Habilitar um padrão de segurança - AWS Security Hub
Habilitando um padrão em várias contas e Regiões da AWSHabilitando um padrão em uma única conta e Região da AWSVerificação do status de um padrão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar um padrão de segurança

Quando você habilita um padrão de segurança no AWS Security Hub CSPM, o Security Hub CSPM cria e ativa automaticamente todos os controles que se aplicam ao padrão. O CSPM do Security Hub também começa a executar verificações de segurança e a gerar descobertas para os controles.

Para otimizar a cobertura e a precisão das descobertas, ative e configure o registro de recursos AWS Config antes de ativar um padrão. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de recursos verificados pelos controles que se aplicam ao padrão. Caso contrário, o CSPM do Security Hub pode não ser capaz de avaliar os recursos adequados e gerar descobertas precisas para os controles que se apliquem ao padrão. Para obter mais informações, consulte Habilitando e configurando o AWS Config Security Hub CSPM.

Depois de habilitar um padrão, é possível desabilitar ou reabilitar posteriormente controles individuais que se aplicam ao padrão. Se você desabilitar um controle em um padrão, o CSPM do Security Hub parará de gerar descobertas para o controle. Além disso, o CSPM do Security Hub ignorará o controle ao calcular a pontuação de segurança do padrão. A pontuação de segurança é o percentual de controles aprovados na avaliação em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação.

Quando você habilita um padrão, o CSPM do Security Hub gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página Resumo ou à página Padrões de Segurança no console do CSPM do Security Hub. As pontuações de segurança são geradas somente para padrões que estejam habilitados quando você visita essas páginas no console. Além disso, o registro de recursos deve ser configurado AWS Config para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação de segurança preliminar para um padrão. Depois que o CSPM do Security Hub gera uma pontuação preliminar, ele atualiza a pontuação a cada 24 horas. Para determinar quando uma pontuação de segurança foi atualizada pela última vez, é possível consultar um timestamp que o CSPM do Security Hub fornece para a pontuação. Para obter mais informações, consulte Calcular pontuações de segurança.

A forma como você habilita um padrão depende de se você usa a configuração central para gerenciar o CSPM do Security Hub para várias contas e Regiões da AWS. Recomendamos que você use a configuração central se quiser habilitar padrões em ambientes com várias contas e várias regiões. Você pode usar a configuração central se integrar o Security Hub CSPM com o. AWS Organizations Se você não usar a configuração central, deverá habilitar cada padrão separadamente em cada conta e cada região.

Habilitando um padrão em várias contas e Regiões da AWS

Para ativar e configurar um padrão de segurança em várias contas Regiões da AWS, use a configuração central. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que habilitem um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região inicial, também chamada de região de agregação, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, você pode optar por habilitar somente o padrão AWS Foundational Security Best Practices (FSBP) para uma OU. Para outra UO, você pode optar por ativar o padrão FSBP e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Para obter informações sobre como criar uma política de configuração que habilite certos padrões especificados, consulte Criação e associação de políticas de configuração.

Se você usa a configuração central, o CSPM do Security Hub não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, o administrador do CSPM do Security Hub especifica quais padrões devem ser habilitados em contas diferentes ao criar políticas de configuração do CSPM do Security Hub para sua organização. O CSPM do Security Hub oferece uma política de configuração recomendada na qual somente o padrão FSBP está habilitado. Para obter mais informações, consulte Tipos de políticas de configuração.

nota

O administrador do CSPM do Security Hub pode usar políticas de configuração para habilitar qualquer padrão, exceto o padrão gerenciado por serviço AWS Control Tower. Para habilitar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para ativar ou desativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas habilitem e configurem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como contas autogerenciadas. As contas autogerenciadas devem habilitar e configurar padrões separadamente em cada região.

Habilitando um padrão em uma única conta e Região da AWS

Se você não usar a configuração central ou se você tiver uma conta autogerenciada, não será possível usar políticas de configuração para habilitar padrões de forma centralizada em várias contas ou Regiões da AWS. Contudo, será possível habilitar um padrão em uma única conta e região. Também é possível fazer isso usando o console do CSPM do Security Hub ou a API do CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para habilitar um padrão em uma conta e região usando o console do CSPM do Security Hub.

