Descripción de la configuración central en Security Hub (CSPM)

Cuando utiliza la configuración central, Security Hub CSPM lo guía a través del proceso de configuración de las mejores prácticas de seguridad para su organización. También implementa las políticas de configuración resultantes en cuentas específicas y de forma automática. OUs Si tiene una configuración de CSPM de Security Hub existente, como la activación automática de nuevos controles de seguridad, puede utilizarla como punto de partida para sus políticas de configuración. Además, la página de configuración de la consola CSPM de Security Hub muestra un resumen en tiempo real de las políticas de configuración y de las cuentas que OUs utilizan cada política.

Puede usar la configuración central para configurar Security Hub CSPM en varias cuentas y regiones. Esto ayuda a garantizar que cada parte de la organización mantenga una configuración coherente y una cobertura de seguridad adecuada.

Con la configuración central, puede elegir configurar las cuentas de su organización de diferentes OUs maneras. Por ejemplo, las cuentas de prueba y de producción pueden utilizar políticas de configuración diferentes. También puede crear una política de configuración que cubra las cuentas nuevas cuando se unan a la organización.

La desviación de la configuración ocurre cuando un usuario hace un cambio en un servicio o característica que entra en conflicto con las selecciones del administrador delegado. La configuración centralizada evita esta desviación. Cuando se designa una cuenta o unidad organizativa como administrada de forma centralizada, solo el administrador delegado de la organización puede configurarla. Si prefiere que una cuenta o unidad organizativa específica configure sus propios ajustes, puede designarla como autoadministrada.

Una función CSPM de Security Hub que ayuda a la cuenta de administrador de CSPM de Security Hub delegada de una organización a configurar el servicio CSPM del Security Hub, los estándares de seguridad y los controles de seguridad en varias cuentas y regiones. Para configurar estos ajustes, el administrador delegado crea y administra las políticas de configuración de CSPM de Security Hub para las cuentas administradas de forma centralizada en su organización. Las cuentas autoadministradas pueden configurar sus propios ajustes por separado en cada región. Para utilizar la configuración central, debe integrar Security Hub CSPM y. AWS Organizations

Región de AWS Desde el que el administrador delegado configura centralmente el Security Hub CSPM, mediante la creación y administración de políticas de configuración. Las políticas de configuración entran en vigor en la región de origen y en todas las regiones vinculadas.

La región de origen también actúa como región de agregación de CSPM del Security Hub y recibe hallazgos, información y otros datos de las regiones vinculadas.

Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se denominan regiones con suscripción voluntaria. Una región optativa no puede ser la región de origen, pero puede ser una región vinculada. Para ver una lista de las regiones opcionales, consulte la sección Considerations before enabling and disabling Regions en la Guía de referencia de administración de cuentas de AWS .

Y Región de AWS que se pueden configurar desde la región de origen. El administrador delegado crea las políticas de configuración en la región de origen. Las políticas entran en vigor en la región de origen y en todas las regiones vinculadas. La especificación de las regiones vinculadas es opcional.

Una región vinculada también envía resultados, información y otros datos a la región de origen.

Las regiones que AWS se introdujeron el 20 de marzo de 2019 o después se conocen como regiones con suscripción voluntaria. Debe habilitar dicha región para una cuenta antes de poder aplicarle una política de configuración. La cuenta de administración de Organizations puede habilitar regiones optativas para una cuenta de miembro. Para obtener más información, consulta Especificar qué Regiones de AWS cuenta puedes usar en la Guía de referencia de administración de AWS cuentas.

Una Cuenta de AWS unidad organizativa (OU) o la raíz de la organización.

Un conjunto de ajustes de CSPM de Security Hub que el administrador delegado puede configurar para los destinos gestionados de forma centralizada. Esto incluye:

Una política de configuración entra en vigor en la región de origen y en todas las regiones vinculadas una vez que se ha asociado al menos a una cuenta, una unidad organizativa (OU) o la raíz.

