Habilitação e configuração do CSPM do AWS Config Security Hub - AWS Security Hub
Considerações antes da habilitação e configuração do AWS ConfigRegistros de recursos no AWS ConfigFormas de habilitar e configurar o AWS ConfigNoções básicas sobre o controle Config.1Geração de regras vinculadas ao serviçoConsiderações sobre custos

Habilitação e configuração do CSPM do AWS Config Security Hub

O CSPM do AWS Security Hub usa regras do AWS Config para executar verificações de segurança e gerar descobertas para a maioria dos controles. O AWS Config fornece uma visão detalhada da configuração dos recursos da AWS na sua Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra.

Algumas regras, chamadas de regras gerenciadas pelo AWS Config, são predefinidas e desenvolvidas pelo AWS Config. Outras regras são regras personalizadas do AWS Config que o CSPM do Security Hub desenvolve. As regras do AWS Config que o CSPM do Security Hub usa para controles são referenciadas como regras vinculadas ao serviço. As regras vinculadas ao serviço permitem que Serviços da AWS, como o CSPM do Security Hub, criem regras do AWS Config em sua conta.

Para receber descobertas de controle no CSPM do Security Hub, é necessário habilitar o AWS Config para a sua conta. Também é necessário ativar o registro de recursos para os tipos de recursos que os controles habilitados avaliam. O CSPM do Security Hub pode então criar as regras do AWS Config apropriadas para os controles e começar a executar verificações de segurança e gerar descobertas para os controles.

Considerações antes da habilitação e configuração do AWS Config

Para receber descobertas de controles no CSPM do Security Hub, o AWS Config deve estar habilitado em sua conta em toda Região da AWS em que o CSPM do Security Hub estiver habilitado. Se você usar o CSPM do Security Hub para um ambiente com várias contas, o AWS Config deverá estar habilitado em todas as regiões para a conta de administrador e todas as contas de membro.

Recomendamos veementemente que você ative o registro de recursos do AWS Config antes de habilitar quaisquer padrões e controles do CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos no AWS Config, é necessário ter permissões suficientes para registrar recursos no perfil do AWS Identity and Access Management (IAM) anexado ao gravador de configuração. Além disso, certifique-se de que nenhuma política do AWS Organizations ou política do IAM impeça o AWS Config de ter permissão para registrar seus recursos. Os controles do CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta as políticas do AWS Organizations. Para obter mais informações sobre os registros do AWS Config, consulte Trabalho com o gravador de recursos no Guia do desenvolvedor do AWS Config.

Se você habilitar um padrão no CSPM do Security Hub, mas não tiver habilitado o AWS Config, o CSPM do Security Hub tentará criar regras do AWS Config vinculadas ao serviço de acordo com o cronograma a seguir:

  • No dia em que você habilita o padrão.

  • No dia seguinte à habilitação do padrão.

  • 3 dias depois de habilitar o padrão.

  • 7 dias depois que você habilitar o padrão, e continuamente a cada 7 dias depois disso.

Se você usar a configuração central, o CSPM do Security Hub também tentará criar as regras do AWS Config vinculadas ao serviço toda vez que você associar um ou mais padrões com contas, unidades organizacionais (UO) ou com a raiz.

Registros de recursos no AWS Config

Ao habilitar o AWS Config, será necessário especificar quais recursos da AWS deseja que o gravador de configuração do AWS Config registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o CSPM do Security Hub detecte alterações nas configurações de seus recursos.

Para que o CSPM do Security Hub gere descobertas de controle precisas, é necessário ativar o registro no AWS Config dos tipos de recursos que correspondam aos seus controles ativados. São principalmente controles habilitados com um tipo de programação acionada por alterações que exigem registro de recursos. Alguns controles com um tipo de programação periódica também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulte Recursos AWS Config necessários para descobertas de controle.

Atenção

Se você não configurar o registro do AWS Config corretamente para os controles do CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos casos a seguir:

  • Você nunca registrou o recurso para um determinado controle ou desabilitou o registro de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma descoberta WARNING para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desabilitar o registro. Essa descoberta WARNING é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.

  • Você desabilita o registro de um recurso que é avaliado por um controle específico. Nesse caso, o CSPM do Security Hub reterá as descobertas de controle que forem geradas antes de você desabilitar o registro, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O CSPM do Security Hub também altera o status de conformidade das descobertas para WARNING. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, o AWS Config registrará todos os recursos regionais com suporte que descobrir na Região da AWS em que estiver sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, também é necessário configurar o AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial.

Em AWS Config, é possível escolher entre registro contínuo e registro diário de alterações no estado do recurso. Se você escolher o registro diário, a AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração de descobertas do CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre as gravações do AWS Config, consulte Registro de recursos do AWS no Guia do desenvolvedor do AWS Config.

