Habilitar um padrão de segurança - AWS Security Hub
Habilitando um padrão em várias contas e Regiões da AWSHabilitando um padrão em uma única conta e Região da AWSVerificando o status de um padrão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitar um padrão de segurança

Quando você habilita um padrão de segurança no AWS Security Hub Cloud Security Posture Management (CSPM), o Security Hub CSPM cria e ativa automaticamente todos os controles que se aplicam ao padrão. O Security Hub CSPM também começa a executar verificações de segurança e a gerar descobertas para os controles.

Para otimizar a cobertura e a precisão das descobertas, ative e configure o registro de recursos AWS Config antes de ativar um padrão. Ao configurar o registro de recursos, certifique-se também de habilitá-lo para todos os tipos de recursos que são verificados pelos controles que se aplicam ao padrão. Caso contrário, o Security Hub CSPM talvez não consiga avaliar os recursos apropriados e gerar descobertas precisas para os controles que se aplicam ao padrão. Para obter mais informações, consulte Habilitando e configurando o AWS Config Security Hub CSPM.

Depois de ativar um padrão, você pode desativar ou reativar posteriormente os controles individuais que se aplicam ao padrão. Se você desabilitar um controle para um padrão, o Security Hub CSPM interrompe a geração de descobertas para o controle. Além disso, o Security Hub CSPM ignora o controle ao calcular a pontuação de segurança do padrão. A pontuação de segurança é a porcentagem de controles aprovados na avaliação, em relação ao número total de controles que se aplicam ao padrão, estão habilitados e têm dados de avaliação.

Quando você habilita um padrão, o Security Hub CSPM gera uma pontuação de segurança preliminar para o padrão, normalmente dentro de 30 minutos após sua primeira visita à página Resumo ou Padrões de Segurança no console CSPM do Security Hub. As pontuações de segurança são geradas somente para padrões que são ativados quando você visita essas páginas no console. Além disso, o registro de recursos deve ser configurado AWS Config para que as pontuações apareçam. Nas regiões da China AWS GovCloud (US) Regions, pode levar até 24 horas para que o Security Hub CSPM gere uma pontuação de segurança preliminar para um padrão. Depois que o Security Hub CSPM gera uma pontuação preliminar, ele atualiza a pontuação a cada 24 horas. Para determinar quando uma pontuação de segurança foi atualizada pela última vez, você pode consultar um carimbo de data/hora que o Security Hub CSPM fornece para a pontuação. Para obter mais informações, consulte Calcular pontuações de segurança.

A forma como você habilita um padrão depende se você usa a configuração central para gerenciar o CSPM do Security Hub para várias contas e. Regiões da AWS Recomendamos que você use a configuração central se quiser habilitar padrões em ambientes com várias contas e várias regiões. Você pode usar a configuração central se integrar o Security Hub CSPM com o. AWS Organizations Se você não usa a configuração central, deve habilitar cada padrão separadamente em cada conta e cada região.

Habilitando um padrão em várias contas e Regiões da AWS

Para habilitar e configurar um padrão de segurança em várias contas Regiões da AWS, use a configuração central. Com a configuração central, o administrador delegado do CSPM do Security Hub pode criar políticas de configuração do CSPM do Security Hub que habilitam um ou mais padrões. O administrador pode então associar uma política de configuração a contas individuais, unidades organizacionais (OUs) ou à raiz. Uma política de configuração afeta a região de origem, também chamada de região de agregação, e todas as regiões vinculadas.

As políticas de configuração oferecem opções de personalização. Por exemplo, você pode optar por habilitar somente o padrão AWS Foundational Security Best Practices (FSBP) para uma OU. Para outra UO, você pode optar por ativar o padrão FSBP e o padrão Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0. Para obter informações sobre a criação de uma política de configuração que habilite padrões específicos que você especifica, consulteCriação e associação de políticas de configuração.

Se você usa a configuração central, o Security Hub CSPM não habilita automaticamente nenhum padrão em contas novas ou existentes. Em vez disso, o administrador do CSPM do Security Hub especifica quais padrões devem ser habilitados em contas diferentes ao criar políticas de configuração do CSPM do Security Hub para sua organização. O Security Hub CSPM oferece uma política de configuração recomendada na qual somente o padrão FSBP está habilitado. Para obter mais informações, consulte Tipos de políticas de configuração.

nota

O administrador do CSPM do Security Hub pode usar políticas de configuração para habilitar qualquer padrão, exceto o padrão gerenciado pelo AWS Control Tower serviço. Para habilitar esse padrão, o administrador deve usar AWS Control Tower diretamente. Eles também devem ser usados AWS Control Tower para ativar ou desativar controles individuais nesse padrão para uma conta gerenciada centralmente.

