Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Controles sugeridos para desactivar en el CSPM de Security Hub
Recomendamos desactivar algunos controles del CSPM de AWS Security Hub para reducir el ruido de los resultados y los costos de uso.
Controles que utilizan recursos globales
Algunos Servicios de AWS son compatibles con los recursos globales, lo que significa que puede utilizar el recurso desde cualquier Región de AWS. Para ahorrar costos de AWS Config, puede deshabilitar el registro de los recursos globales en todas las regiones, excepto en una. Una vez hecho esto, Security Hub aún ejecutará comprobaciones de seguridad en todas las regiones en las que esté habilitado un control y se cobrará en función de la cantidad de comprobaciones por cuenta y región. En consecuencia, para reducir el ruido de los resultados y disminuir los costos del CSPM de Security Hub, también debe desactivar los controles que involucren recursos globales en todas las regiones, excepto en la región que registra los recursos globales.
Si un control incluye recursos globales, pero solo está disponible en una región, si lo deshabilita en esa región, no podrá obtener resultados para el recurso subyacente. En ese caso, recomendamos que mantenga el control habilitado. Cuando se usa la agregación entre regiones, la región en la que el control se encuentra disponible debe ser la región de agregación o una de las regiones vinculadas. Los siguientes controles involucran recursos globales, pero solo están disponibles en una única región:
Todos los controles de CloudFront: disponibles solo en la región este de EE. UU. (Norte de Virginia)
GlobalAccelerator.1: disponible solo en la región oeste de EE. UU. (Oregón)
Route53.2: disponible solo en la región este de EE. UU. (Norte de Virginia)
WAF.1, WAF.6, WAF.7 y WAF.8: disponibles solo en la región este de EE. UU. (Norte de Virginia)
nota
Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración del registro de AWS Config y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.
Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.
Para obtener más información acerca de la configuración centralizada, consulte Descripción de la configuración central en el CSPM de Security Hub.
Para los controles cuya programación es de tipo periódica, es necesario desactivarlos en el CSPM de Security Hub para evitar cargos. Establecer el parámetro includeGlobalResourceTypes de AWS Config en false no afecta los controles periódicos del CSPM de Security Hub.
Los siguientes controles del CSPM de Security Hub usan recursos globales:
-
[Cuenta.1] La información de contacto de seguridad debe proporcionarse para un Cuenta de AWS
-
[Account.2] Cuentas de AWS debe formar parte de una organización AWS Organizations
-
[CloudFront.1] CloudFront las distribuciones deben tener configurado un objeto raíz predeterminado
-
[CloudFront.3] CloudFront las distribuciones deberían requerir el cifrado en tránsito
-
[CloudFront.5] CloudFront las distribuciones deberían tener el registro activado
-
[CloudFront.6] CloudFront las distribuciones deben tener WAF activado
-
[CloudFront.7] CloudFront las distribuciones deben usar certificados personalizados SSL/TLS
-
[CloudFront.8] las CloudFront distribuciones deben usar el SNI para atender las solicitudes HTTPS
-
[CloudFront.12] CloudFront las distribuciones no deben apuntar a orígenes S3 inexistentes
-
[CloudFront.13] CloudFront las distribuciones deben usar el control de acceso al origen
-
[CloudFront.15] CloudFront las distribuciones deben usar la política de seguridad TLS recomendada
-
[GlobalAccelerator.1] Los aceleradores de Global Accelerator deben estar etiquetados
-
[IAM.1] Las políticas de IAM no deben permitir privilegios administrativos completos “*”
-
[IAM.2] Los usuarios de IAM no deben tener políticas de IAM asociadas
-
[IAM.3] Las claves de acceso de los usuarios de IAM deben rotarse cada 90 días o menos
-
[IAM.4] La clave de acceso del usuario raíz de IAM no debería existir
-
[PCI.IAM.6] La MFA de hardware debe estar habilitada para el usuario raíz
-
[IAM.7] Las políticas de contraseñas para usuarios de IAM deben tener configuraciones seguras
-
[IAM.8] Deben eliminarse las credenciales de usuario de IAM no utilizadas
-
[IAM.10] Las políticas de contraseñas para los usuarios de IAM deben tener una configuración sólida
-
[IAM.11] Asegurar que la política de contraseñas de IAM requiera al menos una letra mayúscula
-
[IAM.12] Asegurar que la política de contraseñas de IAM requiera al menos una letra minúscula
-
[IAM.13] Asegurar que la política de contraseñas de IAM requiera al menos un símbolo
-
[IAM.14] Asegurar que la política de contraseñas de IAM requiera al menos un número
-
[IAM.15] Asegurar que la política de contraseñas de IAM requiera una longitud mínima de 14 o más
-
[IAM.16] Asegurar que la política de contraseñas de IAM impida la reutilización de contraseñas
-
[IAM.18] Asegurar que se ha creado un rol de soporte para administrar incidentes con AWS Support
-
[IAM.19] MFA se debe habilitar para todos los usuarios de IAM
-
[IAM.26] SSL/TLS Los certificados caducados gestionados en IAM deben eliminarse
-
[IAM.27] La política no debe adjuntarse a las identidades de IAM AWSCloud ShellFullAccess
-
Las zonas alojadas públicas de Route 53 [Route53.2] deben registrar las consultas de DNS
-
[WAF.1] El registro de ACL web global AWS WAF clásico debe estar habilitado
-
[WAF.6] Las reglas globales AWS WAF clásicas deben tener al menos una condición
-
[WAF.7] Los grupos de reglas globales AWS WAF clásicos deben tener al menos una regla
-
[WAF.8] La web global AWS WAF clásica ACLs debe tener al menos una regla o grupo de reglas
Controles de registro de CloudTrail
El control CloudTrail.2 evalúa el uso de AWS Key Management Service (AWS KMS) para cifrar los registros de seguimiento de AWS CloudTrail. Si registra estos seguimientos en una cuenta de registro centralizado, debe habilitar este control únicamente en la cuenta y en la Región de AWS donde se realice el registro centralizado.
Si utiliza la configuración centralizada, el estado de habilitación de un control se alinea en la región de origen y en las regiones vinculadas. No puede deshabilitar un control en algunas regiones y habilitarlo en otras. En este caso, puede suprimir los resultados del control CloudTrail.2 para reducir el ruido de los resultados.
Controles de alarmas de CloudWatch
Si prefiere usar Amazon GuardDuty para la detección de anomalías en lugar de las alarmas de Amazon CloudWatch, puede desactivar los siguientes controles, los cuales se enfocan en las alarmas de CloudWatch.
