Noções básicas sobre a configuração central no CSPM do Security Hub - AWS Security Hub
Benefícios de usar a configuração centralQuando usar a configuração central?Termos e conceitos da configuração central

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Noções básicas sobre a configuração central no CSPM do Security Hub

A configuração central é um recurso CSPM do AWS Security Hub que ajuda você a configurar e gerenciar o CSPM do Security Hub em vários e. Contas da AWS Regiões da AWS Para usar a configuração central, você deve primeiro integrar o Security Hub CSPM e. AWS OrganizationsÉ possível integrar os serviços criando uma organização e designando uma conta delegada de administrador do CSPM do Security Hub para a organização.

Na conta delegada do administrador do Security Hub CSPM, você pode habilitar o CSPM do Security Hub para as contas e unidades organizacionais () da sua organização em todas as regiões. OUs Você também pode ativar, configurar e desativar padrões de segurança e controles de segurança individuais para contas e OUs entre regiões. É possível definir essas configurações em apenas algumas etapas a partir de uma região primária, chamada de região inicial.

Quando você usa a configuração central, o administrador delegado pode escolher quais contas e OUs configurar. Se o administrador delegado designar uma conta de membro ou UO como autogerenciada, o membro poderá definir suas próprias configurações separadamente em cada região. Se o administrador delegado designar uma conta de membro ou UO como gerenciada centralmente, somente o administrador delegado poderá configurar a conta de membro ou UO em todas as regiões. Você pode designar todas as contas e OUs em sua organização como gerenciadas centralmente, todas autogerenciadas ou uma combinação de ambas.

Para configurar contas gerenciadas centralmente, o administrador delegado usa políticas de configuração do CSPM do Security Hub. As políticas de configuração permitem que o administrador delegado especifique se o CSPM do Security Hub está habilitado ou desabilitado e quais padrões e controles estão habilitados ou desabilitados. Elas também podem ser utilizados para personalizar parâmetros para determinados controles.

As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas. O administrador delegado especifica a região inicial da organização e as regiões vinculadas antes de começar a usar a configuração central. Especificar as regiões vinculadas é opcional. O administrador delegado pode criar uma única política de configuração para toda a organização ou criar várias políticas de configuração para definir configurações variáveis para contas diferentes e. OUs

dica

Se você não usar a configuração central, deverá, em grande parte, configurar o CSPM do Security Hub separadamente em cada conta e região. Isso é chamado de configuração local. Na configuração local, o administrador delegado pode habilitar automaticamente o CSPM do Security Hub e um conjunto limitado de padrões de segurança em novas contas da organização na região atual. A configuração local não se aplica às contas existentes da organização ou a regiões que não sejam a região atual. A configuração local também não oferece suporte ao uso de políticas de configuração.

Esta seção fornece uma visão geral da configuração central.

Benefícios de usar a configuração central

Os benefícios da configuração central incluem os seguintes:

Simplificar a configuração do serviço e dos recursos do CSPM do Security Hub

Quando você usa a configuração central, o CSPM do Security Hub orienta você no processo de configuração das práticas recomendadas de segurança para sua organização. Ele também implanta as políticas de configuração resultantes em contas especificadas e OUs automaticamente. Se você tiver configurações existentes do CSPM do Security Hub, como habilitar automaticamente novos controles de segurança, poderá usá-las como ponto de partida para suas políticas de configuração. Além disso, a página Configuração no console CSPM do Security Hub exibe um resumo em tempo real de suas políticas de configuração e quais contas OUs usam cada política.

Configurar entre contas e regiões

É possível usar a configuração central para configurar o CSPM do Security Hub em várias contas e regiões. Isso ajuda a garantir que cada parte da sua organização mantenha uma configuração consistente e uma cobertura de segurança adequada.