Se você quiser que algumas contas habilitem e configurem padrões para suas próprias contas, o administrador do CSPM do Security Hub pode designar essas contas como contas autogerenciadas. As contas autogerenciadas devem habilitar e configurar padrões separadamente em cada região.

Habilitando um padrão em uma única conta e Região da AWS

Se você não usa a configuração central ou tem uma conta autogerenciada, não pode usar políticas de configuração para habilitar centralmente os padrões de segurança em várias contas ou. Regiões da AWS No entanto, você pode ativar um padrão em uma única conta e região. Você pode fazer isso usando o console CSPM do Security Hub ou a API CSPM do Security Hub.

Security Hub CSPM console

Siga estas etapas para habilitar um padrão em uma conta e região usando o console CSPM do Security Hub.

Para habilitar um padrão em uma conta e região

  1. Abra o console do AWS Security Hub Cloud Security Posture Management (CSPM) em. https://console.aws.amazon.com/securityhub/

  2. Usando o Região da AWS seletor no canto superior direito da página, escolha a região na qual você deseja ativar o padrão.

  3. No painel de navegação, escolha Padrões de segurança. A página de padrões de segurança lista todos os padrões que o Security Hub CSPM suporta atualmente. Se você já habilitou um padrão, a seção do padrão inclui a pontuação de segurança atual e detalhes adicionais do padrão.

  4. Na seção do padrão que você deseja ativar, escolha Ativar padrão.

Para ativar o padrão em regiões adicionais, repita as etapas anteriores em cada região adicional.

Security Hub CSPM API

Para habilitar um padrão programaticamente em uma única conta e região, use a BatchEnableStandardsoperação. Ou, se você estiver usando o AWS Command Line Interface (AWS CLI), execute o batch-enable-standardscomando.

Em sua solicitação, use o StandardsArn parâmetro para especificar o Amazon Resource Name (ARN) do padrão que você deseja habilitar. Especifique também a região à qual sua solicitação se aplica. Por exemplo, o comando a seguir ativa o padrão AWS Foundational Security Best Practices (FSBP):

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

Onde arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 está o ARN do padrão FSBP na região Leste dos EUA (Norte da Virgínia) e us-east-1 a região na qual habilitá-lo.

Para obter o ARN de um padrão, use a DescribeStandardsoperação ou, se estiver usando o AWS CLI, execute o describe-standardscomando.

Para primeiro revisar uma lista de padrões atualmente habilitados em sua conta, você pode usar a GetEnabledStandardsoperação. Se você estiver usando o AWS CLI, você pode executar o get-enabled-standardscomando para recuperar essa lista.

Depois de habilitar um padrão, o Security Hub CSPM começa a executar tarefas para habilitar o padrão na conta e na região especificada. Isso inclui a criação de todos os controles que se aplicam ao padrão. Para monitorar o status dessas tarefas, você pode verificar o status do padrão para a conta e a região.

Verificando o status de um padrão

Quando você habilita um padrão de segurança para uma conta, o Security Hub CSPM começa a criar todos os controles que se aplicam ao padrão na conta. O Security Hub CSPM também executa tarefas adicionais para habilitar o padrão para a conta, como gerar uma pontuação de segurança preliminar para o padrão. Enquanto o Security Hub CSPM executa essas tarefas, o status do padrão é Pendingpara a conta. O status do padrão então passa por estados adicionais, que você pode monitorar e verificar.

nota

Alterações nos controles individuais de um padrão não afetam o status geral do padrão. Por exemplo, se você ativar um controle que você desativou anteriormente, sua alteração não afetará o status do padrão. Da mesma forma, se você alterar um valor de parâmetro para um controle ativado, sua alteração não afetará o status do padrão.

Para verificar o status de um padrão usando o console CSPM do Security Hub, escolha Padrões de segurança no painel de navegação. A página de padrões de segurança lista todos os padrões que o Security Hub CSPM suporta atualmente. Se o CSPM do Security Hub estiver atualmente executando tarefas para habilitar o padrão, a seção do padrão indica que o CSPM do Security Hub ainda está gerando uma pontuação de segurança para o padrão. Se um padrão estiver ativado, a seção do padrão incluirá a pontuação atual. Escolha Exibir resultados para revisar detalhes adicionais, incluindo o status dos controles individuais que se aplicam ao padrão. Para obter mais informações, consulte Programar a execução de verificações de segurança.

Para verificar o status de um padrão programaticamente com a API CSPM do Security Hub, use a operação. GetEnabledStandards Em sua solicitação, opcionalmente, use o StandardsSubscriptionArns parâmetro para especificar o Amazon Resource Name (ARN) do padrão cujo status você deseja verificar. Se você estiver usando o AWS Command Line Interface (AWS CLI), poderá executar o get-enabled-standardscomando para verificar o status de um padrão. Para especificar o ARN do padrão a ser verificado, use o standards-subscription-arns parâmetro. Para determinar qual ARN especificar, você pode usar a DescribeStandardsoperação ou, para o AWS CLI, executar o describe-standardscomando.

