Habilitación y configuración AWS Config de Security Hub CSPM - AWS Security Hub
Consideraciones antes de habilitar y configurar AWS ConfigRegistrar los recursos en AWS ConfigFormas de habilitar y configurar AWS ConfigControl de configuración 1Generación de reglas vinculadas a serviciosConsideraciones sobre costos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación y configuración AWS Config de Security Hub CSPM

AWS Security Hub Cloud Security Posture Management (CSPM) utiliza AWS Config reglas para ejecutar comprobaciones de seguridad y generar resultados para la mayoría de los controles. AWS Config proporciona una vista detallada de la configuración de los AWS recursos de su. Cuenta de AWS Utiliza reglas para establecer una configuración de referencia para los recursos y un registrador de configuración para detectar si un recurso concreto infringe las condiciones de una regla. Algunas reglas, AWS Config denominadas reglas administradas, están predefinidas y desarrolladas por AWS Config. Otras reglas son reglas AWS Config personalizadas que desarrolla Security Hub CSPM.

AWS Config las reglas que Security Hub CSPM utiliza para los controles se denominan reglas vinculadas a servicios. Las reglas vinculadas a servicios permiten Servicios de AWS , como Security Hub (CSPM), crear AWS Config reglas en tu cuenta.

Para recibir los resultados de control en Security Hub CSPM, debe habilitar AWS Config en su cuenta y activar el registro de los recursos que evalúen sus controles habilitados. En esta página se explica cómo habilitar el CSPM AWS Config para Security Hub y activar el registro de recursos.

Consideraciones antes de habilitar y configurar AWS Config

Para recibir los resultados de control en Security Hub CSPM, su cuenta debe tener AWS Config habilitada cada una de las ubicaciones en las Región de AWS que Security Hub CSPM esté habilitado. Si utiliza Security Hub CSPM para un entorno de varias cuentas, AWS Config debe estar habilitado en cada región para la cuenta de administrador y todas las cuentas de los miembros.

Le recomendamos encarecidamente que active el registro de recursos AWS Config antes de activar los estándares y controles CSPM de Security Hub. Esto le ayuda a garantizar que los resultados de sus controles sean precisos.

Para activar el registro de recursos AWS Config, debe tener permisos suficientes para registrar los recursos en la función AWS Identity and Access Management (IAM) asociada al grabador de configuración. Además, asegúrese de que no se administre ninguna política de IAM AWS Organizations que AWS Config impida tener permiso para registrar sus recursos. Las comprobaciones de control CSPM de Security Hub evalúan la configuración de un recurso directamente y no tienen en cuenta AWS Organizations las políticas. Para obtener más información sobre la AWS Config grabación, consulte Trabajar con la grabadora de configuración en la Guía AWS Config para desarrolladores.

Si habilita un estándar en Security Hub CSPM pero no lo ha habilitado AWS Config, Security Hub CSPM intentará crear AWS Config reglas de acuerdo con la siguiente programación:

  • El día en que active el estándar.

  • Al día siguiente de activar el estándar.

  • Tres días después de activar el estándar.

  • 7 días después de activar el estándar y, a partir de entonces, de forma continua cada 7 días.

Si utiliza la configuración central, el Security Hub CSPM también intenta crear AWS Config reglas vinculadas a servicios cada vez que asocia una política de configuración que habilita uno o más estándares con las cuentas, las unidades organizativas (OUs) o la raíz.

Registrar los recursos en AWS Config

Al habilitarla AWS Config, debe especificar qué AWS recursos desea que grabe la grabadora de AWS Config configuración. A través de las reglas vinculadas al servicio, el grabador de configuración permite que Security Hub CSPM detecte cambios en las configuraciones de sus recursos.

