As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Padrão gerenciado por serviços: AWS Control Tower
Esta seção fornece informações sobre o Service-Managed Standard:. AWS Control Tower
O que é o padrão gerenciado por serviços:? AWS Control Tower
Esse padrão foi desenvolvido para usuários do AWS Security Hub AWS Control Tower e. Ele permite que você configure os controles proativos AWS Control Tower junto com os controles de detetive do Security Hub no AWS Control Tower serviço.
Os controles proativos ajudam a garantir que você Contas da AWS mantenha a conformidade, pois sinalizam ações que podem levar a violações de políticas ou configurações incorretas. Os controles de detetive detectam a não conformidade de recursos (por exemplo, configurações incorretas) em sua Contas da AWS. Ao habilitar controles proativos e detectivos para seu AWS ambiente, você pode aprimorar sua postura de segurança em diferentes estágios de desenvolvimento.
dica
Os padrões gerenciados por serviços diferem dos padrões gerenciados pelo AWS Security Hub. Por exemplo, você deve criar e excluir um padrão gerenciado por serviços no serviço de gerenciamento. Para obter mais informações, consulte Padrões gerenciados de serviços no Security Hub.
No console do Security Hub eAPI, você pode ver o Service-Managed Standard: AWS Control Tower junto com outros padrões do Security Hub.
Criando o padrão
Esse padrão estará disponível somente se você criar o padrão em AWS Control Tower. AWS Control Tower cria o padrão quando você ativa pela primeira vez um controle aplicável usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API(ligue para o
EnableControlAPI) -
AWS CLI (execute o
enable-controlcomando)
Os controles do Security Hub são identificados no AWS Control Tower console como SH.ControlID(por exemplo, SH. CodeBuild.1).
Ao criar o padrão, se você ainda não tiver habilitado o Security Hub, AWS Control Tower também habilita o Security Hub para você.
Se você não tiver configurado AWS Control Tower, não poderá visualizar ou acessar esse padrão no console do Security Hub, no Security Hub API ou AWS CLI. Mesmo que você tenha configurado AWS Control Tower, não poderá visualizar ou acessar esse padrão no Security Hub sem primeiro criar o padrão AWS Control Tower usando um dos métodos anteriores.
Esse padrão só está disponível Regiões da AWS onde AWS Control Tower está disponível, inclusive AWS GovCloud (US).
Ativando e desativando controles no padrão
Depois de criar o padrão no AWS Control Tower console, você pode ver o padrão e seus controles disponíveis nos dois serviços.
Depois de criar o padrão pela primeira vez, ele não tem nenhum controle ativado automaticamente. Além disso, quando o Security Hub adiciona novos controles, eles não são habilitados automaticamente para o Service-Managed Standard:. AWS Control Tower Você deve ativar e desativar os controles para o padrão in AWS Control Tower usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API(ligue para
EnableControla bandaDisableControlAPIs) -
AWS CLI (execute os
disable-controlcomandos enable-controle)
Quando você altera o status de habilitação de um controle em AWS Control Tower, a alteração também é refletida no Security Hub.
No entanto, desabilitar um controle no Security Hub que está ativado AWS Control Tower resulta em desvio de controle. O status do controle em é AWS Control Tower exibido comoDrifted. Você pode resolver esse desvio selecionando Registrar novamente a OU no AWS Control Tower console ou desativando e reativando o controle AWS Control Tower usando um dos métodos anteriores.
A conclusão das ações de ativação e desativação AWS Control Tower ajuda a evitar desvios de controle.
Quando você ativa ou desativa os controles em AWS Control Tower, a ação se aplica a todas as contas e regiões. Se você ativar e desativar os controles no Security Hub (não recomendado para esse padrão), a ação se aplicará somente à conta atual e à região.
nota
A configuração central não pode ser usada para gerenciar o Service-Managed Standard:. AWS Control Tower Se você usar a configuração central, poderá usar somente o AWS Control Tower serviço para ativar e desativar os controles desse padrão para uma conta gerenciada centralmente.
