Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles sugeridos para deshabilitar en Security Hub (CSPM)
Recomendamos deshabilitar algunos controles de gestión de AWS la postura de seguridad (CSPM) de Security Hub Cloud para reducir el ruido de búsqueda y los costes de uso.
Controles que utilizan recursos globales
Algunos son Servicios de AWS compatibles con recursos globales, lo que significa que puede acceder al recurso desde cualquier lugar. Región de AWS Para ahorrar costes AWS Config, puedes desactivar el registro de los recursos globales en todas las regiones excepto en una. Sin embargo, una vez hecho esto, Security Hub CSPM seguirá realizando comprobaciones de seguridad en todas las regiones en las que haya un control activado y le cobrará en función del número de comprobaciones por cuenta y región. En consecuencia, para reducir el ruido de búsqueda y ahorrar en el coste del Security Hub CSPM, también debe deshabilitar los controles que implican recursos globales en todas las regiones, excepto en la región que registra los recursos globales.
Si un control incluye recursos globales, pero solo está disponible en una región, si lo deshabilita en esa región, no podrá obtener resultados para el recurso subyacente. En ese caso, recomendamos que mantenga el control habilitado. Al utilizar la agregación entre regiones, la región en la que esté disponible el control debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles incluyen recursos globales, pero solo están disponibles en una sola región:
Todos los CloudFront controles: disponibles solo en la región EE.UU. Este (Norte de Virginia)
GlobalAccelerator.1 — Disponible solo en la región EE.UU. Oeste (Oregón)
Ruta 53.2: disponible solo en la región EE.UU. Este (Norte de Virginia)
WAF.1, WAF.6, WAF.7, WAF.8: disponibles solo en la región EE.UU. Este (Norte de Virginia)
nota
Si usa la configuración central, Security Hub CSPM deshabilita automáticamente los controles que involucran recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar las búsquedas de estos controles a una sola región, puede actualizar la configuración de la AWS Config grabadora y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.
Si un control habilitado que implica recursos globales no es compatible en la región de origen, Security Hub CSPM intenta habilitar el control en una región vinculada en la que se admita el control. Con la configuración central, no hay cobertura para un control que no está disponible en la región de origen ni en ninguna de las regiones vinculadas.
Para obtener más información acerca de la configuración centralizada, consulte Descripción de la configuración central en Security Hub (CSPM).
Para los controles que tienen un tipo de programación periódica, es necesario deshabilitarlos en Security Hub CSPM para evitar la facturación. Si se establece el AWS Config parámetro includeGlobalResourceTypes en, false no se ven afectados los controles periódicos de CSPM de Security Hub.
Los siguientes controles CSPM de Security Hub utilizan recursos globales:
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deben requerir el cifrado en tránsito
-
[CloudFront5] CloudFront las distribuciones deben tener el registro habilitado
-
[CloudFront.6] CloudFront Las distribuciones deben tener WAF habilitado
-
[CloudFront.7] CloudFront Las distribuciones deben usar certificados SSL/TLS personalizados
-
[CloudFront.8] CloudFront Las distribuciones deben usar SNI para atender solicitudes HTTPS
-
[CloudFront.9] CloudFront Las distribuciones deben cifrar el tráfico hacia orígenes personalizados
-
[CloudFront.12] CloudFront Las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront Las distribuciones deben usar el control de acceso de origen
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas de usuarios de IAM deben tener configuraciones seguras
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] Los certificados SSL/TLS vencidos administrados en IAM deben eliminarse
-
[IAM.27] Las identidades de IAM no deben tener adjunta la política AWSCloud ShellFullAccess
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
El registro AWS WAF Classic Global Web ACL de [WAF.1] debe estar habilitado
-
Las reglas globales de [WAF.6] AWS WAF clásicas deben tener al menos una condición
-
Los grupos de reglas globales de [WAF.7] AWS WAF clásicos deben tener al menos una regla
-
La web de [WAF.8] global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
CloudTrail controles de registro
Este control trata del uso de AWS Key Management Service (AWS KMS) para cifrar los registros de AWS CloudTrail seguimiento. Si registra estos registros en una cuenta de registro centralizada, debe habilitar este control solo en la cuenta y la región en las que se realiza el registro centralizado.
nota
Si utiliza la configuración centralizada, el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, suprima los resultados de los siguientes controles para reducir el ruido de los resultados.
CloudWatch controles de alarma
Si prefieres utilizar Amazon GuardDuty para la detección de anomalías en lugar de CloudWatch las alarmas de Amazon, puedes desactivar los siguientes controles, que se centran en CloudWatch las alarmas:
