As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Sugestões de controles a serem desabilitados no CSPM do Security Hub
Recomendamos desabilitar alguns controles do CSPM do AWS Security Hub para reduzir o ruído de descobertas e os custos de utilização.
Controles que usam recursos globais
Alguns Serviços da AWS oferecem suporte a recursos globais, o que significa que é possível usar o recurso a partir de qualquer Região da AWS. Para economizar no custo do AWS Config, é possível desabilitar a gravação de recursos globais em todas as regiões, exceto uma. Depois de fazer isso, contudo, o CSPM do Security Hub ainda executará verificações de segurança em todas as regiões em que os controles estejam habilitados e fará a cobrança com base no número de verificações por conta por região. Assim, para reduzir o ruído nas descobertas e economizar no custo do CSPM do Security Hub, é necessário desabilitar também os controles que envolvam recursos globais em todas as regiões, exceto na região que os registra.
Se um controle envolve recursos globais, mas está disponível somente em uma região, desabilitá-lo nessa região impede que você obtenha descobertas para o recurso subjacente. Nesse caso, recomendamos que você mantenha o controle habilitado. Ao usar a agregação entre regiões, a região na qual o controle está disponível deve ser a região de agregação ou uma das regiões vinculadas. Os controles a seguir envolvem recursos globais, mas estão disponíveis somente em uma única região:
Todos os controles do CloudFront: disponíveis apenas na região Leste dos EUA (Norte da Virgínia)
GlobalAccelerator.1: disponível apenas na região Oeste dos EUA (Oregon)
Route53.2: disponível apenas na região Leste dos EUA (Norte da Virgínia)
WAF.1, WAF.6, WAF.7, and WAF.8: disponíveis apenas na região Leste dos EUA (Norte da Virgínia)
nota
Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, é possível atualizar suas configurações do gravador da AWS Config e desativar a gravação global de recursos em todas as regiões, exceto na região inicial.
Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.
Para obter mais informações sobre a configuração central, consulte Noções básicas sobre a configuração central no CSPM do Security Hub.
Para controles que possuem um tipo de programação periódico, é necessário desabilitá-los no CSPM do Security Hub para evitar o faturamento. A definição do parâmetro AWS Config includeGlobalResourceTypes como false não afeta os controles periódicos do CSPM do Security Hub.
Os controles do CSPM do Security Hub a seguir usam recursos globais:
-
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
-
[A conta.2] Contas da AWS deve fazer parte de uma organização AWS Organizations
-
[CloudFront.1] CloudFront as distribuições devem ter um objeto raiz padrão configurado
-
[CloudFront.3] CloudFront as distribuições devem exigir criptografia em trânsito
-
[CloudFront.4] CloudFront as distribuições devem ter o failover de origem configurado
-
[CloudFront.5] CloudFront as distribuições devem ter o registro ativado
-
[CloudFront.6] as CloudFront distribuições devem ter o WAF ativado
-
[CloudFront.7] CloudFront as distribuições devem usar certificados personalizados SSL/TLS
-
[CloudFront.8] CloudFront as distribuições devem usar o SNI para atender às solicitações HTTPS
-
[CloudFront.9] CloudFront as distribuições devem criptografar o tráfego para origens personalizadas
-
[CloudFront.12] CloudFront as distribuições não devem apontar para origens inexistentes do S3
-
[CloudFront.13] CloudFront as distribuições devem usar o controle de acesso de origem
-
[CloudFront.15] CloudFront as distribuições devem usar a política de segurança TLS recomendada
-
[GlobalAccelerator.1] Os aceleradores do Global Accelerator devem ser marcados
-
[IAM.1] As políticas do IAM não devem permitir privilégios administrativos completos "*"
-
[IAM.2] Os usuários do IAM não devem ter políticas do IAM anexadas
-
[IAM.3] As chaves de acesso dos usuários do IAM devem ser mudadas a cada 90 dias ou menos
-
[IAM.4] A chave de acesso do usuário raiz do IAM não deve existir
-
[IAM.5] A MFA deve estar habilitada para todos os usuários do IAM com uma senha do console
-
[IAM.6] A MFA de hardware deve estar habilitada para o usuário raiz
-
[IAM.7] As políticas de senha para usuários do IAM devem ter configurações fortes
-
[IAM.8] As credenciais de usuário do IAM não utilizadas devem ser removidas
-
[IAM.10] As políticas de senha para usuários do IAM devem ter configurações fortes
-
1.5 Certifique-se de que política de senha do IAM exija pelo menos uma letra maiúscula
-
1.6 Certifique-se de que política de senha do IAM exija pelo menos uma letra minúscula
-
1.7 Certifique-se de que política de senha do IAM exija pelo menos um símbolo
-
Certifique-se de que política de senha do IAM exija pelo menos um número
-
1.9 Certifique-se de que a política de senha do IAM exija um comprimento mínimo de 14 ou mais
-
1.10 Certifique-se de que a política de senha do IAM impeça a reutilização de senhas
-
1.11 Certifique-se de que a política de senha do IAM expire senhas em até 90 dias ou menos
-
[IAM.19] A MFA deve estar habilitada para todos os usuários do IAM
-
[IAM.22] As credenciais de usuário do IAM não utilizadas por 45 dias devem ser removidas
-
[IAM.26] SSL/TLS Certificados expirados gerenciados no IAM devem ser removidos
-
[IAM.27] As identidades do IAM não devem ter a política anexada AWSCloud ShellFullAccess
-
[Route53.2] As zonas hospedadas públicas do Route 53 devem registrar consultas de DNS
-
[WAF.1] O registro AWS WAF clássico do Global Web ACL deve estar ativado
-
[WAF.6] As regras globais AWS WAF clássicas devem ter pelo menos uma condição
-
[WAF.7] Os grupos de regras globais AWS WAF clássicos devem ter pelo menos uma regra
-
[WAF.8] A web global AWS WAF clássica ACLs deve ter pelo menos uma regra ou grupo de regras
Controles de registro em log do CloudTrail
O controle do CloudTrail.2 avalia o uso do AWS Key Management Service (AWS KMS) para criptografar logs de trilhas do AWS CloudTrail. Se você registrar em log essas trilhas em uma conta de registro centralizada, só precisará executar esse controle somente na conta e na Região da AWS em que o registro em log centralizado ocorre.
Se você usar a configuração central, o status de habilitação de um controle será alinhado entre a região inicial e as regiões vinculadas. Você não pode desabilitar um controle em algumas regiões e habilitá-lo em outras. Nesse caso, é possível suprimir as descobertas do controle CloudTrail.2 para reduzir o ruído de descoberta.
Controles de alarmes do CloudWatch
Se você preferir usar o Amazon GuardDuty para detecção de anomalias em vez de alarmes do Amazon CloudWatch, é possível desabilitar os controles a seguir, que se concentram em alarmes do CloudWatch.
