Consideraciones antes de habilitar y configurar AWS Config Registrar los recursos en AWS Config Formas de habilitar y configurar AWS Config Comprensión del control Config.1 Generación de reglas vinculadas al servicio Consideraciones sobre costos

Habilitación y configuración AWS Config de Security Hub CSPM

AWS Security Hub CSPM utiliza AWS Config reglas para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Utiliza reglas para definir una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso incumple las condiciones de una regla.

Algunas reglas, denominadas reglas AWS Config administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son AWS Config reglas personalizadas que desarrolla Security Hub CSPM. AWS Config las reglas que Security Hub CSPM utiliza para los controles se denominan reglas vinculadas a servicios. Las reglas vinculadas a servicios permiten Servicios de AWS , como Security Hub (CSPM), crear AWS Config reglas en tu cuenta.

Para recibir los resultados de control en Security Hub CSPM, debe habilitarlo AWS Config para su cuenta. También debe activar el registro de recursos para los tipos de recursos que los controles habilitados evalúan. A continuación, Security Hub (CSPM) puede crear las AWS Config reglas adecuadas para los controles y empezar a ejecutar comprobaciones de seguridad y generar resultados para los controles.

Temas

Consideraciones antes de habilitar y configurar AWS Config
Registrar los recursos en AWS Config
Formas de habilitar y configurar AWS Config
Comprensión del control Config.1
Generación de reglas vinculadas al servicio
Consideraciones sobre costos

Consideraciones antes de habilitar y configurar AWS Config

Para recibir los resultados de control en Security Hub CSPM, AWS Config debe estar habilitado en su cuenta en todos los Región de AWS lugares en los que Security Hub CSPM esté habilitado. Si utiliza el CSPM de Security Hub en un entorno de varias cuentas, AWS Config debe estar habilitado en cada región tanto para la cuenta de administrador como para todas las cuentas de miembro.

Le recomendamos encarecidamente que active el registro de recursos AWS Config antes de activar los estándares y controles CSPM de Security Hub. Esto ayuda a garantizar que los resultados de control sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada a la grabadora de configuración. Además, asegúrese de que ninguna política o AWS Organizations política de IAM le AWS Config impida tener permiso para registrar sus recursos. Los controles CSPM de Security Hub evalúan las configuraciones de los recursos directamente y no tienen en cuenta AWS Organizations las políticas. Para obtener más información sobre el registro de AWS Config , consulte Utilización del registrador de configuración en la Guía para desarrolladores de AWS Config .

Si habilita un estándar en el CSPM de Security Hub pero no lo ha habilitado AWS Config, el CSPM de Security Hub intentará crear AWS Config reglas vinculadas a servicios de acuerdo con la siguiente programación:

El día en que habilite el estándar.
El día después de habilitar el estándar.
Tres días después de habilitar el estándar.
Siete días después de habilitar el estándar, y luego cada siete días de forma continua.

Si utiliza la configuración central, el Security Hub CSPM también intenta crear AWS Config reglas vinculadas a servicios cada vez que asocia una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

Registrar los recursos en AWS Config

Al habilitarla AWS Config, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el registrador de configuración permite que el CSPM de Security Hub detecte cambios en las configuraciones de los recursos.

Para que el CSPM de Security Hub genere resultados de control precisos, debe activar el registro en AWS Config para los tipos de recursos que corresponden a los controles habilitados. Principalmente son los controles habilitados con un tipo de programación activada por cambios los que requieren registro de recursos. Algunos controles con un tipo de programación periódica también requieren registro de recursos. Para obtener la lista de estos controles y sus recursos correspondientes, consulte AWS Config Recursos necesarios para los hallazgos de control.

aviso

Si no configura la AWS Config grabación correctamente para los controles CSPM de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:

Nunca registró el recurso para un control determinado, o desactivó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibe un resultado WARNING para el control correspondiente, incluso si creó recursos dentro del alcance del control después de haber desactivado el registro. Este resultado WARNING es un resultado predeterminado que no evalúa realmente el estado de configuración del recurso.
Desactiva el registro para un recurso que es evaluado por un control determinado. En este caso, el CSPM de Security Hub retiene los resultados de control generados antes de que desactivara el registro, aún cuando el control ya no evalúe recursos nuevos o actualizados. El CSPM de Security Hub también cambia el estado de cumplimiento de los resultados a WARNING. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los recursos regionales compatibles que descubre Región de AWS en los que se está ejecutando. Para recibir todos los resultados de control de CSPM de Security Hub, también debe configurarlos AWS Config para que registren los recursos globales. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta región debe ser la región de origen.

En AWS Config, puede elegir entre el registro continuo o el registro diario de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados del CSPM de Security Hub para los controles activados por cambios hasta que finalice el periodo completo de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte Grabación de AWS recursos en la Guía para AWS Config desarrolladores.

