Recomendações antes de ativar o Security Hub

As recomendações a seguir podem ajudar você a começar a usar AWS Security Hub.

Integrando com AWS Organizations

AWS Organizations é um serviço global de gerenciamento de contas que permite AWS aos administradores consolidar e gerenciar centralmente várias Contas da AWS unidades organizacionais (OUs). Ele fornece os atributos de faturamento consolidado e gerenciamento de contas, projetados para atender às necessidades orçamentárias, de segurança e de conformidade. Ele é oferecido sem custo adicional e se integra a vários Serviços da AWS, incluindo Security Hub GuardDuty, Amazon e Amazon Macie.

Para ajudar a automatizar e agilizar o gerenciamento de contas, é altamente recomendável integrar o Security Hub e o AWS Organizations. Você pode se integrar ao Organizations se tiver mais de um Conta da AWS que use o Security Hub.

Para obter instruções sobre como ativar a integração, consulte Integrando o Security Hub com AWS Organizations.

Uso da configuração central

Ao integrar o Security Hub e o Organizations, você tem a opção de usar um recurso chamado configuração central para configurar e gerenciar o Security Hub para sua organização. É altamente recomendável usar a configuração central, pois ela permite que o administrador personalize a cobertura de segurança para a organização. Quando apropriado, o administrador delegado pode permitir que uma conta-membro defina suas próprias configurações de cobertura de segurança.

A configuração central permite que o administrador delegado configure o Security Hub em contas, OUs e. Regiões da AWS O administrador delegado configura o Security Hub criando políticas de configuração. Em uma política de configuração, é possível especificar as configurações a seguir:

• Se o Security Hub está habilitado ou desabilitado

• Quais padrões de segurança são habilitados e desabilitados

• Quais controles de segurança são habilitados e desabilitados

• Se os parâmetros devem ser personalizados para selecionar controles

Como administrador delegado, é possível criar uma única política de configuração para toda a organização ou políticas de configuração diferentes para suas várias contas e unidades organizacionais. Por exemplo, contas de teste e contas de produção podem usar políticas de configuração diferentes.

As contas-membro e unidades organizacionais que usem uma política de configuração são gerenciadas centralmente e só podem ser configuradas pelo administrador delegado. O administrador delegado pode designar contas-membro e unidades organizacionais específicas como autogerenciadas para permitir que o membro defina suas próprias configurações por região.

Para saber mais sobre a configuração central, consulte Como a configuração central funciona.

Configurando AWS Config

AWS Security Hub usa AWS Config regras vinculadas a serviços para realizar verificações de segurança na maioria dos controles.

Para oferecer suporte a esses controles, AWS Config devem estar habilitados em todas as contas, tanto na conta de administrador quanto nas contas de membros, em cada uma em que o Região da AWS Security Hub esteja ativado. Além disso, para cada padrão habilitado, AWS Config deve ser configurado para registrar os recursos necessários para os controles habilitados.

Recomendamos que você ative a gravação de recursos AWS Config antes de habilitar os padrões do Security Hub. Se o Security Hub tentar executar verificações de segurança quando a gravação de recursos estiver desativada, as verificações darão erros.

O Security Hub não AWS Config gerencia para você. Se você já tiver AWS Config habilitado, poderá definir suas configurações por meio do AWS Config console ou das APIs.

Se você habilitar um padrão, mas não tiver ativado AWS Config, o Security Hub tentará criar as AWS Config regras de acordo com o seguinte cronograma:

• No dia em que você habilita o padrão

• No dia seguinte à habilitação do padrão

• 3 dias depois de habilitar o padrão

• 7 dias depois de ativar o padrão (e continuamente a cada 7 dias a partir de então)

Se você usar a configuração central, o Security Hub também tentará criar as AWS Config regras ao reaplicar uma política de configuração que habilite um ou mais padrões.

Habilitando AWS Config

Se ainda não AWS Config tiver ativado, você pode habilitá-lo de uma das seguintes formas:

• Console ou AWS CLI — Você pode ativar manualmente AWS Config usando o AWS Config console ou AWS CLI. Consulte Conceitos básicos do AWS Config no Guia do desenvolvedor do AWS Config .

