Comprensión de la configuración centralizada en Security Hub

Cuando utiliza la configuración centralizada, Security Hub le guía a través del proceso de configuración de las prácticas recomendadas de seguridad para su organización. También implementa automáticamente las políticas de configuración resultantes en cuentas y unidades organizativas específicas. Si ya tiene configuraciones existentes en Security Hub, como habilitar automáticamente nuevos controles de seguridad, puede utilizarlas como punto de partida para las políticas de configuración. Además, la página Configuración de la consola de Security Hub muestra un resumen en tiempo real de las políticas de configuración y cuentas y unidades organizativas que utiliza cada política.

Puede utilizar la configuración centralizada para configurar Security Hub en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

Con la configuración centralizada, puede elegir si desea configurar las cuentas y unidades organizativas de su organización de diferentes maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

Una característica de Security Hub que ayuda a la cuenta de administrador delegado de Security Hub de una organización a configurar el servicio Security Hub, los estándares de seguridad y los controles de seguridad en varias cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración centralizada, debe integrar Security Hub y AWS Organizations.

La Región de AWS desde la cual el administrador delegado configura de manera centralizada Security Hub mediante la creación y la administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

La región de origen también sirve como la región de agregación de Security Hub que recibe resultados, información y otros datos de las regiones vinculadas.

Las regiones que AWS introdujo después del 20 de marzo de 2019 son regiones optativas. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones opcionales, consulte la sección Considerations before enabling and disabling Regions en la Guía de referencia de administración de cuentas de AWS.

Una Región de AWS que se puede configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. La especificación de las regiones vinculadas es opcional.

Una región vinculada también envía resultados, información y otros datos a la región de origen.

Las regiones que AWS introdujo después del 20 de marzo de 2019 son regiones optativas. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulte Specify which Regiones de AWS your account can use en la Guía de referencia de administración de cuentas de AWS.

Una Cuenta de AWS, una unidad organizativa (OU) o la raíz de la organización.

Un conjunto de ajustes de Security Hub que el administrador delegado puede configurar para los destinos administrados de forma centralizada. Esto incluye:

Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.

En la consola de Security Hub, el administrador delegado puede elegir la política de configuración recomendada por Security Hub o crear políticas de configuración personalizadas. Con la API de Security Hub y la AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.

En la política de configuración recomendada para Security Hub, se habilitan las Prácticas recomendadas de seguridad básica de AWS (FSBP) y todos los controles existentes y nuevos de FSBP. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.

Para aplicar diferentes configuraciones a la organización o aplicar diferentes políticas de configuración a diferentes cuentas y unidades organizativas, cree una política de configuración personalizada.

El tipo de configuración predeterminado para una organización, después de integrar Security Hub y AWS Organizations. Con la configuración local, el administrador delegado puede habilitar automáticamente Security Hub, los estándares de seguridad predeterminados en las nuevas cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.

La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

Si no integra Security Hub con AWS Organizations o si tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

Operaciones de Security Hub que solo el administrador delegado de Security Hub puede usar en la región de origen para administrar políticas de configuración para cuentas administradas centralmente. Las operaciones incluyen:

Operaciones de Security Hub que se pueden utilizar para habilitar o deshabilitar Security Hub, los estándares y los controles cuenta por cuenta. Estas operaciones se utilizan en cada región individual.

Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.

Para comprobar el estado de su cuenta, el propietario de una cuenta administrada de forma centralizada puede utilizar cualquiera de las operaciones Get o Describe de la API de Security Hub.

Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.

Las cuentas autoadministradas también pueden utilizar las operaciones *Invitations y *Members. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

En AWS Organizations y en Security Hub, un contenedor para un grupo de Cuentas de AWS. Una unidad organizativa (OU) también puede contener otras unidades organizativas, lo que le permite crear una jerarquía que se asemeja a un árbol invertido, con una unidad organizativa principal en la parte superior y ramas de unidades organizativas que descienden y terminan en cuentas que son las hojas del árbol. Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.

Puede administrar las unidades organizativas en AWS Organizations o AWS Control Tower. Para obtener más información, consulte Administración de unidades organizativas en la Guía del usuario de AWS Organizations o Control de organizaciones y cuentas con AWS Control Tower en la Guía del usuario de AWS Control Tower.

El administrador delegado puede asociar las políticas de configuración a cuentas o unidades organizativas específicas, o a la cuenta raíz para abarcar todas las cuentas y unidades organizativas de una organización.

Un destino que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un destino se administra de forma centralizada. El administrador delegado también puede cambiar el estado del destino de administrado centralmente a autoadministrado o al revés.

Un destino que administra su propia configuración de Security Hub. Un destino autoadministrado utiliza operaciones específicas de la cuenta para configurar Security Hub por separado en cada región. Esto contrasta con los destinos administrados de forma centralizada, que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un destino es autoadministrado. El administrador delegado puede aplicar un comportamiento autoadministrado a un destino. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal.

La cuenta de administrador delegado en sí puede ser una cuenta autoadministrada. La cuenta de administrador delegado puede cambiar el estado de un destino, de autoadministrado a administrado de forma centralizada o al revés.

Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:

Existe una asociación hasta que se aplique o herede una configuración diferente.

Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino, a las unidades organizativas o a la cuenta raíz. Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la cuenta raíz, la política de configuración afecta a todas las cuentas y unidades organizativas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la cuenta principal más cercana.

El administrador delegado también puede aplicar una configuración autoadministrada a cuentas específicas, unidades organizativas o la raíz.

Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.

La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

En AWS Organizations y Security Hub, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la cuenta raíz, la política se asocia a todas las cuentas y unidades organizativas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se designen como autoadministradas. Si el administrador designa la raíz como autoadministrada, todas las cuentas y unidades organizativas de la organización se autoadministran, a menos que utilicen una política de configuración por aplicación o herencia. Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.

Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.