Visualizando o status da habilitação e o status do controle
Você pode exibir o status de habilitação de um controle usando um dos métodos a seguir:
-
Console do Security Hub, Security Hub API ou AWS CLI
-
AWS Control Tower console
-
AWS Control Tower APIpara ver uma lista de controles habilitados (ligue para o
ListEnabledControlsAPI) -
AWS CLI para ver uma lista de controles habilitados (execute o
list-enabled-controlscomando)
Um controle que você desabilita AWS Control Tower tem um status de habilitação Disabled no Security Hub, a menos que você habilite explicitamente esse controle no Security Hub.
O Security Hub calcula o status do controle com base no status do fluxo de trabalho e no status de conformidade das descobertas de controle. Para obter mais informações sobre o status de habilitação e o status de controle, consulte Visualizando detalhes de um controle.
Com base nos status de controle, o Security Hub calcula uma pontuação de segurança para o Service-Managed Standard:. AWS Control Tower Essa pontuação só está disponível no Security Hub. Além disso, você só pode visualizar as descobertas de controle no Security Hub. A pontuação de segurança padrão e as descobertas de controle não estão disponíveis em AWS Control Tower.
nota
Quando você ativa controles para Service-Managed Standard: AWS Control Tower, o Security Hub pode levar até 18 horas para gerar descobertas para controles que usam uma regra vinculada ao AWS Config serviço existente. Você pode ter regras vinculadas a serviços existentes se tiver habilitado outros padrões e controles no Security Hub. Para obter mais informações, consulte Programar a execução de verificações de segurança.
Excluindo o padrão
Você pode excluir esse padrão AWS Control Tower desativando todos os controles aplicáveis usando um dos seguintes métodos:
-
AWS Control Tower console
-
AWS Control Tower API(ligue para o
DisableControlAPI) -
AWS CLI (execute o
disable-controlcomando)
A desativação de todos os controles exclui o padrão em todas as contas gerenciadas e regiões governadas no AWS Control Tower. A exclusão do padrão em o AWS Control Tower remove da página Padrões do console do Security Hub, e você não pode mais acessá-lo usando o Security Hub API ou AWS CLI.
nota
Desabilitar todos os controles do padrão no Security Hub não desativa nem exclui o padrão.
A desativação do serviço Security Hub remove o Service-Managed Standard: AWS Control Tower e quaisquer outros padrões que você tenha habilitado.
Localizando o formato de campo para o Service-Managed Standard: AWS Control Tower
Ao criar o Service-Managed Standard: AWS Control Tower e habilitar controles para ele, você começará a receber descobertas de controle no Security Hub. O Security Hub relata as descobertas de controle no AWS Formato de descoberta de segurança (ASFF). Esses são os ASFF valores do Amazon Resource Name (ARN) desse padrão eGeneratorId:
-
Padrão ARN —
arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/CodeBuild.1
Para obter um exemplo de descoberta do Service-Managed Standard: AWS Control Tower, consulte. Exemplos de descobertas de controle no Security Hub
Controles que se aplicam ao padrão gerenciado por serviços: AWS Control Tower
Padrão gerenciado por serviços: AWS Control Tower suporta um subconjunto de controles que fazem parte do padrão AWS Foundational Security Best Practices (). FSBP Escolha um controle na tabela a seguir para ver informações sobre ele, incluindo etapas de correção para descobertas malsucedidas.
A lista a seguir mostra os controles disponíveis para o Service-Managed Standard:. AWS Control Tower Os limites regionais dos controles correspondem aos limites regionais dos controles corolários do padrão. FSBP Essa lista mostra o controle de segurança independente do padrão. IDs No AWS Control Tower console, os controles IDs são formatados como SH.ControlID(por exemplo, SH. CodeBuild.1). No Security Hub, se as descobertas de controle consolidadas estiverem desativadas em sua conta, o campo ProductFields.ControlId usará o ID de controle baseado em padrão. O ID de controle baseado em padrões é formatado como CT. ControlId(por exemplo, CT. CodeBuild.1).
