Habilitando e configurando o AWS Config Security Hub - AWS Security Hub
Considerações antes de ativar e configurar AWS ConfigRecursos de gravação em AWS ConfigFormas de ativar e configurar AWS ConfigControle Config.1Gerar regras vinculadas ao serviçoConsiderações sobre custos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando e configurando o AWS Config Security Hub

AWS Security Hub usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra. Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são regras AWS Config personalizadas desenvolvidas pelo Security Hub.

AWS Config as regras que o Security Hub usa para controles são chamadas de regras vinculadas a serviços. As regras vinculadas ao serviço permitem Serviços da AWS , como o Security Hub, criar AWS Config regras em sua conta.

Para receber descobertas de controle no Security Hub, você deve habilitar AWS Config em sua conta e ativar a gravação dos recursos que seus controles habilitados avaliam.

Esta página explica como ativar AWS Config o Security Hub e ativar a gravação de recursos.

Considerações antes de ativar e configurar AWS Config

Para receber descobertas de controle no Security Hub, sua conta deve estar AWS Config habilitada em cada uma Região da AWS em que o Security Hub esteja habilitado. Se você usa o Security Hub para um ambiente com várias contas, AWS Config deve estar habilitado em cada região na conta do administrador e em todas as contas dos membros.

É altamente recomendável que você ative a gravação de recursos AWS Config antes de habilitar quaisquer padrões e controles do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que não haja nenhuma IAM política ou política gerenciada AWS Organizations que impeça a permissão AWS Config de registrar seus recursos. As verificações de controle do Security Hub avaliam diretamente a configuração de um recurso e não levam em consideração as políticas da Organizations. Para obter mais informações sobre AWS Config gravação, consulte Lista de regras AWS Config gerenciadas — Considerações no Guia do AWS Config desenvolvedor.

Se você habilitar um padrão no Security Hub, mas não tiver ativado AWS Config, o Security Hub tentará criar AWS Config regras de acordo com o seguinte cronograma:

  • No dia em que você habilita o padrão

  • No dia seguinte à habilitação do padrão

  • 3 dias depois de habilitar o padrão

  • 7 dias depois que você habilitar o padrão (e continuamente a cada 7 dias depois disso)

Se você usar a configuração central, o Security Hub também tentará criar as regras AWS Config vinculadas ao serviço toda vez que você associar uma política de configuração que habilite um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

Recursos de gravação em AWS Config

Ao ativar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o Security Hub detecte alterações nas configurações de seus recursos.

Para que o Security Hub gere descobertas de controle precisas, você deve ativar a gravação dos recursos que correspondem aos seus controles ativados. AWS Config São principalmente controles habilitados com um tipo de agendamento acionado por alterações que exigem registro de recursos. Para obter uma lista de controles e seus AWS Config recursos relacionados, consulteAWS Config Recursos necessários para descobertas de controle do Security Hub.

Atenção

Se você não configurar corretamente a AWS Config gravação para os controles do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:

  • Você nunca gravou o recurso para um determinado controle, desativou a gravação de um recurso antes de criar esse tipo de recurso ou anexou uma IAM função ao gravador de configuração que não fornecia permissões para registrar o recurso. Nesses casos, você recebe uma PASSED descoberta para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desativar a gravação. Essa PASSED descoberta é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.

  • Você desativa a gravação de um recurso que é avaliado por um controle específico. Nesse caso, o Security Hub retém as descobertas de controle que foram geradas antes de você desativar a gravação, mesmo que o controle não esteja avaliando recursos novos ou atualizados. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os recursos regionais suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do Security Hub, você também deve configurar AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais somente em uma única região. Se você usa a configuração central ou a agregação entre regiões, essa região deve ser sua região de origem.

Em AWS Config, você pode escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, a AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração das descobertas do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte AWS Recursos de gravação no Guia do AWS Config desenvolvedor.

Formas de ativar e configurar AWS Config

Você pode ativar AWS Config e ativar a gravação de recursos de uma das seguintes formas:

  • AWS Config console — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.

  • AWS CLI ou SDKs — Você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com o AWS CLI no Guia do AWS Config desenvolvedor. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.

  • CloudFormation modelo — Se você quiser habilitar AWS Config para um grande número de contas, recomendamos usar o AWS CloudFormation modelo chamado Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSets amostra no Guia AWS CloudFormation do usuário.

    Por padrão, esse modelo exclui a gravação de recursos IAM globais. Certifique-se de ativar a gravação de recursos IAM globais em apenas uma região para conservar os custos de gravação. Se você tiver a agregação entre regiões ativada, essa deverá ser sua região de origem do Security Hub. Caso contrário, pode ser qualquer um em Região da AWS que o Security Hub esteja disponível que ofereça suporte à gravação de recursos IAM globais. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos IAM globais, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos IAM globais em outras regiões.

  • Script do Github — O Security Hub oferece um GitHub script que habilita o Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ao Organizations ou se tem algumas contas de membros que não fazem parte de uma organização.

Para obter mais informações, consulte Otimizar AWS ConfigAWS Security Hub para gerenciar com eficiência sua postura de segurança na nuvem.

Controle Config.1

O controle Config.1 do Security Hub gera FAILED descobertas em sua conta se AWS Config estiver desativado ou se você não tiver a gravação de recursos ativada para os controles ativados. Se você for o administrador delegado do Security Hub de uma organização, a AWS Config gravação deverá estar configurada corretamente na sua conta e nas contas dos membros. Se você usa a agregação entre regiões, a AWS Config gravação deve ser configurada corretamente na região de origem e em todas as regiões vinculadas (os recursos globais não precisam ser registrados nas regiões vinculadas).

Para receber uma PASSED descoberta para o Config.1, ative a gravação de recursos para todos os recursos que correspondam aos controles habilitados do Security Hub e desative os controles que não são necessários em sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração em suas verificações de controle de segurança e receba descobertas precisas sobre recursos mal configurados.

Gerar regras vinculadas ao serviço

Para cada controle que usa uma regra AWS Config vinculada ao serviço, o Security Hub cria instâncias da regra necessária em seu AWS ambiente.

Essas regras vinculadas ao serviço são específicas do Security Hub. O Security Hub cria essas regras vinculadas a serviços mesmo que já existam outras instâncias das mesmas regras. A regra vinculada ao serviço é adicionada securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciadavpc-flow-logs-enabled, o nome da regra vinculada ao serviço seria algo como. securityhub-vpc-flow-logs-enabled-12345

Há limites no número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config As regras personalizadas criadas pelo Security Hub não contam para esse limite. Você pode ativar um padrão de segurança mesmo que já tenha atingido o AWS Config limite de regras gerenciadas em sua conta. Para saber mais sobre limites de AWS Config regras, consulte Limites de serviço AWS Config no Guia do AWS Config desenvolvedor.

Considerações sobre custos

O Security Hub pode afetar os custos AWS Config do gravador de configuração atualizando o item AWS::Config::ResourceCompliance de configuração. As atualizações podem ocorrer sempre que um controle do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa gravar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no Security Hub.

Para obter informações sobre os custos associados à gravação de recursos, consulte os preços do AWS Security Hub e preços do AWS Config.