Activación y desactivación de los estándares en Security Hub - AWS Security Hub
Habilitación de un estándar de seguridadDeshabilitación de un estándar de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación y desactivación de los estándares en Security Hub

Puede activar o desactivar todos los estándares de seguridad disponibles en Security Hub.

Antes de habilitar cualquier estándar de seguridad, asegúrese de haber habilitado AWS Config y configurado el registro de recursos. De lo contrario, es posible que Security Hub no pueda generar resultados para los controles que se aplican al estándar. Para obtener más información, consulte Configuración AWS Config para Security Hub.

nota

Las instrucciones para habilitar y deshabilitar los estándares varían en función de si se utiliza o no la configuración centralizada. En esta sección, se describen las diferencias. La configuración central está disponible para los usuarios que integran Security Hub y AWS Organizations. Recomendamos utilizar la configuración centralizada para simplificar el proceso de habilitación y deshabilitación de los estándares en entornos de varias cuentas y regiones.

Habilitación de un estándar de seguridad

Cuando habilita un estándar de seguridad, todos los controles que aplican a dicho estándar se habilitan de forma automática. Security Hub también comienza a generar resultados para los controles que se aplican al estándar.

Puede elegir qué controles desea habilitar y deshabilitar en cada estándar. Al deshabilitar un control, se impide que se generen los resultados del control y el control se ignora al calcular los puntajes de seguridad.

Al activar Security Hub, Security Hub calcula la puntuación de seguridad inicial de un estándar 30 minutos después de su primera visita a la página Resumen o a la página Normas de seguridad de la consola de Security Hub. Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Region. Las puntuaciones solo se generan para los estándares que están activados al visitar esas páginas. Además, se debe configurar el registro de AWS Config recursos para que aparezcan las puntuaciones. Tras la primera generación de puntuaciones, Security Hub actualiza las puntuaciones de seguridad cada 24 horas. Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez una puntuación de seguridad. Para ver una lista de los estándares que están actualmente habilitados en su cuenta, invoque la GetEnabledStandardsAPI.

Habilitación de un estándar en varias cuentas y regiones

Para habilitar un estándar de seguridad en varias cuentas Regiones de AWS, debe usar la configuración central.

Cuando se utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración de Security Hub que habiliten uno o varios estándares. A continuación, puedes asociar la política de configuración a cuentas y unidades organizativas específicas (OUs) o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por habilitar solo las mejores prácticas de seguridad AWS fundamentales (FSBP) en una unidad organizativa y puede optar por habilitar FSBP Center for Internet Security (CIS) AWS Foundations Benchmark v1.4.0 en otra unidad organizativa. Para obtener instrucciones sobre cómo crear una política de configuración que habilite estándares específicos, consulte Creación y asociación de políticas de configuración

Si utiliza la configuración centralizada, Security Hub no habilita automáticamente ningún estándar en las cuentas nuevas ni existentes. En cambio, al crear una política de configuración, el administrador delegado define qué estándares se deben habilitar en las diferentes cuentas. Security Hub ofrece una política de configuración recomendada en la que solo FSBP está habilitada. Para obtener más información, consulte Tipos de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para habilitar cualquier estándar, excepto el estándar gestionado por el servicio:. AWS Control Tower Puede habilitar este estándar solo en el servicio. AWS Control Tower Si utiliza la configuración centralizada, puede habilitar y deshabilitar los controles de este estándar para una cuenta administrada centralmente solo en AWS Control Tower.

Si quiere que algunas cuentas configuren sus propios estándares en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los estándares por separado en cada región.

Habilitación de un estándar en una sola cuenta y región

Si no utiliza la configuración centralizada o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para habilitar de manera centralizada los estándares en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para habilitar un estándar en una sola cuenta y región.

Security Hub console
Habilitación de un estándar en una cuenta y región

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el estándar.

  3. En el panel de navegación de Security Hub, elija Estándares de seguridad.

  4. Para el estándar que desea habilitar, elija Enable (Habilitar). Esto también habilita todos los controles dentro de ese estándar.

  5. Repítalo en cada región en la que quiera habilitar el estándar.

Security Hub API
Habilitación de un estándar en una cuenta y región

  1. Invoca el BatchEnableStandardsAPI.

  2. Proporcione el nombre del recurso de Amazon (ARN) del estándar que desee habilitar. Para obtener el estándarARN, invoque el DescribeStandardsAPI.

  3. Repítalo en cada región en la que quiera habilitar el estándar.

AWS CLI
Habilitación de un estándar en una cuenta y región

  1. Ejecute el comando batch-enable-standards.

  2. Proporcione el nombre del recurso de Amazon (ARN) del estándar que desee habilitar. Para obtener el estándarARN, ejecute el describe-standardscomando.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    Ejemplo

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. Repítalo en cada región en la que quiera habilitar el estándar.

Habilitación automática de los estándares de seguridad predeterminados

Si no utiliza la configuración centralizada, Security Hub habilita automáticamente los estándares de seguridad predeterminados en las cuentas nuevas cuando se unen a su organización. Todos los controles que forman parte de los estándares predeterminados también se habilitan automáticamente. Actualmente, los estándares de seguridad predeterminados que se activan automáticamente son AWS Foundational Security Best Practices (FSBP) y Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0. Puede desactivar los estándares que se habilitan automáticamente si prefiere habilitarlos manualmente en cuentas nuevas.

Si utiliza la configuración centralizada, puede crear una política de configuración que habilite los estándares predeterminados y asociar esta política a la raíz. Toda su organización cuenta y OUs heredará esta política de configuración, a menos que estén asociadas a una política diferente o sean autogestionadas.

