Comprensión de los controles de seguridad en el CSPM de Security Hub
En el CSPM de AWS Security Hub, un control de seguridad, o simplemente un control, es una medida incluida en un estándar de seguridad que ayuda a la organización a proteger la confidencialidad, la integridad y la disponibilidad de su información. En el CSPM de Security Hub, cada control se relaciona con un recurso específico de AWS.
Cuando habilita un control en uno o más estándares, el CSPM de Security Hub comienza a ejecutar comprobaciones de seguridad en este. Las comprobaciones de seguridad generan los resultados del CSPM de Security Hub. Cuando desactiva un control, el CSPM de Security Hub deja de ejecutar las comprobaciones de seguridad sobre este y deja de generar los resultados correspondientes.
Puede activar o desactivar los controles de forma individual para una sola cuenta y Región de AWS. Para ahorrar tiempo y reducir los errores de configuración en los entornos multicuenta, recomendamos utilizar la configuración centralizada para activar o desactivar los controles. Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas que especifiquen cómo se debe configurar un control en varias cuentas y regiones. Para obtener más información sobre cómo habilitar y deshabilitar controles, consulte Habilitación de controles en el CSPM de Security Hub.
Vista de controles consolidados
La página Controles de la consola del CSPM de Security Hub muestra todos los controles disponibles en la Región de AWS actual (puede ver los controles en el contexto de un estándar si visita la página Estándares de seguridad y selecciona un estándar habilitado). El CSPM de Security Hub asigna a los controles un identificador, un título y una descripción coherentes en todos los estándares. Los identificadores de los controles incluyen el Servicio de AWS relevante y un número único (por ejemplo, CodeBuild.3).
La siguiente información está disponible en la página Controles de la consola del CSPM de Security Hub
-
Una puntuación general de seguridad basada en la proporción de controles aprobados en comparación con el número total de controles habilitados con datos
-
Desglose de los estados de control en todos los controles compatibles con el CSPM de Security Hub
-
El número total de controles de seguridad aprobados y con fallos.
-
El número de controles de seguridad con fallos para controles de diferente gravedad y los enlaces para ver más detalles sobre esos controles de seguridad con fallos.
-
Una lista de controles del CSPM de Security Hub, con filtros para ver subconjuntos específicos de controles.
En la página Controles, puede elegir un control para ver sus detalles y tomar medidas en función de los resultados generados por el control. Desde esta página, también puede activar o desactivar un control de seguridad en sus Cuenta de AWS y Región de AWS actuales. Las acciones de activación y desactivación de la página Controles se aplican a todos los estándares. Para obtener más información, consulte Habilitación de controles en el CSPM de Security Hub.
En el caso de las cuentas de administrador, la página Controles refleja el estado de los controles en las cuentas de los miembros. Si se produce un error en una comprobación de control en al menos una cuenta miembro, el estado de control es Con error. Si ha establecido una región de agregación, la página Controles refleja el estado de los controles en todas las regiones vinculadas. Si se produce un error en una comprobación de control en al menos una región vinculada, el estado del control es Con error.
La vista de controles consolidada provoca cambios en los campos de resultado de controles en Formato de resultados de seguridad de AWS (ASFF) que pueden afectar a los flujos de trabajo. Para obtener más información, consulte Vista de controles consolidada: cambios en ASFF.
Puntuación general de seguridad de los controles
La página Controles muestra una puntuación de seguridad general que va del 0 al 100 por ciento. La puntuación de seguridad general se calcula en función de la proporción de controles aprobados en comparación con el número total de controles habilitados con datos en todos los estándares.
nota
Para ver la puntuación de seguridad general de los controles, debe agregar al rol de IAM que utiliza para acceder al CSPM de Security Hub.un permiso para llamar a BatchGetControlEvaluations. Este permiso no es necesario para ver las puntuaciones de seguridad según estándares específicos.
Al habilitar el CSPM de Security Hub, la solución calcula la puntuación de seguridad inicial en un plazo de 30 minutos después de su primera visita a la página Resumen o a la página Estándares de seguridad de la consola del CSPM de Security Hub. Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Regions.
Además de la puntuación de seguridad general, el CSPM de Security Hub calcula una puntuación de seguridad para cada estándar habilitado en un plazo de 30 minutos después de su primera visita a la página Resumen o a la página Estándares de seguridad. Para ver una lista de los estándares que están habilitados actualmente, utilice la operación de API GetEnabledStandards.
AWS Config debe estar habilitado con el registro de recursos para que aparezcan las puntuaciones. Para obtener más información sobre cómo el CSPM de Security Hub calcula las puntuaciones de seguridad, consulte Calcular las puntuaciones de seguridad.
Tras la primera generación de puntuaciones, el CSPM de Security Hub actualiza las puntuaciones de seguridad cada 24 horas. El CSPM de Security Hub muestra una marca de tiempo que indica cuándo se actualizó por última vez la puntuación de seguridad.
Si ha establecido una región de agregación, la puntuación de seguridad general refleja los resultados de control en las regiones vinculadas.
