Cómo funcionan las políticas de configuración en Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo funcionan las políticas de configuración en Security Hub

El delegado AWS Security Hub el administrador puede crear políticas de configuración para configurar Security Hub, los estándares de seguridad y los controles de seguridad de una organización. Tras crear una política de configuración, el administrador delegado puede asociarla a cuentas, unidades organizativas (OUs) o a la raíz específicas. A continuación, la política entra en vigor en las cuentas especificadas o en la raíz. OUs

Para obtener información general sobre las ventajas de la configuración central y su funcionamiento, consulteDescripción de la configuración central en Security Hub.

En esta sección se proporciona una descripción detallada de las políticas de configuración.

Consideraciones respecto de la política

Antes de crear una política de configuración en Security Hub, tenga en cuenta los siguientes detalles.

  • Las políticas de configuración deben estar asociadas para que surtan efecto: después de crear una política de configuración, puede asociarla a una o más cuentas, unidades organizativas (OUs) o a la raíz. Una política de configuración se puede asociar a las cuentas, OUs mediante una aplicación directa o mediante la herencia de una unidad organizativa principal.

  • Una cuenta o unidad organizativa solo se puede asociar a una política de configuración: para evitar ajustes conflictivos, una cuenta o unidad organizativa solo se puede asociar a una política de configuración en un momento dado. Como alternativa, una cuenta o unidad organizativa puede autoadministrarse.

  • Las políticas de configuración están completas: las políticas de configuración proporcionan una especificación completa de la configuración. Por ejemplo, una cuenta secundaria no puede aceptar la configuración de algunos controles de una política ni la configuración de otros controles de otra política. Cuando asocie una política a una cuenta secundaria, asegúrese de que la política especifique toda la configuración que desea que utilice dicha cuenta.

  • Las políticas de configuración no se pueden revertir: no existe la opción de revertir una política de configuración después de asociarla a cuentas o. OUs Por ejemplo, si asocias una política de configuración que inhabilita los CloudWatch controles a una cuenta específica y, a continuación, disocias esa política, los CloudWatch controles seguirán deshabilitados en esa cuenta. Para volver a habilitar CloudWatch los controles, puede asociar la cuenta a una nueva política que habilite los controles. Como alternativa, puede cambiar la cuenta a autogestionada y habilitar cada CloudWatch control de la cuenta.

  • Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas: una política de configuración afecta a todas las cuentas asociadas de la región de origen y a todas las regiones vinculadas. No puede crear una política de configuración que surta efecto solo en algunas de estas regiones y no en otras. La excepción son los controles que utilizan recursos globales. Security Hub desactiva automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen.

    Regiones que AWS introducidas a partir del 20 de marzo de 2019 se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de que una política de configuración entre en vigor en ella. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener instrucciones sobre cómo habilitar las regiones opcionales, consulta Especificar cuáles Regiones de AWS su cuenta puede utilizar en el AWS Guía de referencia sobre administración de cuentas.

    Si su política configura un control que no está disponible en la región de origen o en una o más regiones vinculadas, Security Hub omite la configuración de control en las regiones no disponibles, pero aplica la configuración en las regiones en las que el control está disponible. No tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.

  • Las políticas de configuración son recursos: como recurso, una política de configuración tiene un nombre de recurso de Amazon (ARN) y un identificador único universal (UUID). ARNUtiliza el siguiente formato:arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID. Una configuración autogestionada no tiene ARN oUUID. El identificador de una configuración autogestionada es. SELF_MANAGED_SECURITY_HUB

Tipos de políticas de configuración

Cada política de configuración especifica la configuración siguiente:

  • Habilite o deshabilite Security Hub.

  • Habilite uno o más estándares de seguridad.

  • Indique qué controles de seguridad están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y Security Hub deshabilitará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar deshabilitados y Security Hub habilitará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan.

  • Si lo desea, personalice parámetros de ciertos controles habilitados en los estándares habilitados.

Las políticas de configuración central no incluyen AWS Config ajustes de la grabadora. Debe habilitar por separado AWS Config y active la grabación de los recursos necesarios para que Security Hub genere hallazgos de control. Para obtener más información, consulte Configuración AWS Config para Security Hub.

Si usa la configuración central, Security Hub deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los demás controles que decida habilitar mediante una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar su AWS Config configura la grabadora y desactiva el registro de recursos globales en todas las regiones, excepto en la región de origen. Cuando utilizas la configuración central, no tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas. Para obtener una lista de los controles que implican recursos globales, consulteControles que utilizan recursos globales.

Al crear una política de configuración por primera vez en la consola de Security Hub, tiene la opción de elegir la política recomendada por Security Hub.

La política recomendada habilita a Security Hub, el AWS El estándar fundamental de mejores prácticas de seguridad (FSBP) y todos los FSBP controles nuevos y existentes. Los controles que aceptan parámetros utilizan los valores predeterminados. La política recomendada se aplica a las cuentas root (todas las cuentasOUs, tanto las nuevas como las existentes). Tras crear la política recomendada para su organización, puede modificarla desde la cuenta de administrador delegado. Por ejemplo, puede habilitar estándares o controles adicionales o deshabilitar FSBP controles específicos. Para obtener instrucciones sobre cómo modificar una política de configuración, consulte Actualización de las políticas de configuración.

