View a markdown version of this page

Activación y configuración AWS Config para Security Hub CSPM - AWS Security Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación y configuración AWS Config para Security Hub CSPM

AWS Security Hub CSPM utiliza AWS Config reglas para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Utiliza reglas para definir una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso incumple las condiciones de una regla.

Algunas reglas, denominadas reglas AWS Config administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son AWS Config reglas personalizadas que desarrolla Security Hub CSPM. AWS Config las reglas que Security Hub CSPM utiliza para los controles se denominan reglas vinculadas a servicios. Service-linked las reglas permiten Servicios de AWS , como Security Hub CSPM, crear AWS Config reglas en su cuenta.

Si tiene habilitados tanto AWS Security Hub CSPM como Security Hub, Security Hub CSPM crea automáticamente un grabador de configuración vinculado a servicios para evaluar sus controles de seguridad. No necesita activarlos ni configurarlos manualmente. AWS Config Para obtener más información, consulte Uso del grabador de configuración vinculado a un servicio.

Si tiene el Security Hub CSPM activado sin Security Hub, debe habilitar AWS Config y activar manualmente el registro de recursos. Para obtener más información, consulte Configuración manual AWS Config.

Uso del grabador de configuración vinculado a un servicio

Cuando tiene habilitados tanto AWS Security Hub CSPM como Security Hub, Security Hub CSPM crea y administra automáticamente un grabador de configuración vinculado a servicios en todas sus cuentas y regiones. No es necesario que lo habilite o configure manualmente. AWS Config

El nombre de esta grabadora de configuración esAWSConfigurationRecorderForSecurityHubCSPM. Security Hub CSPM crea un grabador de configuración vinculado al servicio correspondiente para cada cuenta y región en la que estén habilitados tanto el Security Hub CSPM como el Security Hub. Al habilitar el CSPM de Security Hub para los nuevos Cuenta de AWS s y Región de AWS s, Security Hub CSPM crea automáticamente el grabador de configuración vinculado al servicio.

Security Hub (CSPM) administra la configuración de recursos del grabador de configuración vinculado al servicio, lo que garantiza que la grabación esté habilitada para todos los recursos que están vinculados a los controles compatibles con Security Hub. Para obtener una lista de los recursos necesarios, consulte. Obligatorio AWS Config recursos para hallazgos de control

Cuando Security Hub CSPM crea este grabador de configuración vinculado a un servicio, Security Hub no utiliza el grabador de configuración administrado por el cliente en. AWS Config

Para obtener más información sobre los grabadores de configuración, consulte Trabajar con el grabador de configuración en la Guía para desarrolladores.AWS Config

Configuración manual AWS Config

Los siguientes pasos se aplican cuando el Security Hub CSPM está activado sin Security Hub. En este caso, debe habilitar AWS Config en su cuenta y activar el registro de recursos para los tipos de recursos que evalúen sus controles habilitados. Una vez hecho esto, Security Hub CSPM crea las AWS Config reglas adecuadas y comienza a ejecutar comprobaciones de seguridad para generar hallazgos.

Consideraciones antes de habilitar y configurar AWS Config

Para recibir los resultados de control en Security Hub CSPM, AWS Config debe estar habilitado en su cuenta en todos los Región de AWS lugares en los que Security Hub CSPM esté habilitado. Si utiliza el CSPM de Security Hub en un entorno de varias cuentas, AWS Config debe estar habilitado en cada región tanto para la cuenta de administrador como para todas las cuentas de miembro.

Le recomendamos encarecidamente que active el registro de recursos AWS Config antes de activar los estándares y controles CSPM de Security Hub. Esto ayuda a garantizar que los resultados de control sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada a la grabadora de configuración. Además, asegúrese de que ninguna política o AWS Organizations política de IAM le AWS Config impida tener permiso para registrar sus recursos. Los controles CSPM de Security Hub evalúan las configuraciones de los recursos directamente y no tienen en cuenta AWS Organizations las políticas. Para obtener más información sobre el registro de AWS Config , consulte Utilización del registrador de configuración en la Guía para desarrolladores de AWS Config .