-
[Conta.1] As informações de contato de segurança devem ser fornecidas para um Conta da AWS
-
[APIGateway.1] O API gateway REST e o registro WebSocket API de execução devem estar habilitados
-
[APIGateway.3] Os REST API estágios do API gateway devem ter AWS X-Ray rastreamento ativado
-
[APIGateway.4] O API gateway deve ser associado a uma Web WAF ACL
-
[APIGateway.5] Os dados REST API do cache do API gateway devem ser criptografados em repouso
-
[APIGateway.8] As rotas de API gateway devem especificar um tipo de autorização
-
[APIGateway.9] O registro de acesso deve ser configurado para os estágios do API Gateway V2
-
[AppSync.5] AWS AppSync O GraphQL não APIs deve ser autenticado com chaves API
-
[AutoScaling.2] O grupo Amazon EC2 Auto Scaling deve abranger várias zonas de disponibilidade
-
[CloudTrail.2] CloudTrail deve ter a criptografia em repouso ativada
-
[CloudTrail.4] a validação do arquivo de CloudTrail log deve estar ativada
-
[CloudTrail.5] CloudTrail trilhas devem ser integradas com o Amazon CloudWatch Logs
-
[CodeBuild.3] Os registros do CodeBuild S3 devem ser criptografados
-
[CodeBuild.4] os ambientes CodeBuild do projeto devem ter um registro AWS Config duração
-
[DMS.1] As instâncias de replicação do Database Migration Service não devem ser públicas
-
[DocumentDB.1] Os clusters do Amazon DocumentDB devem ser criptografados em repouso
-
[DocumentDB.2] Os clusters do Amazon DocumentDB devem ter um período de retenção de backup adequado
-
[DocumentDB.3] Os instantâneos manuais do cluster do Amazon DocumentDB não devem ser públicos
-
[DynamoDB.2] As tabelas do DynamoDB devem ter a recuperação ativada point-in-time
-
[DynamoDB.3] Os clusters do DynamoDB Accelerator () devem ser criptografados em repouso DAX
-
[EC2.1] Os EBS snapshots da Amazon não devem ser restauráveis publicamente
-
[EC2.2] grupos de segurança VPC padrão não devem permitir tráfego de entrada ou saída
-
[EC2.3] Os EBS volumes anexados da Amazon devem ser criptografados em repouso
-
[EC2.4] EC2 As instâncias interrompidas devem ser removidas após um período de tempo especificado
-
[EC2.6] o registro VPC de fluxo deve ser ativado em todos VPCs
-
[EC2.8] as EC2 instâncias devem usar o Instance Metadata Service versão 2 () IMDSv2
-
[EC2.9] EC2 As instâncias da Amazon não devem ter um endereço público IPv4
-
[EC2.10] A Amazon EC2 deve ser configurada para usar VPC endpoints criados para o serviço Amazon EC2
-
[EC2.15] As EC2 sub-redes da Amazon não devem atribuir automaticamente endereços IP públicos
-
[EC2.16] As listas de controle de acesso à rede não utilizadas devem ser removidas
-
[EC2.17] EC2 As instâncias da Amazon não devem usar várias ENIs
-
[EC2.19] Grupos de segurança não devem permitir acesso irrestrito a portas com alto risco
-
[EC2.20] Ambos os VPN túneis para um AWS A VPN conexão site a site deve estar ativa
-
[EC2.21] A rede não ACLs deve permitir a entrada de 0.0.0.0/0 para a porta 22 ou a porta 3389
-
[EC2.22] Grupos de EC2 segurança não utilizados da Amazon devem ser removidos
-
[EC2.23] O Amazon EC2 Transit Gateways não deve aceitar VPC automaticamente solicitações de anexos
-
[ECR.1] repositórios ECR privados devem ter a digitalização de imagens configurada
-
[ECR.2] repositórios ECR privados devem ter a imutabilidade da tag configurada
-
[ECR.3] os ECR repositórios devem ter pelo menos uma política de ciclo de vida configurada
-
[ECS.2] ECS os serviços não devem ter endereços IP públicos atribuídos a eles automaticamente
-
[ECS.3] as definições de ECS tarefas não devem compartilhar o namespace do processo do host
-
[ECS.4] os ECS contêineres devem ser executados sem privilégios
-
[ECS.8] Os segredos não devem ser passados como variáveis de ambiente do contêiner
