View a markdown version of this page

Habilitando e configurando AWS Config para Security Hub CSPM - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Habilitando e configurando AWS Config para Security Hub CSPM

AWS O Security Hub CSPM usa AWS Config regras para executar verificações de segurança e gerar descobertas para a maioria dos controles. AWS Config fornece uma visão detalhada da configuração dos AWS recursos em seu Conta da AWS. Ele usa regras para estabelecer uma configuração básica para seus recursos e um gravador de configuração para detectar se um determinado recurso viola as condições de uma regra.

Algumas regras, chamadas de regras AWS Config gerenciadas, são predefinidas e desenvolvidas pela AWS Config. Outras regras são AWS Config regras personalizadas que o Security Hub CSPM desenvolve. AWS Config as regras que o Security Hub CSPM usa para controles são chamadas de regras vinculadas a serviços. Service-linked regras permitem Serviços da AWS , como o Security Hub CSPM, criar AWS Config regras em sua conta.

Se você tiver o AWS Security Hub CSPM e o Security Hub habilitados, o Security Hub CSPM cria automaticamente um gravador de configuração vinculado ao serviço para avaliar seus controles de segurança. Você não precisa ativar ou configurar manualmente AWS Config. Para obter mais informações, consulte Usando o gravador de configuração vinculado ao serviço.

Se você tiver o CSPM do Security Hub ativado sem o Security Hub, você deverá habilitar AWS Config e ativar manualmente a gravação de recursos. Para obter mais informações, consulte Configurando manualmente AWS Config.

Usando o gravador de configuração vinculado ao serviço

Quando você tem o AWS Security Hub CSPM e o Security Hub habilitados, o Security Hub CSPM cria e gerencia automaticamente um gravador de configuração vinculado ao serviço em suas contas e regiões. Você não precisa ativar ou configurar manualmente AWS Config.

O nome desse gravador de configuração éAWSConfigurationRecorderForSecurityHubCSPM. O CSPM do Security Hub cria um gravador de configuração vinculado ao serviço correspondente para cada conta e região em que tanto o CSPM do Security Hub quanto o Security Hub estão habilitados. À medida que você ativa o CSPM do Security Hub para novos Conta da AWS s e Região da AWS s, o Security Hub CSPM cria automaticamente o gravador de configuração vinculado ao serviço.

O CSPM do Security Hub gerencia a configuração de recursos do gravador de configuração vinculado ao serviço, garantindo que a gravação seja ativada para todos os recursos vinculados aos controles suportados pelo Security Hub. Para obter uma lista dos recursos necessários, consulteObrigatório AWS Config recursos para descobertas de controle.

Quando o CSPM do Security Hub cria esse gravador de configuração vinculado ao serviço, o Security Hub não usa o gravador de configuração gerenciado pelo cliente no. AWS Config

Para obter mais informações sobre gravadores de configuração, consulte Como trabalhar com o gravador de configuração no Guia do AWS Config desenvolvedor.

Configurando manualmente AWS Config

As etapas a seguir se aplicam quando você tem o CSPM do Security Hub ativado sem o Security Hub. Nesse caso, você deve ativar AWS Config sua conta e ativar o registro de recursos para os tipos de recursos que seus controles ativados avaliam. Depois de fazer isso, o Security Hub CSPM cria as AWS Config regras apropriadas e começa a executar verificações de segurança para gerar descobertas.

Considerações antes de ativar e configurar AWS Config

Para receber descobertas de controle no CSPM do Security Hub, você AWS Config deve estar habilitado para sua conta em cada um em Região da AWS que o CSPM do Security Hub esteja habilitado. Se você usar o CSPM do Security Hub para um ambiente com várias contas, o AWS Config deverá estar habilitado em todas as regiões para a conta de administrador e todas as contas de membro.

É altamente recomendável que você ative a gravação de recursos AWS Config antes de habilitar quaisquer padrões e controles CSPM do Security Hub. Isso ajuda a garantir que suas descobertas de controle sejam precisas.

Para ativar a gravação de recursos AWS Config, você deve ter permissões suficientes para registrar recursos na função AWS Identity and Access Management (IAM) anexada ao gravador de configuração. Além disso, certifique-se de que nenhuma política ou AWS Organizations política do IAM impeça AWS Config de ter permissão para registrar seus recursos. Os controles CSPM do Security Hub avaliam as configurações de recursos diretamente e não levam em conta AWS Organizations as políticas. Para obter mais informações sobre os registros do AWS Config , consulte Trabalho com o gravador de recursos no Guia do desenvolvedor do AWS Config .

Se você habilitar um padrão no CSPM do Security Hub, mas não tiver ativado AWS Config, o CSPM do Security Hub tentará criar AWS Config regras vinculadas ao serviço de acordo com a seguinte programação:

  • No dia em que você habilita o padrão.

  • No dia seguinte à habilitação do padrão.