Para habilitar um padrão em uma conta e região

  1. Abra o console CSPM do AWS Security Hub em. https://console.aws.amazon.com/securityhub/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar o padrão.

  3. No painel de navegação, escolha Padrões de segurança. A página Padrões de segurança lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se você já habilitou um padrão, a seção do padrão incluirá a pontuação de segurança atual e detalhes adicionais do padrão.

  4. Na seção do padrão que deseja habilitar, escolha Habilitar padrão.

Para habilitar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

Security Hub CSPM API

Para habilitar um padrão programaticamente em uma única conta e região, use a operação BatchEnableStandards. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o batch-enable-standardscomando.

Em sua solicitação, use o parâmetro StandardsArn para especificar o nome do recurso da Amazon (ARN) do padrão que você deseja habilitar. Especifique também a região à qual a sua solicitação se aplica. Por exemplo, o comando a seguir ativa o padrão AWS Foundational Security Best Practices (FSBP):

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

Onde arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 está o ARN do padrão FSBP na região Leste dos EUA (Norte da Virgínia) e us-east-1 a região na qual ativá-lo.

Para obter o ARN de um padrão, use a DescribeStandardsoperação ou, se estiver usando o AWS CLI, execute o describe-standardscomando.

Para ver uma lista inicial dos padrões atualmente habilitados na sua conta, use a operação GetEnabledStandards. Se você estiver usando o AWS CLI, você pode executar o get-enabled-standardscomando para recuperar essa lista.

Depois de habilitar um padrão, o CSPM do Security Hub começará a executar tarefas para habilitar o padrão na conta e na região especificada. Isso inclui a criação de todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, é possível verificar o status do padrão para a conta e a região.

Verificação do status de um padrão

Quando você habilita um padrão de segurança para uma conta, o CSPM do Security Hub começa a criar os controles que se aplicam ao padrão na conta. O CSPM do Security Hub também executa tarefas adicionais para habilitar o padrão para a conta, como a geração de uma pontuação de segurança preliminar para o padrão. Enquanto o CSPM do Security Hub executa essas tarefas, o status do padrão é Pending para a conta. Em seguida, o status do padrão passa por estados adicionais, que podem ser monitorados e verificados.

nota

Alterações nos controles individuais de um padrão não afetam o status geral do padrão. Por exemplo, se você habilitar um controle que tenha desativado anteriormente, sua alteração não afetará o status do padrão. Da mesma forma, se você alterar um valor de parâmetro para um controle ativado, sua alteração não afetará o status do padrão.

Para verificar o status de um padrão usando o console do CSPM do Security Hub, escolha Padrões de segurança no painel de navegação. A página Padrões de segurança lista todos os padrões atualmente com suporte no CSPM do Security Hub. Se o CSPM do Security Hub estiver atualmente executando tarefas para habilitar o padrão, a seção do padrão indicará que o CSPM do Security Hub ainda está gerando uma pontuação de segurança para o padrão. Se um padrão estiver habilitado, a seção do padrão incluirá a pontuação atual. Escolha Exibir resultados para analisar detalhes adicionais, incluindo o status dos controles individuais que se aplicam ao padrão. Para obter mais informações, consulte Programar a execução de verificações de segurança.

Para verificar o status de um padrão programaticamente com a API do CSPM do Security Hub, use a operação GetEnabledStandards. Em sua solicitação, use, opcionalmente, o parâmetro StandardsSubscriptionArns para especificar o nome do recurso da Amazon (ARN) do padrão cujo status você deseja verificar. Se você estiver usando o AWS Command Line Interface (AWS CLI), poderá executar o get-enabled-standardscomando para verificar o status de um padrão. Para especificar o ARN do padrão a ser verificado, use o parâmetro standards-subscription-arns. Para determinar qual ARN especificar, você pode usar a DescribeStandardsoperação ou, para o AWS CLI, executar o describe-standardscomando.