Desactivación de los estándares habilitados automáticamente

Los siguientes pasos solo se aplican si se integra con la configuración central AWS Organizations , pero no se utiliza. Si no utiliza la integración con Organizations, puede desactivar un estándar predeterminado la primera vez que habilite Security Hub o puede seguir los pasos para deshabilitar un estándar.

Security Hub console
Desactivación automática de los estándares habilitados

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

    Inicie sesión en las credenciales de una cuenta del administrador.

  2. En el panel de navegación de Security Hub, en Configuración, elija Configuración.

  3. En la sección Cuentas, desactive la opción Habilitar automáticamente los estándares predeterminados.

Security Hub API
Desactivación automática de los estándares habilitados

  1. Invoque UpdateOrganizationConfigurationAPIdesde la cuenta de administrador de Security Hub.

  2. Para desactivar los estándares habilitados automáticamente de las cuentas de los miembros nuevos, establezca el valor de AutoEnableStandards como igual a NONE.

AWS CLI
Desactivación automática de los estándares habilitados

  1. Ejecute el comando update-organization-configuration.

  2. Incluya el parámetro auto-enable-standards para desactivar los estándares que se habilitan automáticamente en las cuentas de los nuevos miembros.

    aws securityhub update-organization-configuration --auto-enable-standards

Deshabilitación de un estándar de seguridad

Cuando deshabilita un estándar de seguridad en Security Hub, ocurre lo siguiente:

  • Todos los controles que se aplican a la norma también están desactivados, a menos que estén asociados a otra norma.

  • Las comprobaciones para los controles deshabilitados ya no se realizan y no se generan resultados adicionales para los controles deshabilitados.

  • Los resultados existentes sobre los controles deshabilitados se archivan automáticamente después de un plazo aproximado de 3 a 5 días.

  • Se eliminan las AWS Config reglas que Security Hub creó para los controles deshabilitados.

    Esto suele ocurrir unos minutos después de desactivar el estándar, pero puede tardar más. Si se produce un error en la primera solicitud para eliminar AWS Config las reglas, Security Hub lo vuelve a intentar cada 12 horas. Sin embargo, si deshabilitó Security Hub o no tiene ningún otro estándar habilitado, Security Hub no podrá volver a intentar la solicitud, lo que significa que no podrá eliminar las reglas de AWS Config . Si esto ocurre y necesita eliminar AWS Config las reglas, póngase en contacto con AWS Support.

Deshabilitación de un estándar en varias cuentas y regiones

Para deshabilitar un estándar de seguridad en varias cuentas y regiones, debe utilizar la configuración centralizada.

Cuando utiliza la configuración centralizada, el administrador delegado puede crear políticas de configuración que deshabiliten uno o varios estándares. Puede asociar una política de configuración a cuentas específicas OUs o a la raíz. La política de configuración entra en vigencia en su región de origen (también denominada región de agregación) y en todas las regiones vinculadas.

Las políticas de configuración pueden personalizarse. Por ejemplo, puede optar por inhabilitar la norma de seguridad de datos del sector de las tarjetas de pago (PCIDSS) en una unidad organizativa y puede optar por deshabilitar ambas PCI DSS opciones, así como la SP 800-53 rev. 5 del Instituto Nacional de Estándares y Tecnología (NIST) en otra unidad organizativa. Para obtener instrucciones sobre cómo crear una política de configuración que deshabilite estándares específicos, consulte Creación y asociación de políticas de configuración.

nota

El administrador delegado puede crear políticas de configuración para deshabilitar cualquier estándar, excepto el estándar de administración de servicios:. AWS Control Tower Puede deshabilitar este estándar solo en el servicio. AWS Control Tower Si utiliza la configuración centralizada, puede habilitar y deshabilitar los controles de este estándar para una cuenta administrada centralmente solo en AWS Control Tower.

Si quiere que algunas cuentas configuren sus propios estándares en lugar del administrador delegado, este puede designar esas cuentas como autoadministradas. Las cuentas autoadministradas deben configurar los estándares por separado en cada región.

Deshabilitación de un estándar en una sola cuenta y región

Si no utiliza la configuración central o tiene una cuenta autoadministrada, no podrá utilizar las políticas de configuración para deshabilitar de manera centralizada los estándares en varias cuentas y regiones. Sin embargo, puede seguir estos pasos para deshabilitar un estándar en una sola cuenta y región.

Security Hub console
Deshabilitación de un estándar en una cuenta y región

  1. Abra la AWS Security Hub consola en https://console.aws.amazon.com/securityhub/.

  2. Confirme que está utilizando Security Hub en la región en la que desea deshabilitar el estándar.

  3. En el panel de navegación de Security Hub, elija Estándares de seguridad.

  4. Para el estándar que desea deshabilitar, elija Disable (Deshabilitar).

  5. Repítalo en cada región en la que quiera deshabilitar el estándar.

Security Hub API
Deshabilitación de un estándar en una cuenta y región

  1. Invoca el BatchDisableStandardsAPI.

  2. Para cada estándar que desee deshabilitar, proporcione la suscripción ARN estándar. Para obtener la suscripción ARNs para los estándares habilitados, invoque la GetEnabledStandardsAPI.

  3. Repítalo en cada región en la que quiera deshabilitar el estándar.

AWS CLI
Deshabilitación de un estándar en una cuenta y región

  1. Ejecute el comando batch-disable-standards.

  2. Para cada estándar que desee deshabilitar, proporcione la suscripción ARN estándar. Para obtener la suscripción ARNs para los estándares habilitados, ejecute el get-enabled-standardscomando.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    Ejemplo

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. Repítalo en cada región en la que quiera deshabilitar el estándar.