Requisitos previos y recomendaciones

Las siguientes recomendaciones y requisitos previos pueden ayudarle a comenzar a utilizar AWS Security Hub.

Integrating AWS Organizationswith

AWS Organizations es un servicio de administración de cuentas global que permite a AWS los administradores consolidar y gestionar de forma centralizada múltiples Cuentas de AWS unidades organizativas (OU). Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos Security Hub GuardDuty, Amazon y Amazon Macie.

Para ayudar a automatizar y agilizar la administración de las cuentas, le recomendamos encarecidamente la integración de Security Hub y AWS Organizations. Puede realizar la integración con Organizations si tiene más de una Cuenta de AWS que utilice Security Hub.

Para obtener instrucciones sobre cómo activar la integración, consulte Integración de Security Hub con AWS Organizations.

Uso de la configuración centralizada

Al integrar Security Hub y Organizations, tiene la opción de utilizar una característica llamada configuración centralizada para configurar y administrar Security Hub para su organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración centralizada permite que el administrador delegado configure Security Hub en todas las cuentas, unidades organizativas y regiones. El administrador delegado configura Security Hub al crear políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:

• Si se habilita o deshabilita Security Hub

• Los estándares de seguridad que se habilitan y deshabilitan

• Los controles de seguridad que se habilitan y deshabilitan

• Si se deben personalizar los parámetros de los controles seleccionados

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros y las unidades organizativas que utilizan una política de configuración se administran de forma centralizada y solo las puede configurar el administrador delegado. El administrador delegado puede designar cuentas de miembro y unidades organizativas específicos como autoadministrables para que el miembro pueda configurar sus propios ajustes región por región.

Para obtener más información sobre la configuración centralizada, consulte Configuración centralizada en Security Hub.

Configurando AWS Config

AWS Security Hub utiliza AWS Config reglas vinculadas a servicios para realizar comprobaciones de seguridad en la mayoría de los controles.

Para admitir estos controles, AWS Config debe estar habilitado en todas las cuentas (tanto en la cuenta de administrador como en las cuentas de los miembros) en todas las que esté activado Región de AWS Security Hub. Además, cada estándar habilitado AWS Config debe configurarse para registrar los recursos necesarios para los controles habilitados.

Le recomendamos que active el registro de recursos AWS Config antes de activar los estándares de Security Hub. Si Security Hub intenta ejecutar controles de seguridad cuando el registro de recursos está desactivado, los controles devuelven errores.

Security Hub no se las AWS Config arregla por usted. Si ya lo ha AWS Config activado, puede configurar sus ajustes a través de la AWS Config consola o las API.

Si habilita un estándar pero no lo ha habilitado AWS Config, Security Hub intentará crear las AWS Config reglas de acuerdo con la siguiente programación:

• El día en que se active el estándar

• Al día después de activar el estándar

• 3 días después de habilitar el estándar

• 7 días después de activar el estándar (y de forma continua cada 7 días a partir de entonces)

Si usa la configuración central, Security Hub también intenta crear las AWS Config reglas cuando vuelve a aplicar una política de configuración que habilita uno o más estándares.

Habilitar AWS Config

Si AWS Config aún no lo ha activado, puede activarlo de una de las siguientes maneras:

• Consola o AWS CLI: puede habilitarlo manualmente AWS Config mediante la AWS Config consola o AWS CLI. Consulte Introducción a AWS Config en la Guía para desarrolladores deAWS Config .

• AWS CloudFormation plantilla: si desea activarla AWS Config en un gran número de cuentas, puede activarla AWS Config con la CloudFormation plantilla Activar AWS Config. Para acceder a esta plantilla, consulte los AWS CloudFormation StackSets ejemplos de plantillas en la Guía delAWS CloudFormation usuario.

• Secuencia de comandos de Github: Security Hub ofrece una GitHub secuencia de comandos que habilita Security Hub para varias cuentas en todas las regiones. Este script es útil si no se ha integrado con Organizations o si tiene cuentas que no forman parte de su organización. Cuando utilizas este script para habilitar Security Hub, también se habilita automáticamente AWS Config para estas cuentas.

Para obtener más información sobre cómo habilitar AWS Config para ayudarle a ejecutar las comprobaciones de seguridad de Security Hub, consulte Optimizar AWS ConfigAWS Security Hub para gestionar de forma eficaz su postura de seguridad en la nube.

Activar el registro de recursos en AWS Config

Al activar el registro de recursos AWS Config con la configuración predeterminada, graba todos los tipos compatibles de recursos regionales que se encuentran AWS Config en el entorno Región de AWS en el que se está ejecutando. También puede configurarlo AWS Config para registrar los tipos de recursos globales compatibles. Solo necesita registrar los recursos globales en una sola región (si está utilizando la configuración centralizada, se recomienda que sea su región de origen).

Si está utilizando esta CloudFormation StackSets opción AWS Config, le recomendamos que ejecute dos opciones diferentes StackSets. Ejecute una StackSet para registrar todos los recursos, incluidos los recursos globales, en una sola región. Ejecuta un segundo StackSet para registrar todos los recursos excepto los globales de otras regiones.

También puede utilizar la configuración rápida, una función que permite configurar rápidamente el registro de AWS Systems Managerrecursos en AWS Config todas sus cuentas y regiones. Durante el proceso de configuración rápida, puede elegir en qué región desea registrar los recursos globales. Para obtener más información, consulte Registrador de configuración deAWS Config en la Guía del usuario deAWS Systems Manager .

El control de seguridad Config.1 genera resultados erróneos en las regiones donde no se han registrado recursos globales. Esto es lo esperado y puede utilizar una regla de automatización para suprimir estos resultados.

Si utiliza el script multicuenta para activar Security Hub, el registro de recursos se habilita automáticamente para todos los recursos, incluidos los globales, en todas las regiones. A continuación, puede actualizar la configuración para registrar los recursos globales únicamente en una sola región. Para obtener más información, consulte Seleccionar los AWS Config registros de recursos en la Guía paraAWS Config desarrolladores.

Para que Security Hub informe con precisión de las conclusiones de los controles que se basan en AWS Config reglas, debe habilitar el registro de los recursos pertinentes. Para obtener una lista de los controles y sus AWS Config recursos relacionados, consulteAWS Config recursos necesarios para generar los resultados de control.AWS Config le permite elegir entre la grabación continua y la grabación diaria de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada periodo de 24 horas si se producen cambios en el estado de dichos recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados de Security Hub correspondientes a controles activados por cambios hasta que se complete un periodo de 24 horas.

nota

Para generar nuevos resultados tras los controles de seguridad y evitar resultados obsoletos, debe contar con permisos suficientes para que el rol de IAM asociado al registrador de configuración evalúe los recursos subyacentes.

Consideraciones sobre costos

Para obtener más información sobre los costos asociados al registro de recursos, consulte AWS Security Hub precios de y precios deAWS Config.

Security Hub puede afectar a los costes AWS Config de la grabadora de configuración al actualizar el elemento AWS::Config::ResourceCompliance de configuración. Las actualizaciones se pueden producir cada vez que un control del Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o tiene actualizaciones de parámetros. Si usa la grabadora de AWS Config configuración solo para Security Hub y no usa este elemento de configuración para otros fines, le recomendamos que desactive la grabación en la AWS Config consola o AWS CLI. Esto puede reducir sus costos de AWS Config . No necesita registrar los controles de seguridad de AWS::Config::ResourceCompliance para que funcione en Security Hub.