Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles de Security Hub para AWS Config
Estos controles de Security Hub evalúan el AWS Config servicio y los recursos.
Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.r5 CM-3, NISt.800-53.r5 CM-6 (1), NISt.800-53.r5 CM-8 (2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5
Categoría: Identificar - Inventario
Gravedad: crítica
Tipo de recurso: AWS::::Account
AWS Config regla: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control no evalúa si AWS Config utiliza el rol vinculado al servicio si el parámetro está establecido en. |
Booleano |
|
|
Este control comprueba si AWS Config está habilitado en su cuenta en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el rol vinculado al servicio AWS Config. El nombre del rol vinculado al servicio es. AWSServiceRoleForConfig Si no usa el rol vinculado al servicio y no establece el includeConfigServiceLinkedRoleCheck parámetro enfalse, el control fallará porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.
El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.
El control se evalúa de la siguiente manera:
Si la región actual está configurada como su región de agregación, el control solo produce
PASSEDresultados si se registran los recursos globales AWS Identity and Access Management (de IAM) (si ha activado los controles que los requieren).Si la región actual está configurada como una región vinculada, el control no evalúa si se registran recursos globales de IAM.
Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en la cuenta, el control solo produce resultados
PASSEDsi se registran los recursos globales de IAM (si ha habilitado los controles que los requieren).
Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan controles nuevos si se ha configurado la habilitación automática de los nuevos controles o si se cuenta con una política de configuración centralizada que habilita automáticamente los controles nuevos. En estos casos, si no registra todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para recibir un resultado PASSED.
Las comprobaciones de seguridad de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.
nota
La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub.
Como Security Hub es un servicio regional, la comprobación que se realiza con este control solo se aplica a la región actual de la cuenta.
Para admitir los controles de seguridad en recursos globales de IAM de una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un resultado PASSED predeterminado por los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las regiones Regiones de AWS, le recomendamos que registre los recursos globales de IAM únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). Los recursos de IAM solo se registrarán en la región en la que esté activado el registro de recursos globales.
Los tipos de recursos de IAM registrados a nivel mundial que AWS Config admite son los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM. Puede considerar desactivar los controles del concentrador de seguridad que comprueban estos tipos de recursos en las regiones en las que el registro global de recursos está desactivado. Para obtener más información, consulte Controles sugeridos para deshabilitar en Security Hub.
Corrección
En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha habilitado los controles que requieren recursos globales de IAM.
En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si ha activado los controles que requieren el registro de los recursos globales de IAM, no recibirá ningún FAILED resultado (basta con registrar otros recursos).
El StatusReasons campo del Compliance objeto de la búsqueda puede ayudarle a determinar por qué ha fallado la búsqueda de este control. Para obtener más información, consulte Detalles de cumplimiento de las conclusiones sobre el control.
Para obtener una lista de los recursos que deben registrarse para cada control, consulte AWS Config Recursos necesarios para las conclusiones sobre el control de Security Hub. Para obtener información general sobre cómo habilitar AWS Config y configurar el registro de recursos, consulteActivación y configuración AWS Config de Security Hub.