  • 3 dias depois de habilitar o padrão.

  • 7 dias depois que você habilitar o padrão, e continuamente a cada 7 dias depois disso.

Se você usa a configuração central, o Security Hub CSPM também tenta criar AWS Config regras vinculadas a serviços sempre que você associa uma política de configuração que habilita um ou mais padrões a contas, unidades organizacionais (OUs) ou à raiz.

Recursos de gravação em AWS Config

Ao habilitar AWS Config, você deve especificar quais AWS recursos deseja que o gravador AWS Config de configuração registre. Por meio das regras vinculadas ao serviço, o gravador de configuração permite que o CSPM do Security Hub detecte alterações nas configurações de seus recursos.

Para que o CSPM do Security Hub gere descobertas de controle precisas, é necessário ativar o registro no AWS Config dos tipos de recursos que correspondam aos seus controles ativados. São principalmente controles habilitados com um tipo de programação acionada por alterações que exigem registro de recursos. Alguns controles com um tipo de programação periódica também exigem o registro de recursos. Para obter uma lista desses controles e seus recursos correspondentes, consulte Obrigatório AWS Config recursos para descobertas de controle.

Atenção

Se você não configurar a AWS Config gravação corretamente para os controles CSPM do Security Hub, isso pode resultar em descobertas de controle imprecisas, principalmente nos seguintes casos:

  • Você nunca registrou o recurso para um determinado controle ou desabilitou o registro de um recurso antes de criar esse tipo de recurso. Nesses casos, você recebe uma descoberta WARNING para o controle em questão, mesmo que tenha criado recursos no escopo do controle depois de desabilitar o registro. Essa descoberta WARNING é uma descoberta padrão que, na verdade, não avalia o estado de configuração do recurso.

  • Você desabilita o registro de um recurso que é avaliado por um controle específico. Nesse caso, o CSPM do Security Hub reterá as descobertas de controle que forem geradas antes de você desabilitar o registro, mesmo que o controle não esteja avaliando recursos novos ou atualizados. O CSPM do Security Hub também altera o status de conformidade das descobertas para WARNING. Essas descobertas retidas podem não refletir com precisão o estado atual da configuração de um recurso.

Por padrão, AWS Config registra todos os recursos regionais suportados que ele descobre no local Região da AWS em que está sendo executado. Para receber todas as descobertas de controle do CSPM do Security Hub, você também deve configurar AWS Config para registrar recursos globais. Para economizar custos, recomendamos registrar recursos globais em uma única região apenas. Se você usa a configuração central ou a agregação entre regiões, essa deve ser sua região inicial.

Em AWS Config, você pode escolher entre gravação contínua e gravação diária de alterações no estado do recurso. Se você escolher a gravação diária, AWS Config fornecerá dados de configuração do recurso no final de cada período de 24 horas se houver alterações no estado do recurso. Se não houver alterações, nenhum dado será entregue. Isso pode atrasar a geração de descobertas do CSPM do Security Hub para controles acionados por alterações até que um período de 24 horas seja concluído.

Para obter mais informações sobre AWS Config gravação, consulte AWS Recursos de gravação no Guia do AWS Config desenvolvedor.

Formas de habilitar e configurar AWS Config

Você pode ativar AWS Config e ativar a gravação de recursos de qualquer uma das seguintes formas:

  • AWS Config console — Você pode ativar AWS Config uma conta usando o AWS Config console. Para obter instruções, consulte Configuração AWS Config com o console no Guia do AWS Config desenvolvedor.

  • AWS CLI ou SDKs — você pode ativar AWS Config uma conta usando o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Configuração AWS Config com o AWS CLI no Guia do AWS Config desenvolvedor. AWS kits de desenvolvimento de software (SDKs) também estão disponíveis para muitas linguagens de programação.

  • CloudFormation modelo — AWS Config Para habilitar várias contas, recomendamos usar o AWS CloudFormation modelo chamado Ativar AWS Config. Para acessar esse modelo, consulte modelos de AWS CloudFormation StackSet amostra no Guia AWS CloudFormation do usuário.

    Por padrão, esse modelo exclui o registro de recursos globais do IAM. Certifique-se de ativar o registro dos recursos globais do IAM em apenas uma Região da AWS para conservar os custos de registro. Se você tiver a agregação entre regiões habilitada, essa deverá ser sua região inicial do CSPM do Security Hub. Caso contrário, pode ser qualquer região em que o CSPM do Security Hub esteja disponível e que ofereça suporte ao registro de recursos globais do IAM. Recomendamos executar um StackSet para registrar todos os recursos, incluindo recursos globais do IAM, na região de origem ou em outra região selecionada. Em seguida, execute um segundo StackSet para registrar todos os recursos, exceto os recursos globais do IAM em outras regiões.

