Habilitando e configurando o AWS Config Security Hub CSPM - AWS Security Hub
Considerações antes de ativar e configurar AWS ConfigRecursos de gravação em AWS ConfigFormas de ativar e configurar AWS ConfigNoções básicas sobre o controle Config.1Geração de regras vinculadas ao serviçoConsiderações sobre custos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando e configurando o AWS Config Security Hub CSPM

AWS O Security Hub CSPM usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra.

Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são AWS Config regras personalizadas que o Security Hub CSPM desenvolve. AWS Config as regras que o Security Hub CSPM usa para controles são chamadas de regras vinculadas a serviços. As regras vinculadas ao serviço permitem Serviços da AWS , como o CSPM do Security Hub, criar AWS Config regras em sua conta.

Para receber descobertas de controle no Security Hub CSPM, você deve habilitar sua AWS Config conta. Também é necessário ativar o registro de recursos para os tipos de recursos que os controles habilitados avaliam. O Security Hub CSPM pode então criar as AWS Config regras apropriadas para os controles e começar a executar verificações de segurança e gerar descobertas para os controles.

Considerações antes de ativar e configurar AWS Config

Para receber descobertas de controle no CSPM do Security Hub, você AWS Config deve estar habilitado para sua conta em cada um em Região da AWS que o CSPM do Security Hub esteja habilitado. Se você usar o CSPM do Security Hub para um ambiente com várias contas, o AWS Config deverá estar habilitado em todas as regiões para a conta de administrador e todas as contas de membro.

É altamente recomendável que você ative a gravação de recursos AWS Config antes de habilitar quaisquer padrões e controles CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que nenhuma política ou AWS Organizations política do IAM impeça AWS Config de ter permissão para registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre os registros do AWS Config , consulte Trabalho com o gravador de recursos no Guia do desenvolvedor do AWS Config .

Se você habilitar um padrão no CSPM do Security Hub, mas não tiver ativado AWS Config, o CSPM do Security Hub tentará criar AWS Config regras vinculadas ao serviço de acordo com a seguinte programação:

  • No dia em que você habilita o padrão.

  • No dia seguinte à habilitação do padrão.

  • 3 dias depois de habilitar o padrão.

  • 7 dias depois que você habilitar o padrão, e continuamente a cada 7 dias depois disso.

Se você usa a configuração central, o Security Hub CSPM também tenta criar AWS Config regras vinculadas a serviços sempre que você associa uma política de configuração que habilita um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

Recursos de gravação em AWS Config

Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o CSPM do Security Hub detecte alterações nas configurações de seus recursos.

Para que o CSPM do Security Hub gere descobertas de controle precisas, é necessário ativar o registro no AWS Config dos tipos de recursos que correspondam aos seus controles ativados. São principalmente controles habilitados com um tipo de programação acionada por alterações que exigem registro de recursos. Alguns controles com um tipo de programação periódica também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulte AWS Config Recursos necessários para descobertas de controle.

Atenção

Se você não configurar a AWS Config gravação corretamente para os controles CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:

  • Você nunca registrou o recurso para um determinado controle ou desabilitou o registro de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma descoberta WARNING para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desabilitar o registro. Essa descoberta WARNING é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.

  • Você desabilita o registro de um recurso que é avaliado por um controle específico. Nesse caso, o CSPM do Security Hub reterá as descobertas de controle que forem geradas antes de você desabilitar o registro, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O CSPM do Security Hub também altera o status de conformidade das descobertas para WARNING. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os recursos regionais suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, você também deve configurar AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial.

Em AWS Config, você pode escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração de descobertas do CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte AWS Recursos de gravação no Guia do AWS Config desenvolvedor.

Formas de ativar e configurar AWS Config

Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:

  • AWS Config console — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.

  • AWS CLI ou SDKs — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com o AWS CLI no Guia do AWS Config desenvolvedor. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.

  • CloudFormation modelo — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSet amostra no Guia AWS CloudFormation do usuário.

    Por padrão, esse modelo exclui o registro de recursos globais do IAM. Certifique-se de ativar o registro dos recursos globais do IAM em apenas uma Região da AWS para conservar os custos de registro. Se você tiver a agregação entre regiões habilitada, essa deverá ser sua região inicial do CSPM do Security Hub. Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível e que ofereça suporte ao registro de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.

  • GitHub script — O Security Hub CSPM oferece um GitHubscript que habilita o CSPM do Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations

Para obter mais informações, consulte a seguinte postagem no blog de AWS segurança: Otimize o CSPM do AWS Security Hub AWS Config para gerenciar com eficiência sua postura de segurança na nuvem.

Noções básicas sobre o controle Config.1

No Security Hub CSPM, o controle Config.1 gera FAILED descobertas em sua conta se estiver desativado. AWS Config Ele também gera FAILED descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada.

Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub CSPM gerará uma FAILED descoberta para o controle Config.1. Além dessa descoberta FAILED, o CSPM do Security Hub gerará descobertas WARNING para o controle habilitado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle KMS.5 e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub CSPM gerará uma FAILED descoberta para o controle Config.1. O CSPM do Security Hub também gera descobertas WARNING para o controle KMS.5 e suas chaves do KMS.

Para receber uma descoberta PASSED para o controle Config.1, ative o registro de recursos para todos os tipos de recursos que correspondam aos controles habilitados. Além disso, desabilite os controles que não sejam necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração nas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do CSPM do Security Hub de uma organização, o registro do AWS Config deverá ser configurado corretamente para a sua conta e as contas de membro. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

Geração de regras vinculadas ao serviço

Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub CSPM cria instâncias da regra necessária em seu ambiente. AWS

Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas ao serviço mesmo se outras instâncias das mesmas regras já existirem. A regra vinculada ao serviço adiciona securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciadavpc-flow-logs-enabled, o nome da regra vinculada ao serviço pode ser. securityhub-vpc-flow-logs-enabled-12345

Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config as regras que o Security Hub CSPM cria não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte Limites de serviço AWS Config no Guia do AWS Config desenvolvedor.

Considerações sobre custos

O Security Hub CSPM pode afetar os custos AWS Config do gravador de configuração atualizando o AWS::Config::ResourceCompliance item de configuração. As atualizações podem ocorrer sempre que um controle CSPM do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub CSPM e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele no. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa registrar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no CSPM do Security Hub.

Para obter informações sobre os custos associados ao registro de recursos, consulte a Definição de preços do CSPM do AWS Security Hub e a Definição de preços do AWS Config.