As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Controles do Security Hub para AWS Config
Esses controles do Security Hub avaliam o AWS Config serviços e recursos.
Esses controles podem não estar disponíveis em todos Regiões da AWS. Para obter mais informações, consulteDisponibilidade de controles por região.
[Configuração.1] AWS Config deve ser habilitado e usar a função vinculada ao serviço para registro de recursos
Requisitos relacionados: CIS AWS Benchmark de fundações v1.2.0/2.5, CIS AWS Benchmark de fundações v1.4.0/3.5, CIS AWS Benchmark de fundações v3.0.0/3.3, NIST .800-53.r5 CM-3, .800-53.r5 CM-6 (1), .800-53.r5 CM-8, NIST .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST PCI DSS PCI DSS
Categoria: Identificar > Inventário
Severidade: média
Tipo de recurso: AWS::::Account
AWS Config regra: Nenhuma (regra personalizada do Security Hub)
Tipo de programação: Periódico
Parâmetros:
Parâmetro | Descrição | Tipo | Valores personalizados permitidos | Valor padrão do Security Hub |
---|---|---|---|---|
|
O controle não avalia se AWS Config usa a função vinculada ao serviço se o parâmetro estiver definido como. |
Booleano |
|
|
Esse controle verifica se AWS Config está habilitado em sua conta no atual Região da AWS, registra todos os recursos que correspondem aos controles habilitados na região atual e usa o serviço vinculado AWS Config papel. O nome da função vinculada ao serviço é. AWSServiceRoleForConfig Se você não usar a função vinculada ao serviço e não definir o includeConfigServiceLinkedRoleCheck
parâmetro comofalse
, o controle falhará porque outras funções podem não ter as permissões necessárias para AWS Config para registrar com precisão seus recursos.
A ferramenta AWS Config o serviço executa o gerenciamento de configuração do suporte AWS recursos em sua conta e entrega arquivos de log para você. As informações registradas incluem o item de configuração (AWS resource), relacionamentos entre itens de configuração e quaisquer alterações de configuração nos recursos. Recursos globais são recursos que estão disponíveis em qualquer região.
O controle é avaliado da seguinte forma:
Se a região atual for definida como sua região de agregação, o controle produzirá
PASSED
descobertas somente se AWS Identity and Access Management (IAM) os recursos globais são registrados (se você tiver ativado os controles que os exijam).Se a região atual for definida como uma região vinculada, o controle não avaliará se os recursos IAM globais estão registrados.
Se a região atual não estiver em seu agregador ou se a agregação entre regiões não estiver configurada em sua conta, o controle produzirá
PASSED
descobertas somente se os recursos IAM globais forem registrados (se você tiver ativado controles que os exijam).
Os resultados do controle não são afetados pelo fato de você escolher o registro diário ou contínuo das alterações no estado do recurso em AWS Config. No entanto, os resultados desse controle podem mudar quando novos controles são liberados, caso você tenha configurado a ativação automática de novos controles ou tenha uma política de configuração central que habilite automaticamente novos controles. Nesses casos, se você não registrar todos os recursos, deverá configurar a gravação dos recursos associados a novos controles para receber uma PASSED
descoberta.
As verificações de segurança do Security Hub funcionam conforme o esperado somente se você habilitar AWS Config em todas as regiões e configure a gravação de recursos para controles que a exijam.
nota
O Config.1 exige que AWS Config está habilitado em todas as regiões nas quais você usa o Security Hub.
Como o Security Hub é um serviço regional, a verificação realizada para esse controle avalia somente a região atual da conta.
Para permitir verificações de segurança em relação aos recursos IAM globais em uma região, você deve registrar os recursos IAM globais nessa região. As regiões que não têm recursos IAM globais registrados receberão uma PASSED
descoberta padrão para controles que verificam os recursos IAM globais. Como os recursos IAM globais são idênticos em todos Regiões da AWS, recomendamos que você registre recursos IAM globais somente na região de origem (se a agregação entre regiões estiver ativada em sua conta). IAMos recursos serão registrados somente na região em que o registro global de recursos está ativado.
Os tipos de recursos registrados IAM globalmente que AWS Config os suportes são IAM usuários, grupos, funções e políticas gerenciadas pelo cliente. Você pode considerar a desativação dos controles do Security Hub que verificam esses tipos de recursos em regiões onde a gravação global de recursos está desativada. Para obter mais informações, consulte Controles sugeridos para desativar no Security Hub.
Correção
Para obter uma lista de quais recursos devem ser registrados para cada controle, consulteAWS Config Recursos necessários para descobertas de controle do Security Hub.
Na região de origem e nas regiões que não fazem parte de um agregador, registre todos os recursos necessários para os controles habilitados na região atual, incluindo recursos IAM globais, se você tiver ativado controles que exigem recursos IAM globais.
Nas regiões vinculadas, você pode usar qualquer AWS Config modo de gravação, desde que você esteja gravando todos os recursos que correspondem aos controles ativados na região atual. Nas regiões vinculadas, se você tiver controles ativados que exijam o registro de recursos IAM globais, você não receberá uma FAILED
descoberta (seu registro de outros recursos é suficiente).
Para habilitar AWS Config e configure-o para registrar recursos, consulte Configuração AWS Config com o console no AWS Config Guia do desenvolvedor. Você também pode usar um AWS CloudFormation modelo para automatizar esse processo. Para ter mais informações, consulte AWS CloudFormation StackSets modelos de amostra no AWS CloudFormation Guia do usuário.