Acomode configurações diferentes em contas diferentes e OUs

Com a configuração central, você pode optar por configurar as contas da sua organização de OUs maneiras diferentes. Por exemplo, suas contas de teste e contas de produção podem exigir configurações diferentes. Também é possível criar uma política de configuração que abranja novas contas quando elas ingressarem na organização.

Evitar desvios na configuração

O desvio de configuração ocorre quando um usuário faz uma alteração em um serviço ou recurso que entra em conflito com as seleções do administrador delegado. A configuração central evita esse desvio. Quando você designa uma conta ou UO como gerenciada centralmente, ela poderá ser configurada somente pelo administrador delegado da organização. Se você preferir que uma conta ou UO específica defina suas próprias configurações, é possível designá-la como autogerenciada.

Quando usar a configuração central?

A configuração central é mais benéfica para AWS ambientes que incluem várias contas CSPM do Security Hub. Ela foi projetada para ajudar você a gerenciar de forma central o CSPM do Security Hub para várias contas.

É possível usar a configuração central para configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub. Também é possível usá-la para personalizar os parâmetros de determinados controles. Para obter mais informações sobre padrões de segurança, consulte Noções básicas dos padrões de segurança no CSPM do Security Hub. Para obter mais informações sobre controles de segurança, consulte Noções básicas sobre os controles de segurança no CSPM do Security Hub.

Termos e conceitos da configuração central

Compreender os termos e conceitos-chave a seguir pode ajudá-lo a usar a configuração central do CSPM do Security Hub.

Configuração central

Um recurso do CSPM do Security Hub que ajuda a conta delegada do administrador do CSPM do Security Hub de uma organização a configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub em várias contas e regiões. Para definir essas configurações, o administrador delegado cria e gerencia as políticas de configuração do CSPM do Security Hub para contas gerenciadas centralmente em sua organização. As contas autogerenciadas podem definir suas próprias configurações separadamente em cada região. Para usar a configuração central, você deve integrar o Security Hub CSPM e. AWS Organizations

Região inicial

A Região da AWS partir da qual o administrador delegado configura centralmente o CSPM do Security Hub, criando e gerenciando políticas de configuração. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas.

A região inicial também serve como a região de agregação do CSPM do Security Hub, recebendo descobertas, insights e outros dados das regiões vinculadas.

As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. Uma região de adesão não pode ser a região inicial, mas pode ser uma região vinculada. Para obter uma lista de regiões de adesão, consulte Considerações antes de habilitar e desabilitar regiões no Guia de referência de gerenciamento de contas da AWS .

Região vinculada

E Região da AWS isso é configurável a partir da região de origem. As políticas de configuração são criadas pelo administrador delegado na região inicial. As políticas entram em vigor na região inicial e em todas as regiões vinculadas. Especificar as regiões vinculadas é opcional.

Uma região vinculada também envia descobertas, insights e outros dados para a região inicial.

As regiões que AWS foram introduzidas em ou após 20 de março de 2019 são conhecidas como regiões opcionais. É necessário habilitar essa região para uma conta antes que uma política de configuração possa ser aplicada a ela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter mais informações, consulte Especificar qual Regiões da AWS conta pode ser usada no Guia de referência de gerenciamento de AWS contas.

Destino

Uma Conta da AWS unidade organizacional (OU) ou a raiz da organização.

Política de configuração do CSPM do Security Hub

Um conjunto de configurações do CSPM do Security Hub que o administrador delegado pode definir para alvos gerenciados centralmente. Isso inclui:

  • Se o CSPM do Security Hub deve ser habilitado ou desabilitado.

  • Se um ou mais padrões de segurança devem ser habilitados.

  • Quais controles de segurança a habilitar dentre todos os padrões habilitados. O administrador delegado pode fazer isso fornecendo uma lista de controles específicos que devem ser habilitados, e o CSPM do Security Hub desabilitará todos os outros controles (incluindo novos controles quando eles forem lançados). De forma alternativa, o administrador delegado pode fornecer uma lista de controles específicos que devem ser desabilitados, e o CSPM do Security Hub habilitará todos os outros controles (incluindo novos controles quando eles forem lançados).

