Funcionamiento de las políticas de configuración de Security Hub - AWS Security Hub
Consideraciones respecto de la políticaTipos de políticas de configuraciónAsociación de políticas mediante la aplicación y la herenciaPrueba de una política de configuración

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Funcionamiento de las políticas de configuración de Security Hub

La cuenta de administrador delegado puede crear políticas de AWS Security Hub configuración para configurar Security Hub, los estándares de seguridad y los controles de seguridad de su organización. Tras crear una política de configuración, el administrador delegado puede asociarla a cuentas, unidades organizativas (OU) o a la raíz de la organización. El administrador delegado también puede ver, editar o eliminar las políticas de configuración.

Consideraciones respecto de la política

Antes de crear una política de configuración en Security Hub, tenga en cuenta los siguientes detalles.

  • Las políticas de configuración deben estar asociadas para que surtan efecto: después de crear una política de configuración, puede asociarla a una o más cuentas, unidades organizativas (OU) o a la raíz. Una política de configuración se puede asociar a cuentas o unidades organizativas mediante una aplicación directa o mediante la herencia de una unidad organizativa principal.

  • Una cuenta o unidad organizativa solo se puede asociar a una política de configuración: para evitar ajustes conflictivos, una cuenta o unidad organizativa solo se puede asociar a una política de configuración en un momento dado. Como alternativa, una cuenta o unidad organizativa puede autoadministrarse.

  • Las políticas de configuración están completas: las políticas de configuración proporcionan una especificación completa de la configuración. Por ejemplo, una cuenta secundaria no puede aceptar la configuración de algunos controles de una política ni la configuración de otros controles de otra política. Cuando asocie una política a una cuenta secundaria, asegúrese de que la política especifique toda la configuración que desea que utilice dicha cuenta.

  • Las políticas de configuración no se pueden revertir: no existe la opción de revertir una política de configuración después de asociarla a cuentas o unidades organizativas. Por ejemplo, si asocias una política de configuración que inhabilita los CloudWatch controles a una cuenta específica y, a continuación, disocias esa política, los CloudWatch controles seguirán deshabilitados en esa cuenta. Para volver a habilitar CloudWatch los controles, puede asociar la cuenta a una nueva política que habilite los controles. Como alternativa, puede cambiar la cuenta a autogestionada y habilitar cada CloudWatch control de la cuenta.

  • Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas: una política de configuración afecta a todas las cuentas asociadas de la región de origen y a todas las regiones vinculadas. No puede crear una política de configuración que surta efecto solo en algunas de estas regiones y no en otras. La excepción son los controles que utilizan recursos globales. Security Hub desactiva automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen.

    Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones de suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de que una política de configuración entre en vigor en ella. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener instrucciones sobre cómo habilitar las regiones opcionales, consulta Especificar qué regiones puedes usar en Regiones de AWS tu cuenta en la Guía de referencia sobre la administración de AWS cuentas.

    Si su política configura un control que no está disponible en la región de origen o en una o más regiones vinculadas, Security Hub omite la configuración de control en las regiones no disponibles, pero aplica la configuración en las regiones en las que el control está disponible. No tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.

  • Las políticas de configuración son recursos: como recurso, una política de configuración tiene un Nombre de recurso de Amazon (ARN) y un identificador único universal (UUID). El ARN del producto tiene el siguiente formato: arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID. Una configuración autogestionada no tiene ARN ni UUID. El identificador de una configuración autogestionada es. SELF_MANAGED_SECURITY_HUB

Tipos de políticas de configuración

Cada política de configuración especifica la configuración siguiente:

  • Habilite o deshabilite Security Hub.

  • Habilite uno o más estándares de seguridad.

  • Indique qué controles de seguridad están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y Security Hub deshabilitará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar deshabilitados y Security Hub habilitará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan.

  • Si lo desea, personalice parámetros de ciertos controles habilitados en los estándares habilitados.

Las políticas de configuración central no incluyen los ajustes de la AWS Config grabadora. Debe habilitar AWS Config y activar por separado la grabación de los recursos necesarios para que Security Hub genere hallazgos de control. Para obtener más información, consulte Configurando AWS Config.

Si usa la configuración central, Security Hub deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los demás controles que decida habilitar mediante una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen. Cuando utilizas la configuración central, no tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas. Para obtener una lista de los controles que implican recursos globales, consulteControles que utilizan recursos globales.

Al crear una política de configuración por primera vez en la consola de Security Hub, tiene la opción de elegir la política recomendada por Security Hub.

La política recomendada habilita Security Hub, el estándar AWS Foundational Security Best Practices (FSBP) y todos los controles FSBP nuevos y existentes. Los controles que aceptan parámetros utilizan los valores predeterminados. La política recomendada se aplica a la raíz (todas las cuentas y unidades organizativas, tanto nuevas como existentes). Tras crear la política recomendada para su organización, puede modificarla desde la cuenta de administrador delegado. Por ejemplo, puede habilitar estándares o controles adicionales o deshabilitar controles específicos del FSBP. Para obtener instrucciones sobre cómo modificar una política de configuración, consulte Actualización de las políticas de configuración de Security Hub.