Se a sua solicitação obtiver êxito, o CSPM do Security Hub responderá com uma matriz de objetos StandardsSubscription. Uma assinatura padrão é um AWS recurso que o Security Hub CSPM cria em uma conta quando um padrão é habilitado para a conta. Cada objeto StandardsSubscription fornece detalhes sobre um padrão que está atualmente habilitado ou está sendo habilitado ou desabilitado para a conta. Dentro de cada objeto, o campo StandardsStatus especifica o status atual do padrão para a conta.

O status de um padrão (StandardsStatus) pode ser um dos mostrados a seguir.

PENDING

O CSPM do Security Hub está atualmente executando tarefas para habilitar o padrão para a conta. Isso inclui criar os controles que se apliquem ao padrão e gerar uma pontuação de segurança preliminar para o padrão. Pode levar alguns minutos para que o CSPM do Security Hub conclua todas as tarefas. Um padrão também pode ter esse status se já estiver habilitado para a conta e o CSPM do Security Hub estiver adicionando novos controles ao padrão.

Se um padrão tiver esse status, talvez você não seja capaz de recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, talvez você não consiga configurar ou desabilitar controles individuais para o padrão. Por exemplo, se você tentar desabilitar um controle usando a operação UpdateStandardsControl, ocorrerá um erro.

Para determinar se é possível configurar ou gerenciar controles individuais para o padrão, consulte o valor do campo StandardsControlsUpdatable. Se o valor desse campo for READY_FOR_UPDATES, será possível começar a gerenciar controles individuais para o padrão. Caso contrário, espere até que o CSPM do Security Hub conclua as tarefas adicionais de processamento para habilitar o padrão.

READY

Atualmente, o padrão está habilitado para a conta. O CSPM do Security Hub pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. O CSPM do Security Hub também pode calcular uma pontuação de segurança para o padrão.

Se um padrão tiver esse status, será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, é possível configurar, desabilitar ou reabilitar os controles. Também é possível desabilitar o padrão.

INCOMPLETE

O CSPM do Security Hub não conseguiu habilitar completamente o padrão para a conta. O CSPM do Security Hub não pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e que estão atualmente habilitados. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi habilitado completamente, consulte as informações na matriz StandardsStatusReason. Essa matriz especifica problemas que impediram que o CSPM do Security Hub habilitasse o padrão. Se ocorrer um erro interno, tente habilitar o padrão para a conta novamente. Para outros tipos de problemas, verifique suas AWS Config configurações. Também é possível desabilitar controles individuais que não deseja verificar ou desabilitar completamente o padrão.

DELETING

No momento, o CSPM do Security Hub está processando uma solicitação para desabilitar o padrão da conta. Isso inclui desabilitar os controles que se aplicam ao padrão e remover a pontuação de segurança associada. Pode levar alguns minutos para que o CSPM do Security Hub conclua o processamento da solicitação.

Se um padrão tiver esse status, você não poderá reabilitá-lo nem tentar desabilitá-lo novamente para a conta. O CSPM do Security Hub deve primeiro concluir o processamento da solicitação atual. Além disso, você não pode recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles.

FAILED

O CSPM do Security Hub não conseguiu desabilitar o padrão para a conta. Um ou mais erros ocorreram quando o CSPM do Security Hub tentou desabilitar o padrão. Além disso, o CSPM do Security Hub não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi desabilitado completamente, consulte as informações na matriz StandardsStatusReason. Essa matriz especifica problemas que impediram que o CSPM do Security Hub desabilitasse o padrão.

Se um padrão tiver esse status, não será possível recuperar os detalhes dos controles individuais que se aplicam ao padrão ou gerenciar os controles. No entanto, é possível reabilitar o padrão para a conta. Se você resolver os problemas que impediram o CSPM do Security Hub de desabilitar o padrão, você também poderá tentar desabilitar o padrão novamente.

Se o status de um padrão for READY, o CSPM do Security Hub executará verificações de segurança e gerará descobertas para todos os controles que se apliquem ao padrão e que estiverem habilitados no momento. Para outros status, o CSPM do Security Hub poderá executar verificações e gerar descobertas para alguns controles habilitados, mas não para todos. A geração ou atualização das descobertas de controle pode levar até 24 horas para gerar ou atualizar descobertas de controle. Para obter mais informações, consulte Programar a execução de verificações de segurança.