Mejores prácticas para configurar Security Hub - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Mejores prácticas para configurar Security Hub

Las siguientes prácticas recomendadas pueden ayudarle a aprovechar al máximo el uso AWS Security Hub.

Integración de Security Hub y AWS Organizations

AWS Organizations es un servicio global de administración de cuentas que permite AWS los administradores pueden consolidar y gestionar de forma centralizada múltiples Cuentas de AWS y unidades organizativas (OUs). Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con múltiples Servicios de AWS, incluidos Security Hub GuardDuty, Amazon y Amazon Macie.

Para ayudar a automatizar y agilizar la administración de las cuentas, recomendamos encarecidamente integrar Security Hub y AWS Organizations. Puede integrarse con Organizations si tiene más de una Cuenta de AWS que usa Security Hub.

Para obtener instrucciones sobre cómo activar la integración, consulte Integración de Security Hub con AWS Organizations.

Uso de la configuración centralizada

Al integrar Security Hub y Organizations, tiene la opción de utilizar una característica llamada configuración centralizada para configurar y administrar Security Hub para su organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración central permite al administrador delegado configurar Security Hub en todas las cuentas OUs y Regiones de AWS. El administrador delegado configura Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:

  • Si se habilita o deshabilita Security Hub

  • Los estándares de seguridad que se habilitan y deshabilitan

  • Los controles de seguridad que se habilitan y deshabilitan

  • Si se deben personalizar los parámetros de los controles seleccionados

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para sus distintas cuentas y. OUs Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros OUs que utilizan una política de configuración se administran de forma centralizada y solo el administrador delegado puede configurarlas. El administrador delegado puede designar cuentas de miembros específicas y OUs autoadministrarlas para que el miembro pueda configurar sus propios ajustes región por región.

Si no utiliza la configuración central, deberá configurar en gran medida Security Hub por separado en cada cuenta y región. Esto se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización en la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a las regiones distintas de la región actual. La configuración local tampoco admite el uso de políticas de configuración.

Para obtener más información sobre la configuración centralizada, consulte Descripción de la configuración central en Security Hub.

Configuración AWS Config para Security Hub

AWS Security Hub utiliza un servicio vinculado AWS Config reglas para ejecutar controles de seguridad y producir resultados para la mayoría de los controles. Como resultado, para recibir los resultados de los controles, AWS Config debe estar habilitado en su cuenta en cada Región de AWS donde Security Hub está activado. Si su cuenta forma parte de una organización, AWS Config debe estar habilitada en cada región en la cuenta de administrador y en todas las cuentas de los miembros. Además, al activar un estándar de seguridad, AWS Config debe configurarse para registrar los recursos necesarios para los controles habilitados que forman parte del estándar.

Se recomienda encarecidamente que active el registro de recursos en AWS Config antes de activar los estándares de Security Hub. Si Security Hub intenta ejecutar comprobaciones de seguridad cuando el registro de recursos está desactivado, las comprobaciones devuelven errores hasta que se habilite AWS Config y active el registro de recursos.

Security Hub no gestiona AWS Config para ti. Si ya tienes AWS Config habilitado, puede configurar sus ajustes a través del AWS Config consola oAPIs.

Si habilitas un estándar pero no lo has activado AWS Config, Security Hub intenta crear el AWS Config rige de acuerdo con el siguiente cronograma:

  • El día en que se active el estándar

  • Al día después de activar el estándar

  • 3 días después de habilitar el estándar

  • 7 días después de activar el estándar (y de forma continua cada 7 días a partir de entonces)

Si utiliza la configuración central, Security Hub también intenta crear el AWS Config rige cada vez que aplicas una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

Habilitación AWS Config

Si no lo ha activado AWS Config ya puede habilitarlo de una de las siguientes maneras:

  • Consola o AWS CLI— Se puede activar manualmente AWS Config utilizando el AWS Config consola o AWS CLI. Consulte Empezar con AWS Config en la AWS Config Guía para desarrolladores.

  • AWS CloudFormation plantilla: si desea habilitar AWS Config en un gran número de cuentas, puede activar AWS Config con la CloudFormation plantilla Enable AWS Config. Para acceder a esta plantilla, consulte AWS CloudFormation StackSets plantillas de muestra en el AWS CloudFormation Guía del usuario.

