Habilitación y deshabilitación de estándares de seguridad - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación y deshabilitación de estándares de seguridad

Puede activar o desactivar todos los estándares de seguridad disponibles en Security Hub.

Antes de habilitar cualquier estándar de seguridad, asegúrese de haber habilitado AWS Config y configurado el registro de recursos. De lo contrario, es posible que Security Hub no pueda generar resultados para los controles que se aplican al estándar. Para obtener más información, consulte Configurando AWS Config.

nota

Las instrucciones para habilitar y deshabilitar los estándares varían en función de si se utiliza o no la configuración centralizada. En esta sección, se describen las diferencias. La configuración central está disponible para los usuarios que integran Security Hub y AWS Organizations. Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los estándares en entornos de varias cuentas y regiones.

Habilitación de un estándar de seguridad

Cuando habilita un estándar de seguridad, todos los controles que aplican a dicho estándar se habilitan de forma automática. Security Hub también comienza a generar resultados para los controles que se aplican al estándar.

Puede elegir qué controles desea habilitar y deshabilitar en cada estándar. Al deshabilitar un control, se impide que se generen los resultados del control y el control se ignora al calcular los puntajes de seguridad.

Al activar Security Hub, Security Hub calcula la puntuación de seguridad inicial de un estándar 30 minutos después de su primera visita a la página Resumen o a la página Normas de seguridad de la consola de Security Hub. Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Region. Las puntuaciones solo se generan para los estándares que están activados al visitar esas páginas. Además, se debe configurar el registro de AWS Config recursos para que aparezcan las puntuaciones. Tras la primera generación de puntuaciones, Security Hub actualiza las puntuaciones de seguridad cada 24 horas. Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez una puntuación de seguridad. Para ver una lista de los estándares habilitados actualmente, invoque la API GetEnabledStandards.

Habilitación de un estándar en varias cuentas y regiones

Para habilitar un estándar de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.

Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que habiliten uno o varios estándares. A continuación, puede asociar la política de configuración a cuentas y unidades organizativas (OU) específicas o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar solo las mejores prácticas de seguridad AWS fundamentales (FSBP) en una unidad organizativa, y puede optar por habilitar FSBP y Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 en otra unidad organizativa. Para obtener instrucciones sobre cómo crear una política de configuración que habilite estándares específicos, consulte Creación y asociación de políticas de configuración de Security Hub

Si utiliza la configuración centralizada, Security Hub no habilita automáticamente ningún estándar en las cuentas nuevas ni existentes. En cambio, al crear una política de configuración, el administrador delegado define qué estándares se deben habilitar en las diferentes cuentas. Security Hub ofrece una política de configuración recomendada en la que solo está configurado FSBP. Para obtener más información, consulte Tipos de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para habilitar cualquier estándar, excepto el estándar gestionado por servicios:. AWS Control Tower Puede habilitar este estándar solo en el servicio. AWS Control Tower Si utiliza la configuración centralizada, puede habilitar y deshabilitar los controles de este estándar para una cuenta administrada centralmente solo en AWS Control Tower.

Si quiere que algunas cuentas configuren sus propios estándares en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los estándares por separado en cada región.

Habilitación de un estándar en una sola cuenta y región

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los estándares en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un estándar en una sola cuenta y región.

Security Hub console
Habilitación de un estándar en una cuenta y región
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el estándar.

  3. En el panel de navegación de Security Hub, elija Estándares de seguridad.

  4. Para el estándar que desea habilitar, elija Enable (Habilitar). Esto también habilita todos los controles dentro de ese estándar.

  5. Repítalo en cada región en la que quiera habilitar el estándar.

Security Hub API
Habilitación de un estándar en una cuenta y región
  1. Invoque la API BatchEnableStandards.

  2. Proporcione el nombre de recurso de Amazon (ARN) del estándar que quiera habilitar. Para obtener el ARN estándar, invoque la API DescribeStandards.

  3. Repítalo en cada región en la que quiera habilitar el estándar.

AWS CLI
Habilitación de un estándar en una cuenta y región
  1. Ejecute el comando batch-enable-standards.

  2. Proporcione el nombre de recurso de Amazon (ARN) del estándar que quiera habilitar. Para obtener el ARN estándar, ejecute el comando describe-standards.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Ejemplo

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'
  3. Repítalo en cada región en la que quiera habilitar el estándar.

Habilitación automática de los estándares de seguridad predeterminados

Si no utiliza la configuración centralizada, Security Hub habilita automáticamente los estándares de seguridad predeterminados en las cuentas nuevas cuando se unen a su organización. Todos los controles que forman parte de los estándares predeterminados también se habilitan automáticamente. Actualmente, los estándares de seguridad predeterminados que se activan automáticamente son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Puede desactivar los estándares que se habilitan automáticamente si prefiere habilitarlos manualmente en cuentas nuevas.

Si utiliza la configuración centralizada, puede crear una política de configuración que habilite los estándares predeterminados y asociar esta política a la raíz. Todas las cuentas de la organización y las unidades organizativas heredarán esta política de configuración, a menos que estén asociadas a una política diferente o se autoadministren.

