Consideraciones antes de la habilitación y configuración de AWS Config Registro de recursos en AWS Config Formas de habilitar y configurar AWS Config Comprensión del control Config.1 Generación de reglas vinculadas al servicio Consideraciones sobre costos

Habilitación y configuración de AWS Config para el CSPM de Security Hub

El CSPM de AWS Security Hub usa reglas de AWS Config para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los recursos de AWS en la Cuenta de AWS. Utiliza reglas para definir una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso incumple las condiciones de una regla.

Algunas reglas, denominadas reglas administradas de AWS Config, están prediseñadas y desarrolladas por AWS Config. Otras reglas son reglas personalizadas de AWS Config que desarrolla el CSPM de Security Hub. Las reglas de AWS Config que utiliza el CSPM de Security Hub para los controles se denominan reglas vinculadas al servicio. Las reglas vinculadas al servicio permiten que Servicios de AWS, como el CSPM de Security Hub, creen reglas de AWS Config en la cuenta.

Para recibir resultados de control en el CSPM de Security Hub, debe habilitar AWS Config para la cuenta. También debe activar el registro de recursos para los tipos de recursos que los controles habilitados evalúan. El CSPM de Security Hub puede crear las reglas de AWS Config apropiadas para los controles e iniciar las comprobaciones de seguridad y la generación de resultados correspondientes.

Temas

Consideraciones antes de la habilitación y configuración de AWS Config
Registro de recursos en AWS Config
Formas de habilitar y configurar AWS Config
Comprensión del control Config.1
Generación de reglas vinculadas al servicio
Consideraciones sobre costos

Consideraciones antes de la habilitación y configuración de AWS Config

Para recibir resultados de control en el CSPM de Security Hub, AWS Config debe estar habilitado para la cuenta en cada Región de AWS donde el CSPM de Security Hub esté habilitado. Si utiliza el CSPM de Security Hub en un entorno de varias cuentas, AWS Config debe estar habilitado en cada región tanto para la cuenta de administrador como para todas las cuentas de miembro.

Recomendamos encarecidamente habilitar el registro de recursos en AWS Config antes de habilitar cualquier estándar o control del CSPM de Security Hub. Esto ayuda a garantizar que los resultados de control sean precisos.

Para habilitar el registro de recursos en AWS Config, necesita contar con permisos suficientes para registrar recursos en el rol (IAM) de AWS Identity and Access Management asociado al registrador de configuración. Además, asegúrese de que ninguna política de IAM ni ninguna política de AWS Organizations impida que AWS Config tenga permiso para registrar los recursos. Los controles del CSPM de Security Hub evalúan directamente las configuraciones de los recursos y no toman en cuenta las políticas de AWS Organizations. Para obtener más información sobre el registro de AWS Config, consulte Utilización del registrador de configuración en la Guía para desarrolladores de AWS Config.

Si habilita un estándar en el CSPM de Security Hub, pero AWS Config no está habilitado, el CSPM de Security Hub intenta crear reglas de AWS Config vinculadas al servicio según la siguiente programación:

El día en que habilite el estándar.
El día después de habilitar el estándar.
Tres días después de habilitar el estándar.
Siete días después de habilitar el estándar, y luego cada siete días de forma continua.

Si usa configuración centralizada, el CSPM de Security Hub también intenta crear reglas de AWS Config vinculadas al servicio cada vez que asocia una política de configuración que habilita uno o más estándares con cuentas, unidades organizativas (UO) o la raíz.

Registro de recursos en AWS Config

Cuando habilite AWS Config, debe especificar qué recursos de AWS desea que el registrador de configuración de AWS Config registre. A través de las reglas vinculadas al servicio, el registrador de configuración permite que el CSPM de Security Hub detecte cambios en las configuraciones de los recursos.

Para que el CSPM de Security Hub genere resultados de control precisos, debe activar el registro en AWS Config para los tipos de recursos que corresponden a los controles habilitados. Principalmente son los controles habilitados con un tipo de programación activada por cambios los que requieren registro de recursos. Algunos controles con un tipo de programación periódica también requieren registro de recursos. Para obtener la lista de estos controles y sus recursos correspondientes, consulte Recursos de AWS Config necesarios para los resultados de control.

aviso

Si no configura correctamente el registro de AWS Config para los controles del CSPM de Security Hub, esto puede generar resultados de control inexactos, especialmente en los siguientes casos:

Nunca registró el recurso para un control determinado, o desactivó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibe un resultado WARNING para el control correspondiente, incluso si creó recursos dentro del alcance del control después de haber desactivado el registro. Este resultado WARNING es un resultado predeterminado que no evalúa realmente el estado de configuración del recurso.
Desactiva el registro para un recurso que es evaluado por un control determinado. En este caso, el CSPM de Security Hub retiene los resultados de control generados antes de que desactivara el registro, aún cuando el control ya no evalúe recursos nuevos o actualizados. El CSPM de Security Hub también cambia el estado de cumplimiento de los resultados a WARNING. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los recursos regionales que detecta en la Región de AWS en la que está en ejecución. Para recibir todos los resultados de control del CSPM de Security Hub, también debe configurar AWS Config para registrar los recursos globales. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta región debe ser la región de origen.

En AWS Config, puede elegir entre registro continuo y registro diario de cambios en el estado de los recursos. Si elige registro diario, AWS Config entrega los datos de configuración del recurso al final de cada periodo de 24 horas si se presentan cambios en el estado del recurso. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados del CSPM de Security Hub para los controles activados por cambios hasta que finalice el periodo completo de 24 horas.

