Activación y configuración AWS Config de Security Hub - AWS Security Hub
Consideraciones antes de habilitar y configurar AWS ConfigRegistrar los recursos en AWS ConfigFormas de habilitar y configurar AWS ConfigControl de configuración 1Generación de reglas vinculadas a serviciosConsideraciones sobre costos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación y configuración AWS Config de Security Hub

AWS Security Hub usa AWS Config reglas para ejecutar controles de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de AWS los recursos de su Cuenta de AWS. Utiliza reglas para establecer una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso concreto infringe las condiciones de una regla. Algunas reglas, AWS Config denominadas reglas administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son reglas AWS Config personalizadas que desarrolla Security Hub.

AWS Config las reglas que Security Hub utiliza para los controles se denominan reglas vinculadas a servicios. Las reglas vinculadas a servicios permiten Servicios de AWS , como Security Hub, crear AWS Config reglas en tu cuenta.

Para recibir los resultados de control en Security Hub, debe habilitar AWS Config en su cuenta y activar el registro de los recursos que evalúen sus controles habilitados.

En esta página, se explica cómo activar AWS Config Security Hub y cómo activar el registro de recursos.

Consideraciones antes de habilitar y configurar AWS Config

Para recibir los resultados de control en Security Hub, su cuenta debe estar AWS Config habilitada en todos los Región de AWS lugares donde Security Hub esté habilitado. Si usa Security Hub para un entorno de varias cuentas, AWS Config debe estar habilitado en cada región en la cuenta de administrador y en todas las cuentas de los miembros.

Le recomendamos encarecidamente que active el registro de recursos AWS Config antes de activar los estándares y controles de Security Hub. Esto le ayuda a garantizar que los resultados de sus controles sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada a la grabadora de configuración. Además, asegúrese de que no haya ninguna IAM política o política administrada AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Las comprobaciones de control de Security Hub evalúan directamente la configuración de un recurso y no tienen en cuenta las políticas de Organizations. Para obtener más información sobre el AWS Config registro, consulte la Lista de reglas AWS Config administradas: consideraciones en la Guía para AWS Config desarrolladores.

Si habilita un estándar en Security Hub pero no lo ha habilitado AWS Config, Security Hub intentará crear AWS Config reglas de acuerdo con la siguiente programación:

  • El día en que se active el estándar

  • Al día después de activar el estándar

  • 3 días después de habilitar el estándar

  • 7 días después de habilitar el estándar (y posteriormente cada 7 días)

Si utilizas la configuración central, Security Hub también intenta crear las reglas AWS Config vinculadas al servicio cada vez que asocias una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

Registrar los recursos en AWS Config

Al AWS Config habilitarla, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el grabador de configuración permite a Security Hub detectar cambios en las configuraciones de los recursos.

Para que Security Hub genere resultados de control precisos, debe activar el registro de AWS Config los recursos que corresponden a sus controles habilitados. Se trata principalmente de controles habilitados con un tipo de programa activado por cambios que requieren el registro de recursos. Para obtener una lista de los controles y sus AWS Config recursos relacionados, consulteAWS Config Recursos necesarios para los hallazgos de control de Security Hub.

aviso

Si no configura correctamente la AWS Config grabación de los controles de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:

  • Nunca registró el recurso para un control determinado, deshabilitó el registro de un recurso antes de crear ese tipo de recurso o asignó un IAM rol al registrador de configuración que no proporcionara permisos para grabar el recurso. En estos casos, recibirá una confirmación PASSED sobre el control en cuestión, aunque es posible que haya creado recursos dentro del ámbito del control después de deshabilitar el registro. Este PASSED resultado es un resultado predeterminado que en realidad no evalúa el estado de configuración del recurso.

  • Se deshabilita el registro de un recurso evaluado por un control en particular. En este caso, Security Hub conserva las conclusiones de control que se generaron antes de deshabilitar la grabación, aunque el control no evalúe los recursos nuevos o actualizados. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los recursos regionales compatibles que descubre en el lugar Región de AWS en el que se está ejecutando. Para recibir todos los resultados de control de Security Hub, también debe configurarlo AWS Config para que registre los recursos globales. Para ahorrar costes, recomendamos registrar los recursos globales en una sola región únicamente. Si utiliza la configuración central o la agregación entre regiones, esta región debe ser su región de origen.

