Atualização das políticas de configuração - AWS Security Hub

Atualização das políticas de configuração

Depois de criar uma política de configuração, a conta do administrador delegado do CSPM do AWS Security Hub pode atualizar os detalhes da política e as associações da política. Quando os detalhes da política são atualizados, as contas associadas à política de configuração começam automaticamente a usar a política atualizada.

Para obter informações contextuais sobre os benefícios da configuração central e como ela funciona, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.

O administrador delegado pode atualizar as seguintes configurações de política:

  • Habilitar ou desabilitar o CSPM do Security Hub.

  • Habilitar um ou mais padrões de segurança.

  • Indicar quais controles de segurança estão habilitados dentre todos os padrões habilitados. É possível fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles, incluindo novos controles quando eles forem lançados. De forma alternativa, é possível fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles, incluindo novos controles quando eles forem lançados.

  • Opcionalmente, personalize os parâmetros para selecionar controles habilitados dentre os padrões habilitados.

Escolha seu método preferido e siga as etapas para atualizar uma política de configuração.

nota

Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, é possível atualizar suas configurações do gravador da AWS Config e desativar a gravação global de recursos em todas as regiões, exceto na região inicial.

Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.

Para obter uma lista dos controles que envolvem recursos globais, consulte Controles que usam recursos globais.

Console
Para atualizar políticas de configuração

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. No painel de navegação, escolha Configurações e Configuração.

  3. Escolha a guia Políticas.

  4. Selecione a política de configuração que deseja editar e escolha Editar. Se desejar, edite as configurações da política. Deixe esta seção como está se desejar manter as configurações de políticas inalteradas.

  5. Escolha Avançar. Se desejar, edite as associações de políticas. Deixe esta seção como está se desejar manter as associações de políticas inalteradas. É possível associar ou desassociar a política de até 15 alvos (contas, UOs ou a raiz) ao atualizá-la.

  6. Escolha Próximo.

  7. Revise suas alterações e escolha Salvar e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas a uma política de configuração por meio de aplicação direta ou herança de um nó pai.

API
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, invoque a API UpdateConfigurationPolicy da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob ConfigurationPolicy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações a essa política de configuração, invoque a API StartConfigurationPolicyAssociation da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, invoque a API StartConfigurationPolicyDisassociation a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  5. No campo ConfigurationPolicyIdentifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. No campo Target, forneça o ID das contas, UOs da raiz que você deseja associar ou desassociar. Essa ação substitui associações de políticas anteriores para as UOs ou contas especificadas.

nota

Quando você invoca a API UpdateConfigurationPolicy, o CSPM do Security Hub executa uma substituição completa da lista para os campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers e SecurityControlCustomParameters. Sempre que você invocar essa API, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de solicitação de API para atualizar uma política de configuração:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Para atualizar políticas de configuração

  1. Para atualizar as configurações em uma política de configuração, execute o comando update-configuration-policy a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração que deseja atualizar.

  3. Forneça valores atualizados para os campos sob configuration-policy. Opcionalmente, também é possível fornecer um motivo para a atualização.

  4. Para adicionar novas associações a essa política de configuração, execute o comando start-configuration-policy-association a partir da conta de administrador delegado do CSPM do Security Hub na região inicial. Para remover uma ou mais das associações atuais, execute o comando start-configuration-policy-disassociation a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  5. No campo configuration-policy-identifier, forneça o ARN ou o ID da política de configuração cujas associações você deseja atualizar.

  6. No campo target, forneça o ID das contas, UOs da raiz que você deseja associar ou desassociar. Essa ação substitui associações de políticas anteriores para as UOs ou contas especificadas.

nota

Quando você executa o comando update-configuration-policy, o CSPM do Security Hub executa uma substituição completa da lista para os campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers e SecurityControlCustomParameters. Sempre que você executar esse comando, forneça a lista completa dos padrões que você deseja habilitar e a lista completa dos controles para os quais você deseja habilitar ou desabilitar e personalizar os parâmetros.

Exemplo de comando para atualizar uma política de configuração:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

A API StartConfigurationPolicyAssociation retorna um campo chamado AssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Revisar o status da associação de uma política de configuração.