Habilitando e configurando o AWS Config Security Hub - AWS Security Hub
Considerações antes de ativar e configurar AWS ConfigRecursos de gravação em AWS ConfigFormas de ativar e configurar AWS ConfigControle Config.1Gerar regras vinculadas ao serviçoConsiderações sobre custos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando e configurando o AWS Config Security Hub

AWS Security Hub usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra. Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são regras AWS Config personalizadas desenvolvidas pelo Security Hub.

AWS Config as regras que o Security Hub usa para controles são chamadas de regras vinculadas a serviços. As regras vinculadas ao serviço permitem Serviços da AWS , como o Security Hub, criar AWS Config regras em sua conta.

Para receber descobertas de controle no Security Hub, você deve habilitar AWS Config em sua conta e ativar a gravação dos recursos que seus controles habilitados avaliam. Esta página explica como ativar AWS Config o Security Hub e ativar a gravação de recursos.

Considerações antes de ativar e configurar AWS Config

Para receber descobertas de controle no Security Hub, sua conta deve estar AWS Config habilitada em cada uma Região da AWS em que o Security Hub esteja habilitado. Se você usa o Security Hub para um ambiente com várias contas, AWS Config deve estar habilitado em cada região para a conta de administrador e todas as contas de membros.

É altamente recomendável que você ative a gravação de recursos AWS Config antes de habilitar quaisquer padrões e controles do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que não haja uma política de IAM ou uma política gerenciada AWS Organizations que impeça a permissão AWS Config de registrar seus recursos. As verificações de controle do Security Hub avaliam diretamente a configuração de um recurso e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre AWS Config gravação, consulte Como trabalhar com o gravador de configuração no Guia do AWS Config desenvolvedor.

Se você habilitar um padrão no Security Hub, mas não tiver ativado AWS Config, o Security Hub tentará criar AWS Config regras de acordo com o seguinte cronograma:

  • No dia em que você habilita o padrão.

  • No dia seguinte à ativação do padrão.

  • 3 dias depois de ativar o padrão.

  • 7 dias depois de ativar o padrão e continuamente a cada 7 dias a partir de então.

Se você usar a configuração central, o Security Hub também tentará criar AWS Config regras vinculadas a serviços sempre que você associar uma política de configuração que habilite um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

Recursos de gravação em AWS Config

Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o Security Hub detecte alterações nas configurações de seus recursos.

Para que o Security Hub gere descobertas de controle precisas, você deve ativar AWS Config a gravação dos recursos que correspondem aos seus controles ativados. São principalmente controles habilitados com um tipo de agendamento acionado por alterações que exigem registro de recursos. Alguns controles com um tipo de agendamento periódico também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulteAWS Config Recursos necessários para descobertas de controle do Security Hub.

Atenção

Se você não configurar a AWS Config gravação corretamente para os controles do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:

  • Você nunca registrou o recurso para um determinado controle ou desativou a gravação de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma WARNING descoberta para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desativar a gravação. Essa WARNING descoberta é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.

  • Você desativa a gravação de um recurso que é avaliado por um controle específico. Nesse caso, o Security Hub retém as descobertas de controle que foram geradas antes de você desativar a gravação, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O Security Hub também altera o status de conformidade das descobertas paraWARNING. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os recursos regionais suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do Security Hub, você também deve configurar AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais somente em uma única região. Se você usa a configuração central ou a agregação entre regiões, essa região deve ser sua região de origem.

Em AWS Config, você pode escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte AWS Recursos de gravação no Guia do AWS Config desenvolvedor.

Formas de ativar e configurar AWS Config

Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:

  • AWS Config console — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.

  • AWS CLI ou SDKs — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com o AWS CLI no Guia do AWS Config desenvolvedor. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.

  • CloudFormation modelo — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSet amostra no Guia AWS CloudFormation do usuário.

    Por padrão, esse modelo exclui a gravação de recursos globais do IAM. Certifique-se de ativar a gravação dos recursos globais do IAM em apenas um Região da AWS para conservar os custos de gravação. Se você tiver a agregação entre regiões ativada, essa deverá ser sua região de origem do Security Hub. Caso contrário, pode ser qualquer região em que o Security Hub esteja disponível que ofereça suporte à gravação de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.

  • GitHub script — O Security Hub oferece um GitHubscript que ativa o Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations

Para obter mais informações, consulte a seguinte postagem no blog de AWS segurança: Otimize AWS ConfigAWS Security Hub para gerenciar com eficiência sua postura de segurança na nuvem.

Controle Config.1

No Security Hub, o controle Config.1 gera FAILED descobertas em sua conta se AWS Config estiver desativado. Ele também gera FAILED descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada.

Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub gerará uma FAILED descoberta para o controle Config.1. Além dessa FAILED descoberta, o Security Hub gera WARNING descobertas para o controle ativado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o controle KMS.5 e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub gerará uma FAILED descoberta para o controle Config.1. O Security Hub também gera WARNING descobertas para o controle KMS.5 e suas chaves KMS.

Para receber uma PASSED descoberta para o controle Config.1, ative a gravação de recursos para todos os tipos de recursos que correspondem aos controles ativados. Além disso, desative os controles que não são necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração em suas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do Security Hub de uma organização, a AWS Config gravação deve ser configurada corretamente para sua conta e suas contas de membros. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

Gerar regras vinculadas ao serviço

Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub cria instâncias da regra necessária em seu AWS ambiente.

Essas regras vinculadas ao serviço são específicas do Security Hub. O Security Hub cria essas regras vinculadas a serviços mesmo que já existam outras instâncias das mesmas regras. A regra vinculada ao serviço é adicionada securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciadavpc-flow-logs-enabled, o nome da regra vinculada ao serviço pode ser. securityhub-vpc-flow-logs-enabled-12345

Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config As regras personalizadas criadas pelo Security Hub não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte Limites de serviço AWS Config no Guia do AWS Config desenvolvedor.

Considerações sobre custos

O Security Hub pode afetar os custos AWS Config do gravador de configuração atualizando o item AWS::Config::ResourceCompliance de configuração. As atualizações podem ocorrer sempre que um controle do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa gravar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no Security Hub.

Para obter informações sobre os custos associados à gravação de recursos, consulte os preços do AWS Security Hub e preços do AWS Config.