Política de configuración personalizada

En lugar de la política recomendada, el administrador delegado puede crear hasta 20 políticas de configuración personalizadas. Puede asociar una única política personalizada a toda la organización o distintas políticas personalizadas a distintas cuentas y unidades organizativas. En el caso de una política de configuración personalizada, debe especificar la configuración que desee. Por ejemplo, puede crear una política personalizada que habilite el FSBP, AWS Foundations Benchmark v1.4.0 de Center for Internet Security (CIS) y todos los controles de esos estándares, excepto los controles de Amazon Redshift. El nivel de granularidad que utilice en las políticas de configuración personalizadas depende del alcance previsto de la cobertura de seguridad en toda la organización.

nota

No puede asociar una política de configuración que deshabilite Security Hub con la cuenta de administrador delegado. Esta política se puede asociar a otras cuentas, pero omite la asociación con el administrador delegado. La cuenta de administrador delegado retiene su configuración actual.

Tras crear una política de configuración personalizada, puede cambiar a la política de configuración recomendada mediante su actualización para que refleje la configuración recomendada. Sin embargo, no aparece la opción de crear la política de configuración recomendada en la consola de Security Hub después de crear la primera política.

Asociación de políticas mediante la aplicación y la herencia

Cuando opta por la configuración centralizada por primera vez, su organización no tiene asociaciones y se comporta de la misma manera que antes de la configuración. A continuación, el administrador delegado puede establecer asociaciones entre una política de configuración o un comportamiento autogestionado y las cuentas, las unidades organizativas o la raíz. Las asociaciones se pueden establecer mediante aplicación o herencia.

Desde la cuenta del administrador delegado, puede aplicar directamente una política de configuración a una cuenta, unidad organizativa o la raíz. Como alternativa, el administrador delegado puede aplicar directamente una designación autogestionada a una cuenta, una unidad organizativa o la raíz.

En ausencia de una aplicación directa, una cuenta o unidad organizativa hereda la configuración de la cuenta principal más cercana que tenga una política de configuración o un comportamiento autogestionado. Si la cuenta principal más cercana está asociada a una política de configuración, la cuenta secundaria hereda esa política y solo la puede configurar el administrador delegado de la región de origen. Si el padre más cercano es autogestionado, el hijo hereda el comportamiento autogestionado y tiene la capacidad de especificar su propia configuración en cada uno de ellos. Región de AWS

La solicitud tiene prioridad sobre la herencia. En otras palabras, la herencia no anula una política de configuración ni una designación autogestionada que el administrador delegado haya aplicado directamente a una cuenta o unidad organizativa.

Si aplica directamente una política de configuración a una cuenta autogestionada, la política anula la designación autogestionada. La cuenta pasa a administrarse de forma centralizada y adopta los ajustes reflejados en la política de configuración.

Recomendamos aplicar directamente una política de configuración a la raíz. Si aplica una política a la raíz, las nuevas cuentas que se unan a su organización heredarán automáticamente la política raíz, a menos que las asocie a una política diferente o las designe como autoadministrables.

Solo se puede asociar una política de configuración a una cuenta o unidad organizativa en un momento dado, ya sea mediante aplicación o herencia. Se diseñó así para evitar configuraciones conflictivas.

El siguiente diagrama ilustra cómo funcionan la aplicación de políticas y la herencia en una configuración centralizada.

Aplicación y herencia de las políticas de configuración de Security Hub

En este ejemplo, se ha aplicado una política de configuración a un nodo resaltado en verde. No se ha aplicado ninguna política de configuración al nodo resaltado en azul. Un nodo resaltado en amarillo se ha designado como autoadministrado. Cada cuenta y unidad organizativa usa la siguiente configuración:

  • OU:Root (verde): esta unidad organizativa usa la política de configuración que se le ha aplicado.

  • OU:Prod (azul): esta unidad organizativa hereda la política de configuración de OU:Root.

  • OU:Applications (verde): esta unidad organizativa usa la política de configuración que se le ha aplicado.

  • Cuenta 1 (verde): esta cuenta usa la política de configuración que se le ha aplicado.

  • Cuenta 2 (azul): esta cuenta hereda la política de configuración de OU:Applications.

  • OU:Dev (amarillo): esta unidad organizativa está autoadministrada.

  • Cuenta 3 (verde): esta cuenta usa la política de configuración que se le ha aplicado.

  • Cuenta 4 (azul): esta cuenta hereda el comportamiento autoadministrado de OU:Dev.

  • OU:Test (Blue): esta cuenta hereda la política de configuración de OU:Root.

  • Cuenta 5 (azul): esta cuenta hereda la política de configuración de OU:Root, ya que su matriz inmediata, OU:Test, no está asociada a ninguna política de configuración.

Prueba de una política de configuración

Para probar el efecto de una política de configuración, puede asociarla a una sola cuenta o unidad organizativa antes de asociarla más ampliamente en toda la organización.

Prueba de una política de configuración

  1. Cree una política de configuración personalizada, pero no la aplique a ninguna cuenta. Compruebe que la configuración especificada para la habilitación, los estándares y los controles de Security Hub sea correcta.

  2. Aplique la política de configuración a una cuenta de prueba o unidad organizativa que no tenga cuentas secundarias ni unidades organizativas.

  3. Compruebe que la cuenta de prueba o la unidad organizativa utilicen la política de configuración de la manera esperada en su región de origen y en todas las regiones vinculadas. También puede comprobar que todas las demás cuentas y unidades organizativas de su organización sigan siendo autoadministradas y pueden cambiar su propia configuración en cada región.

Después de probar una política de configuración en una sola cuenta o unidad organizativa, puede asociarla a otras cuentas y unidades organizativas. Para obtener instrucciones sobre la creación y asociación de políticas, consulte Creación y asociación de políticas de configuración de Security Hub. Las cuentas secundarias de las cuentas aplicadas heredan la política, a menos que se autoadministren o se les aplique una política de configuración diferente. También puede editar las políticas de configuración y crear políticas de configuración adicionales según sea necesario.