Configuración centralizada en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Configuración centralizada en Security Hub

La configuración centralizada es una característica de Security Hub que le ayuda a configurar y administrar el servicio en múltiples Cuentas de AWS y Regiones de AWS. Para usar la configuración centralizada, antes debe integrar Security Hub y AWS Organizations. Para integrar los servicios, puede crear una organización y designar una cuenta de administrador delegado de Security Hub para la organización.

Desde la cuenta de administrador delegado de Security Hub, puede especificar cómo se configuran el servicio Security Hub, los estándares de seguridad y controles de seguridad en las cuentas y las unidades organizativas (OU) de su organización en todas las regiones. Puede configurar estos ajustes en tan solo unos pasos desde una región principal, denominada región de origen. Si no usa la configuración centralizada, debe configurar Security Hub por separado en cada cuenta y región.

Al utilizar la configuración centralizada, el administrador delegado puede elegir qué cuentas y unidades organizativas desea configurar. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como autoadministrada, el miembro puede configurar sus propios ajustes por separado en cada región. Si el administrador delegado designa una cuenta de miembro o una unidad organizativa como administrada de forma centralizada, solo el administrador delegado puede configurar la cuenta de miembro o la unidad organizativa en todas las regiones. Puede designar todas las cuentas y unidades organizativas de su organización como administradas de forma centralizada, todas autoadministradas o como una combinación de ambas.

Para configurar las cuentas administradas de forma centralizada, el administrador delegado utiliza las políticas de configuración de Security Hub. Las políticas de configuración permiten al administrador delegado especificar si Security Hub está habilitado o deshabilitado, y qué normas y controles están habilitados o deshabilitados. También pueden utilizarse para personalizar los parámetros de determinados controles.

Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas. El administrador delegado especifica la región de origen de la organización y las regiones vinculadas antes de empezar a utilizar la configuración centralizada. El administrador delegado puede crear una única política de configuración para toda la organización, o crear varias políticas de configuración para configurar ajustes variables en diferentes cuentas y unidades organizativas.

En esta sección, se proporciona información general acerca de la configuración centralizada.

Beneficios de la configuración centralizada

Entre los beneficios de la configuración centralizada, se incluyen los siguientes:

Simplificación de la configuración del servicio y las capacidades de Security Hub

Cuando utiliza la configuración centralizada, Security Hub le guía a través del proceso de configuración de las prácticas recomendadas de seguridad para su organización. También implementa automáticamente las políticas de configuración resultantes en cuentas y unidades organizativas específicas. Si ya tiene configuraciones existentes en Security Hub, como habilitar automáticamente nuevos controles de seguridad, puede utilizarlas como punto de partida para las políticas de configuración. Además, la página Configuración de la consola de Security Hub muestra un resumen en tiempo real de las políticas de configuración y cuentas y unidades organizativas que utiliza cada política.

Configuración en todas las cuentas y regiones

Puede utilizar la configuración centralizada para configurar Security Hub en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

Compatibilidad con diferentes configuraciones en diferentes cuentas y unidades organizativas

Con la configuración centralizada, puede elegir si desea configurar las cuentas y unidades organizativas de su organización de diferentes maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

Prevención de desviaciones de la configuración

La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

¿Quién debería usar la configuración centralizada?

La configuración centralizada es más beneficiosa para los entornos de AWS que incluyen varias cuentas de Security Hub. Está diseñada para ayudarle a administrar Security Hub en varias cuentas.

Puede usar la configuración centralizada para configurar el servicio Security Hub, los estándares de seguridad y los controles de seguridad. También pueden utilizarla para personalizar los parámetros de determinados controles. Para obtener más información sobre estándares y controles, consulte Controles y estándares de AWS seguridad en Security Hub.

Términos y conceptos de la configuración centralizada

Comprender los siguientes términos y conceptos clave puede ayudarle a utilizar la configuración centralizada de Security Hub.

Configuración centralizada

Una característica de Security Hub que ayuda a la cuenta de administrador delegado de Security Hub de una organización a configurar el servicio Security Hub, los estándares de seguridad y los controles de seguridad en varias cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración centralizada, debe integrar Security Hub y AWS Organizations.

Región de origen

La Región de AWS desde la cual el administrador delegado configura de manera centralizada Security Hub mediante la creación y la administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

La región de origen también sirve como la región de agregación de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Las regiones que AWS introdujo después del 20 de marzo de 2019 son regiones optativas. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones opcionales, consulte la sección Considerations before enabling and disabling Regions en la Guía de referencia de administración de cuentas de AWS.

Región vinculada

Una Región de AWS que se puede configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. Debe especificar al menos una región vinculada para utilizar la configuración centralizada.

Una región vinculada también envía resultados, información y otros datos a la región de origen.

Las regiones que AWS introdujo después del 20 de marzo de 2019 son regiones optativas. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulte Specify which Regiones de AWS your account can use en la Guía de referencia de administración de cuentas de AWS.