  • Opcionalmente, personalize os parâmetros para selecionar controles habilitados dentre os padrões habilitados.

Uma política de configuração entra em vigor na região inicial e em todas as regiões vinculadas depois de ser associada a pelo menos uma conta, unidade organizacional (UO) ou raiz.

No console do CSPM do Security Hub, o administrador delegado pode escolher a política de configuração recomendada do CSPM do Security Hub ou criar políticas de configuração personalizadas. Com a API CSPM do Security Hub e AWS CLI, o administrador delegado só pode criar políticas de configuração personalizadas. O administrador delegado pode criar no máximo 20 políticas de configuração personalizadas.

Na política de configuração recomendada, o CSPM do Security Hub, o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e todos os controles de FSBP novos e existentes estão habilitados. Os controles que aceitam parâmetros usam os valores padrão. A política de configuração recomendada se aplica a toda a organização.

Para aplicar configurações diferentes à organização ou aplicar políticas de configuração diferentes a contas diferentes e OUs criar uma política de configuração personalizada.

Configuração local

O tipo de configuração padrão para uma organização, depois de integrar o Security Hub CSPM e. AWS Organizations Com a configuração local, o administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Se o administrador delegado habilitar automaticamente os padrões padrão, todos os controles que fazem parte desses padrões também serão habilitados automaticamente com parâmetros padrão para as novas contas da organização. Essas configurações não se aplicam às contas existentes, portanto, é possível alterar a configuração depois que uma conta ingressa na organização. A desabilitação de controles específicos que fazem parte dos padrões padrão e a configuração de padrões e controles adicionais devem ser feitas separadamente em cada conta e região.

A configuração local não oferece suporte ao uso de políticas de configuração. Para usar políticas de configuração, é necessário alternar para a configuração central.

Gerenciamento manual de contas

Se você não integrar o CSPM do Security Hub AWS Organizations ou tiver uma conta independente, deverá especificar configurações para cada conta separadamente em cada região. O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração.

Configuração central APIs

Operações do CSPM do Security Hub que somente o administrador delegado do CSPM do Security Hub pode usar na região inicial para gerenciar políticas de configuração para contas gerenciadas centralmente. As operações incluem:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

Específico da conta APIs

Operações de CSPM do Security Hub que podem ser usadas para ativar ou desativar o CSPM, os padrões e os controles do Security Hub em uma base. account-by-account Essas operações são usadas em cada região individual.

As contas autogerenciadas podem usar operações específicas da conta para definir suas próprias configurações. As contas gerenciadas centralmente não podem usar as operações a seguir, específicas da conta na região inicial e nas regiões vinculadas. Nessas regiões, apenas o administrador delegado pode configurar contas gerenciadas centralmente por meio de operações de configuração central e políticas de configuração.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Para verificar o status da conta, o proprietário de uma conta gerenciada centralmente pode usar qualquer operação Get ou Describe da API do CSPM do Security Hub.

Se você usar a configuração local ou o gerenciamento manual de contas, em vez da configuração central, essas operações específicas da conta poderão ser usadas.

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

Unidade organizacional (UO)

No AWS Organizations Security Hub CSPM, um contêiner para um grupo de. Contas da AWS Uma unidade organizacional (OU) também pode conter outras OUs, permitindo que você crie uma hierarquia que se assemelhe a uma árvore invertida, com uma UO principal na parte superior e ramificações OUs que se estendem para baixo, terminando em contas que são as folhas da árvore. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

Você pode gerenciar OUs em AWS Organizations ou AWS Control Tower. Para obter mais informações, consulte Gerenciamento de unidades organizacionais no Guia do usuário do AWS Organizations ou Governo de organizações e contas com o AWS Control Tower no Guia do usuário do AWS Control Tower .

