Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Habilitación y deshabilitación de de los controles en todos los estándares
AWS Security Hub genera resultados para los controles habilitados y tiene en cuenta todos los controles habilitados al calcular las puntuaciones de seguridad. Puede optar por habilitar y deshabilitar los controles en todos los estándares de seguridad o configurar el estado de habilitación de forma diferente en los distintos estándares. Recomendamos la opción anterior, en la que el estado de habilitación de un control se alinea en todos los estándares habilitados. En esta sección se explica cómo habilitar y deshabilitar los controles en los estándares. Para habilitar o deshabilitar un control en uno o varios estándares específicos, consulte Habilitación y deshabilitación de los controles en estándares específicos.
Si estableció una región de agregación, la consola de Security Hub muestra los controles de todas las regiones vinculadas. Si un control está disponible en una región vinculada, pero no en la región de agregación, no podrá habilitar ni deshabilitar ese control desde la región de agregación.
nota
Las instrucciones para habilitar y deshabilitar los controles varían en función de si se utiliza o no la configuración centralizada. En esta sección, se describen las diferencias. La configuración central está disponible para los usuarios que integran Security Hub y AWS Organizations. Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los controles en entornos de varias cuentas y regiones.
Habilitación de controles
Al habilitar un control en un estándar, Security Hub comienza a ejecutar controles de seguridad para el control y generar los resultados del control.
Security Hub incluye el estado de control en el cálculo de la puntuación de seguridad general y de las puntuaciones de seguridad estándar. Si activa los resultados de control consolidados, recibirá un único resultado para un control de seguridad, incluso si habilitó un control en varios estándares. Para obtener más información, consulte Resultados de control consolidados.
Habilitación de un control en todos los estándares en varias cuentas y regiones
Para habilitar un control de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.
Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que habiliten controles especificados en los estándares habilitados. A continuación, puedes asociar la política de configuración a cuentas y unidades organizativas específicas (OUs) o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.
Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar todos los controles en una OU y puede optar por habilitar solo los controles de Amazon Elastic Compute Cloud (EC2) en otra OU. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que habilite controles especificados en estándares, consulte Creación y asociación de políticas de configuración.
nota
El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de servicios:. AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower
Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.
Habilitación de un control en todos los estándares en una sola cuenta y región
Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un control en una sola cuenta y región.
Habilitación automática de nuevos controles en estándares habilitados
Security Hub publica periódicamente nuevos controles de seguridad y los agrega a uno o varios estándares. Puede elegir si quiere habilitar automáticamente nuevos controles en sus estándares habilitados.
nota
Recomendamos utilizar una configuración centralizada para habilitar automáticamente los nuevos controles. Si la política de configuración incluye una lista de controles que deshabilitar (mediante programación, esto refleja el parámetro DisabledSecurityControlIdentifiers
), Security Hub habilita automáticamente todos los demás controles en los estándares, incluidos los controles recién lanzados. Si la política incluye una lista de controles que habilitar (mediante programación, esto refleja el parámetro EnabledSecurityControlIdentifiers
), Security Hub deshabilita automáticamente todos los demás controles en los estándares, incluidos los recién lanzados. Para obtener más información, consulte Cómo funcionan las políticas de configuración en Security Hub.
Elija el método de acceso que prefiera y siga los pasos para activar automáticamente los nuevos controles en los estándares habilitados. Las siguientes instrucciones solo se aplican si no utiliza la configuración centralizada.
Deshabilitación de controles
Al deshabilitar un control en todos los estándares, ocurre lo siguiente:
-
Los controles de seguridad del control ya no se realizan.
-
No se generan hallazgos adicionales para ese control.
-
Los resultados existentes se archivan automáticamente después de 3 a 5 días (tenga en cuenta que esto es lo mejor).
-
Se quitan todas AWS Config las reglas relacionadas que haya creado Security Hub.
En lugar de deshabilitar un control en todos los estándares, puede simplemente deshabilitarlo en uno o varios estándares específicos. Si lo hace, Security Hub no ejecuta controles de seguridad para el control de los estándares en los que lo deshabilitó, por lo que no afecta a la puntuación de seguridad de esos estándares. Sin embargo, Security Hub mantiene la AWS Config regla y sigue realizando comprobaciones de seguridad para el control si está habilitado en otros estándares. Esto puede afectar a la puntuación de seguridad resumida. Para instrucciones sobre cómo configurar los controles en estándares específicos, consulte Habilitación y deshabilitación de los controles en estándares específicos.
Para reducir el ruido que se produce al detectar ruidos, puede resultar útil deshabilitar los controles que no sean relevantes para su entorno. Para recomendaciones sobre qué controles deshabilitar, consulte Controles de Security Hub que quizás quiera deshabilitar.
Al deshabilitar un estándar, se deshabilitan todos los controles que se le aplican (sin embargo, es posible que esos controles sigan habilitados en otros estándares). Para obtener información acerca de la desactivación de un estándar, consulte Activación y desactivación de los estándares en Security Hub.
Al deshabilitar un estándar, Security Hub no rastrea cuáles de sus controles aplicables estaban deshabilitados. Si posteriormente vuelves a activar el mismo estándar, todos los controles que se le apliquen se habilitarán automáticamente. Además, deshabilitar un control no es una acción permanente. Supongamos que deshabilita un control y, a continuación, habilita un estándar que estaba deshabilitado anteriormente. Si el estándar incluye ese control, se habilitará en ese estándar. Al habilitar un estándar en Security Hub, todos los controles que se aplican a ese estándar se habilitan automáticamente. Puede optar por deshabilitar controles específicos.
Deshabilitación de un control en todos los estándares en varias cuentas y regiones
Para deshabilitar un control de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.
Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que deshabiliten controles especificados en los estándares habilitados. A continuación, puede asociar la política de configuración a cuentas específicas o a la raíz. OUs La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.
Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por deshabilitar todos los AWS CloudTrail controles de una unidad organizativa y puede optar por deshabilitar todos los IAM controles de otra unidad organizativa. El nivel de granularidad depende de los objetivos previstos en materia de cobertura de seguridad en su organización. Para instrucciones sobre cómo crear una política de configuración que deshabilite controles especificados en estándares, consulte Creación y asociación de políticas de configuración.
nota
El administrador delegado puede crear políticas de configuración para administrar los controles en todos los estándares, excepto en el estándar de administración de servicios:. AWS Control Tower Los controles de este estándar deben configurarse en el servicio. AWS Control Tower
Si quiere que algunas cuentas configuren sus propios controles en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los controles por separado en cada región.
Deshabilitación de un control en todos los estándares en una sola cuenta y región
Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los controles en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para deshabilitar un control en una sola cuenta y región.