AWS Config controles - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Config controles

Estos controles están relacionados con los AWS Config recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.

[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.r5 CM-3, NISt.800-53.r5 CM-6 (1), NISt.800-53.r5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::::Account

AWS Config regla: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros: ninguno

Este control comprueba si su cuenta AWS Config está habilitada en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza la función vinculada al servicio AWS Config. Si no utiliza el rol vinculado al servicio, el control falla porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.

El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.

El control se evalúa de la siguiente manera:

  • Si la región actual está configurada como su región de agregación, el control solo produce PASSED resultados si se registran los recursos globales AWS Identity and Access Management (de IAM) (si ha activado los controles que los requieren).

  • Si la región actual está configurada como una región vinculada, el control no evalúa si se registran los recursos globales de IAM.

  • Si la región actual no está en tu agregador o si la agregación entre regiones no está configurada en tu cuenta, el control solo produce PASSED resultados si se registran los recursos globales de IAM (si has activado los controles que los requieren).

Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos. AWS Config Sin embargo, los resultados de este control pueden cambiar cuando se lanzan nuevos controles si se ha configurado la activación automática de los nuevos controles o si se cuenta con una política de configuración central que habilita automáticamente los nuevos controles. En estos casos, si no graba todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para poder recibir un PASSED resultado.

Los controles de seguridad de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.

nota

La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub.

Como Security Hub es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.

Para permitir las comprobaciones de seguridad de los recursos globales de IAM en una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un PASSED resultado predeterminado para los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las regiones Regiones de AWS, te recomendamos que los registres únicamente en la región de origen (si la agregación entre regiones está habilitada en tu cuenta). Los recursos de IAM se registrarán solo en la región en la que esté activado el registro de recursos globales.

Los tipos de recursos de IAM registrados a nivel mundial que AWS Config admiten son los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de la IAM. Puede considerar desactivar los controles del concentrador de seguridad que comprueban estos tipos de recursos en las regiones en las que el registro global de recursos está desactivado. Para obtener más información, consulte Security Hub controla que quizás desee realizar deshabilitaciones.

Corrección

Para obtener una lista de los recursos que deben registrarse para cada control, consulte. AWS Config recursos necesarios para generar los resultados de control

En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha activado los controles que requieren recursos globales de IAM.

En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tiene activados los controles que requieren el registro de los recursos globales de IAM, no recibirá ningún FAILED resultado (basta con registrar otros recursos).

Para habilitarlo AWS Config y configurarlo para registrar recursos, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores. También puedes usar una AWS CloudFormation plantilla para automatizar este proceso. Para obtener más información, consulte las plantillas AWS CloudFormation StackSets de ejemplo en la Guía del AWS CloudFormation usuario.