Prácticas recomendadas para configurar Security Hub
Las siguientes prácticas recomendadas pueden ayudarlo a aprovechar al máximo AWS Security Hub:
Integración de Security Hub y AWS Organizations
AWS Organizations es un servicio de administración de cuentas global que permite a los administradores de AWS consolidar y administrar múltiples Cuentas de AWS y unidades organizativas de forma centralizada. Proporciona características de facturación unificada y administración de cuentas que están diseñadas para satisfacer las necesidades de presupuestos, seguridad y conformidad. Se ofrece sin costo adicional y se integra con varios Servicios de AWS, incluidos Security Hub, Amazon GuardDuty y Amazon Macie.
Para ayudar a automatizar y agilizar la administración de las cuentas, le recomendamos encarecidamente la integración de Security Hub y AWS Organizations. Puede realizar la integración con Organizations si tiene más de una Cuenta de AWS que utilice Security Hub.
Para obtener instrucciones sobre cómo activar la integración, consulte Integración de Security Hub con AWS Organizations.
Uso de la configuración centralizada
Al integrar Security Hub y Organizations, tiene la opción de utilizar una característica llamada configuración centralizada para configurar y administrar Security Hub para su organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.
La configuración centralizada permite que el administrador delegado configure Security Hub en las cuentas, las unidades organizativas y las Regiones de AWS. El administrador delegado configura Security Hub al crear políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:
Si se habilita o deshabilita Security Hub
Los estándares de seguridad que se habilitan y deshabilitan
Los controles de seguridad que se habilitan y deshabilitan
Si se deben personalizar los parámetros de los controles seleccionados
Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.
Las cuentas de los miembros y las unidades organizativas que utilizan una política de configuración se administran de forma centralizada y solo las puede configurar el administrador delegado. El administrador delegado puede designar cuentas de miembro y unidades organizativas específicos como autoadministrables para que el miembro pueda configurar sus propios ajustes región por región.
Si no utiliza la configuración centralizada, debe configurar Security Hub por separado en cada cuenta y región. Esto se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente Security Hub y un conjunto limitado de estándares de seguridad en las cuentas nuevas de la organización en la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.
Para obtener más información sobre la configuración centralizada, consulte Comprensión de la configuración centralizada en Security Hub.
Configuración de AWS Config para Security Hub
AWS Security Hub utiliza reglas de AWS Config vinculadas a servicios para realizar controles de seguridad y producir resultados para la mayoría de los controles. Como resultado, para recibir los resultados de control, AWS Config debe estar habilitado en su cuenta en cada Región de AWS donde Security Hub está habilitado. Si su cuenta forma parte de una organización, AWS Config debe estar habilitado en cada región de la cuenta de administrador y en todas las cuentas de miembro. Además, cuando se habilita un estándar de seguridad, se debe configurar AWS Config para registrar los recursos necesarios para los controles habilitados que forman parte del estándar.
Recomendamos que active el registro de recursos en AWS Config antes de habilitar los estándares de Security Hub. Si Security Hub intenta ejecutar controles de seguridad cuando el registro de recursos está desactivado, los controles devuelven errores hasta que habilite AWS Config y active el registro de recursos.
Security Hub no administra AWS Config por usted. Si ya tiene AWS Config habilitado, puede configurar sus ajustes a través de la API o la consola de AWS Config.
Si habilita un estándar pero no ha habilitado AWS Config, Security Hub intenta crear las reglas de AWS Config de acuerdo con la siguiente programación:
-
El día en que se active el estándar
-
Al día después de activar el estándar
-
3 días después de habilitar el estándar
-
7 días después de habilitar el estándar (y posteriormente cada 7 días)
Si utiliza la configuración centralizada, Security Hub también intenta crear las reglas de AWS Config cada vez que aplica una política de configuración que habilita uno o más estándares con cuentas, unidades organizativas (OU) o con la raíz.
Habilitación de AWS Config
Si aún no ha habilitado AWS Config, puede hacerlo de una de las siguientes maneras:
-
Consola o AWS CLI: puede habilitar AWS Config manualmente mediante la consola AWS Config o AWS CLI. Consulte Introducción a AWS Config en la Guía para desarrolladores de AWS Config.
