Security Hub controla que quizás desee realizar deshabilitaciones

Recomendamos desactivar algunos AWS Security Hub controles para reducir la detección de ruido y limitar los costes.

Controles relacionados con los recursos globales

Algunos Servicios de AWS admiten recursos globales, lo que significa que puedes acceder al recurso desde cualquier Región de AWS lugar. Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Una vez hecho esto, Security Hub aún ejecutará controles de seguridad en todas las regiones en las que esté habilitado un control y se le cobrará en función del número de controles por cuenta y región. En consecuencia, para reducir el ruido de las búsquedas y ahorrar en el coste de Security Hub, también debes desactivar los controles que implican recursos globales en todas las regiones, excepto en la región que registra los recursos globales.

Si un control implica recursos globales pero solo está disponible en una región, si lo desactiva en esa región, no podrá obtener información sobre el recurso subyacente. En este caso, se recomienda mantener el control activado. Cuando se utiliza la agregación entre regiones, la región en la que esté disponible el control debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles incluyen recursos globales, pero solo están disponibles en una sola región:

• Todos los CloudFront controles: disponibles solo en el este de EE. UU. (Virginia del Norte)

• GlobalAccelerator.1 — Disponible solo en el oeste de EE. UU. (Oregón)

• Ruta 53.2: disponible solo en el este de EE. UU. (Virginia del Norte)

• WAF.1, WAF.6, WAF.7 y WAF.8: disponibles solo en EE. UU. Este (norte de Virginia)

nota

Si usa la configuración central, Security Hub deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los demás controles que decida habilitar mediante una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen. Cuando utilizas la configuración central, no tienes cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas. Para obtener más información acerca de la configuración centralizada, consulte Cómo funciona la configuración central.

Para los controles con un tipo de programación periódica, es necesario deshabilitarlos en Security Hub para evitar la facturación. Establecer el AWS Config parámetro en false no afecta includeGlobalResourceTypes a los controles periódicos de Security Hub.

La siguiente es una lista de los controles de Security Hub que involucran recursos globales:

• [Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS

• [Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations

• [CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado

• [CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito

• [CloudFront.4] CloudFront las distribuciones deben tener configurada la conmutación por error de Origin

• [CloudFront.5] CloudFront las distribuciones deberían tener el registro activado

• [CloudFront.6] CloudFront las distribuciones deben tener WAF activado

• [CloudFront.7] CloudFront las distribuciones deben usar certificados SSL/TLS personalizados

• [CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS

• [CloudFront.9] CloudFront las distribuciones deben cifrar el tráfico con orígenes personalizados

• [CloudFront.10] CloudFront las distribuciones no deberían utilizar protocolos SSL obsoletos entre las ubicaciones de borde y los orígenes personalizados

• [CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes

• [CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen

• [EventBridge.4] Los puntos finales EventBridge globales deberían tener habilitada la replicación de eventos

• [GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados

• [IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”

• [IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas

• [IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos

• [IAM.4] La clave de acceso del usuario raíz de IAM no debería existir

• [IAM.5] MFA debe estar habilitado para todos los usuarios de IAM que tengan una contraseña de consola

• [PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz

• [IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras

• [IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas

• [IAM.9] La MFA debe estar habilitada para el usuario raíz

• [IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una duración rigurosa AWS Config

• [IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula

• [IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula

• [IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo

• [IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número

• [IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más

• [IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas

• [IAM.17] Asegurar que la política de contraseñas de IAM haga caducar las contraseñas al cabo de 90 días o menos

• [IAM.18] Asegúrese de que se haya creado una función de soporte para gestionar los incidentes con AWS Support

• [IAM.19] MFA se debe habilitar para todos los usuarios de IAM

• [IAM.21] Las políticas de IAM gestionadas por el cliente que usted cree no deberían permitir acciones comodín en los servicios

• [IAM.22] Se deben eliminar las credenciales de usuario de IAM que no se hayan utilizado durante 45 días

• [IAM.24] Las funciones de IAM deben estar etiquetadas

• [IAM.25] Se debe etiquetar a los usuarios de IAM

• [IAM.26] Se deben eliminar los certificados SSL/TLS caducados gestionados en IAM

• [IAM.27] Las identidades de IAM no deben tener la política adjunta AWSCloudShellFullAccess

• [KMS.1] Las políticas gestionadas por los clientes de IAM no deberían permitir acciones de descifrado en todas las claves de KMS

• [KMS.2] Los directores de IAM no deberían tener políticas integradas de IAM que permitan realizar acciones de descifrado en todas las claves de KMS

• Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS

• [WAF.1] El registro AWS WAF Classic Global Web ACL debe estar habilitado

• [WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición

• [WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla

• [WAF.8] Las ACL web globales AWS WAF clásicas deben tener al menos una regla o grupo de reglas

• [WAF.10] Las ACL AWS WAF web deben tener al menos una regla o grupo de reglas

• [WAF.11] El registro de ACL AWS WAF web debe estar habilitado

Controles relacionados con el CloudTrail registro

Este control trata del uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos seguimientos en una cuenta de registro centralizada, solo tendrá que habilitar este control en la cuenta y región donde tiene lugar este registro centralizado.

nota

Si utiliza la configuración centralizada, el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, suprima los resultados de los siguientes controles para reducir el ruido de los resultados.

• [CloudTrail.2] CloudTrail debe tener activado el cifrado en reposo

Controles que se ocupan de las alarmas CloudWatch

Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar estos controles, que se centran en CloudWatch las alarmas.

• [CloudWatch.1] Debe haber un filtro de métricas de registro y una alarma para que los utilice el usuario «root»

• [CloudWatch.2] Asegúrese de que existan un filtro de métricas de registro y una alarma para las llamadas a la API no autorizadas

• [CloudWatch.3] Asegúrese de que existan un filtro de métricas de registro y una alarma para el inicio de sesión en la consola de administración sin MFA

• [CloudWatch.4] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de IAM

• [CloudWatch.5] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar los cambios de CloudTrail AWS Config duración

• [CloudWatch.6] Asegúrese de que existan un filtro de métricas de registro y una alarma para detectar errores de AWS Management Console autenticación

• [CloudWatch.7] Asegúrese de que existan un filtro de métricas de registro y una alarma para deshabilitar o eliminar de forma programada las claves gestionadas por el cliente

• [CloudWatch.8] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en la política de cubos de S3

• [CloudWatch.9] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios AWS Config de configuración

• [CloudWatch.10] Asegúrese de que existan un filtro de métricas de registro y una alarma para los cambios en los grupos de seguridad

• [CloudWatch.11] Asegúrese de que existan un filtro de registro métrico y una alarma para detectar cambios en las listas de control de acceso a la red (NACL)

• [CloudWatch.12] Asegúrese de que existan un filtro de métrica de registro y una alarma para detectar cambios en las pasarelas de red

• [CloudWatch.13] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la tabla de rutas

• [CloudWatch.14] Asegúrese de que existan un filtro de métrica de registro y una alarma para los cambios en la VPC