Formas de habilitar y configurar AWS Config

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:

AWS Config consola: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.
AWS CLI o SDKs — Puedes habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Configuración AWS Config con el AWS CLI en la Guía para AWS Config desarrolladores. AWS Los kits de desarrollo de software (SDKs) también están disponibles para muchos lenguajes de programación.
CloudFormation plantilla: AWS Config para habilitarla en varias cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada Enable AWS Config. Para acceder a esta plantilla, consulte las plantillas AWS CloudFormation StackSet de muestra en la Guía del AWS CloudFormation usuario.

De forma predeterminada, esta plantilla excluye el registro de los recursos globales de IAM. Asegúrese de habilitar el registro de los recursos globales de IAM en una sola Región de AWS para optimizar los costos de registro. Si tiene habilitada la agregación entre regiones, esta debe ser la Región de origen del CSPM de Security Hub. De lo contrario, puede ser cualquier región en la que el CSPM de Security Hub esté disponible y que admita el registro de los recursos globales de IAM. Recomendamos ejecutar una StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, de la región de origen o de otra región seleccionada. A continuación, ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de IAM en otras regiones.
GitHub script: Security Hub CSPM ofrece un GitHubscript que habilita Security Hub CSPM y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado en una organización AWS Organizations o tienes algunas cuentas de miembros que no forman parte de ella.

Para obtener más información, consulte la siguiente entrada del blog de AWS seguridad: Optimice AWS Config for AWS Security Hub CSPM para gestionar eficazmente su postura de seguridad en la nube.

Comprensión del control Config.1

En Security Hub CSPM, el control Config.1 genera FAILED resultados en su cuenta si está deshabilitado. AWS Config También genera FAILED resultados en tu cuenta si AWS Config está activado, pero el registro de recursos no está activado.

Si AWS Config está habilitado y el registro de recursos está activado, pero el registro de recursos no está activado para un tipo de recurso que comprueba un control habilitado, Security Hub CSPM genera una FAILED búsqueda para el control Config.1. Además de este resultado FAILED, el CSPM de Security Hub genera resultados WARNING para el control habilitado y para los tipos de recursos que dicho control verifica. Por ejemplo, si habilita el control KMS.5 y el registro de recursos no está activado AWS KMS keys, Security Hub CSPM generará una FAILED búsqueda para el control Config.1. El CSPM de Security Hub también genera resultados WARNING para el control KMS.5 y para las claves de KMS.

Para recibir un resultado PASSED para el control Config.1, habilite el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. Desactive también los controles que no necesita en la organización. Esto ayuda a garantizar que no existan vacíos de configuración en las comprobaciones de controles de seguridad. También ayuda a asegurarse de que reciba resultados precisos sobre recursos mal configurados.

Si es el administrador delegado del CSPM de Security Hub para una organización, el registro de AWS Config debe estar configurado correctamente para la cuenta y para las cuentas de miembro. Si utiliza la agregación entre regiones, la AWS Config grabación debe estar configurada correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

Generación de reglas vinculadas al servicio

Para cada control que utilice una AWS Config regla vinculada a un servicio, Security Hub CSPM crea instancias de la regla requerida en su entorno. AWS

Estas reglas vinculadas al servicio son exclusivas del CSPM de Security Hub. El CSPM de Security Hub crea estas reglas vinculadas al servicio incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio agrega securityhub antes del nombre original de la regla y un identificador único después del nombre. Por ejemplo, para la regla AWS Config administrada, el nombre de la regla vpc-flow-logs-enabled vinculada al servicio podría ser. securityhub-vpc-flow-logs-enabled-12345

Hay cuotas para el número de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config las reglas que crea Security Hub CSPM no se tienen en cuenta para esas cuotas. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado la AWS Config cuota de reglas administradas en tu cuenta. Para obtener más información sobre las cuotas de AWS Config las reglas, consulta los límites de servicio AWS Config en la Guía para AWS Config desarrolladores.

Consideraciones sobre costos

El CSPM de Security Hub puede afectar a los costes de AWS Config la grabadora de configuración al actualizar el elemento de AWS::Config::ResourceCompliance configuración. Las actualizaciones se pueden producir cada vez que un control CSPM de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza los parámetros. Si utiliza la grabadora de AWS Config configuración solo para el Security Hub CSPM y no utiliza este elemento de configuración para otros fines, le recomendamos que desactive la grabación. AWS Config Esto puede reducir sus costos de AWS Config . No es necesario registrar AWS::Config::ResourceCompliance para que las comprobaciones de seguridad funcionen en el CSPM de Security Hub.

Para obtener información sobre los costos asociados al registro de recursos, consulte Precios del CSPM de AWS Security Hub y Precios de AWS Config.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Habilitación del CSPM de Security Hub

Configuración local