  • Secuencia de comandos de Github: Security Hub ofrece una GitHub secuencia de comandos que habilita Security Hub para varias cuentas en todas las regiones. Este script es útil si no se ha integrado con Organizations o si tiene cuentas que no forman parte de su organización. Al utilizar este script para habilitar Security Hub, también se habilita automáticamente AWS Config para estas cuentas.

Para obtener más información sobre la activación AWS Config para ayudarle a ejecutar las comprobaciones de seguridad de Security Hub, consulte Optimize AWS Config for AWS Security Hub para gestionar de forma eficaz su estrategia de seguridad en la nube.

Activar el registro de recursos en AWS Config

Al activar la grabación de recursos con la configuración predeterminada, AWS Config registra todos los tipos de recursos regionales compatibles que descubre en el Región de AWS en el que se está ejecutando. También puede configurar AWS Config para registrar los tipos de recursos globales compatibles. Solo necesita registrar los recursos globales en una sola región (le recomendamos que sea su región de origen si utiliza una configuración central).

Si está utilizando CloudFormation StackSets para habilitar AWS Config, le recomendamos que ejecute dos diferentes StackSets. Ejecute una StackSet para registrar todos los recursos, incluidos los recursos globales, en una sola región. Ejecuta un segundo StackSet para registrar todos los recursos excepto los globales de otras regiones.

También puede utilizar la configuración rápida, una función de AWS Systems Manager, para configurar rápidamente el registro de recursos en AWS Config en todas sus cuentas y regiones. Durante el proceso de configuración rápida, puede elegir en qué región desea registrar los recursos globales. Para obtener más información, consulte AWS Config grabador de configuración en el AWS Systems Manager Guía del usuario.

La configuración 1 del control de seguridad genera resultados fallidos para regiones distintas de las regiones vinculadas en un agregador (la región de origen y las regiones que no están en un agregador de búsquedas del todo) si esa región no registra AWS Identity and Access Management (IAM) recursos globales y ha habilitado controles que requieren que se registren los recursos IAM globales. En las regiones vinculadas, la configuración 1 no comprueba si se registran los recursos IAM globales. Para obtener una lista de los recursos que requiere cada control, consulte. AWS Config Recursos necesarios para los hallazgos de control de Security Hub

Si utiliza el script multicuenta para activar Security Hub, el registro de recursos se habilita automáticamente para todos los recursos, incluidos los globales, en todas las regiones. A continuación, puede actualizar la configuración para registrar los recursos globales únicamente en una sola región. Para obtener información, consulte Seleccionar qué recursos AWS Config registros en el AWS Config Guía para desarrolladores.

Para que Security Hub informe con precisión los hallazgos de los controles que se basan en AWS Config según las reglas, debe habilitar el registro de los recursos pertinentes. Para obtener una lista de los controles y sus correspondientes AWS Config recursos, consulteAWS Config Recursos necesarios para los hallazgos de control de Security Hub.AWS Config le permite elegir entre la grabación continua y la grabación diaria de los cambios en el estado de los recursos. Si elige la grabación diaria, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados de Security Hub correspondientes a controles activados por cambios hasta que se complete un periodo de 24 horas.

nota

Para generar nuevos resultados después de las comprobaciones de seguridad y evitar hallazgos obsoletos, debe tener permisos suficientes para la IAM función asociada al registrador de configuración a fin de evaluar los recursos subyacentes.

Consideraciones sobre costos

Para obtener información sobre los costes asociados al registro de recursos, consulte AWS Security Hub precios y AWS Config precios.

Security Hub puede afectar a su AWS Config los costos del registrador de configuración al actualizar el elemento AWS::Config::ResourceCompliance de configuración. Es posible que se produzcan actualizaciones cada vez que un Security Hub controle asociado a un AWS Config la regla cambia el estado de conformidad, está habilitada o deshabilitada o tiene actualizaciones de parámetros. Si utiliza el AWS Config grabadora de configuración solo para Security Hub, y no utilice este elemento de configuración para otros fines, le recomendamos que desactive la grabación en AWS Config consola o AWS CLI. Esto puede reducir tu AWS Config costos. No necesita registrar los controles de seguridad de AWS::Config::ResourceCompliance para que funcione en Security Hub.