-
Plantilla de AWS CloudFormation: si desea habilitar AWS Config en un gran número de cuentas, puede habilitar AWS Config con la plantilla HabilitarAWS Config de CloudFormation. Para acceder a esta plantilla, consulte Plantillas de ejemplo de AWS CloudFormation StackSets en la Guía del usuario de AWS CloudFormation.
-
Script de Github: Security Hub ofrece un script de GitHub
que habilita Security Hub para múltiples cuentas en todas las regiones. Este script es útil si no se ha integrado con Organizations o si tiene cuentas que no forman parte de su organización. Cuando utiliza este script para habilitar Security Hub, AWS Config también se habilita automáticamente para estas cuentas.
Para obtener más información sobre cómo habilitar AWS Config para ayudarle a ejecutar controles de seguridad de Security Hub, consulte Optimize AWS Config for AWS Security Hub to effectively manage your cloud security posture
Activación del registro de recursos en AWS Config
Cuando activa el registro de recursos con la configuración predeterminada, AWS Config registra todos los tipos de recursos regionales compatibles que encuentra en la Región de AWS donde se está ejecutando. También puede configurar AWS Config para registrar tipos admitidos de recursos globales. Solo necesita registrar los recursos globales en una sola región (si utiliza la configuración centralizada, se recomienda que sea la región de origen).
Si utiliza CloudFormation StackSets para habilitar AWS Config, le recomendamos ejecutar dos StackSets diferentes. Ejecute un StackSet para registrar todos los recursos, incluidos los recursos globales, de una única región. Ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de otras regiones.
También puedes usar la configuración rápida de AWS Systems Manager para configurar rápidamente el registro de recursos en AWS Config en todas sus cuentas y regiones. Durante el proceso de configuración rápida, puede elegir en qué región desea registrar los recursos globales. Para obtener más información, consulte Registrador de configuración de AWS Config en la Guía del usuario de AWS Systems Manager.
El control de seguridad Config.1 genera resultados fallidos para regiones que no sean regiones vinculadas en un agregador (la región de origen y las regiones que no están en un agregador de resultados en conjunto) si esa región no registra recursos globales de AWS Identity and Access Management (IAM) y se han habilitado controles que requieren que se registren recursos globales de IAM. En regiones vinculadas, Config.1 no controla si los recursos globales de IAM están registrados. Para obtener una lista de los recursos que requiere cada control, consulte Recursos de AWS Config necesarios para los resultados de control de Security Hub.
Si utiliza el script multicuenta para activar Security Hub, el registro de recursos se habilita automáticamente para todos los recursos, incluidos los globales, en todas las regiones. A continuación, puede actualizar la configuración para registrar los recursos globales únicamente en una sola región. Para obtener información, consulte Selección de los recursos que registra AWS Config en la Guía para desarrolladores de AWS Config.
Para que Security Hub informe con precisión de los resultados de los controles que se basan en reglas de AWS Config, debe habilitar el registro de los recursos pertinentes. Para obtener una lista de los controles y sus recursos de AWS Config relacionados, consulte Recursos de AWS Config necesarios para los resultados de control de Security Hub. AWS Config le permite elegir entre el registro continuo y el registro diario de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada periodo de 24 horas si se producen cambios en el estado de dichos recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de resultados de Security Hub correspondientes a controles activados por cambios hasta que se complete un periodo de 24 horas.
nota
Para generar nuevos resultados tras los controles de seguridad y evitar resultados obsoletos, debe contar con permisos suficientes para que el rol de IAM asociado al registrador de configuración evalúe los recursos subyacentes.
Consideraciones sobre costos
Para obtener más información acerca de los costos asociados al registro de recursos, consulte Precios de AWS Security Hub
Security Hub puede afectar a los costos del registrador de configuración de AWS Config al actualizar el elemento de configuración de AWS::Config::ResourceCompliance
. Se pueden producir actualizaciones cada vez que un control de Security Hub asociado con una regla de AWS Config cambia el estado de conformidad, se habilita o deshabilita, o se actualizan sus parámetros. Si usa el registrador de configuración de AWS Config solo para Security Hub y no usa este elemento de configuración con otros fines, le recomendamos desactivar el registro en la consola de AWS Config o en la AWS CLI. Esto puede reducir sus costos de AWS Config. No necesita registrar los controles de seguridad de AWS::Config::ResourceCompliance
para que funcione en Security Hub.