Política de configuración personalizada

En lugar de la política recomendada, el administrador delegado puede crear hasta 20 políticas de configuración personalizadas. Puede asociar una única política personalizada a toda la organización o distintas políticas personalizadas a distintas cuentas yOUs. En el caso de una política de configuración personalizada, debe especificar la configuración que desee. Por ejemplo, puede crear una política personalizada que FSBP habilite el Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 y todos los controles de esos estándares, excepto los controles de Amazon Redshift. El nivel de granularidad que utilice en las políticas de configuración personalizadas depende del alcance previsto de la cobertura de seguridad en toda la organización.

nota

No puede asociar una política de configuración que deshabilite Security Hub con la cuenta de administrador delegado. Esta política se puede asociar a otras cuentas, pero omite la asociación con el administrador delegado. La cuenta de administrador delegado retiene su configuración actual.

Tras crear una política de configuración personalizada, puede cambiar a la política de configuración recomendada mediante su actualización para que refleje la configuración recomendada. Sin embargo, no aparece la opción de crear la política de configuración recomendada en la consola de Security Hub después de crear la primera política.

Asociación de políticas mediante la aplicación y la herencia

Cuando opta por la configuración centralizada por primera vez, su organización no tiene asociaciones y se comporta de la misma manera que antes de la configuración. Luego, el administrador delegado puede establecer asociaciones entre una política de configuración o un comportamiento autogestionado y las cuentas o la raíz. OUs Las asociaciones se pueden establecer mediante aplicación o herencia.

Desde la cuenta del administrador delegado, puede aplicar directamente una política de configuración a una cuenta, unidad organizativa o la raíz. Como alternativa, el administrador delegado puede aplicar directamente una designación autogestionada a una cuenta, unidad organizativa o raíz.

En ausencia de una aplicación directa, una cuenta o unidad organizativa hereda la configuración de la cuenta principal más cercana que tenga una política de configuración o un comportamiento autogestionado. Si la cuenta principal más cercana está asociada a una política de configuración, la cuenta secundaria hereda esa política y solo la puede configurar el administrador delegado de la región de origen. Si el padre más cercano es autogestionado, el hijo hereda el comportamiento autogestionado y tiene la capacidad de especificar su propia configuración en cada uno Región de AWS.

La solicitud tiene prioridad sobre la herencia. En otras palabras, la herencia no anula una política de configuración ni una designación autogestionada que el administrador delegado haya aplicado directamente a una cuenta o unidad organizativa.

Si aplica directamente una política de configuración a una cuenta autogestionada, la política anula la designación autogestionada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Recomendamos aplicar directamente una política de configuración a la raíz. Si aplica una política a la raíz, las nuevas cuentas que se unan a su organización heredarán automáticamente la política raíz, a menos que las asocie a una política diferente o las designe como autoadministrables.

Solo se puede asociar una política de configuración a una cuenta o unidad organizativa en un momento dado, ya sea mediante aplicación o herencia. Se diseñó así para evitar configuraciones conflictivas.

El siguiente diagrama ilustra cómo funcionan la aplicación de políticas y la herencia en una configuración centralizada.

Aplicación y herencia de las políticas de configuración de Security Hub

En este ejemplo, se ha aplicado una política de configuración a un nodo resaltado en verde. No se ha aplicado ninguna política de configuración al nodo resaltado en azul. Un nodo resaltado en amarillo se ha designado como autoadministrado. Cada cuenta y unidad organizativa usa la siguiente configuración:

  • OU:Root (verde): esta unidad organizativa usa la política de configuración que se le ha aplicado.

  • OU:Prod (azul): esta unidad organizativa hereda la política de configuración de OU:Root.

  • OU:Applications (verde): esta unidad organizativa usa la política de configuración que se le ha aplicado.

  • Cuenta 1 (verde): esta cuenta usa la política de configuración que se le ha aplicado.

  • Cuenta 2 (azul): esta cuenta hereda la política de configuración de OU:Applications.

  • OU:Dev (amarillo): esta unidad organizativa está autoadministrada.

  • Cuenta 3 (verde): esta cuenta usa la política de configuración que se le ha aplicado.

  • Cuenta 4 (azul): esta cuenta hereda el comportamiento autoadministrado de OU:Dev.

  • OU:Test (Blue): esta cuenta hereda la política de configuración de OU:Root.

  • Cuenta 5 (azul): esta cuenta hereda la política de configuración de OU:Root, ya que su matriz inmediata, OU:Test, no está asociada a ninguna política de configuración.

Prueba de una política de configuración

Para asegurarse de que entiende cómo funcionan las políticas de configuración, le recomendamos crear una política y asociarla a una cuenta de prueba o unidad organizativa.

Prueba de una política de configuración
  1. Cree una política de configuración personalizada. Compruebe que la configuración especificada para la habilitación, los estándares y los controles de Security Hub sea correcta.

  2. Aplique la política de configuración a una cuenta de prueba o unidad organizativa que no tenga cuentas secundarias oOUs.

  3. Compruebe que la cuenta de prueba o la unidad organizativa utilicen la política de configuración de la manera esperada en su región de origen y en todas las regiones vinculadas. También puede comprobar que todas las demás cuentas de su organización siguen siendo autogestionadas y pueden cambiar sus propios ajustes en cada región. OUs

Después de probar una política de configuración en una sola cuenta o unidad organizativa, puede asociarla a otras cuentas yOUs.