• AWS CloudFormation modelo — Se você quiser ativar AWS Config em um grande número de contas, você pode habilitar AWS Config com o CloudFormation modelo Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSets amostra no Guia AWS CloudFormation do usuário.

• Script do Github — O Security Hub oferece um GitHub script que habilita o Security Hub para várias contas em todas as regiões. Esse script é útil se você não se integrou a Organizações ou se tem contas que não fazem parte da sua organização. Quando você usa esse script para ativar o Security Hub, ele também é ativado automaticamente AWS Config para essas contas.

Para obter mais informações sobre como habilitar AWS Config para ajudá-lo a executar as verificações de segurança do Security Hub, consulte Otimizar AWS ConfigAWS Security Hub para gerenciar com eficiência sua postura de segurança na nuvem.

Ativando a gravação de recursos em AWS Config

Quando você ativa a gravação de recursos AWS Config com as configurações padrão, ela registra todos os tipos de recursos regionais suportados que são AWS Config descobertos no local Região da AWS em que está sendo executado. Você também pode configurar AWS Config para registrar os tipos de recursos globais suportados. Você só precisa registrar recursos globais em uma única região (recomendamos que essa seja sua região inicial se você estiver usando a configuração central).

Se você estiver usando CloudFormation StackSets para habilitar AWS Config, recomendamos que você execute dois diferentes StackSets. Execute um StackSet para registrar todos os recursos, incluindo recursos globais, em uma única região. Execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais em outras regiões.

Você também pode usar a Configuração rápida, um recurso de AWS Systems Manager, para configurar rapidamente o registro de recursos em AWS Config todas as suas contas e regiões. Durante o processo de Configuração Rápida, você pode escolher em qual região gostaria de gravar recursos globais. Para obter mais informações, consulte o Gravador de configuração do AWS Config no Guia do usuário do AWS Systems Manager .

O controle de segurança Config.1 gera descobertas com falha para regiões que não sejam regiões vinculadas em um agregador (a região de origem e as regiões que não estão totalmente em um agregador de descobertas) se essa região não registrar recursos globais AWS Identity and Access Management (IAM) e tiver ativado controles que exigem que os recursos globais do IAM sejam registrados. Nas regiões vinculadas, o Config.1 não verifica se os recursos globais do IAM estão registrados. Para obter uma lista dos recursos que cada controle exige, consulteAWS Config recursos necessários para gerar resultados de controle.

Se você usar o script de várias contas para habilitar o Security Hub, ele habilitará automaticamente a gravação de recursos para todos os recursos, incluindo recursos globais, em todas as regiões. Em seguida, você pode atualizar a configuração para gravar recursos globais em uma única região apenas. Para obter informações, consulte Seleção de quais AWS Config registros de recursos no Guia do AWS Config desenvolvedor.

Para que o Security Hub relate com precisão as descobertas dos controles que dependem de AWS Config regras, você deve habilitar a gravação dos recursos relevantes. Para obter uma lista de controles e seus AWS Config recursos relacionados, consulteAWS Config recursos necessários para gerar resultados de controle.AWS Config permite escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, a AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

nota

Para gerar novas descobertas após as verificações de segurança e evitar descobertas obsoletas, você deve ter permissões suficientes para que o perfil do IAM anexado ao gravador de configuração avalie os recursos subjacentes.

Considerações sobre custos

Para obter detalhes sobre os custos associados à gravação de recursos, consulte preços do AWS Security Hub e preços do AWS Config.

O Security Hub pode afetar os custos AWS Config do gravador de configuração ao atualizar o item AWS::Config::ResourceCompliance de configuração. As atualizações podem ocorrer sempre que um controle do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub e não usa esse item de configuração para outros fins, recomendamos desativar a gravação no AWS Config console ou AWS CLI. Isso pode reduzir os custos do AWS Config . Você não precisa gravar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no Security Hub.