Para que Security Hub CSPM genere resultados de control precisos, debe activar el registro de los recursos que corresponden a los controles habilitados. AWS Config Se trata principalmente de controles habilitados con un tipo de programa activado por cambios que requieren el registro de recursos. Algunos controles con un tipo de programación periódica también requieren el registro de recursos. Para obtener una lista de estos controles y sus recursos correspondientes, consulteAWS Config Recursos necesarios para los hallazgos de control.

aviso

Si no configura la AWS Config grabación correctamente para los controles CSPM de Security Hub, se pueden producir resultados de control imprecisos, especialmente en los siguientes casos:

  • Nunca registró el recurso para un control determinado o deshabilitó el registro de un recurso antes de crear ese tipo de recurso. En estos casos, recibirá una confirmación WARNING sobre el control en cuestión, aunque es posible que haya creado recursos en el ámbito del control después de deshabilitar la grabación. Este WARNING resultado es un resultado predeterminado que en realidad no evalúa el estado de configuración del recurso.

  • Se deshabilita la grabación de un recurso evaluado por un control concreto. En este caso, Security Hub CSPM conserva las conclusiones de control que se generaron antes de deshabilitar la grabación, aunque el control no evalúe los recursos nuevos o actualizados. Security Hub CSPM también cambia el estado de cumplimiento de las conclusiones a. WARNING Es posible que estos hallazgos retenidos no reflejen con precisión el estado de configuración actual de un recurso.

De forma predeterminada, AWS Config registra todos los recursos regionales compatibles que descubre en el entorno Región de AWS en el que se está ejecutando. Para recibir todos los resultados de control de CSPM de Security Hub, también debe configurarlo AWS Config para registrar los recursos globales. Para ahorrar costes, recomendamos registrar los recursos globales en una sola región únicamente. Si utiliza la configuración central o la agregación entre regiones, esta región debe ser su región de origen.

En AWS Config, puede elegir entre la grabación continua o la grabación diaria de los cambios en el estado de los recursos. Si elige el registro diario, AWS Config entrega los datos de configuración de los recursos al final de cada período de 24 horas si se producen cambios en el estado de los recursos. Si no hay cambios, no se entrega ningún dato. Esto puede retrasar la generación de las conclusiones del CSPM de Security Hub para los controles activados por cambios hasta que se complete un período de 24 horas.

Para obtener más información sobre la AWS Config grabación, consulte los recursos de grabación en la Guía para desarrolladores AWS.AWS Config

Formas de habilitar y configurar AWS Config

Puede habilitar AWS Config y activar el registro de recursos de cualquiera de las siguientes maneras:

  • AWS Config consola: puedes habilitar AWS Config una cuenta mediante la AWS Config consola. Para obtener instrucciones, consulte Configuración AWS Config con la consola en la Guía para AWS Config desarrolladores.

  • AWS CLI o bien SDKs: puede habilitar AWS Config una cuenta mediante AWS Command Line Interface (AWS CLI). Para obtener instrucciones, consulte Configuración AWS Config con el AWS CLI en la Guía para AWS Config desarrolladores. AWS Los kits de desarrollo de software (SDKs) también están disponibles para muchos lenguajes de programación.

  • CloudFormation plantilla: AWS Config para habilitarla en varias cuentas, le recomendamos que utilice la AWS CloudFormation plantilla denominada Enable AWS Config. Para acceder a esta plantilla, consulte las plantillas AWS CloudFormation StackSet de muestra en la Guía del AWS CloudFormation usuario.

    De forma predeterminada, esta plantilla excluye la grabación de los recursos globales de IAM. Asegúrese de activar la grabación para los recursos globales de IAM solo en uno de ellos Región de AWS para ahorrar costes de grabación. Si tiene habilitada la agregación entre regiones, esta debería ser la región de origen de Security Hub CSPM. De lo contrario, puede ser cualquier región en la que esté disponible el CSPM de Security Hub que admita el registro de los recursos globales de IAM. Recomendamos ejecutar uno StackSet para registrar todos los recursos, incluidos los recursos globales de IAM, de la región de origen o de otra región seleccionada. A continuación, ejecute un segundo StackSet para registrar todos los recursos, excepto los recursos globales de IAM en otras regiones.

  • GitHub script: Security Hub CSPM ofrece un GitHubscript que habilita Security Hub CSPM y AWS Config para múltiples cuentas en todas las regiones. Este script es útil si no te has integrado en una organización AWS Organizations o tienes algunas cuentas de miembros que no forman parte de ella.

