Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles CSPM de Security Hub para AWS Config
Estos controles CSPM de Security Hub evalúan el AWS Config servicio y los recursos.
Es posible que estos controles no estén disponibles en todos. Regiones de AWS Para obtener más información, consulte Disponibilidad de los controles por región.
[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
Requisitos relacionados: CIS AWS Foundations Benchmark v5.0.0/3.3, CIS AWS Foundations Benchmark v1.2.0/2.5, CIS Foundations Benchmark v1.4.0/3.5, CIS AWS Foundations Benchmark v3.0.0/3.3, NIst.800-53.r5 CM-3, NIst.800-53.r5 CM-6 (1), NISt.800-53.r5 CM-8 (2), PCI AWS DSS v3.8 2.1/10.5.2, PCI DSS v3.2.1/11.5
Categoría: Identificar - Inventario
Gravedad: crítica
Tipo de recurso: AWS::::Account
AWS Configregla: Ninguna (regla CSPM de Security Hub personalizada)
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de CSPM de Security Hub |
|---|---|---|---|---|
|
|
El control no evalúa si AWS Config utiliza el rol vinculado al servicio si el parámetro está establecido en. |
Booleano |
|
|
Este control comprueba si AWS Config está habilitado en su cuenta en la actualRegión de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el rol vinculado al servicio AWS Config. El nombre del rol vinculado al servicio es. AWSServiceRoleForConfig Si no usa el rol vinculado al servicio y no establece el includeConfigServiceLinkedRoleCheck parámetro enfalse, el control fallará porque es posible que otros roles no tengan los permisos necesarios AWS Config para registrar sus recursos con precisión.
El AWS Config servicio gestiona la configuración de AWS los recursos compatibles de tu cuenta y te entrega los archivos de registro. La información registrada incluye el elemento de configuración (AWSrecurso), las relaciones entre los elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.
El control se evalúa de la siguiente manera:
Si la región actual está configurada como su región de agregación, el control solo produce
PASSEDresultados si se registran los recursos globales AWS Identity and Access Management (de IAM) (si ha activado los controles que los requieren).Si la región actual está configurada como una región vinculada, el control no evalúa si se registran recursos globales de IAM.
Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en la cuenta, el control solo produce resultados
PASSEDsi se registran los recursos globales de IAM (si ha habilitado los controles que los requieren).
Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan controles nuevos si se ha configurado la habilitación automática de los nuevos controles o si se cuenta con una política de configuración centralizada que habilita automáticamente los controles nuevos. En estos casos, si no registra todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para recibir un resultado PASSED.
Las comprobaciones de seguridad CSPM de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.
nota
La configuración 1 requiere que AWS Config esté habilitada en todas las regiones en las que utilice Security Hub CSPM.
Dado que Security Hub CSPM es un servicio regional, la comprobación realizada para este control solo evalúa la región actual de la cuenta.
Para admitir los controles de seguridad en recursos globales de IAM de una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un resultado PASSED predeterminado por los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las regionesRegiones de AWS, le recomendamos que registre los recursos globales de IAM únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). Los recursos de IAM solo se registrarán en la región en la que esté activado el registro de recursos globales.
Los tipos de recursos de IAM registrados a nivel mundial que AWS Config admite son los usuarios, los grupos, las funciones y las políticas gestionadas por los clientes de IAM. Puede considerar la posibilidad de deshabilitar los controles CSPM de Security Hub que comprueban estos tipos de recursos en las regiones en las que el registro de recursos globales está desactivado. Para obtener más información, consulte Controles sugeridos para desactivar en el CSPM de Security Hub.
Corrección
En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha habilitado los controles que requieren recursos globales de IAM.
En las regiones vinculadas, puede utilizar cualquier modo de AWS Config grabación, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tiene habilitados controles que requieren el registro de recursos globales de IAM, no recibirá un resultado FAILED (el registro de otros recursos es suficiente).
El campo StatusReasons en el objeto Compliance del resultado puede ayudarle a determinar por qué tiene un resultado fallido para este control. Para obtener más información, consulte Detalles de cumplimiento para los resultados de control.
Para obtener una lista de los recursos que deben registrarse para cada control, consulte AWS ConfigRecursos necesarios para los hallazgos de control. Para obtener información general sobre cómo habilitar AWS Config y configurar el registro de recursos, consulteHabilitación y configuración de AWS Config para el CSPM de Security Hub.
