Regiões da AWS. Recomendamos que você use a configuração central se quiser habilitar padrões em ambientes com várias contas e várias regiões. Será possível usar a configuração central se você integrar o CSPM do Security Hub com o AWS Organizations. Se você não usar a configuração central, deverá habilitar cada padrão separadamente em cada conta e cada região.

Habilitação de um padrão em várias contas e Regiões da AWS

Para habilitar e configurar um controle de segurança em várias contas e Regiões da AWS, é necessário usar a configuração central. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que habilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (UO) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de região de agregação, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, é possível optar por habilitar somente o padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP) para uma UO. Para outra UO, é possível optar por habilitar o padrão FSBP e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Para obter informações sobre como criar uma política de configuração que habilite certos padrões especificados, consulte Criação e associação de políticas de configuração.

Se você usa a configuração central, o CSPM do Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, o administrador do CSPM do Security Hub especifica quais padrões devem ser habilitados em contas diferentes ao criar políticas de configuração do CSPM do Security Hub para sua organização. O CSPM do Security Hub oferece uma política de configuração recomendada na qual somente o padrão FSBP está habilitado. Para obter mais informações, consulte Tipos de políticas de configuração.

nota

O administrador do CSPM do Security Hub pode usar políticas de configuração para habilitar qualquer padrão, exceto o padrão gerenciado por serviço AWS Control Tower. Para habilitar esse padrão, o administrador deve usar o AWS Control Tower diretamente. Eles também devem usar AWS Control Tower para habilitar ou desabilitar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas habilitem e configurem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como contas autogerenciadas. As contas autogerenciadas devem habilitar e configurar padrões separadamente em cada região.

Habilitação de um padrão em uma única conta e Região da AWS

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para habilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível habilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para habilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

Para habilitar um padrão em uma conta e região

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

  2. Ao usar o seletor de Região da AWS no canto superior direito da página, selecione a região na qual você deseja habilitar e usar o padrão.

  3. No painel de navegação, escolha Padrões de segurança. A página Padrões de segurança lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se você já habilitou um padrão, a seção do padrão incluirá a pontuação de segurança atual e detalhes adicionais do padrão.

  4. Na seção do padrão que deseja habilitar, escolha Habilitar padrão.

Para habilitar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

Security Hub CSPM API

Para habilitar um padrão programaticamente em uma única conta e região, use a operação BatchEnableStandards. Ou, se você estiver usando a AWS Command Line Interface (AWS CLI), execute o comando batch-enable-standards.

Em sua solicitação, use o parâmetro StandardsArn para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja habilitar. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir habilita o padrão Práticas Recomendadas de Segurança Básica da AWS (FSBP):

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

Onde arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 é o ARN do padrão FSBP na região Leste dos EUA (Norte da Virgínia), e us-east-1 é a região na qual habilitá-lo.

Para obter o ARN de um padrão, use a operação DescribeStandards ou, se estiver usando a AWS CLI, execute o comando describe-standards.

Para ver uma lista inicial dos padrões atualmente habilitados na sua conta, use a operação GetEnabledStandards. Se você estiver usando a AWS CLI, é possível executar o comando get-enabled-standards para recuperar essa lista.

Depois de habilitar um padrão, o CSPM do Security Hub começará a executar tarefas para habilitar o padrão na conta e na região especificada. Isso inclui a criação de todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível verificar o status do padrão para a conta e a região.

Verificação do status de um padrão

Quando você habilita um padrão de segurança para uma conta, o CSPM do Security Hub começa a criar os controles que se aplicam ao padrão na conta. O CSPM do Security Hub também executa tarefas adicionais para habilitar o padrão para a conta, como a geração de uma pontuação de segurança preliminar para o padrão. Enquanto o CSPM do Security Hub executa essas tarefas, o status do padrão é Pending para a conta. Em seguida, o status do padrão passa por estados adicionais, que podem ser monitorados e verificados.

nota

Alterações nos controles individuais de um padrão não afetam o status geral do padrão. Por exemplo, se você habilitar um controle que tenha desativado anteriormente, sua alteração não afetará o status do padrão. Da mesma forma, se você alterar um valor de parâmetro para um controle ativado, sua alteração não afetará o status do padrão.

Para verificar o status de um padrão usando o console do CSPM do Security Hub, escolha Padrões de segurança no painel de navegação. A página Padrões de segurança lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se o CSPM do Security Hub estiver atualmente executando tarefas para habilitar o padrão, a seção do padrão indicará que o CSPM do Security Hub ainda está gerando uma pontuação de segurança para o padrão. Se um padrão estiver habilitado, a seção do padrão incluirá a pontuação atual. Escolha Exibir resultados para analisar detalhes adicionais, incluindo o status dos controles individuais que se aplicam ao padrão. Para obter mais informações, consulte Programar a execução de verificações de segurança.

