Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles sugeridos para deshabilitar en Security Hub
Recomendamos desactivar algunos AWS Security Hub controles para reducir la detección de ruido y limitar los costes.
Controles que utilizan recursos globales
Algunos Servicios de AWS admiten recursos globales, lo que significa que puedes acceder al recurso desde cualquier Región de AWS lugar. Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Una vez hecho esto, Security Hub aún ejecutará controles de seguridad en todas las regiones en las que esté habilitado un control y se le cobrará en función del número de controles por cuenta y región. En consecuencia, para reducir el ruido de resultado y ahorrar en el costo de Security Hub, también debería deshabilitar los controles que incluyen a los recursos globales en todas las regiones, excepto en la región que registra los recursos globales.
Si un control incluye recursos globales, pero solo está disponible en una región, si lo deshabilita en esa región, no podrá obtener resultados para el recurso subyacente. En ese caso, recomendamos que mantenga el control habilitado. Cuando se utiliza la agregación entre regiones, la región en la que esté disponible el control debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles incluyen recursos globales, pero solo están disponibles en una sola región:
Todos los CloudFront controles: disponibles solo en el este de EE. UU. (Virginia del Norte)
GlobalAccelerator.1 — Disponible solo en el oeste de EE. UU. (Oregón)
Route53.2: disponible solo en la región este de EE. UU. (Norte de Virginia)
WAF.1, WAF .6, WAF .7 y WAF .8: disponibles solo en EE. UU. Este (Virginia del Norte)
nota
Si usa la configuración centralizada, Security Hub deshabilita automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.
Si un control habilitado que implica recursos globales no es compatible en la región de origen, Security Hub intenta habilitar el control en una región vinculada en la que se admita el control. Con la configuración central, no hay cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.
Para obtener más información acerca de la configuración centralizada, consulte Comprensión de la configuración centralizada en Security Hub.
Comprensión de la configuración centralizada en Security Hub.
.
Para los controles con un tipo de programación periódica, es necesario deshabilitarlos en Security Hub para evitar la facturación. Establecer el AWS Config parámetro en false no afecta includeGlobalResourceTypes a los controles periódicos de Security Hub.
A continuación, se incluye una lista de los controles de Security Hub que utilizan recursos globales:
-
[Account.1] La información de contacto de seguridad debe proporcionarse para una Cuenta de AWS
-
[Account.2] Cuentas de AWS debe ser parte de una organización de AWS Organizations
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deberían estar habilitadas WAF
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados/personalizados SSL TLS
-
[CloudFront.8] CloudFront las distribuciones deberían usarse SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben etiquetarse
-
[IAM.1] IAM las políticas no deberían permitir todos los privilegios administrativos «*»
-
[IAM.2] IAM los usuarios no deberían tener IAM políticas adjuntas
-
[IAM.3] las claves IAM de acceso de los usuarios deben rotarse cada 90 días o menos
-
[IAM.4] la clave de acceso del usuario IAM root no debería existir
-
[IAM.5] MFA debería estar activado para todos los IAM usuarios que tengan una contraseña de consola
-
[IAM.6] El hardware MFA debe estar habilitado para el usuario root
-
[IAM.7] Las políticas de contraseñas para IAM los usuarios deben tener una configuración sólida
-
[IAM.8] Se deben eliminar las credenciales IAM de usuario no utilizadas
-
[IAM.11] Asegúrese de que la política de IAM contraseñas requiera al menos una letra mayúscula
-
[IAM.12] Asegúrese de que la política de IAM contraseñas requiera al menos una letra minúscula
-
[IAM.13] Asegúrese de que la política de IAM contraseñas requiera al menos un símbolo
-
[IAM.14] Asegúrese de que la política de IAM contraseñas requiera al menos un número
-
[IAM.16] Asegúrese de que la política de IAM contraseñas impida su reutilización
-
[IAM.19] MFA debe estar habilitado para todos los usuarios IAM
-
[IAM.22] Se deben eliminar las credenciales de IAM usuario que no se hayan utilizado durante 45 días
-
[IAM.26] TLS Los certificados SSL caducados o gestionados IAM deben eliminarse
-
[IAM.27] IAM las identidades no deberían tener la AWSCloudShellFullAccess política adjunta
-
[IAM.28] El analizador de IAM acceso externo Access Analyzer debe estar activado
-
[Route53.2] Las zonas alojadas públicamente de Route 53 deberían registrar las consultas DNS
-
[WAF.1] AWS WAF El ACL registro web global clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
-
[WAF.10] la AWS WAF web ACLs debe tener al menos una regla o grupo de reglas
CloudTrail controles de registro
Este control trata del uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos seguimientos en una cuenta de registro centralizada, solo tendrá que habilitar este control en la cuenta y región donde tiene lugar este registro centralizado.
nota
Si utiliza la configuración centralizada, el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, suprima los resultados de los siguientes controles para reducir el ruido de los resultados.
CloudWatch controles de alarmas
Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar estos controles, que se centran en CloudWatch las alarmas.
