As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Habilitando e configurando o AWS Config Security Hub CSPM
AWS O Security Hub Cloud Security Posture Management (CSPM) usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra. Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são regras AWS Config personalizadas que o Security Hub CSPM desenvolve.
AWS Config as regras que o Security Hub CSPM usa para controles são chamadas de regras vinculadas a serviços. As regras vinculadas ao serviço permitem Serviços da AWS , como o CSPM do Security Hub, criar AWS Config regras em sua conta.
Para receber descobertas de controle no Security Hub CSPM, você deve habilitar AWS Config em sua conta e ativar a gravação dos recursos que seus controles habilitados avaliam. Esta página explica como habilitar o AWS Config CSPM do Security Hub e ativar a gravação de recursos.
Considerações antes de ativar e configurar AWS Config
Para receber descobertas de controle no CSPM do Security Hub, sua conta deve estar AWS Config habilitada em cada Região da AWS uma em que o CSPM do Security Hub esteja habilitado. Se você usa o Security Hub CSPM para um ambiente de várias contas, AWS Config deve estar habilitado em cada região para a conta de administrador e todas as contas de membros.
É altamente recomendável que você ative a gravação de recursos AWS Config antes de habilitar quaisquer padrões e controles CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.
Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que não haja uma política de IAM ou uma política gerenciada AWS Organizations que impeça a permissão AWS Config de registrar seus recursos. As verificações de controle CSPM do Security Hub avaliam a configuração de um recurso diretamente e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre AWS Config gravação, consulte Como trabalhar com o gravador de configuração no Guia do AWS Config desenvolvedor.
Se você habilitar um padrão no CSPM do Security Hub, mas não tiver ativado AWS Config, o CSPM do Security Hub tentará criar AWS Config regras de acordo com o seguinte cronograma:
-
No dia em que você habilita o padrão.
-
No dia seguinte à ativação do padrão.
-
3 dias depois de ativar o padrão.
-
7 dias depois de ativar o padrão e continuamente a cada 7 dias a partir de então.
Se você usa a configuração central, o Security Hub CSPM também tenta criar AWS Config regras vinculadas a serviços sempre que você associa uma política de configuração que habilita um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.
Recursos de gravação em AWS Config
Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o Security Hub CSPM detecte alterações nas configurações de seus recursos.
Para que o Security Hub CSPM gere descobertas de controle precisas, você deve ativar a gravação dos recursos que correspondem aos seus controles ativados. AWS Config São principalmente controles habilitados com um tipo de agendamento acionado por alterações que exigem registro de recursos. Alguns controles com um tipo de agendamento periódico também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulteAWS Config Recursos necessários para descobertas de controle.
Atenção
Se você não configurar a AWS Config gravação corretamente para os controles CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:
-
Você nunca registrou o recurso para um determinado controle ou desativou a gravação de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma
WARNINGdescoberta para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desativar a gravação. EssaWARNINGdescoberta é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso. -
Você desativa a gravação de um recurso que é avaliado por um controle específico. Nesse caso, o Security Hub CSPM retém as descobertas de controle que foram geradas antes de você desabilitar a gravação, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O Security Hub CSPM também altera o status de conformidade das descobertas para.
WARNINGEssas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.
Por padrão, AWS Config registra todos os recursos regionais suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, você também deve configurar AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais somente em uma única região. Se você usa a configuração central ou a agregação entre regiões, essa região deve ser sua região de origem.
Em AWS Config, você pode escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas de CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.
Para obter mais informações sobre AWS Config gravação, consulte AWS Recursos de gravação no Guia do AWS Config desenvolvedor.
Formas de habilitar e configurar AWS Config
Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:
-
AWS Config console — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.
-
AWS CLI ou SDKs — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com o AWS CLI no Guia do AWS Config desenvolvedor. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.
-
CloudFormation modelo — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSet amostra no Guia AWS CloudFormation do usuário.
Por padrão, esse modelo exclui a gravação de recursos globais do IAM. Certifique-se de ativar a gravação dos recursos globais do IAM em apenas um Região da AWS para conservar os custos de gravação. Se você tiver a agregação entre regiões ativada, essa deverá ser sua região de origem do CSPM do Security Hub. Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível que ofereça suporte à gravação de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.
-
GitHub script — O Security Hub CSPM oferece um GitHubscript
que habilita o CSPM do Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations
Para obter mais informações, consulte a seguinte postagem no blog de AWS
segurança: Otimize AWS Config o gerenciamento da postura de AWS segurança na nuvem (CSPM) do Security Hub para gerenciar com eficiência sua postura de segurança na nuvem
Controle Config.1
No Security Hub CSPM, o controle Config.1 gera FAILED descobertas em sua conta se estiver desativado. AWS Config Ele também gera FAILED descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada.
Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub CSPM gerará uma FAILED descoberta para o controle Config.1. Além dessa FAILED descoberta, o Security Hub CSPM gera WARNING descobertas para o controle ativado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle KMS.5 e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub CSPM gerará uma FAILED descoberta para o controle Config.1. O Security Hub CSPM também gera WARNING descobertas para o controle KMS.5 e suas chaves KMS.
Para receber uma PASSED descoberta para o controle Config.1, ative a gravação de recursos para todos os tipos de recursos que correspondem aos controles ativados. Além disso, desative os controles que não são necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração em suas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.
Se você for o administrador delegado do CSPM do Security Hub de uma organização, a AWS Config gravação deve ser configurada corretamente para sua conta e suas contas de membros. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.
Gerar regras vinculadas ao serviço
Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub CSPM cria instâncias da regra necessária em seu ambiente. AWS
Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas a serviços mesmo que já existam outras instâncias das mesmas regras. A regra vinculada ao serviço é adicionada securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciadavpc-flow-logs-enabled, o nome da regra vinculada ao serviço pode ser. securityhub-vpc-flow-logs-enabled-12345
Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config as regras que o Security Hub CSPM cria não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte Limites de serviço AWS Config no Guia do AWS Config desenvolvedor.
Considerações sobre custos
O Security Hub CSPM pode afetar os custos AWS Config do gravador de configuração atualizando o AWS::Config::ResourceCompliance item de configuração. As atualizações podem ocorrer sempre que um controle CSPM do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub CSPM e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele no. AWS Config Isso pode reduzir os custos do AWS Config
. Você não precisa registrar as verificações de segurança AWS::Config::ResourceCompliance para trabalhar no CSPM do Security Hub.
Para obter informações sobre os custos associados ao registro de recursos, consulte Preços e preços do AWS Security Hub Cloud Security Posture Management (CSPM)
