Criação e associação de políticas de configuração - AWS Security Hub

Criação e associação de políticas de configuração

A conta de administrador delegado do CSPM do AWS Security Hub pode criar políticas de configuração que especificam como o CSPM do Security Hub, os padrões e os controles são configurados nas contas e unidades organizacionais (UO) especificadas. Uma política de configuração só tem efeito depois que o administrador delegado a associa a pelo menos uma conta ou uma unidade organizacional (UOs), ou à raiz. O administrador delegado também pode associar uma configuração autogerenciada a contas, a UOs ou à raiz.

Se essa for a primeira vez que você está criando uma política de configuração, é recomendável analisar primeiro Como as políticas de configuração funcionam no CSPM do Security Hub.

Escolha seu método de acesso preferido e siga as etapas para criar e associar uma política de configuração ou uma configuração autogerenciada. Ao usar o console do CSPM do Security Hub, é possível associar uma política de configuração a várias contas ou UOs ao mesmo tempo. Ao usar a API do CSPM do Security Hub ou a AWS CLI, você só pode associar uma configuração a uma única conta ou UO em cada solicitação.

nota

Se você usar a configuração central, o CSPM do Security Hub desabilitará automaticamente os controles que envolvem recursos globais em todas as regiões, exceto na região inicial. Os outros controles que você escolher habilitar por meio de uma política de configuração serão habilitados em todas as regiões em que estiverem disponíveis. Para limitar as descobertas desses controles a apenas uma região, é possível atualizar suas configurações do gravador da AWS Config e desativar a gravação global de recursos em todas as regiões, exceto na região inicial.

Se um controle habilitado que envolva recursos globais não tiver suporte na região inicial, o CSPM do Security Hub tentará habilitar o controle em uma região vinculada onde haja suporte para o controle. Com a configuração central, não há cobertura para um controle que não esteja disponível na região inicial ou em alguma das regiões vinculadas.

Para obter uma lista dos controles que envolvem recursos globais, consulte Controles que usam recursos globais.

Security Hub CSPM console
Para criar e associar políticas de configuração

  1. Abra o console do CSPM do AWS Security Hub em https://console.aws.amazon.com/securityhub/.

    Faça login usando as credenciais da conta do administrador do CSPM do Security Hub delegado na região inicial.

  2. No painel de navegação, escolha Configuração e a guia Políticas. Em seguida, selecione Criar política.

  3. Na página Configurar organização, se for a primeira vez que você cria uma política de configuração, você verá três opções em Tipo de configuração. Se você já criou pelo menos uma política de configuração, verá somente a opção Política personalizada.

    • Escolha Usar a configuração do CSPM do Security Hub recomendada pela AWS em toda a minha organização para usar nossa política recomendada. A política recomendada habilita o CSPM do Security Hub em todas as contas da organização, habilita o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e habilita todos os controles de FSBP novos e existentes. Os controles usam valores de parâmetros padrão.

    • Escolha Ainda não estou pronto para configurar para criar uma política de configuração mais tarde.

    • Escolha Política personalizada para criar uma política de configuração personalizada. Especifique se deseja habilitar ou desabilitar o CSPM do Security Hub, quais padrões habilitar e quais controles habilitar em todos esses padrões. Opcionalmente, especifique valores de parâmetros personalizados para um ou mais controles habilitados que ofereçam suporte a parâmetros personalizados.

  4. Na seção Contas, escolha a quais contas de destino, UOs ou a raiz você deseja que sua política de configuração se aplique.

    • Escolha Todas as contas se quiser aplicar a política de configuração à raiz. Isso inclui todas as contas e UOs da organização que não tenham outra política aplicada ou herdada.

    • Escolha Contas específicas se quiser aplicar a política de configuração a contas ou UOs específicas. Insira os IDs da conta ou selecione as contas e UOs na estrutura da organização. É possível aplicar a política a até 15 alvos (contas, UOs ou a raiz) ao criá-la. Para especificar um número maior, edite a política após criá-la e aplique-a aos alvos adicionais.

    • Escolha Somente o administrador delegado para aplicar a política de configuração à conta atual do administrador delegado.

