Desabilitação da configuração central no CSPM do Security Hub

Quando você desabilita a configuração central no CSPM do AWS Security Hub, o administrador delegado perde a capacidade de configurar o CSPM do Security Hub, os padrões de segurança e os controles de segurança em várias Contas da AWS, unidades organizacionais (UOs) e Regiões da AWS. Em vez disso, é necessário definir a maioria das configurações de cada conta em cada região separadamente.

Importante

Para poder desabilitar a configuração central, é necessário primeiro desassociar suas contas e UOs de sua configuração atual, seja ela uma política de configuração ou um comportamento autogerenciado.

Para poder desabilitar a configuração central, você também deve excluir as políticas de configuração existentes.

Quando você desabilita a configuração central, as seguintes alterações ocorrem:

• O administrador delegado não pode mais criar políticas de configuração para a organização.

• As contas que tiveram uma política de configuração aplicada ou herdada retêm suas configurações atuais, mas se tornam autogerenciadas.

• Sua organização muda para a configuração local. Na configuração local, a maioria das configurações do CSPM do Security Hub deve ser definida separadamente em cada conta da organização e região. O administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub, os padrões de segurança padrão e todos os controles que fazem parte dos padrões padrão em novas contas da organização. Os padrões de segurança padrão são o Práticas Recomendadas de Segurança Básica (FSBP) da AWS e o Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Essas novas configurações entram em vigor somente na região atual, e afetarão somente as novas contas da organização. O administrador delegado não pode alterar quais padrões são padrão. A configuração local não oferece suporte ao uso de políticas de configuração ou de configuração no nível de UO.

A identidade da conta de administrador delegado permanece a mesma quando você para de usar a configuração central. Sua região inicial e as regiões vinculadas também permanecem as mesmas (sua região inicial agora é chamada de região de agregação e pode ser usada para agregar descobertas).

Escolha seu método preferido e siga as etapas para parar de usar a configuração central e mudar para a configuração local.

Security Hub CSPM console

Para desabilitar a configuração central (console)

1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

   Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

2. No painel de navegação, escolha Configurações e Configuração.

3. Na seção Visão geral, selecione Editar.

4. Na caixa Editar configuração da organização, escolha Configuração local. Se ainda não o fez, você será solicitado a desassociar e excluir suas políticas de configuração atuais antes de poder interromper a configuração central. As contas ou UOs designadas como autogerenciadas devem ser desassociadas de sua configuração autogerenciada. É possível fazer isso no console alterando o tipo de gerenciamento de cada conta autogerenciada ou UO para Gerenciado centralmente e Herdar da minha organização.

5. Opcionalmente, selecione as definições padrão da configuração local para novas contas da organização.

6. Selecione a opção Confirmar.

Security Hub CSPM API

Para desabilitar a configuração central (API)

1. Invoque a API UpdateOrganizationConfiguration.

2. Defina o campo ConfigurationType no objeto OrganizationConfiguration como LOCAL. A API retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, invoque a API StartConfigurationPolicyDisassociation. Para excluir uma política de configuração, invoque a API DeleteConfigurationPolicy.

3. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, defina o campo AutoEnable como true. Por padrão, o valor desse campo é false, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo AutoEnableStandards como DEFAULT. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo AutoEnableStandards como NONE.

Exemplo de solicitação de API:

{
    "AutoEnable": true, 
    "OrganizationConfiguration": {
        "ConfigurationType" : "LOCAL"
    }
}
                

AWS CLI

Para desabilitar a configuração central (AWS CLI)

1. Execute o comando update-organization-configuration.

2. Defina o campo ConfigurationType no objeto organization-configuration como LOCAL. O comando retornará um erro se você tiver políticas de configuração ou associações de políticas existentes. Para desassociar uma política de configuração, execute o comando start-configuration-policy-disassociation. Para excluir uma política de configuração, execute o comando delete-configuration-policy.

3. Se você desejar habilitar automaticamente o CSPM do Security Hub nas novas contas da organização, inclua o parâmetro auto-enable. Por padrão, o valor desse parâmetro é no-auto-enable, e o CSPM do Security Hub não é habilitado automaticamente nas novas contas da organização. Opcionalmente, se você desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo auto-enable-standards como DEFAULT. Esse é o valor padrão. Se você não desejar habilitar automaticamente os padrões de segurança padrão nas novas contas da organização, defina o campo auto-enable-standards como NONE.

aws securityhub --region us-east-1 update-organization-configuration \
--auto-enable \
--organization-configuration '{"ConfigurationType": "LOCAL"}'