En AWS Config, puede elegir entre la grabación continua o la grabación diaria de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada periodo de 24 horas si se producen cambios en el estado de dichos recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de las conclusiones de Security Hub para los controles activados por cambios hasta que se complete un período de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte AWS los recursos de grabación en la Guía para AWS Config desarrolladores.

Formas de habilitar y configurar AWS Config

Puede habilitar AWS Config y activar el registro de recursos de una de las siguientes maneras:

  • AWS Config consola: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.

  • AWS CLI o bien SDKs: puede habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Configuración AWS Config con el AWS CLI en la Guía para AWS Config desarrolladores. AWS Los kits de desarrollo de software (SDKs) también están disponibles para muchos lenguajes de programación.

  • CloudFormation plantilla: si desea habilitarlo AWS Config para un gran número de cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada Enable AWS Config. Para acceder a esta plantilla, consulte las plantillas AWS CloudFormation StackSets de muestra en la Guía del AWS CloudFormation usuario.

    De forma predeterminada, esta plantilla excluye el registro de recursos IAM globales. Asegúrese de activar la grabación para los recursos IAM globales de una sola región a fin de ahorrar costes de grabación. Si tiene habilitada la agregación entre regiones, esta debería ser la región de origen de su Security Hub. De lo contrario, puede ser cualquiera en el Región de AWS que esté disponible Security Hub y que permita el registro de recursos IAM globales. Recomendamos ejecutar uno StackSet para registrar todos los recursos, incluidos los recursos IAM globales, de la región de origen o de otra región seleccionada. A continuación, ejecuta un segundo StackSet para registrar todos los recursos excepto los recursos IAM globales de otras regiones.

  • Secuencia de comandos de Github: Security Hub ofrece una GitHub secuencia de comandos que habilita Security Hub y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado con Organizations o si tienes algunas cuentas de miembros que no forman parte de una organización.

Para obtener más información, consulte Optimizar AWS ConfigAWS Security Hub para gestionar de forma eficaz su estrategia de seguridad en la nube.

Control de configuración 1

La configuración de control Security Hub 1 genera FAILED resultados en su cuenta si AWS Config está deshabilitada o si no tiene activado el registro de recursos para los controles habilitados. Si es el administrador delegado de Security Hub de una organización, el AWS Config registro debe estar correctamente configurado en su cuenta y en las cuentas de los miembros. Si utiliza la agregación entre regiones, la AWS Config grabación debe estar configurada correctamente en la región de origen y en todas las regiones vinculadas (no es necesario que los recursos globales se registren en las regiones vinculadas).

Para recibir información sobre Config.1, active el registro de recursos para todos los recursos que correspondan a los controles de Security Hub habilitados y deshabilite los controles que no sean necesarios en su organización. PASSED Esto ayuda a garantizar que no haya brechas de configuración en sus comprobaciones de control de seguridad y que reciba información precisa sobre recursos mal configurados.

Generación de reglas vinculadas a servicios

Para cada control que utilice una regla AWS Config vinculada a un servicio, Security Hub crea instancias de la regla requerida en su AWS entorno.

Estas reglas vinculadas a servicios son específicas de Security Hub. Security Hub crea estas reglas vinculadas a servicios incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio se agrega securityhub antes del nombre de la regla original y un identificador único después del nombre de la regla. Por ejemplo, en el caso de la regla AWS Config gestionadavpc-flow-logs-enabled, el nombre de la regla vinculada al servicio sería algo parecido a: securityhub-vpc-flow-logs-enabled-12345

Hay límites en la cantidad de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config Las reglas personalizadas que crea Security Hub no cuentan para ese límite. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado el AWS Config límite de reglas administradas en tu cuenta. Para obtener más información sobre los límites de las AWS Config reglas, consulta los límites de servicio AWS Config en la Guía para AWS Config desarrolladores.

Consideraciones sobre costos

Security Hub puede afectar a los costes AWS Config de la grabadora de configuración al actualizar el elemento AWS::Config::ResourceCompliance de configuración. Las actualizaciones se pueden producir cada vez que un control de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza sus parámetros. Si usa la grabadora de AWS Config configuración solo para Security Hub y no usa este elemento de configuración para otros fines, le recomendamos que desactive la grabación AWS Config. Esto puede reducir sus costos de AWS Config . No necesita registrar los controles de seguridad de AWS::Config::ResourceCompliance para que funcione en Security Hub.

Para obtener más información acerca de los costos asociados al registro de recursos, consulte Precios de AWS Security Hub y Precios de AWS Config.