Descripción de la configuración central en Security Hub

Cuando utiliza la configuración centralizada, Security Hub le guía a través del proceso de configuración de las prácticas recomendadas de seguridad para su organización. También implementa las políticas de configuración resultantes en cuentas específicas y de OUs forma automática. Si ya tiene configuraciones existentes en Security Hub, como habilitar automáticamente nuevos controles de seguridad, puede utilizarlas como punto de partida para las políticas de configuración. Además, la página de configuración de la consola de Security Hub muestra un resumen en tiempo real de las políticas de configuración y de las cuentas que OUs utilizan cada política.

Puede utilizar la configuración centralizada para configurar Security Hub en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

Con la configuración central, puede elegir configurar las cuentas de su organización de diferentes OUs maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

Una característica de Security Hub que ayuda a la cuenta de administrador delegado de Security Hub de una organización a configurar el servicio Security Hub, los estándares de seguridad y los controles de seguridad en varias cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración central, debe integrar Security Hub y AWS Organizations.

La Región de AWS desde el que el administrador delegado configura de forma centralizada Security Hub mediante la creación y administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

La región de origen también sirve como la región de agregación de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Regiones que AWS introducidas a partir del 20 de marzo de 2019 se denominan regiones con suscripción voluntaria. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones que se pueden suscribir, consulte Consideraciones antes de activar o desactivar las regiones en el AWS Guía de referencia sobre la administración de cuentas.

Un registro Región de AWS que se puede configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. La especificación de las regiones enlazadas es opcional.

Una región vinculada también envía resultados, información y otros datos a la región de origen.

Regiones que AWS introducidas a partir del 20 de marzo de 2019 se denominan regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulte Especificar cuáles Regiones de AWS su cuenta puede usar en AWS Guía de referencia sobre la administración de cuentas.

Un registro Cuenta de AWS, la unidad organizativa (OU) o la raíz de la organización.

Un conjunto de ajustes de Security Hub que el administrador delegado puede configurar para los destinos gestionados de forma centralizada. Esto incluye:

Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.

En la consola de Security Hub, el administrador delegado puede elegir la política de configuración recomendada por Security Hub o crear políticas de configuración personalizadas. Con el Security Hub API y AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.

En la política de configuración recomendada, Security Hub, AWS Las mejores prácticas de seguridad fundamentales (FSBP) son estándares y todos los FSBP controles nuevos y existentes están habilitados. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.

Para aplicar diferentes ajustes a la organización o aplicar diferentes políticas de configuración a diferentes cuentasOUs, cree una política de configuración personalizada.

El tipo de configuración predeterminado para una organización, después de integrar Security Hub y AWS Organizations. Con la configuración local, el administrador delegado puede optar por habilitar automáticamente Security Hub y los estándares de seguridad predeterminados en las nuevas cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.

La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

Si no integra Security Hub con AWS Organizations o si tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

Operaciones de Security Hub que solo el administrador delegado de Security Hub puede usar en la región de origen para administrar políticas de configuración para cuentas administradas centralmente. Las operaciones incluyen:

Operaciones del Security Hub que se pueden usar para habilitar o deshabilitar el Security Hub, los estándares y los controles de account-by-account forma independiente. Estas operaciones se utilizan en cada región individual.

Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.

Para comprobar el estado de la cuenta, el propietario de una cuenta gestionada de forma centralizada puede utilizar Get cualquiera de Describe las operaciones del Security HubAPI.

Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.

Las cuentas autogestionadas también pueden utilizar *Invitations las *Members operaciones. Sin embargo, recomendamos que las cuentas autogestionadas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de un miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

En AWS Organizations y Security Hub, un contenedor para un grupo de Cuentas de AWS. Una unidad organizativa (OU) también puede contener otrasOUs, lo que te permite crear una jerarquía similar a un árbol invertido, con una OU principal en la parte superior y las ramas de la misma OUs extendidas hacia abajo, acabando en cuentas que son las hojas del árbol. Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.

Puede administrar en OUs AWS Organizations o AWS Control Tower. Para obtener más información, consulta Administrar unidades organizativas en el AWS Organizations Guía del usuario o Gobierna organizaciones y cuentas con AWS Control Tower en la AWS Control Tower Guía del usuario.

El administrador delegado puede asociar las políticas de configuración a cuentas específicas o OUs a la raíz para abarcar todas las cuentas OUs de una organización.

Un objetivo que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un destino se administra de forma centralizada. El administrador delegado también puede cambiar el estado de un objetivo de gestionado centralmente a autogestionado, o al revés.

Un objetivo que administra su propia configuración de Security Hub. Un objetivo autogestionado utiliza operaciones específicas de la cuenta para configurar Security Hub por separado en cada región. Esto contrasta con los objetivos gestionados de forma centralizada, que solo los puede configurar el administrador delegado en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un objetivo se autogestiona. El administrador delegado puede aplicar un comportamiento autogestionado a un objetivo. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal.

La cuenta de administrador delegado puede ser en sí misma una cuenta autogestionada. La cuenta de administrador delegado puede cambiar el estado de un objetivo de autogestionado a gestionado centralmente o al revés.

Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:

Existe una asociación hasta que se aplique o herede una configuración diferente.

Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino o a las cuentas raíz. OUs Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la raíz, la política de configuración afecta a todas las OUs cuentas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la empresa matriz más cercana.

El administrador delegado también puede aplicar una configuración autogestionada a cuentas específicas o a la raíz. OUs

Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.

La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

En AWS Organizations y Security Hub, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la raíz, la política se asocia a todas las cuentas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se OUs designen como autogestionables. Si el administrador designa la raíz como autogestionada, todas las cuentas de la organización se autogestionarán, a menos que utilicen una política de configuración por aplicación o herencia. OUs Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.

Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.