Noções básicas sobre a configuração central no CSPM do Security Hub

Quando você usa a configuração central, o CSPM do Security Hub orienta você no processo de configuração das práticas recomendadas de segurança para sua organização. Ele também implanta automaticamente as políticas de configuração resultantes em contas e UOs especificadas. Se você tiver configurações existentes do CSPM do Security Hub, como habilitar automaticamente novos controles de segurança, poderá usá-las como ponto de partida para suas políticas de configuração. Além disso, a página Configuração no console do CSPM do Security Hub exibe um resumo em tempo real de suas políticas de configuração e quais contas e UOs usam cada política.

É possível usar a configuração central para configurar o CSPM do Security Hub em várias contas e regiões. Isso ajuda a garantir que cada parte da sua organização mantenha uma configuração consistente e uma cobertura de segurança adequada.

Com a configuração central, é possível optar por configurar as contas e UOs da sua organização de maneiras diferentes. Por exemplo, suas contas de teste e contas de produção podem exigir configurações diferentes. Também é possível criar uma política de configuração que abranja novas contas quando elas ingressarem na organização.

O desvio de configuração ocorre quando um usuário faz uma alteração em um serviço ou recurso que entra em conflito com as seleções do administrador delegado. A configuração central evita esse desvio. Quando você designa uma conta ou UO como gerenciada centralmente, ela poderá ser configurada somente pelo administrador delegado da organização. Se você preferir que uma conta ou UO específica defina suas próprias configurações, é possível designá-la como autogerenciada.

Um recurso do CSPM do Security Hub que ajuda a conta delegada do administrador do CSPM do Security Hub de uma organização a configurar o serviço, os padrões de segurança e os controles de segurança do CSPM do Security Hub em várias contas e regiões. Para definir essas configurações, o administrador delegado cria e gerencia as políticas de configuração do CSPM do Security Hub para contas gerenciadas centralmente em sua organização. As contas autogerenciadas podem definir suas próprias configurações separadamente em cada região. Para usar a configuração central, é necessário integrar o CSPM do Security Hub e o AWS Organizations.

A Região da AWS a partir da qual o administrador delegado configura centralmente o CSPM do Security Hub, criando e gerenciando políticas de configuração. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas.

A região inicial também serve como a região de agregação do CSPM do Security Hub, recebendo descobertas, insights e outros dados das regiões vinculadas.

As regiões introduzidas pela AWS em 20 de março de 2019 ou posteriormente são conhecidas como regiões de adesão. Uma região de adesão não pode ser a região inicial, mas pode ser uma região vinculada. Para obter uma lista de regiões de adesão, consulte Considerações antes de habilitar e desabilitar regiões no Guia de referência de gerenciamento de contas da AWS.

Uma Região da AWS que é configurável a partir da região inicial. As políticas de configuração são criadas pelo administrador delegado na região inicial. As políticas entram em vigor na região inicial e em todas as regiões vinculadas. Especificar as regiões vinculadas é opcional.

Uma região vinculada também envia descobertas, insights e outros dados para a região inicial.

As regiões introduzidas pela AWS em 20 de março de 2019 ou posteriormente são conhecidas como regiões de adesão. É necessário habilitar essa região para uma conta antes que uma política de configuração possa ser aplicada a ela. A conta gerencial do Organizations pode habilitar regiões de adesão para uma conta de membro. Para obter mais informações, consulte Especificação de quais Regiões da AWS sua conta pode usar no Guia de referência do gerenciamento de contas da AWS.

Uma Conta da AWS, uma unidade organizacional (UO) ou a raiz da organização.

Um conjunto de configurações do CSPM do Security Hub que o administrador delegado pode definir para alvos gerenciados centralmente. Isso inclui:

Uma política de configuração entra em vigor na região inicial e em todas as regiões vinculadas depois de ser associada a pelo menos uma conta, unidade organizacional (UO) ou raiz.

No console do CSPM do Security Hub, o administrador delegado pode escolher a política de configuração recomendada do CSPM do Security Hub ou criar políticas de configuração personalizadas. Com a API do CSPM do Security Hub e a AWS CLI, o administrador delegado só pode criar políticas de configuração personalizadas. O administrador delegado pode criar no máximo 20 políticas de configuração personalizadas.

Na política de configuração recomendada, o CSPM do Security Hub, o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e todos os controles de FSBP novos e existentes estão habilitados. Os controles que aceitam parâmetros usam os valores padrão. A política de configuração recomendada se aplica a toda a organização.

Para aplicar configurações diferentes à organização ou aplicar políticas de configuração diferentes a contas e UOs diferentes, crie uma política de configuração personalizada.

O tipo de configuração padrão para uma organização, depois de integrar o CSPM do Security Hub e o AWS Organizations. Com a configuração local, o administrador delegado pode optar por habilitar automaticamente o CSPM do Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Se o administrador delegado habilitar automaticamente os padrões padrão, todos os controles que fazem parte desses padrões também serão habilitados automaticamente com parâmetros padrão para as novas contas da organização. Essas configurações não se aplicam às contas existentes, portanto, é possível alterar a configuração depois que uma conta ingressa na organização. A desabilitação de controles específicos que fazem parte dos padrões padrão e a configuração de padrões e controles adicionais devem ser feitas separadamente em cada conta e região.

A configuração local não oferece suporte ao uso de políticas de configuração. Para usar políticas de configuração, é necessário alternar para a configuração central.

