Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de Security Hub
AWS Security Hub las políticas proporcionan a los equipos de seguridad un enfoque centralizado para gestionar las configuraciones de seguridad en todos sus equipos AWS Organizations. Al aprovechar estas políticas, puede establecer y mantener controles de seguridad consistentes a través de un mecanismo de configuración central. Esta integración le permite abordar las brechas en la cobertura de seguridad mediante la creación de políticas que se ajusten a los requisitos de seguridad de su organización y su aplicación centralizada en todas las cuentas y unidades organizativas (OUs).
Las políticas de Security Hub están completamente integradas AWS Organizations, lo que permite a las cuentas de administración o a los administradores delegados definir y aplicar las configuraciones de seguridad. Cuando las cuentas se unen a su organización, heredan automáticamente las políticas aplicables en función de su ubicación en la jerarquía organizacional. Esto garantiza que sus estándares de seguridad se apliquen de manera coherente a medida que su organización crece. Las políticas respetan las estructuras organizativas existentes y proporcionan flexibilidad en la forma en que se distribuyen las configuraciones de seguridad, al tiempo que mantienen el control central sobre las configuraciones de seguridad críticas.
Características y ventajas clave
Las políticas de Security Hub proporcionan un conjunto integral de capacidades que le ayudan a administrar y aplicar las configuraciones de seguridad en toda su AWS organización. Estas funciones optimizan la administración de la seguridad y, al mismo tiempo, garantizan un control uniforme del entorno de varias cuentas.
-
Habilite Security Hub de forma centralizada en todas las cuentas y regiones de su organización
-
Cree políticas de seguridad que definan su configuración de seguridad en todas las cuentas y OUs
-
Aplique automáticamente las configuraciones de seguridad a las nuevas cuentas cuando se unan a su organización
-
Garantice una configuración de seguridad coherente en toda su organización
-
Impida que las cuentas de los miembros modifiquen las configuraciones de seguridad a nivel de la organización
¿Qué son las políticas de Security Hub?
Las políticas de Security Hub son AWS Organizations políticas que proporcionan un control centralizado de las configuraciones de seguridad de las cuentas de la organización. Estas políticas funcionan a la perfección AWS Organizations para ayudarlo a establecer y mantener estándares de seguridad consistentes en todo su entorno de múltiples cuentas.
Cuando implementa políticas de Security Hub, obtiene la capacidad de definir configuraciones de seguridad específicas que se propagan automáticamente por toda la organización. Esto garantiza que todas las cuentas, incluidas las recién creadas, se ajusten a los requisitos de seguridad y las mejores prácticas de su organización.
Estas políticas también le ayudan a mantener el cumplimiento al aplicar controles de seguridad coherentes e impedir que las cuentas individuales modifiquen la configuración de seguridad a nivel de la organización. Este enfoque centralizado reduce considerablemente la sobrecarga administrativa que supone la administración de las configuraciones de seguridad en entornos grandes y complejos. AWS
Cómo funcionan las políticas de Security Hub
Cuando adjuntas una política de Security Hub a tu organización o unidad organizativa, la evalúa AWS Organizations automáticamente y la aplica en función del ámbito que definas. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
Cuando las regiones aparecen en las listas de activación e inhabilitación, prevalece la configuración de inhabilitación. Por ejemplo, si una región aparece en las configuraciones de activación e inhabilitación, Security Hub se deshabilitará en esa región.
Cuando ALL_SUPPORTED se especifica la activación, Security Hub se habilita en todas las regiones actuales y futuras, a menos que se deshabilite explícitamente. Esto le permite mantener una cobertura de seguridad integral a medida que AWS se expande a nuevas regiones.
Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, lo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar sus configuraciones de seguridad y, al mismo tiempo, mantener los controles básicos.
Terminología
En este tema se utilizan los siguientes términos al tratar las políticas de Security Hub.
| Plazo | Definición |
|---|---|
| Política en vigor | La política final que se aplica a una cuenta después de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para administrar las políticas de Security Hub en nombre de la organización. |
| Rol vinculado a servicios | Un rol de IAM que permite a Security Hub interactuar con otros AWS servicios. |
Casos de uso de las políticas de Security Hub
Las políticas de Security Hub abordan los desafíos comunes de administración de la seguridad en entornos de cuentas múltiples. Los siguientes casos de uso demuestran cómo las organizaciones suelen implementar estas políticas para mejorar su postura de seguridad.
Ejemplo de caso de uso: requisitos de conformidad regionales
Una empresa multinacional necesita diferentes configuraciones de Security Hub para diferentes regiones geográficas. Crean una política principal que habilita Security Hub en todas las regiones yALL_SUPPORTED, a continuación, utilizan políticas secundarias para deshabilitar regiones específicas en las que se requieren diferentes controles de seguridad. Esto les permite mantener el cumplimiento de las normativas regionales y, al mismo tiempo, garantizar una cobertura de seguridad integral.
Ejemplo de caso de uso: normas de seguridad para equipos de desarrollo
Una organización de desarrollo de software implementa políticas de Security Hub que permiten la supervisión en las regiones de producción y, al mismo tiempo, mantienen las regiones de desarrollo sin administrar. Utilizan listas de regiones explícitas en sus políticas en lugar de ALL_SUPPORTED mantener un control preciso sobre la cobertura de supervisión de la seguridad. Este enfoque les permite aplicar controles de seguridad más estrictos en los entornos de producción y, al mismo tiempo, mantener la flexibilidad en las áreas de desarrollo.
Herencia y aplicación de las políticas
Comprender cómo se heredan y se aplican las políticas es fundamental para una gestión eficaz de la seguridad en toda la organización. El modelo de herencia sigue la AWS Organizations jerarquía, lo que garantiza una aplicación de políticas predecible y coherente.
-
Las políticas adjuntas en el nivel raíz se aplican a todas las cuentas
-
Las cuentas heredan las políticas de sus unidades organizativas principales
-
Se pueden aplicar varias políticas a una sola cuenta
-
Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
Validación de políticas
Al crear políticas de Security Hub, se producen las siguientes validaciones:
-
Los nombres de las regiones deben ser identificadores de región válidos AWS
-
Las regiones deben contar con el apoyo de Security Hub
-
La estructura de políticas debe seguir las reglas AWS Organizations de sintaxis de las políticas
-
Ambas
enable_in_regionsdisable_in_regionslistas deben estar presentes, aunque pueden estar vacías
Consideraciones regionales y regiones apoyadas
Las políticas de Security Hub funcionan en varias regiones, por lo que es necesario tener en cuenta cuidadosamente sus requisitos de seguridad globales. Comprender el comportamiento regional le ayuda a implementar controles de seguridad efectivos en toda la presencia global de su organización.
-
La aplicación de las políticas se lleva a cabo en cada región de forma independiente
-
Puede especificar qué regiones incluir o excluir en sus políticas
-
Las nuevas regiones se incluyen automáticamente al usar la
ALL_SUPPORTEDopción -
Las políticas solo se aplican a las regiones en las que Security Hub está disponible
Pasos a seguir a continuación
Para empezar con las políticas de Security Hub:
-
Revise los requisitos previos en las políticas de Introducción a Security Hub
-
Planifique su estrategia de políticas con nuestra guía de prácticas recomendadas
-
Obtenga información sobre la sintaxis de las políticas y consulte ejemplos de políticas