En la consola CSPM de Security Hub, el administrador delegado puede elegir la política de configuración recomendada de Security Hub CSPM o crear políticas de configuración personalizadas. Con la API CSPM de Security Hub y AWS CLI, el administrador delegado solo puede crear políticas de configuración personalizadas. El administrador delegado puede crear un máximo de 20 políticas de configuración personalizadas.

En la política de configuración recomendada, el Security Hub CSPM, el estándar AWS Foundational Security Best Practices (FSBP) y todos los controles FSBP nuevos y existentes están habilitados. Los controles que aceptan parámetros utilizan los valores predeterminados. La política de configuración recomendada se aplica a toda la organización.

Para aplicar diferentes ajustes a la organización o aplicar diferentes políticas de configuración a diferentes cuentas y OUs crear una política de configuración personalizada.

El tipo de configuración predeterminado para una organización, después de integrar Security Hub CSPM y. AWS Organizations Con la configuración local, el administrador delegado puede optar por habilitar automáticamente el Security Hub CSPM y los estándares de seguridad predeterminados en las nuevas cuentas de la organización en la región actual. Si el administrador delegado habilita automáticamente los estándares predeterminados, todos los controles que forman parte de estos estándares también se habilitan automáticamente con los parámetros predeterminados para las nuevas cuentas de la organización. Esa configuración no se aplica a las cuentas existentes, por lo que es posible que se modifique la configuración una vez que una cuenta se una a la organización. La deshabilitación de controles específicos que forman parte de los estándares predeterminados y la configuración de estándares y controles adicionales deben llevarse a cabo por separado en cada cuenta y región.

La configuración local no admite el uso de políticas de configuración. Para usar las políticas de configuración, debe cambiar a la configuración centralizada.

Si no integra Security Hub CSPM AWS Organizations o tiene una cuenta independiente, debe especificar la configuración de cada cuenta por separado en cada región. La administración manual de cuentas no admite el uso de políticas de configuración.

Operaciones de CSPM del Security Hub que solo el administrador del Security Hub CSPM delegado por el Security Hub CSPM puede utilizar en la región de origen para gestionar las políticas de configuración de las cuentas gestionadas de forma centralizada. Las operaciones incluyen:

Operaciones de CSPM de Security Hub que se pueden utilizar para habilitar o deshabilitar el CSPM, los estándares y los controles de Security Hub de forma independiente. account-by-account Estas operaciones se utilizan en cada región individual.

Las cuentas autoadministradas pueden utilizar operaciones específicas de la cuenta para configurar sus propios ajustes. Las cuentas administradas de forma centralizada no pueden llevar a cabo las siguientes operaciones específicas de la cuenta en la región de origen y en las regiones vinculadas. En esas regiones, solo el administrador delegado puede configurar las cuentas administradas de forma centralizada mediante operaciones de configuración y políticas de configuración centralizadas.

Para comprobar el estado de la cuenta, el propietario de una cuenta gestionada de forma centralizada puede utilizar cualquiera Get de Describe las operaciones de la API CSPM de Security Hub.

Si utiliza la configuración local o la administración manual de la cuenta, en lugar de la configuración centralizada, puede utilizar estas operaciones específicas de la cuenta.

Las cuentas autoadministradas también pueden utilizar las operaciones *Invitations y *Members. Sin embargo, recomendamos que las cuentas autoadministradas no utilicen estas operaciones. Las asociaciones de políticas pueden fallar si la cuenta de miembro tiene sus propios miembros que forman parte de una organización diferente a la del administrador delegado.

En AWS Organizations Security Hub CSPM, un contenedor para un grupo de. Cuentas de AWS Una unidad organizativa (OU) también puede contener otras OUs, lo que permite crear una jerarquía similar a un árbol invertido, con una unidad organizativa principal en la parte superior y con las ramas extendidas hacia abajo y acabando en cuentas que son las hojas del árbol. OUs Una unidad organizativa puede tener una unidad principal y cada cuenta de la organización puede ser miembro de exactamente una unidad organizativa.