Para obtener más información sobre el registro de AWS Config, consulte Registro de recursos de AWS en la Guía para desarrolladores de AWS Config.

Formas de habilitar y configurar AWS Config

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:

Consola de AWS Config: puede habilitar AWS Config paa una cuenta mediante la consola de AWS Config. Para obtener instrucciones, consulte Configuración de AWS Config con la consola en la Guía para desarrolladores de AWS Config.
AWS CLI o los SDK: puede habilitar AWS Config para una cuenta mediante la AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Configuración de AWS Config con la AWS CLI en la Guía para desarrolladores de AWS Config. Los kits de desarrollo de software (SDK) de AWS también están disponibles para muchos lenguajes de programación.
Plantilla de CloudFormation: para habilitar AWS Config para varias cuentas, recomendamos usar la plantilla de AWS CloudFormation denominada Habilitar AWS Config. Para acceder a esta plantilla, consulte Ejemplos de plantillas StackSet de AWS CloudFormation en la Guía del usuario de AWS CloudFormation.

De forma predeterminada, esta plantilla excluye el registro de los recursos globales de IAM. Asegúrese de habilitar el registro de los recursos globales de IAM en una sola Región de AWS para optimizar los costos de registro. Si tiene habilitada la agregación entre regiones, esta debe ser la Región de origen del CSPM de Security Hub. De lo contrario, puede ser cualquier región en la que el CSPM de Security Hub esté disponible y que admita el registro de los recursos globales de IAM. Recomendamos ejecutar un solo StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, en la región de origen u otra región seleccionada. Luego, ejecute un segundo StackSet para registrar todos los recursos excepto los recursos globales de IAM en otras regiones.
Script de GitHub: el CSPM de Security Hub ofrece un script de GitHub que habilita el CSPM de Security Hub y AWS Config para varias cuentas en las regiones. Este script es útil si no se ha integrado con AWS Organizations, o si tiene cuentas de miembro que no forman parte de una organización.

Para obtener más información, consulte la siguiente publicación en el Blog de seguridad de AWS: Optimización de AWS Config para el CSPM de AWS Security Hub para administrar eficazmente la postura de seguridad en la nube.

Comprensión del control Config.1

En el CSPM de Security Hub, el control Config.1 genera resultados FAILED en la cuenta si AWS Config está desactivado. También genera resultados FAILED en la cuenta si AWS Config está habilitado pero el registro de recursos no está activado.

Si AWS Config está habilitado y el registro de recursos está activado, pero no está habilitado para un tipo de recurso que un control habilitado necesita evaluar, el CSPM de Security Hub genera un resultado FAILED para el control Config.1. Además de este resultado FAILED, el CSPM de Security Hub genera resultados WARNING para el control habilitado y para los tipos de recursos que dicho control verifica. Por ejemplo, si habilita el control KMS.5 y el registro de recursos no está activado para AWS KMS keys, el CSPM de Security Hub genera un resultado FAILED para el control Config.1. El CSPM de Security Hub también genera resultados WARNING para el control KMS.5 y para las claves de KMS.

Para recibir un resultado PASSED para el control Config.1, habilite el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. Desactive también los controles que no necesita en la organización. Esto ayuda a garantizar que no existan vacíos de configuración en las comprobaciones de controles de seguridad. También ayuda a asegurarse de que reciba resultados precisos sobre recursos mal configurados.

Si es el administrador delegado del CSPM de Security Hub para una organización, el registro de AWS Config debe estar configurado correctamente para la cuenta y para las cuentas de miembro. Si usa la agregación entre regiones, el registro AWS Config debe estar configurado correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

Generación de reglas vinculadas al servicio

Para cada control que utilice una regla de AWS Config vinculada al servicio, el CSPM de Security Hub crea instancias de la regla requerida en el entorno de AWS.

Estas reglas vinculadas al servicio son exclusivas del CSPM de Security Hub. El CSPM de Security Hub crea estas reglas vinculadas al servicio incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio agrega securityhub antes del nombre original de la regla y un identificador único después del nombre. Por ejemplo, en el caso de la regla administrada por AWS Config, vpc-flow-logs-enabled, el nombre de la regla vinculada al servicio podría ser securityhub-vpc-flow-logs-enabled-12345.

Existen cuotas para la cantidad de reglas administradas por AWS Config que se pueden utilizar para evaluar controles. Las reglas de AWS Config que crea el CSPM de Security Hub no consumen estas cuotas. Puede habilitar un estándar de seguridad incluso si ya alcanzó la cuota de AWS Config de reglas administradas de la cuenta. Para obtener información sobre las cuotas de reglas de AWS Config, consulte Límites del servicio para AWS Config en la Guía para desarrolladores de AWS Config.

Consideraciones sobre costos

El CSPM de Security Hub puede afectar los costos asociados al registro de configuración de AWS Config cuando actualiza el elemento de configuración AWS::Config::ResourceCompliance. Las actualizaciones se pueden producir cuando un control del CSPM de Security Hub asociado a una regla de AWS Config cambia su estado de cumplimiento, se habilita, se desactiva o recibe actualizaciones de parámetros. Si usa el registrador de configuración AWS Config exclusivamente para el CSPM de Security Hub y no lo necesita para otros fines, recomendamos desactivar su registro en AWS Config. Esto puede reducir sus costos de AWS Config. No es necesario registrar AWS::Config::ResourceCompliance para que las comprobaciones de seguridad funcionen en el CSPM de Security Hub.

Para obtener información sobre los costos asociados al registro de recursos, consulte Precios del CSPM de AWS Security Hub y Precios de AWS Config.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación del CSPM de Security Hub

Configuración local