O administrador delegado pode associar políticas de configuração a contas específicas ou à raiz para cobrir todas as contas e OUs em uma organização. OUs

Gerenciada centralmente

Um alvo que apenas o administrador delegado pode configurar em todas as regiões usando políticas de configuração.

A conta de administrador delegado especifica se um alvo é gerenciado centralmente. O administrador delegado também pode alterar o status de um alvo gerenciado centralmente para autogerenciado, ou vice-versa.

Autogerenciado

Um destino que gerencia suas próprias configurações do CSPM do Security Hub. Um destino autogerenciado usa operações específicas da conta para configurar o CSPM do Security Hub separadamente em cada região. Isso é diferente das contas gerenciadas centralmente, que só podem ser configuradas pelo administrador delegado em todas as regiões por meio de políticas de configuração.

A conta de administrador delegado especifica se um alvo é autogerenciado. O administrador delegado pode aplicar um comportamento autogerenciado a um alvo. Como alternativa, uma conta ou UO pode herdar o comportamento autogerenciado de um dos pais.

A conta de administrador delegado pode ela mesma ser uma conta autogerenciada. A conta de administrador delegado pode alterar o status de um alvo de autogerenciado para gerenciado centralmente, ou vice-versa.

Associação de políticas de configuração

Um link entre uma política de configuração e uma conta, unidade organizacional (UO) ou uma raiz. Quando existe uma associação de política, a conta, a UO ou a raiz usam as configurações definidas pela política de configuração. Existe uma associação em qualquer um destes casos:

  • Quando o administrador delegado aplica diretamente uma política de configuração a uma conta, UO ou raiz

  • Quando uma conta ou UO herda uma política de configuração de uma UO principal ou da raiz

Uma associação existe até que uma configuração diferente seja aplicada ou herdada.

Política de configuração aplicada

Um tipo de associação de política de configuração na qual o administrador delegado aplica diretamente uma política de configuração às contas de destino ou à raiz. OUs Os destinos são configurados da forma que a política de configuração define, e somente o administrador delegado pode alterar sua configuração. Se aplicada à raiz, a política de configuração afeta todas as contas e OUs na organização que não usam uma configuração diferente por meio de aplicativo ou herança do pai mais próximo.

O administrador delegado também pode aplicar uma configuração autogerenciada a contas específicas ou à raiz. OUs

Política de configuração herdada

Um tipo de associação de política de configuração em que uma conta ou UO adota a configuração da UO principal mais próxima ou da raiz. Se uma política de configuração não for aplicada diretamente a uma conta ou UO, ela herdará a configuração do pai mais próximo. Todos os elementos de uma política são herdados. Em outras palavras, uma conta ou UO não pode escolher herdar seletivamente somente partes de uma política. Se o pai mais próximo for autogerenciado, a conta ou UO filha herdará o comportamento autogerenciado do pai.

A herança não pode substituir uma configuração aplicada. Ou seja, se uma política de configuração ou configuração autogerenciada for aplicada diretamente a uma conta ou UO, ela usará essa configuração e não herdará a configuração do pai.

Raiz

No Security Hub AWS Organizations e no CSPM, o nó principal de nível superior em uma organização. Se o administrador delegado aplicar uma política de configuração ao root, a política será associada a todas as contas e OUs na organização, a menos que elas usem uma política diferente, por meio de aplicativo ou herança, ou sejam designadas como autogerenciadas. Se o administrador designar a raiz como autogerenciada, todas as contas e OUs na organização serão autogerenciadas, a menos que usem uma política de configuração por meio de aplicativo ou herança. Se a raiz for autogerenciada e nenhuma política de configuração existir atualmente, todas as novas contas na organização manterão suas configurações atuais.

As novas contas que ingressem em uma organização ficarão sob a raiz até serem atribuídas a uma UO específica. Se uma nova conta não for atribuída a uma UO, ela herdará a configuração raiz, a menos que o administrador delegado a designe como uma conta autogerenciada.