Entender a configuração central no Security Hub

Quando você usa a configuração central, o Security Hub orienta você no processo de configuração das práticas recomendadas de segurança para sua organização. Ele também implanta automaticamente as políticas de configuração resultantes em contas e OUs especificadas. Se você tiver configurações existentes do Security Hub, como habilitar automaticamente novos controles de segurança, poderá usá-las como ponto de partida para suas políticas de configuração. Além disso, a página Configuração no console do Security Hub exibe um resumo em tempo real de suas políticas de configuração e quais contas e OUs usam cada política.

É possível usar a configuração central para configurar o Security Hub em várias contas e regiões. Isso ajuda a garantir que cada parte da sua organização mantenha uma configuração consistente e uma cobertura de segurança adequada.

Com a configuração central, é possível optar por configurar as contas e OUs da sua organização de maneiras diferentes. Por exemplo, suas contas de teste e contas de produção podem exigir configurações diferentes. Você também pode criar uma política de configuração que abranja novas contas quando elas ingressarem na organização.

O desvio de configuração ocorre quando um usuário faz uma alteração em um serviço ou recurso que entra em conflito com as seleções do administrador delegado. A configuração central evita esse desvio. Quando você designa uma conta ou OU como gerenciada centralmente, ela poderá ser configurada somente pelo administrador delegado da organização. Se você preferir que uma conta ou OU específica defina suas próprias configurações, é possível designá-la como autogerenciada.

Um recurso do Security Hub que ajuda a conta delegada do administrador do Security Hub de uma organização a configurar o serviço, os padrões de segurança e os controles de segurança do Security Hub em várias contas e regiões. Para definir essas configurações, o administrador delegado cria e gerencia as políticas de configuração do Security Hub para contas gerenciadas centralmente em sua organização. As contas autogerenciadas podem definir suas próprias configurações separadamente em cada região. Para usar a configuração central, você deve integrar o Security Hub e o AWS Organizations.

A Região da AWS partir da qual o administrador delegado configura centralmente o Security Hub, criando e gerenciando políticas de configuração. As políticas de configuração entram em vigor na região inicial e em todas as regiões vinculadas.

A região inicial também serve como a região de agregação do Security Hub, recebendo descobertas, insights e outros dados das regiões vinculadas.

As regiões introduzidas pela AWS em 20 de março de 2019 ou posteriormente são conhecidas como regiões de adesão. Uma região de adesão não pode ser a região inicial, mas pode ser uma região vinculada. Para obter uma lista de regiões de adesão, consulte Considerações antes de habilitar e desabilitar regiões no Guia de referência de gerenciamento de contas da AWS.

Uma Região da AWS que é configurável a partir da região inicial. As políticas de configuração são criadas pelo administrador delegado na região inicial. As políticas entram em vigor na região inicial e em todas as regiões vinculadas. Especificar as regiões vinculadas é opcional.

Uma região vinculada também envia descobertas, insights e outros dados para a região inicial.

As regiões introduzidas pela AWS em 20 de março de 2019 ou posteriormente são conhecidas como regiões de adesão. Você deve habilitar essa região para uma conta antes que uma política de configuração possa ser aplicada a ela. A conta de gerenciamento do Organizations pode habilitar regiões de adesão para uma conta-membro. Para obter mais informações, consulte Especificação de quais Regiões da AWS sua conta pode usar no Guia de referência do gerenciamento de contas da AWS.

Uma Conta da AWS, uma unidade organizacional (UO) ou a raiz da organização.

Um conjunto de configurações do Security Hub que o administrador delegado pode definir para alvos gerenciados centralmente. Isso inclui:

Uma política de configuração entra em vigor na região inicial e em todas as regiões vinculadas depois de ser associada a pelo menos uma conta, unidade organizacional (OU) ou raiz.

No console do Security Hub, o administrador delegado pode escolher a política de configuração recomendada do Security Hub ou criar políticas de configuração personalizadas. Com a API do Security Hub e a AWS CLI, o administrador delegado só pode criar políticas de configuração personalizadas. O administrador delegado pode criar no máximo 20 políticas de configuração personalizadas.

Na política de configuração recomendada, o Security Hub, o padrão Práticas Recomendadas de Segurança Básica (FSBP) da AWS e todos os controles de FSBP novos e existentes estão habilitados. Os controles que aceitam parâmetros usam os valores padrão. A política de configuração recomendada se aplica a toda a organização.

Para aplicar configurações diferentes à organização ou aplicar políticas de configuração diferentes a contas e OUs diferentes, crie uma política de configuração personalizada.

O tipo de configuração padrão para uma organização, depois de integrar o Security Hub e o AWS Organizations. Com a configuração local, o administrador delegado pode optar por habilitar automaticamente o Security Hub e os padrões de segurança padrão em novas contas da organização na região atual. Se o administrador delegado habilitar automaticamente os padrões padrão, todos os controles que fazem parte desses padrões também serão habilitados automaticamente com parâmetros padrão para as novas contas da organização. Essas configurações não se aplicam às contas existentes, portanto, é possível alterar a configuração depois que uma conta ingressa na organização. A desabilitação de controles específicos que fazem parte dos padrões padrão e a configuração de padrões e controles adicionais devem ser feitas separadamente em cada conta e região.

A configuração local não oferece suporte ao uso de políticas de configuração. Para usar políticas de configuração, você deve alternar para a configuração central.

Se você não integrar o Security Hub ao AWS Organizations ou se tiver uma conta independente, deverá especificar as configurações para cada conta separadamente em cada região. O gerenciamento manual de contas não oferece suporte ao uso de políticas de configuração.