Si habilita un estándar en el CSPM de Security Hub pero no lo ha habilitado AWS Config, el CSPM de Security Hub intentará crear AWS Config reglas vinculadas a servicios de acuerdo con la siguiente programación:

  • El día en que habilite el estándar.

  • El día después de habilitar el estándar.

  • Tres días después de habilitar el estándar.

  • Siete días después de habilitar el estándar, y luego cada siete días de forma continua.

Si utiliza la configuración central, el Security Hub CSPM también intenta crear AWS Config reglas vinculadas a servicios cada vez que asocia una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OU) o la raíz.

Registrar recursos en AWS Config

Al habilitarla AWS Config, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el registrador de configuración permite que el CSPM de Security Hub detecte cambios en las configuraciones de los recursos.

Para que el CSPM de Security Hub genere resultados de control precisos, debe activar el registro en AWS Config para los tipos de recursos que corresponden a los controles habilitados. Principalmente son los controles habilitados con un tipo de programación activada por cambios los que requieren registro de recursos. Algunos controles con un tipo de programación periódica también requieren registro de recursos. Para obtener la lista de estos controles y sus recursos correspondientes, consulte Obligatorio AWS Config recursos para hallazgos de control.

aviso

Si no configura la AWS Config grabación correctamente para los controles CSPM de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:

  • Nunca registró el recurso para un control determinado, o desactivó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibe un resultado WARNING para el control correspondiente, incluso si creó recursos dentro del alcance del control después de haber desactivado el registro. Este resultado WARNING es un resultado predeterminado que no evalúa realmente el estado de configuración del recurso.

  • Desactiva el registro para un recurso que es evaluado por un control determinado. En este caso, el CSPM de Security Hub retiene los resultados de control generados antes de que desactivara el registro, aún cuando el control ya no evalúe recursos nuevos o actualizados. El CSPM de Security Hub también cambia el estado de cumplimiento de los resultados a WARNING. Es posible que estos resultados retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los recursos regionales compatibles que descubre Región de AWS en los que se está ejecutando. Para recibir todos los resultados de control de CSPM de Security Hub, también debe configurarlos AWS Config para que registren los recursos globales. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta región debe ser la región de origen.

En AWS Config, puede elegir entre el registro continuo o el registro diario de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados del CSPM de Security Hub para los controles activados por cambios hasta que finalice el periodo completo de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte Grabación de AWS recursos en la Guía para AWS Config desarrolladores.

Formas de habilitar y configurar AWS Config

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:

  • AWS Config consola: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.

  • AWS CLI o SDK: puedes habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulta Cómo configurar AWS Config con el AWS CLI en la Guía para AWS Config desarrolladores. AWS Los kits de desarrollo de software (SDK) también están disponibles para muchos lenguajes de programación.

  • CloudFormation plantilla: AWS Config para habilitarla en varias cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada Enable AWS Config. Para acceder a esta plantilla, consulte las plantillas AWS CloudFormation StackSet de muestra en la Guía del AWS CloudFormation usuario.

    De forma predeterminada, esta plantilla excluye el registro de los recursos globales de IAM. Asegúrese de habilitar el registro de los recursos globales de IAM en una sola Región de AWS para optimizar los costos de registro. Si tiene habilitada la agregación entre regiones, esta debe ser la Región de origen del CSPM de Security Hub. De lo contrario, puede ser cualquier región en la que el CSPM de Security Hub esté disponible y que admita el registro de los recursos globales de IAM. Recomendamos ejecutar una StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, de la región de origen o de otra región seleccionada. A continuación, ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de IAM en otras regiones.

  • GitHub script: Security Hub CSPM ofrece un GitHubscript que habilita Security Hub CSPM y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado en una organización AWS Organizations o tienes algunas cuentas de miembros que no forman parte de ella.