Política de configuración de Security Hub

Un conjunto de ajustes de Security Hub que el administrador delegado puede configurar para las cuentas administradas de forma centralizada. Esto incluye:

  • Si se habilita o deshabilita Security Hub.

  • Si se habilitan uno o más estándares de seguridad.

  • Qué controles de seguridad se habilitan en todos los estándares habilitados. Para hacerlo, el administrador delegado puede proporcionar una lista de controles específicos que deben estar habilitados, y Security Hub deshabilitará todos los demás controles (incluidos los controles nuevos cuando se lanzan). Como alternativa, el administrador delegado puede proporcionar una lista de controles específicos que deberían estar deshabilitados y Security Hub habilitará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan.

  • Si lo desea, personalice parámetros de ciertos controles habilitados en los estándares habilitados.

Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.

En la consola de Security Hub, el administrador delegado puede elegir la política de configuración recomendada por Security Hub o crear políticas de configuración personalizadas. Con la API de Security Hub y la AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.

En la política de configuración recomendada para Security Hub, se habilitan las Prácticas recomendadas de seguridad básica de AWS (FSBP) y todos los controles existentes y nuevos de FSBP. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.

Para aplicar diferentes configuraciones a la organización o aplicar diferentes políticas de configuración a diferentes cuentas y unidades organizativas, cree una política de configuración personalizada.

Configuración local

El tipo de configuración predeterminado para una organización, después de integrar Security Hub y AWS Organizations. Con la configuración local, el administrador delegado puede habilitar automáticamente Security Hub, los estándares de seguridad predeterminados en las nuevas cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.

La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

Administración manual de cuentas

Si no integra Security Hub con AWS Organizations o si tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

API de configuración centralizada

Operaciones de Security Hub que solo el administrador delegado de Security Hub puede usar en la región de origen para administrar políticas de configuración para cuentas administradas centralmente. Las operaciones incluyen:

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

API específicas de la cuenta

Operaciones del Security Hub que se pueden usar para habilitar o deshabilitar el Security Hub, los estándares y los controles de account-by-account forma independiente. Estas operaciones se utilizan en cada región individual.

Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

Sin embargo, para comprobar el estado de su cuenta, el propietario de una cuenta administrada de forma centralizada puede utilizar cualquiera de las operaciones Get o Describe.

Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.

Unidad organizativa (OU)

En AWS Organizations y en Security Hub, un contenedor para un grupo de Cuentas de AWS. Una unidad organizativa (OU) también puede contener otras unidades organizativas, lo que le permite crear una jerarquía que se asemeja a un árbol invertido, con una unidad organizativa principal en la parte superior y ramas de unidades organizativas que descienden y terminan en cuentas que son las hojas del árbol. Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.

Puede administrar las unidades organizativas en AWS Organizations o AWS Control Tower. Para obtener más información, consulte Administración de unidades organizativas en la Guía del usuario de AWS Organizations o Control de organizaciones y cuentas con AWS Control Tower en la Guía del usuario de AWS Control Tower.

El administrador delegado puede asociar las políticas de configuración a cuentas o unidades organizativas específicas, o a la cuenta raíz para abarcar todas las cuentas y unidades organizativas de una organización.

Administrada de forma centralizada

Una cuenta, unidad organizativa o cuenta raíz que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si una cuenta se administra de forma centralizada. El administrador delegado también puede cambiar el estado de una cuenta de administrada centralmente a autoadministrada, o al revés.

Autoadministrado

Una cuenta, unidad organizativa o cuenta raíz que administra su propia configuración de Security Hub. Una cuenta autoadministrada utiliza operaciones específicas de la cuenta para configurar Security Hub por separado en cada región. Esto contrasta con las cuentas administradas de forma centralizada, que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si una cuenta es autoadministrada. La cuenta de administrador delegado también puede cambiar el estado de una cuenta de autoadministrada a administrada de forma centralizada, o al revés.

El administrador delegado puede aplicar un comportamiento autoadministrado a una cuenta o unidad organizativa. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal. La cuenta de administrador delegado puede ser en sí misma una cuenta autoadministrada.

Asociación de políticas de configuración

Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:

  • Cuando el administrador delegado aplica directamente una política de configuración a una cuenta, unidad organizativa o raíz

  • Cuando una cuenta o unidad organizativa hereda una política de configuración de una unidad organizativa principal o de la cuenta raíz

Existe una asociación hasta que se aplique o herede una configuración diferente.

Política de configuración aplicada

Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino, a las unidades organizativas o a la cuenta raíz. Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la cuenta raíz, la política de configuración afecta a todas las cuentas y unidades organizativas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la cuenta principal más cercana.

El administrador delegado también puede aplicar una configuración autoadministrada a cuentas específicas, unidades organizativas o la raíz.

Política de configuración heredada

Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.

La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

Raíz

En AWS Organizations y Security Hub, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la cuenta raíz, la política se asocia a todas las cuentas y unidades organizativas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se designen como autoadministradas. Si el administrador designa la raíz como autoadministrada, todas las cuentas y unidades organizativas de la organización se autoadministran, a menos que utilicen una política de configuración por aplicación o herencia. Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.

Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.