Operações do Security Hub que somente o administrador delegado do Security Hub pode usar na região inicial para gerenciar políticas de configuração para contas gerenciadas centralmente. As operações incluem:

Operações do Security Hub que podem ser usadas para habilitar ou desabilitar o Security Hub, os padrões e os controles de cada conta. Essas operações são usadas em cada região individual.

As contas autogerenciadas podem usar operações específicas da conta para definir suas próprias configurações. As contas gerenciadas centralmente não podem usar as operações a seguir, específicas da conta na região inicial e nas regiões vinculadas. Nessas regiões, apenas o administrador delegado pode configurar contas gerenciadas centralmente por meio de operações de configuração central e políticas de configuração.

Para verificar o status da conta, o proprietário de uma conta gerenciada centralmente pode usar qualquer operação Get ou Describe da API do Security Hub.

Se você usar a configuração local ou o gerenciamento manual de contas, em vez da configuração central, essas operações específicas da conta poderão ser usadas.

As contas autogerenciadas também podem usar as operações *Invitations e *Members. Porém, recomendamos que as contas autogerenciadas não usem essas operações. As associações de políticas podem não funcionar uma conta-membro tiver seus os próprios membros e eles fizerem parte de uma organização diferente da organização do administrador delegado.

No AWS Organizations e no Security Hub, um contêiner para um grupo de Contas da AWS. Uma unidade organizacional (OU) também pode conter outras OUs, permitindo que você crie uma hierarquia parecida com uma árvore de cabeça para baixo, com uma OU principal na parte superior e ramificações de OUs que se propagam para níveis inferiores, terminando em contas que são as folhas da árvore. Uma UO pode ter exatamente um pai, e, atualmente, cada conta pode ser um membro de exatamente uma UO.

É possível gerenciar OUs em AWS Organizations ou AWS Control Tower. Para obter mais informações, consulte Gerenciamento de unidades organizacionais no Guia do usuário do AWS Organizations ou Governo de organizações e contas com o AWS Control Tower no Guia do usuário do AWS Control Tower.

O administrador delegado pode associar políticas de configuração a contas ou OUs específicas ou à raiz para cobrir todas as contas e OUs em uma organização.

Um alvo que apenas o administrador delegado pode configurar em todas as regiões usando políticas de configuração.

A conta de administrador delegado especifica se um alvo é gerenciado centralmente. O administrador delegado também pode alterar o status de um alvo gerenciado centralmente para autogerenciado, ou vice-versa.

Um alvo que gerencia suas próprias configurações do Security Hub. Um alvo autogerenciado usa operações específicas da conta para configurar o Security Hub separadamente em cada região. Isso é diferente das contas gerenciadas centralmente, que só podem ser configuradas pelo administrador delegado em todas as regiões por meio de políticas de configuração.

A conta de administrador delegado especifica se um alvo é autogerenciado. O administrador delegado pode aplicar um comportamento autogerenciado a um alvo. Como alternativa, uma conta ou OU pode herdar o comportamento autogerenciado de um dos pais.

A conta de administrador delegado pode ela mesma ser uma conta autogerenciada. A conta de administrador delegado pode alterar o status de um alvo de autogerenciado para gerenciado centralmente, ou vice-versa.

Um link entre uma política de configuração e uma conta, unidade organizacional (OU) ou uma raiz. Quando existe uma associação de política, a conta, a OU ou a raiz usam as configurações definidas pela política de configuração. Existe uma associação em qualquer um destes casos:

Uma associação existe até que uma configuração diferente seja aplicada ou herdada.

Um tipo de associação de política de configuração na qual o administrador delegado aplica diretamente uma política de configuração às contas de destino, OUs ou à raiz. Os destinos são configurados da forma que a política de configuração define, e somente o administrador delegado pode alterar sua configuração. Se aplicada à raiz, a política de configuração afeta todas as contas e OUs na organização que não usem uma configuração diferente por meio de aplicação ou herança do pai mais próximo.

O administrador delegado também pode aplicar uma configuração autogerenciada a contas específicas, OUs ou à raiz.

Um tipo de associação de política de configuração em que uma conta ou OU adota a configuração da OU principal mais próxima ou da raiz. Se uma política de configuração não for aplicada diretamente a uma conta ou UO, ela herdará a configuração do pai mais próximo. Todos os elementos de uma política são herdados. Em outras palavras, uma conta ou OU não pode escolher herdar seletivamente somente partes de uma política. Se o pai mais próximo for autogerenciado, a conta ou OU filha herdará o comportamento autogerenciado do pai.

A herança não pode substituir uma configuração aplicada. Ou seja, se uma política de configuração ou configuração autogerenciada for aplicada diretamente a uma conta ou OU, ela usará essa configuração e não herdará a configuração do pai.

No AWS Organizations e no Security Hub, o nó pai de nível superior de uma organização. Se o administrador delegado aplicar uma política de configuração à raiz, a política será associada a todas as contas e OUs da organização, a menos que elas usem uma política diferente, por meio de aplicação ou herança, ou sejam designadas como autogerenciadas. Se o administrador designar a raiz como autogerenciada, todas as contas e OUs na organização serão autogerenciadas, a menos que usem uma política de configuração por meio de aplicação ou herança. Se a raiz for autogerenciada e nenhuma política de configuração existir atualmente, todas as novas contas na organização manterão suas configurações atuais.

As novas contas que ingressem em uma organização ficarão sob a raiz até serem atribuídas a uma OU específica. Se uma nova conta não for atribuída a uma OU, ela herdará a configuração raiz, a menos que o administrador delegado a designe como uma conta autogerenciada.