Se você não integrar o CSPM do Security Hub ao AWS Organizations ou se tiver uma conta autônoma, deverá especificar as configurações para cada conta separadamente em cada região. O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração.

Operações do CSPM do Security Hub que somente o administrador delegado do CSPM do Security Hub pode usar na região inicial para gerenciar políticas de configuração para contas gerenciadas centralmente. As operações incluem:

Operações do CSPM do Security Hub que podem ser usadas para habilitar ou desabilitar o CSPM do Security Hub, os padrões e os controles de cada conta. Essas operações são usadas em cada região individual.

As contas autogerenciadas podem usar operações específicas da conta para definir suas próprias configurações. As contas gerenciadas centralmente não podem usar as operações a seguir, específicas da conta na região inicial e nas regiões vinculadas. Nessas regiões, apenas o administrador delegado pode configurar contas gerenciadas centralmente por meio de operações de configuração central e políticas de configuração.

Para verificar o status da conta, o proprietário de uma conta gerenciada centralmente pode usar qualquer operação Get ou Describe da API do CSPM do Security Hub.

Se você usar a configuração local ou o gerenciamento manual de contas, em vez da configuração central, essas operações específicas da conta poderão ser usadas.

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar se uma conta de membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

No AWS Organizations e no CSPM do Security Hub, um contêiner para um grupo de Contas da AWS. Uma unidade organizacional (UO) também pode conter outras UOs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com uma UO principal na parte superior e ramificações de UOs que se propagam para níveis inferiores, terminando em contas que são as folhas da árvore. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

É possível gerenciar UOs em AWS Organizations ou AWS Control Tower. Para obter mais informações, consulte Gerenciamento de unidades organizacionais no Guia do usuário do AWS Organizations ou Governo de organizações e contas com o AWS Control Tower no Guia do usuário do AWS Control Tower.

O administrador delegado pode associar políticas de configuração a contas ou UOs específicas ou à raiz para cobrir todas as contas e UOs em uma organização.

Um alvo que apenas o administrador delegado pode configurar em todas as regiões usando políticas de configuração.

A conta de administrador delegado especifica se um alvo é gerenciado centralmente. O administrador delegado também pode alterar o status de um alvo gerenciado centralmente para autogerenciado, ou vice-versa.

Um destino que gerencia suas próprias configurações do CSPM do Security Hub. Um destino autogerenciado usa operações específicas da conta para configurar o CSPM do Security Hub separadamente em cada região. Isso é diferente das contas gerenciadas centralmente, que só podem ser configuradas pelo administrador delegado em todas as regiões por meio de políticas de configuração.

A conta de administrador delegado especifica se um alvo é autogerenciado. O administrador delegado pode aplicar um comportamento autogerenciado a um alvo. Como alternativa, uma conta ou UO pode herdar o comportamento autogerenciado de um dos pais.

A conta de administrador delegado pode ela mesma ser uma conta autogerenciada. A conta de administrador delegado pode alterar o status de um alvo de autogerenciado para gerenciado centralmente, ou vice-versa.

Um link entre uma política de configuração e uma conta, unidade organizacional (UO) ou uma raiz. Quando existe uma associação de política, a conta, a UO ou a raiz usam as configurações definidas pela política de configuração. Existe uma associação em qualquer um destes casos:

Uma associação existe até que uma configuração diferente seja aplicada ou herdada.

Um tipo de associação de política de configuração na qual o administrador delegado aplica diretamente uma política de configuração às contas de destino, UOs ou à raiz. Os destinos são configurados da forma que a política de configuração define, e somente o administrador delegado pode alterar sua configuração. Se aplicada à raiz, a política de configuração afeta todas as contas e UOs na organização que não usem uma configuração diferente por meio de aplicação ou herança do pai mais próximo.

O administrador delegado também pode aplicar uma configuração autogerenciada a contas específicas, UOs ou à raiz.

Um tipo de associação de política de configuração em que uma conta ou UO adota a configuração da UO principal mais próxima ou da raiz. Se uma política de configuração não for aplicada diretamente a uma conta ou UO, ela herdará a configuração do pai mais próximo. Todos os elementos de uma política são herdados. Em outras palavras, uma conta ou UO não pode escolher herdar seletivamente somente partes de uma política. Se o pai mais próximo for autogerenciado, a conta ou UO filha herdará o comportamento autogerenciado do pai.

A herança não pode substituir uma configuração aplicada. Ou seja, se uma política de configuração ou configuração autogerenciada for aplicada diretamente a uma conta ou UO, ela usará essa configuração e não herdará a configuração do pai.

No AWS Organizations e no CSPM do Security Hub, o nó pai de nível superior de uma organização. Se o administrador delegado aplicar uma política de configuração à raiz, a política será associada a todas as contas e UOs da organização, a menos que elas usem uma política diferente, por meio de aplicação ou herança, ou sejam designadas como autogerenciadas. Se o administrador designar a raiz como autogerenciada, todas as contas e UOs na organização serão autogerenciadas, a menos que usem uma política de configuração por meio de aplicação ou herança. Se a raiz for autogerenciada e nenhuma política de configuração existir atualmente, todas as novas contas na organização manterão suas configurações atuais.

As novas contas que ingressem em uma organização ficarão sob a raiz até serem atribuídas a uma UO específica. Se uma nova conta não for atribuída a uma UO, ela herdará a configuração raiz, a menos que o administrador delegado a designe como uma conta autogerenciada.