  5. Escolha Próximo.

  6. Na página Revisar e aplicar, revise os detalhes da configuração. Em seguida, escolha Criar política e aplicar. Na sua região inicial e em todas as regiões vinculadas, essa ação substituirá as configurações existentes das contas associadas a essa política de configuração. As contas podem ser associadas à política de configuração por meio de aplicação direta ou herança de um nó pai. As contas e UOs filhas dos destinos aplicados herdarão automaticamente essa política de configuração, a menos que sejam especificamente excluídas, autogerenciadas ou usem uma política de configuração diferente.

Security Hub CSPM API
Para criar e associar políticas de configuração

  1. Invoque a API CreateConfigurationPolicy a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Em Name, insira um nome exclusivo para a política de configuração. Opcionalmente, em Description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

  5. No objeto SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte Noções básicas sobre os parâmetros de controles no CSPM do Security Hub.

  7. Para aplicar sua política de configuração a contas ou UOs, invoque a API StartConfigurationPolicyAssociation da conta de administrador delegado do CSPM do Security Hub na região inicial.

  8. No campo ConfigurationPolicyIdentifier, forneça o nome do recurso da Amazon (ARN) ou o identificador único universal (UUID) da política. O ARN e o UUID são retornados pela API CreateConfigurationPolicy. Para uma configuração autogerenciada, o campo ConfigurationPolicyIdentifier é igual a SELF_MANAGED_SECURITY_HUB.

  9. No campo Target, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino em cada solicitação de API. As contas e UOs filhas do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de solicitação de API para criar uma política de configuração:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Exemplo de solicitação de API para associar uma política de configuração:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Para criar e associar políticas de configuração

  1. Execute o comando create-configuration-policy a partir da conta de administrador delegado do CSPM do Security Hub na região inicial.

  2. Em name, insira um nome exclusivo para a política de configuração. Opcionalmente, em description, forneça uma descrição para a política de configuração.

  3. No campo ServiceEnabled, especifique se você deseja que o CSPM do Security Hub seja habilitado ou desabilitado nesta política de configuração.

  4. No campo EnabledStandardIdentifiers, especifique quais padrões do CSPM do Security Hub você deseja habilitar nesta política de configuração.

  5. No campo SecurityControlsConfiguration, especifique quais controles você deseja habilitar ou desabilitar nessa política de configuração. Escolher EnabledSecurityControlIdentifiers significa que os controles especificados serão habilitados. Outros controles que façam parte de seus padrões habilitados (incluindo controles recém-lançados) serão desabilitados. Escolher DisabledSecurityControlIdentifiers significa que os controles especificados serão desabilitados. Outros controles que se apliquem aos seus padrões habilitados (incluindo controles recém-lançados) serão habilitados.

  6. Opcionalmente, no campo SecurityControlCustomParameters, especifique os controles habilitados para os quais você deseja personalizar os parâmetros. Forneça CUSTOM para o campo ValueType e o valor do parâmetro personalizado para o campo Value. O valor deve ser do tipo de dados correto e estar dentro dos intervalos válidos especificados pelo CSPM do Security Hub. Somente controles selecionados oferecem suporte a valores de parâmetros personalizados. Para obter mais informações, consulte Noções básicas sobre os parâmetros de controles no CSPM do Security Hub.

  7. Para aplicar sua política de configuração a contas ou UOs, execute o comando start-configuration-policy-association da conta de administrador delegado do CSPM do Security Hub na região inicial.

  8. No campo configuration-policy-identifier, forneça o nome do recurso da Amazon (ARN) ou o ID da política de configuração. Esse ARN e ID são retornados pelo comando create-configuration-policy.

  9. No campo target, forneça o ID da UO, da conta ou da raiz à qual você deseja que essa política de configuração se aplique. Você só pode fornecer um destino a cada vez que você executa o comando. Os filhos do destino selecionado herdarão automaticamente esta política de configuração, a menos que sejam autogerenciadas ou usem uma política de configuração diferente.

Exemplo de comando para criar uma política de configuração:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Exemplo de comando para associar uma política de configuração:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

A API StartConfigurationPolicyAssociation retorna um campo chamado AssociationStatus. Esse campo informa se uma associação de política está pendente ou em um estado de sucesso ou fracasso. Pode demorar até 24 horas para que o status mude de PENDING para SUCCESS ou FAILURE. Para obter mais informações sobre status de associações, consulte Revisar o status da associação de uma política de configuração.