Formas de habilitar e configurar o AWS Config

É possível habilitar o AWS Config e ativar o registro de recursos de qualquer uma das formas a seguir:

  • Console do AWS Config: é possível habilitar o AWS Config para uma conta usando o console do AWS Config. Para obter instruções, consulte Configuração do AWS Config com o console no Guia do desenvolvedor do AWS Config.

  • AWS CLI ou SDKs: é possível habilitar o AWS Config para uma conta usando a AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com a AWS CLI no Guia do desenvolvedor do AWS Config. Os kits de desenvolvimento de software (SDKs) da AWS também estão disponíveis para muitas linguagens de programação.

  • Modelo do CloudFormation: para habilitar o AWS Config para várias contas, recomendamos usar o modelo do AWS CloudFormation chamado Habilitar o AWS Config. Para acessar esse modelo, consulte os Modelos de exemplo do AWS CloudFormation StackSet no Guia do usuário do AWS CloudFormation.

    Por padrão, esse modelo exclui o registro de recursos globais do IAM. Certifique-se de ativar o registro dos recursos globais do IAM em apenas uma Região da AWS para conservar os custos de registro. Se você tiver a agregação entre regiões habilitada, essa deverá ser sua região inicial do CSPM do Security Hub. Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível e que ofereça suporte ao registro de recursos globais do IAM. Recomendamos a execução de um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região inicial ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.

  • Script do Github: o Security Hub oferece um script do GitHub que habilita o CSPM do Security Hub e o AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ao AWS Organizations ou se tem contas de membro que não fazem parte de uma organização.

Para obter mais informações, consulte a postagem a seguir no Blog de segurança da AWS: Otimização do AWS Config para o CSPM do AWS Security Hub para gerenciar com eficiência sua postura de segurança na nuvem.

Noções básicas sobre o controle Config.1

No CSPM do Security Hub, o controle Config.1 gerará descobertas FAILED em sua conta se o AWS Config estiver desabilitado. Ele também gerará descobertas FAILED em sua conta se o AWS Config estiver habilitado, mas o registro de recursos não estiver ativado.

Se o AWS Config estiver habilitado e o registro de recursos estiver ativado, mas o registro de recursos não estiver ativado para um tipo de recurso verificado por um controle habilitado, o CSPM do Security Hub gerará uma descoberta FAILED para o controle Config.1. Além dessa descoberta FAILED, o CSPM do Security Hub gerará descobertas WARNING para o controle habilitado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle KMS.5 e o registro de recursos não estiver ativado para o AWS KMS keys, o CSPM do Security Hub gerará uma descoberta FAILED para o controle Config.1. O CSPM do Security Hub também gera descobertas WARNING para o controle KMS.5 e suas chaves do KMS.

Para receber uma descoberta PASSED para o controle Config.1, ative o registro de recursos para todos os tipos de recursos que correspondam aos controles habilitados. Além disso, desabilite os controles que não sejam necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração nas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do CSPM do Security Hub de uma organização, o registro do AWS Config deverá ser configurado corretamente para a sua conta e as contas de membro. Se você usar a agregação entre regiões, o registro do AWS Config deverá ser configurado corretamente na região inicial e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

Geração de regras vinculadas ao serviço

Para cada controle que usa uma regra vinculada ao serviço do AWS Config, o CSPM do Security Hub cria instâncias da regra necessárias no seu ambiente da AWS.

Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas ao serviço mesmo se outras instâncias das mesmas regras já existirem. A regra vinculada ao serviço adiciona securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra gerenciada do AWS Config vpc-flow-logs-enabled, o nome da regra vinculada ao serviço poderia ser securityhub-vpc-flow-logs-enabled-12345.

Há cotas para o número de regras gerenciadas do AWS Config que podem ser usadas para avaliar os controles. As regras do AWS Config criadas pelo CSPM do Security Hub não contam para essas cotas. É possível habilitar um padrão de segurança mesmo se você já tiver atingido a quota do AWS Config em sua conta. Para saber mais sobre as quotas das regras do AWS Config, consulte Limites de serviço do AWS Config no Guia do desenvolvedor do AWS Config.

Considerações sobre custos

O CSPM do Security Hub pode afetar os custos do gravador de configuração do AWS Config ao atualizar o item de configuração AWS::Config::ResourceCompliance. As atualizações podem ocorrer sempre que um controle do CSPM do Security Hub associado a uma regra do AWS Config alterar o estado de conformidade, for habilitado ou desabilitado ou tiver atualizações de parâmetros. Se você usa o gravador de configuração do AWS Config somente para o CSPM do Security Hub e não usa esse item de configuração para outros fins, recomendamos desativar o registro no AWS Config. Isso pode reduzir os custos do AWS Config. Você não precisa registrar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no CSPM do Security Hub.

Para obter informações sobre os custos associados ao registro de recursos, consulte a Definição de preços do CSPM do AWS Security Hub e a Definição de preços do AWS Config.