Se sua solicitação for bem-sucedida, o Security Hub CSPM responderá com uma matriz de objetos. StandardsSubscription Uma assinatura padrão é um AWS recurso que o Security Hub CSPM cria em uma conta quando um padrão é habilitado para a conta. Cada StandardsSubscription objeto fornece detalhes sobre um padrão que está atualmente ativado ou está sendo ativado ou desativado para a conta. Dentro de cada objeto, o StandardsStatus campo especifica o status atual do padrão para a conta.

O status de um padrão (StandardsStatus) pode ser um dos seguintes.

PENDING

O Security Hub CSPM está atualmente executando tarefas para habilitar o padrão para a conta. Isso inclui criar os controles que se aplicam ao padrão e gerar uma pontuação de segurança preliminar para o padrão. Pode levar vários minutos para que o Security Hub CSPM conclua todas as tarefas. Um padrão também pode ter esse status se já estiver habilitado para a conta e se o Security Hub CSPM estiver adicionando novos controles ao padrão.

Se um padrão tiver esse status, talvez você não consiga recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, talvez você não consiga configurar ou desativar controles individuais para o padrão. Por exemplo, se você tentar desativar um controle usando a UpdateStandardsControloperação, ocorrerá um erro.

Para determinar se você pode configurar ou gerenciar controles individuais para o padrão, consulte o valor do StandardsControlsUpdatable campo. Se o valor desse campo forREADY_FOR_UPDATES, você poderá começar a gerenciar controles individuais para o padrão. Caso contrário, espere até que o Security Hub CSPM conclua as tarefas adicionais de processamento para habilitar o padrão.

READY

Atualmente, o padrão está habilitado para a conta. O Security Hub CSPM pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e estão atualmente habilitados. O Security Hub CSPM também pode calcular uma pontuação de segurança para o padrão.

Se um padrão tiver esse status, você poderá recuperar os detalhes dos controles individuais que se aplicam ao padrão. Além disso, você pode configurar, desativar ou reativar os controles. Você também pode desativar o padrão.

INCOMPLETE

O Security Hub CSPM não conseguiu habilitar completamente o padrão para a conta. O Security Hub CSPM não pode executar verificações de segurança e gerar descobertas para todos os controles que se aplicam ao padrão e estão atualmente habilitados. Além disso, o Security Hub CSPM não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi habilitado completamente, consulte as informações na StandardsStatusReason matriz. Essa matriz especifica problemas que impediram que o Security Hub CSPM habilitasse o padrão. Se ocorrer um erro interno, tente ativar o padrão para a conta novamente. Para outros tipos de problemas, verifique suas AWS Config configurações. Você também pode desativar controles individuais que não deseja verificar ou desativar completamente o padrão.

DELETING

O Security Hub CSPM está atualmente processando uma solicitação para desativar o padrão da conta. Isso inclui desativar os controles que se aplicam ao padrão e remover a pontuação de segurança associada. Pode levar vários minutos para que o CSPM do Security Hub conclua o processamento da solicitação.

Se um padrão tiver esse status, você não poderá reativá-lo nem tentar desativá-lo novamente para a conta. O CSPM do Security Hub deve primeiro concluir o processamento da solicitação atual. Além disso, você não pode recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles.

FAILED

O CSPM do Security Hub não conseguiu desativar o padrão da conta. Um ou mais erros ocorreram quando o Security Hub CSPM tentou desabilitar o padrão. Além disso, o Security Hub CSPM não pode calcular uma pontuação de segurança para o padrão.

Para determinar por que o padrão não foi completamente desativado, consulte as informações na StandardsStatusReason matriz. Essa matriz especifica problemas que impediram que o Security Hub CSPM desativasse o padrão.

Se um padrão tiver esse status, você não poderá recuperar os detalhes dos controles individuais que se aplicam ao padrão nem gerenciar os controles. No entanto, você pode reativar o padrão para a conta. Se você resolver os problemas que impediram o Security Hub CSPM de desabilitar o padrão, você também pode tentar desabilitar o padrão novamente.

Se o status de um padrão forREADY, o Security Hub CSPM executará verificações de segurança e gerará descobertas para todos os controles que se aplicam ao padrão e estão atualmente habilitados. Para outros status, o Security Hub CSPM pode executar verificações e gerar descobertas para alguns controles habilitados, mas não para todos. Pode levar até 24 horas para gerar ou atualizar as descobertas de controle. Para obter mais informações, consulte Programar a execução de verificações de segurança.