  • GitHub script — O Security Hub CSPM oferece um GitHubscript que habilita o CSPM do Security Hub e AWS Config para várias contas em todas as regiões. Esse script é útil se você não se integrou ou tem algumas contas de membros que não fazem parte de uma organização. AWS Organizations

Para obter mais informações, consulte a seguinte postagem no blog de AWS segurança: Otimize o CSPM do AWS Security Hub AWS Config para gerenciar com eficiência sua postura de segurança na nuvem.

Considerações sobre custos

O Security Hub CSPM pode afetar os custos AWS Config do gravador de configuração atualizando o AWS::Config::ResourceCompliance item de configuração. As atualizações podem ocorrer sempre que um controle CSPM do Security Hub associado a uma AWS Config regra muda de estado de conformidade, é ativado ou desativado ou tem atualizações de parâmetros. Se você usa o gravador de AWS Config configuração somente para o Security Hub CSPM e não usa esse item de configuração para outras finalidades, recomendamos desativar a gravação para ele no. AWS Config Isso pode reduzir os custos do AWS Config . Você não precisa registrar AWS::Config::ResourceCompliance para que as verificações de segurança funcionem no CSPM do Security Hub.

Para obter informações sobre os custos associados ao registro de recursos, consulte a Definição de preços do CSPM do AWS Security Hub e a Definição de preços do AWS Config.

Entendendo o Config.1 controle

nota

Quando o AWS Security Hub CSPM e o Security Hub estão habilitados, o Config.1 controle sempre tem o status de. PASSED O Security Hub CSPM tem acesso direto aos itens de configuração por meio de um gravador de configuração vinculado ao serviço. Para obter mais informações, consulte Usando o gravador de configuração vinculado ao serviço.

No Security Hub CSPM, o Config.1controle gera FAILED descobertas em sua conta se AWS Config estiver desativado. Ele também gera FAILED descobertas em sua conta se AWS Config estiver ativado, mas a gravação de recursos não estiver ativada.

Se AWS Config estiver habilitado e a gravação de recursos estiver ativada, mas a gravação de recursos não estiver ativada para um tipo de recurso verificado por um controle ativado, o Security Hub CSPM gerará uma FAILED descoberta para o Config.1 controle. Além dessa descoberta FAILED, o CSPM do Security Hub gerará descobertas WARNING para o controle habilitado e os tipos de recursos que o controle verifica. Por exemplo, se você habilitar o KMS.5controle e a gravação de recursos não estiver ativada AWS KMS keys, o Security Hub CSPM gerará uma FAILED descoberta para o Config.1 controle. O Security Hub CSPM também gera WARNING descobertas para o KMS.5 controle e suas chaves KMS.

Para receber uma PASSED descoberta para o Config.1 controle, ative o registro de recursos para todos os tipos de recursos que correspondem aos controles ativados. Além disso, desabilite os controles que não sejam necessários para sua organização. Isso ajuda a garantir que você não tenha lacunas de configuração nas verificações de controle de segurança. Também ajuda a garantir que você receba descobertas precisas sobre recursos mal configurados.

Se você for o administrador delegado do CSPM do Security Hub de uma organização, o registro do AWS Config deverá ser configurado corretamente para a sua conta e as contas de membro. Se você usar a agregação entre regiões, a AWS Config gravação deverá ser configurada corretamente na região de origem e em todas as regiões vinculadas. Os recursos globais não precisam ser registrados nas regiões vinculadas.

Geração de regras vinculadas ao serviço

Para cada controle que usa uma AWS Config regra vinculada ao serviço, o Security Hub CSPM cria instâncias da regra necessária em seu ambiente. AWS

Essas regras vinculadas ao serviço são específicas do CSPM do Security Hub. O CSPM do Security Hub cria essas regras vinculadas ao serviço mesmo se outras instâncias das mesmas regras já existirem. A regra vinculada ao serviço adiciona securityhub antes do nome da regra original e um identificador exclusivo após o nome da regra. Por exemplo, para a regra AWS Config gerenciadavpc-flow-logs-enabled, o nome da regra vinculada ao serviço pode ser. securityhub-vpc-flow-logs-enabled-12345

Há cotas para o número de regras AWS Config gerenciadas que podem ser usadas para avaliar os controles. AWS Config as regras que o Security Hub CSPM cria não contam para essas cotas. Você pode ativar um padrão de segurança mesmo que já tenha atingido a AWS Config cota de regras gerenciadas em sua conta. Para saber mais sobre cotas para AWS Config regras, consulte Limites de serviço AWS Config no Guia do AWS Config desenvolvedor.

nota

Se você estiver usando o Security Hub CSPM e o Security Hub, poderá ver as regras vinculadas ao serviço AWS Config , mas não poderá ver os recursos compatíveis ou não compatíveis associados à regra. Recursos compatíveis e não compatíveis só estarão visíveis no Security Hub CSPM e no Security Hub.