Habilitação do CSPM do Security Hub

Há duas formas de habilitar o CSPM do AWS Security Hub: com a integração com o AWS Organizations ou manualmente.

É altamente recomendável fazer a integração com Organizations para ambientes com várias contas e várias regiões. Se você tiver uma conta autônoma, será necessário configurar o CSPM do Security Hub manualmente.

Verificação das permissões necessárias

Depois de se cadastrar na Amazon Web Services (AWS), será necessário habilitar o CSPM do Security Hub para usar suas capacidades e recursos. Para habilitar o CSPM do Security Hub, é preciso primeiramente configurar permissões que permitam seu acesso ao console do CSPM do Security Hub e às operações da API. Você ou seu administrador da AWS podem fazer isso usando o AWS Identity and Access Management (IAM) para anexar a política gerenciada pela AWS chamada AWSSecurityHubFullAccess à sua identidade do IAM.

Para habilitar e gerenciar o CSPM do Security Hub por meio da integração do Organizations, você também deve anexar a política gerenciada pela AWS chamada AWSSecurityHubOrganizationsAccess.

Para obter mais informações, consulte AWSPolíticas gerenciadas pela para o Security Hub.

Habilitação do CSPM do Security Hub com a integração do Organizations

Para começar a usar o CSPM do Security Hub com o AWS Organizations, a conta gerencial do AWS Organizations para a organização designa uma conta como administrador delegado do CSPM do Security Hub para a organização. O CSPM do Security Hub é habilitado automaticamente na conta de administrador delegado na região atual.

Escolha seu método preferido e siga as etapas para designar o administrador delegado.

Security Hub CSPM console

Para designar o administrador delegado do CSPM do Security Hub durante a integração

1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. Escolha Ir para o CSPM do Security Hub. Você será solicitado a fazer login na conta gerencial do Organizations.

3. Na página Designar administrador delegado, na seção Conta de administrador delegado, especifique a conta de administrador delegado. Recomendamos escolher o mesmo administrador delegado que você definiu para outros serviços de segurança e conformidade da AWS.

4. Escolha Definir administrador delegado.

Security Hub CSPM API

Invoque a API EnableOrganizationAdminAccount da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

AWS CLI

Execute o comando enable-organization-admin-account a partir da conta gerencial do Organizations. Forneça o ID da Conta da AWS da conta de administrador delegado do CSPM do Security Hub.

Exemplo de comando:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obter mais informações sobre a integração com o Organizations, consulte Integração do CSPM do Security Hub com o AWS Organizations.

Configuração central

Ao integrar o CSPM do Security Hub e o Organizations, você tem a opção de usar um recurso chamado configuração central para configurar e gerenciar o CSPM do Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta de membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o CSPM do Security Hub em contas, unidades organizacionais e Regiões da AWS. O administrador delegado configura o CSPM do Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:

• Se o CSPM do Security Hub está habilitado ou desabilitado

• Quais padrões de segurança são habilitados e desabilitados

• Quais controles de segurança são habilitados e desabilitados

• Se os parâmetros devem ser personalizados para selecionar controles

Como administrador delegado, é possível criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e unidades organizacionais. Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas de membro e unidades organizacionais que usem uma política de configuração são gerenciadas centralmente e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas de membro e unidades organizacionais específicas como autogerenciadas para permitir que o membro defina suas próprias configurações por região.

Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Habilitação do CSPM do Security Hub manualmente

É necessário habilitar o CSPM do Security Hub manualmente se tiver uma conta autônoma ou se não fizer integração com o AWS Organizations. Contas autônomas não podem ser integradas ao AWS Organizations, e devem usar a habilitação manual.

Ao habilitar o CSPM do Security Hub manualmente, você designa uma conta de administrador do CSPM do Security Hub e convida outras contas para se tornarem contas de membro. A relação administrador-membro é estabelecida quando uma conta de membro em potencial aceita o convite da conta.

Escolha seu método preferido e siga as etapas para habilitar o CSPM do Security Hub. Ao habilitar o CSPM do Security Hub no console, você também tem a opção de habilitar os padrões de segurança com suporte.

Security Hub CSPM console

1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

2. Ao abrir o console do CSPM do Security Hub pela primeira vez, escolha Ir para o CSPM do Security Hub.

3. Na página de boas-vindas, a seção Padrões de segurança lista os padrões de segurança com suporte no CSPM do Security Hub.

   Marque a caixa de seleção de um padrão para habilitá-lo e desmarque a caixa de seleção para desabilitá-lo.

   É possível habilitar ou desabilitar um padrão ou seus controles individuais a qualquer momento. Para obter mais informações sobre gerenciamento de padrões de segurança, consulte Noções básicas dos padrões de segurança no CSPM do Security Hub.

4. Selecione Enable Security Hub (Habilitar o Security Hub).

Security Hub CSPM API

Invoque a API EnableSecurityHub. Ao habilitar o CSPM do Security Hub pela API, ele habilitará automaticamente os padrões de segurança padrão a seguir:

• AWS Práticas Recomendadas de Segurança Básica

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Se você não quiser habilitar esses padrões, defina EnableDefaultStandards como false.

Também é possível usar o parâmetro Tags para atribuir valores de tag ao recurso do hub.

AWS CLI

Execute o comando enable-security-hub. Para ativar os padrões, inclua --enable-default-standards. Para não ativar os padrões, inclua --no-enable-default-standards. Os padrões de segurança padrão são os seguintes:

• AWS Práticas Recomendadas de Segurança Básica

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Exemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitação de várias contas

nota

Em vez desse script, recomendamos usar a configuração central para habilitar e configurar o CSPM do Security Hub em várias contas e regiões.

O Script de habilitação de várias contas do CSPM do Security Hub no GitHub permite que você habilite o Security Hub em todas as contas e regiões. O script também automatiza o processo de envio de convites para contas de membros e habilitação do AWS Config.

O script ativa automaticamente o registro de recursos do AWS Config para todos os recursos, incluindo recursos globais, em todas as regiões. Ele não limita o registro de recursos globais a uma única região. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial. Para obter mais informações, consulte Registros de recursos no AWS Config.

Há um script correspondente para desabilitar o CSPM do Security Hub em todas as contas e regiões.

Próximas etapas: gerenciamento de postura e integrações

Depois de habilitar o CSPM do Security Hub, recomendamos habilitar os padrões e controles de segurança para monitorar sua postura de segurança. Depois de habilitar os controles, o CSPM do Security Hub começa a executar verificações de segurança e a gerar descobertas de controle que ajudam a detectar configurações incorretas em seu ambiente da AWS. Para receber descobertas de controle, é necessário habilitar e configurar o AWS Config para o CSPM do Security Hub. Para obter mais informações, consulte Habilitação e configuração do CSPM do AWS Config Security Hub.

Depois de habilitar o CSPM do Security Hub, também é possível aproveitar as integrações entre o CSPM do Security Hub e outros Serviços da AWS e soluções de terceiros para suas descobertas no CSPM do Security Hub. O CSPM do Security Hub agrega descobertas de diferentes origens e as ingere em um formato consistente. Para obter mais informações, consulte Noções básicas sobre as integrações no CSPM do Security Hub.