Para verificar o status de um padrão programaticamente com a API do CSPM do Security Hub, use a operação GetEnabledStandards. Em sua solicitação, use, opcionalmente, o parâmetro StandardsSubscriptionArns para especificar o nome do recurso da Amazon (ARN) do padrão cujo status você deseja verificar. Se você estiver usando a AWS Command Line Interface (AWS CLI), poderá executar o comando get-enabled-standards para verificar o status de um padrão. Para especificar o ARN do padrão a ser verificado, use o parâmetro standards-subscription-arns. Para determinar qual ARN especificar, é possível usar a operação DescribeStandards ou, para a AWS CLI, executar o comando describe-standards.

Se a sua solicitação obtiver êxito, o CSPM do Security Hub responderá com uma matriz de objetos StandardsSubscription. Uma assinatura de padrão é um recurso da AWS que o CSPM do Security Hub cria em uma conta quando um padrão é habilitado para a conta. Cada objeto StandardsSubscription fornece detalhes sobre um padrão que está atualmente habilitado ou está sendo habilitado ou desabilitado para a conta. Dentro de cada objeto, o campo StandardsStatus especifica o status atual do padrão para a conta.

O status de um padrão (StandardsStatus) pode ser um dos mostrados a seguir.

PENDING

O CSPM do Security Hub está atualmente executando tarefas para habilitar o padrão para a conta. Isso inclui criar os controles que se apliquem ao padrão e gerar uma pontuação de segurança preliminar para o padrão. Pode levar alguns minutos para que o CSPM do Security Hub conclua todas as tarefas. Um padrão também pode ter esse status se já estiver habilitado para a conta e o CSPM do Security Hub estiver adicionando novos controles ao padrão.

Se um padrão tiver esse status, talvez você não seja capaz de recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, talvez você não consiga configurar ou desabilitar controles individuais para o padrão. Por exemplo, se você tentar desabilitar um controle usando a operação UpdateStandardsControl, ocorrerá um erro.

Para determinar se é possível configurar ou gerenciar controles individuais para o padrão, consulte o valor do campo StandardsControlsUpdatable. Se o valor desse campo for READY_FOR_UPDATES, será possível começar a gerenciar controles individuais para o padrão. Caso contrário, espere até que o CSPM do Security Hub conclua as tarefas adicionais de processamento para habilitar o padrão.

READY

Atualmente, o padrão está habilitado para a conta. O CSPM do Security Hub pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. O CSPM do Security Hub também pode calcular uma pontuação de segurança para o padrão.

Se um padrão tiver esse status, será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, é possível configurar, desabilitar ou reabilitar os controles. Também é possível desabilitar o padrão.

INCOMPLETE

O CSPM do Security Hub não conseguiu habilitar completamente o padrão para a conta. O CSPM do Security Hub não pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi habilitado completamente, consulte as informações na matriz StandardsStatusReason. Essa matriz especifica problemas que impediram que o CSPM do Security Hub habilitasse o padrão. Se ocorrer um erro interno, tente habilitar o padrão para a conta novamente. Para outros tipos de problemas, verifique suas configurações do AWS Config. Também é possível desabilitar controles individuais que não deseja verificar ou desabilitar completamente o padrão.

DELETING

No momento, o CSPM do Security Hub está processando uma solicitação para desabilitar o padrão da conta. Isso inclui desabilitar os controles que se aplicam ao padrão e remover a pontuação de segurança associada. Pode levar alguns minutos para que o CSPM do Security Hub conclua o processamento da solicitação.

Se um padrão tiver esse status, você não poderá reabilitá-lo nem tentar desabilitá-lo novamente para a conta. O CSPM do Security Hub deve primeiro concluir o processamento da solicitação atual. Além disso, você não pode recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles.

FAILED

O CSPM do Security Hub não conseguiu desabilitar o padrão para a conta. Um ou mais erros ocorreram quando o CSPM do Security Hub tentou desabilitar o padrão. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi desabilitado completamente, consulte as informações na matriz StandardsStatusReason. Essa matriz especifica problemas que impediram que o CSPM do Security Hub desabilitasse o padrão.

Se um padrão tiver esse status, não será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão ou gerenciar os controles. No entanto, é possível reabilitar o padrão para a conta. Se você resolver os problemas que impediram o CSPM do Security Hub de desabilitar o padrão, você também poderá tentar desabilitar o padrão novamente.

Se o status de um padrão for READY, o CSPM do Security Hub executará verificações de segurança e gerará descobertas para todos os controles que se apliquem ao padrão e que estiverem habilitados no momento. Para outros status, o CSPM do Security Hub poderá executar verificações e gerar descobertas para alguns controles habilitados, mas não para todos. A geração ou atualização das descobertas de controle pode levar até 24 horas para gerar ou atualizar descobertas de controle. Para obter mais informações, consulte Programar a execução de verificações de segurança.