Para obtener más información, consulte la siguiente entrada del blog de AWS seguridad: Optimice AWS Config for AWS Security Hub CSPM para gestionar eficazmente su postura de seguridad en la nube.

Consideraciones sobre costos

El CSPM de Security Hub puede afectar a los costes de AWS Config la grabadora de configuración al actualizar el elemento de AWS::Config::ResourceCompliance configuración. Las actualizaciones se pueden producir cada vez que un control CSPM de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza los parámetros. Si utiliza la grabadora de AWS Config configuración solo para el Security Hub CSPM y no utiliza este elemento de configuración para otros fines, le recomendamos que desactive la grabación. AWS Config Esto puede reducir sus costos de AWS Config . No es necesario registrar AWS::Config::ResourceCompliance para que las comprobaciones de seguridad funcionen en el CSPM de Security Hub.

Para obtener información sobre los costos asociados al registro de recursos, consulte Precios del CSPM de AWS Security Hub y Precios de AWS Config.

Entender el control Config.1

nota

Cuando AWS Security Hub CSPM y Security Hub están habilitados, el Config.1 control siempre tiene el estado de. PASSED Security Hub CSPM tiene acceso directo a los elementos de configuración a través de un grabador de configuración vinculado a un servicio. Para obtener más información, consulte Uso del grabador de configuración vinculado a un servicio.

En Security Hub CSPM, el Config.1control genera FAILED resultados en su cuenta si AWS Config está deshabilitado. También genera FAILED resultados en tu cuenta si AWS Config está activado pero el registro de recursos no está activado.

Si AWS Config está habilitado y el registro de recursos está activado, pero el registro de recursos no está activado para un tipo de recurso que comprueba un control habilitado, Security Hub CSPM genera una FAILED búsqueda para el Config.1 control. Además de este resultado FAILED, el CSPM de Security Hub genera resultados WARNING para el control habilitado y para los tipos de recursos que dicho control verifica. Por ejemplo, si habilita el KMS.5control y el registro de recursos no está activado AWS KMS keys, Security Hub CSPM generará una FAILED búsqueda para el Config.1 control. Security Hub CSPM también genera WARNING resultados para el KMS.5 control y sus claves KMS.

Para recibir información sobre el Config.1 control, active el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. PASSED Desactive también los controles que no necesita en la organización. Esto ayuda a garantizar que no existan vacíos de configuración en las comprobaciones de controles de seguridad. También ayuda a asegurarse de que reciba resultados precisos sobre recursos mal configurados.

Si es el administrador delegado del CSPM de Security Hub para una organización, el registro de AWS Config debe estar configurado correctamente para la cuenta y para las cuentas de miembro. Si utiliza la agregación entre regiones, el AWS Config registro debe configurarse correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

Generación de reglas vinculadas al servicio

Para cada control que utilice una AWS Config regla vinculada a un servicio, Security Hub CSPM crea instancias de la regla requerida en su entorno. AWS

Estas reglas vinculadas al servicio son exclusivas del CSPM de Security Hub. El CSPM de Security Hub crea estas reglas vinculadas al servicio incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio agrega securityhub antes del nombre original de la regla y un identificador único después del nombre. Por ejemplo, para la regla AWS Config administrada, el nombre de la regla vpc-flow-logs-enabled vinculada al servicio podría ser. securityhub-vpc-flow-logs-enabled-12345

Hay cuotas para el número de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config las reglas que crea Security Hub CSPM no se tienen en cuenta para esas cuotas. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado la AWS Config cuota de reglas administradas en tu cuenta. Para obtener más información sobre las cuotas de AWS Config las reglas, consulta los límites de servicio AWS Config en la Guía para AWS Config desarrolladores.

nota

Si utiliza Security Hub, CSPM y Security Hub, puede ver las reglas vinculadas al servicio, AWS Config pero no podrá ver los recursos compatibles o no conformes asociados a la regla. Los recursos conformes y no conformes solo estarán visibles en Security Hub, CSPM y Security Hub.