Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de Security Hub
Las políticas de AWS Security Hub CSPM le ofrecen a los equipos de seguridad un enfoque centralizado para administrar las configuraciones de seguridad en AWS Organizations. Con estas políticas puede establecer y mantener controles de seguridad consistentes mediante un mecanismo de configuración central. Esta integración permite abordar las brechas en la cobertura de seguridad mediante la creación de políticas que se ajusten a los requisitos de seguridad de su organización y aplicación centralizada en todas las cuentas y unidades organizativas (UO).
Las políticas de Security Hub están completamente integradas con AWS Organizations, lo que permite a las cuentas de administración, o a los administradores delegados, definir y aplicar las configuraciones de seguridad. Cuando las cuentas se unen a su organización, heredan automáticamente las políticas aplicables según la ubicación en la jerarquía organizacional. Esto contribuye a que los estándares de seguridad se apliquen de manera coherente a medida que crece la organización. Las políticas respetan las estructuras organizativas existentes y brindan flexibilidad en la forma en que se distribuyen las configuraciones de seguridad, sin dejar de mantener el control central sobre las configuraciones de seguridad críticas.
Características y ventajas clave
Las políticas de Security Hub ofrecen un conjunto integral de capacidades que permiten administrar y aplicar las configuraciones de seguridad en su organización de AWS. Estas características optimizan la administración de la seguridad y, al mismo tiempo, permiten un control uniforme del entorno de varias cuentas.
-
Habilite Security Hub de forma centralizada en todas las cuentas y regiones de su organización
-
Cree políticas de seguridad que definan su configuración de seguridad en todas las cuentas y unidades organizativas
-
Aplique automáticamente las configuraciones de seguridad a las nuevas cuentas cuando se unan a su organización
-
Garantice una configuración de seguridad de forma coherente en la organización
-
Impida que las cuentas de miembros modifiquen las configuraciones de seguridad a nivel de la organización
¿Qué son las políticas de Security Hub?
Las políticas de Security Hub son políticas de AWS Organizations que ofrecen un control centralizado de las configuraciones de seguridad de las cuentas de la organización. Estas políticas trabajan con AWS Organizations de manera transparente para establecer y mantener estándares de seguridad consistentes en todo el entorno de varias cuentas.
Al implementar las políticas de Security Hub, obtendrá la capacidad de definir configuraciones de seguridad específicas que se propagan automáticamente por la organización. Esto garantiza que todas las cuentas, como las recién creadas, se ajusten a los requisitos de seguridad y las prácticas recomendadas de la organización.
Estas políticas también permiten mantener el cumplimiento al aplicar controles de seguridad de manera coherente e impedir que las cuentas individuales modifiquen la configuración de seguridad a nivel de la organización. Este enfoque centralizado reduce considerablemente la sobrecarga administrativa que supone la administración de las configuraciones de seguridad en entornos de AWS grandes y complejos.
Funcionamiento de las políticas de Security Hub
Cuando se asocia una política de Security Hub a la organización o a la unidad organizativa, AWS Organizations la evalúa automáticamente y la aplica según el ámbito definido. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
Cuando las regiones aparecen en las listas de habilitación y deshabilitación, prevalece la configuración de deshabilitación. Por ejemplo, si una región aparece en las configuraciones de habilitación y deshabilitación, Security Hub se deshabilitará en esa región.
Cuando ALL_SUPPORTED se especifica para la habilitación, Security Hub se habilita en todas las regiones actuales y futuras, a menos que se deshabilite explícitamente. Esto permite mantener una cobertura de seguridad integral a medida que AWS se expande a nuevas regiones.
Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, de modo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar las configuraciones de seguridad, sin dejar de mantener los controles básicos.
Terminología
En este tema se utilizan los siguientes términos al analizar las políticas de Security Hub.
| Plazo | Definición |
|---|---|
| Política en vigor | Política final que se aplica a una cuenta luego de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para administrar las políticas de Security Hub en nombre de la organización. |
| Rol vinculado a servicios | Un rol de IAM que permite a Security Hub interactuar con otros servicios de AWS. |
Casos de uso de las políticas de Security Hub
Las políticas de Security Hub abordan los desafíos comunes de administración de la seguridad en entornos de varias cuentas. En los siguientes casos de uso se muestra la forma en que las organizaciones suelen implementar estas políticas para mejorar su postura de seguridad.
Ejemplo de caso de uso: requisitos de conformidad regionales
Una empresa multinacional necesita diferentes configuraciones de Security Hub para diferentes regiones geográficas. Crean una política principal que habilita Security Hub en todas las regiones con ALL_SUPPORTEDy luego utilizan políticas secundarias para deshabilitar regiones específicas en las que se requieren diferentes controles de seguridad. Esto les permite mantener el cumplimiento de las normativas regionales, sin dejar de garantizar una cobertura de seguridad integral.
Ejemplo de caso de uso: normas de seguridad para equipos de desarrollo
Una organización de desarrollo de software implementa políticas de Security Hub que permiten la supervisión en las regiones de producción, para así mantener las regiones de desarrollo sin administrar. Utilizan listas de regiones explícitas en sus políticas en lugar de ALL_SUPPORTED a fin de mantener un control preciso sobre la cobertura de supervisión de la seguridad. Este enfoque les permite aplicar controles de seguridad más estrictos en los entornos de producción, sin dejar de mantener la flexibilidad en las áreas de desarrollo.
Herencia y aplicación de políticas
Es fundamental entender cómo las políticas se heredan y se aplican para conseguir una administración eficaz de la seguridad en la organización. El modelo de herencia sigue la jerarquía de AWS Organizations, de modo que garantiza una aplicación de políticas predecible y coherente.
-
Las políticas asociadas en el nivel raíz se aplican a todas las cuentas
-
Las cuentas heredan las políticas de sus unidades organizativas principales
-
Se pueden aplicar varias políticas a una sola cuenta
-
Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
Validación de políticas
Se producen las siguientes validaciones al crear políticas de Security Hub:
-
Los nombres de las regiones deben ser identificadores de región de AWS válidos
-
Security Hub debe ser compatible con las regiones
-
La estructura de políticas debe seguir las reglas de AWS Organizations de sintaxis de las políticas
-
Las listas
enable_in_regionsydisable_in_regionsdeben estar presentes, aunque pueden estar vacías
Consideraciones regionales y regiones compatibles
Las políticas de Security Hub funcionan en varias regiones, por lo que es necesario prestar especial atención a sus requisitos de seguridad globales. Comprender el comportamiento regional permite implementar controles de seguridad efectivos en la presencia global de su organización.
-
La aplicación de políticas se produce en cada región de forma independiente
-
Puede especificar las regiones a incluir o excluir en sus políticas
-
Las nuevas regiones se incluyen automáticamente al usar la opción
ALL_SUPPORTED -
Las políticas solo se aplican a las regiones en las que Security Hub está disponible
Pasos a seguir a continuación
Cómo iniciar con las políticas de Security Hub:
-
Revise los requisitos previos en las políticas de Introducción a Security Hub
-
Planifique su estrategia de políticas con nuestra guía de prácticas recomendadas
-
Aprenda la sintaxis de las políticas y vea ejemplos de ellas