-
[EFS.2] EFS Os volumes da Amazon devem estar em planos de backup
-
[EFS.3] os pontos de EFS acesso devem impor um diretório raiz
-
[EFS.4] os pontos de EFS acesso devem impor uma identidade de usuário
-
[EKS.1] os endpoints EKS do cluster não devem ser acessíveis ao público
-
[EKS.2] os EKS clusters devem ser executados em uma versão compatível do Kubernetes
-
[ElastiCache.3] os grupos de ElastiCache replicação devem ter o failover automático ativado
-
[ElastiCache.4] os grupos de ElastiCache replicação devem ser criptografados em repouso
-
[ElastiCache.5] os grupos de ElastiCache replicação devem ser criptografados em trânsito
-
[ELB.3] Os ouvintes do Classic Load Balancer devem ser configurados com ou terminação HTTPS TLS
-
[ELB.4] O Application Load Balancer deve ser configurado para eliminar cabeçalhos http inválidos
-
[ELB.5] O registro de aplicativos e balanceadores de carga clássicos deve estar ativado
-
[ELB.7] Os balanceadores de carga clássicos devem ter a drenagem de conexão ativada
-
[ELB.9] Os balanceadores de carga clássicos devem ter o balanceamento de carga entre zonas ativado
-
[ELB.10] O Classic Load Balancer deve abranger várias zonas de disponibilidade
-
[EMR.1] Os nós primários EMR do cluster Amazon não devem ter endereços IP públicos
-
[ES.1] Os domínios do Elasticsearch devem ter a criptografia em repouso habilitada.
-
[ES.2] Os domínios do Elasticsearch não devem ser publicamente acessíveis
-
[ES.3] Os domínios do Elasticsearch devem criptografar os dados enviados entre os nós
-
[ES.4] O registro de erros do domínio Elasticsearch nos CloudWatch registros deve estar ativado
-
[ES.5] Os domínios do Elasticsearch devem ter o registro em log de auditoria ativado
-
[ES.6] Os domínios do Elasticsearch devem ter pelo menos três nós de dados
-
[IAM.1] IAM as políticas não devem permitir privilégios administrativos “*” completos
-
[IAM.2] IAM os usuários não devem ter IAM políticas anexadas
-
[IAM.3] as chaves de acesso IAM dos usuários devem ser alternadas a cada 90 dias ou menos
-
[IAM.4] a chave de acesso do usuário IAM root não deve existir
-
[IAM.5] MFA deve ser habilitado para todos os IAM usuários que tenham uma senha de console
-
[IAM.6] O hardware MFA deve estar habilitado para o usuário root
-
[IAM.7] As políticas de senha para IAM usuários devem ter configurações fortes
-
[IAM.8] As credenciais de IAM usuário não utilizadas devem ser removidas
-
[Kinesis.1] Os fluxos do Kinesis devem ser criptografados em repouso
-
[Lambda.1] As funções do Lambda.1 devem proibir o acesso público
-
[Lambda.2] As funções do Lambda devem usar os tempos de execução compatíveis
-
[Lambda.5] As funções do VPC Lambda devem operar em várias zonas de disponibilidade
-
[MSK.1] os MSK clusters devem ser criptografados em trânsito entre os nós do corretor
-
[MQ.5] Os agentes do ActiveMQ devem usar o modo de implantação ativo/em espera
-
[MQ.6] Os agentes do RabbitMQ devem usar o modo de implantação de cluster
-
[Neptune.1] Os clusters de banco de dados Neptune devem ser criptografados em repouso
-
[Neptune.3] Os instantâneos do cluster de banco de dados do Neptune não devem ser públicos
-
[Neptune.4] Os clusters de banco de dados Neptune devem ter a proteção contra exclusão ativada
-
[Neptune.5] Os clusters de banco de dados do Neptune devem ter backups automatizados habilitados
-
[Neptune.6] Os instantâneos do cluster de banco de dados Neptune devem ser criptografados em repouso
-
[NetworkFirewall.6] O grupo de regras do Stateless Network Firewall não deve estar vazio
-
Os OpenSearch domínios [Opensearch.1] devem ter a criptografia em repouso ativada
-
Os OpenSearch domínios [Opensearch.2] não devem ser acessíveis ao público
-