Puede administrar OUs en AWS Organizations o. AWS Control Tower Para obtener más información, consulte Administración de unidades organizativas en la Guía del usuario de AWS Organizations o Control de organizaciones y cuentas con AWS Control Tower en la Guía del usuario de AWS Control Tower .

El administrador delegado puede asociar las políticas de configuración a cuentas específicas o OUs a la raíz para abarcar todas las cuentas OUs de una organización.

Un destino que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un destino se administra de forma centralizada. El administrador delegado también puede cambiar el estado del destino de administrado centralmente a autoadministrado o al revés.

Un objetivo que administra su propia configuración de CSPM de Security Hub. Un objetivo autogestionado utiliza operaciones específicas de la cuenta para configurar el CSPM de Security Hub por separado en cada región. Esto contrasta con los destinos administrados de forma centralizada, que solo el administrador delegado puede configurar en todas las regiones mediante políticas de configuración.

La cuenta de administrador delegado especifica si un destino es autoadministrado. El administrador delegado puede aplicar un comportamiento autoadministrado a un destino. Como alternativa, una cuenta o unidad organizativa pueden heredar el comportamiento autoadministrado de una unidad principal.

La cuenta de administrador delegado en sí puede ser una cuenta autoadministrada. La cuenta de administrador delegado puede cambiar el estado de un destino, de autoadministrado a administrado de forma centralizada o al revés.

Enlace entre una política de configuración y una cuenta, unidad organizativa (OU) o raíz. Cuando existe una asociación de políticas, la cuenta, la unidad organizativa o la cuenta raíz utiliza los parámetros definidos en la política de configuración. Existe una asociación en cualquiera de estos casos:

Existe una asociación hasta que se aplique o herede una configuración diferente.

Tipo de asociación de políticas de configuración en la que el administrador delegado aplica directamente una política de configuración a las cuentas de destino o a la raíz. OUs Los destinos se configuran de la manera que define la política de configuración y solo el administrador delegado puede cambiar su configuración. Si se aplica a la raíz, la política de configuración afecta a todas las OUs cuentas de la organización que no utilicen una configuración diferente mediante la aplicación o la herencia de la empresa matriz más cercana.

El administrador delegado también puede aplicar una configuración autogestionada a cuentas específicas o a la raíz. OUs

Tipo de asociación de políticas de configuración en la que una cuenta o unidad organizativa adopta la configuración de la unidad organizativa principal más cercana o de la raíz. Si una política de configuración no se aplica directamente a una cuenta o unidad organizativa, hereda la configuración de la unidad principal más cercana. Todos los elementos de una política se heredan. En otras palabras, una cuenta o unidad organizativa no puede elegir si hereda solo partes de una política de forma selectiva. Si la unidad principal más cercana está autoadministrada, la cuenta secundaria o la unidad organizativa hereda el comportamiento autoadministrado de la unidad principal.

La herencia no puede anular una configuración aplicada. Es decir, si una política de configuración o una configuración autoadministrada se aplica directamente a una cuenta o unidad organizativa, utiliza esa configuración y no hereda la configuración de la unidad principal.

En AWS Organizations Security Hub CSPM, el nodo principal de nivel superior de una organización. Si el administrador delegado aplica una política de configuración a la raíz, la política se asocia a todas las cuentas de la organización, a menos que utilicen una política diferente, por aplicación o herencia, o se OUs designen como autogestionables. Si el administrador designa la raíz como autogestionada, todas las cuentas de la organización se autogestionarán, a menos que utilicen una política de configuración por aplicación o herencia. OUs Si la raíz es autoadministrada y actualmente no existen políticas de configuración, todas las cuentas nuevas de la organización retienen su configuración actual.

Las cuentas nuevas que se unen a una organización se clasifican en la raíz hasta que se asignan a una unidad organizativa específica. Si una cuenta nueva no está asignada a una unidad organizativa, hereda la configuración raíz, a menos que el administrador delegado la designe como cuenta autoadministrada.