Para obtener más información, consulte la siguiente entrada del blog de AWS seguridad: Optimice AWS Config for AWS Security Hub Cloud Security Posture Management (CSPM) para gestionar eficazmente su postura de seguridad en la nube.

Control de configuración 1

En Security Hub CSPM, el control Config.1 genera FAILED resultados en su cuenta si está deshabilitado. AWS Config También genera FAILED resultados en tu cuenta si AWS Config está activado, pero el registro de recursos no está activado.

Si AWS Config está habilitado y el registro de recursos está activado, pero el registro de recursos no está activado para un tipo de recurso que comprueba un control habilitado, Security Hub CSPM genera una FAILED búsqueda para el control Config.1. Además de este FAILED hallazgo, Security Hub CSPM genera WARNING hallazgos para el control habilitado y los tipos de recursos que comprueba el control. Por ejemplo, si habilita el control KMS.5 y el registro de recursos no está activado AWS KMS keys, Security Hub CSPM generará una FAILED búsqueda para el control Config.1. Security Hub CSPM también genera WARNING resultados para el control KMS.5 y sus claves KMS.

Para recibir una PASSED búsqueda del control Config.1, active el registro de recursos para todos los tipos de recursos que correspondan a los controles habilitados. Deshabilite también los controles que no sean necesarios para su organización. Esto ayuda a garantizar que no haya brechas de configuración en las comprobaciones de control de seguridad. También ayuda a garantizar que reciba información precisa sobre los recursos mal configurados.

Si es el administrador delegado de CSPM de Security Hub para una organización, el AWS Config registro debe estar configurado correctamente para su cuenta y las cuentas de sus miembros. Si utiliza la agregación entre regiones, la AWS Config grabación debe configurarse correctamente en la región de origen y en todas las regiones vinculadas. No es necesario registrar los recursos globales en las regiones vinculadas.

Generación de reglas vinculadas a servicios

Para cada control que utilice una AWS Config regla vinculada a un servicio, Security Hub CSPM crea instancias de la regla requerida en su entorno. AWS

Estas reglas vinculadas a servicios son específicas de Security Hub CSPM. Security Hub CSPM crea estas reglas vinculadas a servicios incluso si ya existen otras instancias de las mismas reglas. La regla vinculada al servicio se agrega securityhub antes del nombre de la regla original y un identificador único después del nombre de la regla. Por ejemplo, en el caso de la regla AWS Config administradavpc-flow-logs-enabled, el nombre de la regla vinculada al servicio podría ser. securityhub-vpc-flow-logs-enabled-12345

Hay cuotas para el número de reglas AWS Config administradas que se pueden usar para evaluar los controles. AWS Config las reglas que crea Security Hub CSPM no cuentan para esas cuotas. Puedes habilitar un estándar de seguridad incluso si ya has alcanzado la AWS Config cuota de reglas administradas en tu cuenta. Para obtener más información sobre las cuotas de AWS Config las reglas, consulta los límites de servicio AWS Config en la Guía para AWS Config desarrolladores.

Consideraciones sobre costos

El CSPM de Security Hub puede afectar a los costes de AWS Config la grabadora de configuración al actualizar el elemento de AWS::Config::ResourceCompliance configuración. Las actualizaciones se pueden producir cada vez que un control CSPM de Security Hub asociado a una AWS Config regla cambia de estado de conformidad, se habilita o deshabilita, o se actualiza los parámetros. Si usa la grabadora de AWS Config configuración solo para Security Hub CSPM y no usa este elemento de configuración para otros fines, le recomendamos que desactive la grabación. AWS Config Esto puede reducir sus costos de AWS Config . No necesita grabar las comprobaciones de seguridad AWS::Config::ResourceCompliance para que funcionen en Security Hub CSPM.

Para obtener información sobre los costes asociados al registro de recursos, consulte Precios y AWS Config precios de AWS Security Hub Cloud Security Posture Management (CSPM).