Os OpenSearch domínios [Opensearch.3] devem criptografar os dados enviados entre os nós
-
O registro de erros de OpenSearch domínio [Opensearch.4] nos CloudWatch registros deve estar ativado
-
Os OpenSearch domínios [Opensearch.5] devem ter o registro de auditoria ativado
-
Os OpenSearch domínios [Opensearch.6] devem ter pelo menos três nós de dados
-
Os OpenSearch domínios [Opensearch.7] devem ter um controle de acesso refinado ativado
-
[RDS.3] As instâncias de RDS banco de dados devem ter a criptografia em repouso ativada
-
[RDS.6] O monitoramento aprimorado deve ser configurado para instâncias de RDS banco de dados
-
[RDS.8] As instâncias de RDS banco de dados devem ter a proteção contra exclusão ativada
-
[RDS.9] As instâncias de RDS banco de dados devem publicar registros no Logs CloudWatch
-
[RDS.10] a IAM autenticação deve ser configurada para instâncias RDS
-
[RDS.11] as RDS instâncias devem ter backups automáticos habilitados
-
[RDS.12] a IAM autenticação deve ser configurada para clusters RDS
-
[RDS.13] atualizações RDS automáticas de versões secundárias devem ser habilitadas
-
[RDS.23] as RDS instâncias não devem usar uma porta padrão do mecanismo de banco de dados
-
[RDS.27] Os clusters de RDS banco de dados devem ser criptografados em repouso
-
[PCI.Redshift.1] Os clusters do Amazon Redshift devem proibir o acesso público
-
[Redshift.2] As conexões com os clusters do Amazon Redshift devem ser criptografadas em trânsito
-
[Redshift.4] Os clusters do Amazon Redshift devem ter o registro de auditoria ativado
-
[Redshift.7] Os clusters do Redshift devem usar roteamento aprimorado VPC
-
[Redshift.8] Os clusters do Amazon Redshift não devem usar o nome de usuário Admin padrão
-
[Redshift.9] Os clusters do Redshift não devem usar o nome do banco de dados padrão
-
[Redshift.10] Os clusters do Redshift devem ser criptografados em repouso
-
[S3.2] Os buckets de uso geral do S3 devem bloquear o acesso público de leitura
-
[S3.3] Os buckets de uso geral do S3 devem bloquear o acesso público de gravação
-
[S3.5] Os buckets de uso geral do S3 devem exigir solicitações de uso SSL
-
[S3.6] As políticas de bucket de uso geral do S3 devem restringir o acesso a outros Contas da AWS
-
[S3.8] Os buckets de uso geral do S3 devem bloquear o acesso público
-
[S3.9] Os buckets de uso geral do S3 devem ter o registro de acesso ao servidor ativado
-
[S3.12] não ACLs deve ser usado para gerenciar o acesso do usuário aos buckets de uso geral do S3
-
[S3.13] Os buckets de uso geral do S3 devem ter configurações de ciclo de vida
-
[S3.17] Os buckets de uso geral do S3 devem ser criptografados em repouso com AWS KMS keys
-
[SageMaker.1] As instâncias de SageMaker notebooks da Amazon não devem ter acesso direto à Internet
-
[SageMaker.2] as instâncias do SageMaker notebook devem ser iniciadas de forma personalizada VPC
-
[SageMaker.3] Os usuários não devem ter acesso root às instâncias do SageMaker notebook
-
[SecretsManager.1] Os segredos do Secrets Manager devem ter a rotação automática ativada
-
[SecretsManager.3] Remover segredos não utilizados do Secrets Manager
-
[SQS.1] As SQS filas da Amazon devem ser criptografadas em repouso
-
[SSM.1] EC2 As instâncias da Amazon devem ser gerenciadas por AWS Systems Manager
-
[WAF.2] AWS WAF As regras regionais clássicas devem ter pelo menos uma condição
-
[WAF.3] AWS WAF Os grupos de regras regionais clássicos devem ter pelo menos uma regra
-
[WAF.4] AWS WAF A web regional clássica ACLs deve ter pelo menos uma regra ou grupo de regras
-
[WAF.10] AWS WAF a web ACLs deve ter pelo menos uma regra ou grupo de regras
Para obter mais informações sobre esse padrão, consulte controles do Security Hub no Guia do usuário do AWS Control Tower .