Desactivación de los estándares habilitados automáticamente

Los siguientes pasos se aplican solo si se integra con la configuración central AWS Organizations , pero no se utiliza. Si no utiliza la integración con Organizations, puede desactivar un estándar predeterminado la primera vez que habilite Security Hub o puede seguir los pasos para deshabilitar un estándar.

Security Hub console
Desactivación automática de los estándares habilitados
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

    Inicie sesión en las credenciales de una cuenta del administrador.

  2. En el panel de navegación de Security Hub, en Configuración, elija Configuración.

  3. En la sección Cuentas, desactive la opción Habilitar automáticamente los estándares predeterminados.

Security Hub API
Desactivación automática de los estándares habilitados
  1. Invoque la API UpdateOrganizationConfiguration desde la cuenta de administrador de Security Hub.

  2. Para desactivar los estándares habilitados automáticamente de las cuentas de los miembros nuevos, establezca el valor de AutoEnableStandards como igual a NONE.

AWS CLI
Desactivación automática de los estándares habilitados
  1. Ejecute el comando update-organization-configuration.

  2. Incluya el parámetro auto-enable-standards para desactivar los estándares que se habilitan automáticamente en las cuentas de los nuevos miembros.

    aws securityhub update-organization-configuration --auto-enable-standards

Deshabilitación de un estándar de seguridad

Cuando deshabilita un estándar de seguridad en Security Hub, ocurre lo siguiente:

  • Todos los controles que se aplican a la norma también están desactivados, a menos que estén asociados a otra norma.

  • Las comprobaciones para los controles deshabilitados ya no se realizan y no se generan resultados adicionales para los controles deshabilitados.

  • Los resultados existentes sobre los controles deshabilitados se archivan automáticamente después de un plazo aproximado de 3 a 5 días.

  • Se eliminan las AWS Config reglas que Security Hub creó para los controles deshabilitados.

    Esto suele ocurrir unos minutos después de desactivar el estándar, pero puede tardar más. Si se produce un error en la primera solicitud para eliminar AWS Config las reglas, Security Hub lo vuelve a intentar cada 12 horas. Sin embargo, si deshabilitó Security Hub o no tiene ningún otro estándar habilitado, Security Hub no podrá volver a intentar la solicitud, lo que significa que no podrá eliminar las reglas de AWS Config . Si esto ocurre y necesita eliminar AWS Config las reglas, póngase en contacto con AWS Support.

Deshabilitación de un estándar en varias cuentas y regiones

Para deshabilitar un estándar de seguridad en varias cuentas y regiones, debe utilizar la configuración centralizada.

Cuando utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración que deshabiliten uno o varios estándares. Puede asociar una política de configuración a cuentas y unidades organizativas específicas o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede deshabilitar el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) en una unidad organizativa y deshabilitar tanto el PCI DSS como el SP 800-53 Rev. 5 del Instituto Nacional de Estándares y Tecnología (NIST) en otra unidad organizativa. Para obtener instrucciones sobre cómo crear una política de configuración que deshabilite estándares específicos, consulte Creación y asociación de políticas de configuración de Security Hub.

nota

El administrador delegado puede crear políticas de configuración para deshabilitar cualquier estándar, excepto el estándar gestionado por servicios:. AWS Control TowerPuede deshabilitar este estándar solo en el servicio. AWS Control Tower Si utiliza la configuración centralizada, puede habilitar y deshabilitar los controles de este estándar para una cuenta administrada centralmente solo en AWS Control Tower.

Si quiere que algunas cuentas configuren sus propios estándares en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los estándares por separado en cada región.

Deshabilitación de un estándar en una sola cuenta y región

Si no utiliza la configuración central o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los estándares en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para deshabilitar un estándar en una sola cuenta y región.

Security Hub console
Deshabilitación de un estándar en una cuenta y región
  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el estándar.

  3. En el panel de navegación de Security Hub, elija Estándares de seguridad.

  4. Para el estándar que desea deshabilitar, elija Disable (Deshabilitar).

  5. Repítalo en cada región en la que quiera deshabilitar el estándar.

Security Hub API
Deshabilitación de un estándar en una cuenta y región
  1. Invoque la API BatchDisableStandards.

  2. Para cada estándar que desee deshabilitar, proporcione el ARN de la suscripción estándar. Para obtener los ARN de suscripción para los estándares habilitados, invoque la API GetEnabledStandards.

  3. Repítalo en cada región en la que quiera deshabilitar el estándar.

AWS CLI
Deshabilitación de un estándar en una cuenta y región
  1. Ejecute el comando batch-disable-standards.

  2. Para cada estándar que desee deshabilitar, proporcione el ARN de la suscripción estándar. Para obtener los ARN de suscripción para los estándares habilitados, ejecute el comando get-enabled-standards.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Ejemplo

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"
  3. Repítalo en cada región en la que quiera deshabilitar el estándar.