Controles de Security Hub para AWS Config - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Controles de Security Hub para AWS Config

Estos controles de Security Hub evalúan la AWS Config servicio y recursos.

Es posible que estos controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulteDisponibilidad de los controles por región.

[Configuración 1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos

Requisitos relacionados: CIS AWS Foundations Benchmark v1.2.0/2.5, CIS AWS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIST .800-53.r5 CM-3, .800-53.r5 CM-6 (1), .800-53.r5 CM-8, .800-53.r5 CM-8 (2), NIST v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST PCI DSS PCI DSS

Categoría: Identificar - Inventario

Gravedad: media

Tipo de recurso: AWS::::Account

AWS Config regla: Ninguna (regla personalizada de Security Hub)

Tipo de programa: Periódico

Parámetros:

Parámetro Descripción Tipo Valores personalizados permitidos Valor predeterminado de Security Hub

includeConfigServiceLinkedRoleCheck

El control no evalúa si AWS Config usa el rol vinculado al servicio si el parámetro está establecido en. false

Booleano

true o false

true

Este control comprueba si AWS Config está activado en su cuenta en la versión actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el servicio vinculado AWS Config rol. El nombre del rol vinculado al servicio es. AWSServiceRoleForConfig Si no usa el rol vinculado al servicio y no establece el includeConfigServiceLinkedRoleCheck parámetro enfalse, el control fallará porque es posible que otros roles no tengan los permisos necesarios para AWS Config para registrar con precisión sus recursos.

La AWS Config el servicio realiza la gestión de la configuración si es compatible AWS recursos en su cuenta y le entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWS recurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.

El control se evalúa de la siguiente manera:

  • Si la región actual está configurada como su región de agregación, el control solo produce PASSED resultados si AWS Identity and Access Management (IAM) los recursos globales se registran (si ha activado los controles que los requieren).

  • Si la región actual está configurada como una región vinculada, el control no evalúa si se registran los recursos IAM globales.

  • Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en su cuenta, el control solo produce PASSED resultados si se registran los recursos IAM globales (si ha activado los controles que los requieren).

Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan nuevos controles si se ha configurado la activación automática de los nuevos controles o si se cuenta con una política de configuración central que habilita automáticamente los nuevos controles. En estos casos, si no graba todos los recursos, debe configurar el registro de los recursos que están asociados a los nuevos controles para recibir un PASSED resultado.

Los controles de seguridad de Security Hub funcionan según lo previsto solo si habilitas AWS Config en todas las regiones y configure el registro de recursos para los controles que lo requieran.

nota

La configuración 1 requiere que AWS Config está activado en todas las regiones en las que utilice Security Hub.

Dado que Security Hub es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.

Para permitir las comprobaciones de seguridad de los recursos IAM globales de una región, debe registrar los recursos IAM globales de esa región. Las regiones en las que no se hayan registrado los recursos IAM globales recibirán un PASSED resultado predeterminado para los controles que comprueban los recursos IAM globales. Dado que los recursos IAM globales son idénticos en todas partes Regiones de AWS, le recomendamos que registre los recursos IAM globales únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). IAMlos recursos se registrarán solo en la región en la que esté activado el registro de recursos globales.

Los tipos de recursos registrados a IAM nivel mundial que AWS Config los soportes son IAM los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes. Puede considerar desactivar los controles del concentrador de seguridad que comprueban estos tipos de recursos en las regiones en las que el registro global de recursos está desactivado. Para obtener más información, consulte Controles sugeridos para deshabilitar en Security Hub.

Corrección

Para obtener una lista de los recursos que deben registrarse para cada control, consulteAWS Config Recursos necesarios para los hallazgos de control de Security Hub.

En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos IAM globales si ha activado los controles que requieren recursos IAM globales.

En las regiones vinculadas, puede usar cualquier AWS Config modo de grabación, siempre que grabe todos los recursos que corresponden a los controles que están habilitados en la región actual. En las regiones enlazadas, si tienes activados los controles que requieren el registro de los recursos IAM globales, no recibirás ningún FAILED dato (basta con registrar otros recursos).

Para activar AWS Config y configúrelo para registrar los recursos, consulte Configuración AWS Config con la consola en AWS Config Guía para desarrolladores. También puede utilizar un AWS CloudFormation plantilla para automatizar este proceso. Para obtener más información, consulte AWS CloudFormation StackSets plantillas de muestra en el AWS CloudFormation Guía del usuario.