Creación y asociación de políticas de configuración - AWSSecurity Hub

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación y asociación de políticas de configuración

La cuenta de administrador delegado del CSPM de AWS Security Hub puede crear políticas de configuración que especifiquen cómo se configuran el CSPM Security Hub, los estándares y los controles en cuentas y unidades organizativas (UO) especificadas. Una política de configuración solo entra en vigor una vez que el administrador delegado la asocia a al menos una cuenta o una unidad organizativa (OU), o a la raíz. El administrador delegado también puede asociar una configuración autoadministrada a cuentas, unidades organizativas o a la raíz.

Si es la primera vez que crea una política de configuración, le recomienda que revise antes Cómo funcionan las políticas de configuración del CSPM de Security Hub.

Elija el método de acceso que prefiera y siga los pasos para crear y asociar una política de configuración o una configuración autoadministrada. Cuando utiliza la consola del CSPM de Security Hub, puede asociar una configuración a varias cuentas o unidades organizativas al mismo tiempo. Si utiliza la API del CSPM de Security Hub o la AWS CLI, puede asociar una configuración a solo una cuenta o una unidad organizativa en cada solicitud.

nota

Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración del registro de AWS Config y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.

Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.

Para obtener una lista de los controles que implican recursos globales, consulte Controles que utilizan recursos globales.

Security Hub CSPM console
Creación y asociación de políticas de configuración

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En el panel de navegación, seleccione Configuración y la pestaña Políticas. A continuación, seleccione Crear política.

  3. En la página Configurar organización, si es la primera vez que crea una política de configuración, verá tres opciones en Tipo de configuración. Si ya ha creado al menos una política de configuración, solo verá la opción Política personalizada.

    • Elija Usar la configuración recomendada del CSPM de Security Hub de AWS en toda la organización para aplicar nuestra política recomendada. La política recomendada habilita el CSPM de Security Hub en todas las cuentas de la organización, el estándar de Prácticas recomendadas de seguridad básica de AWS (FSBP) y todos los controles de FSBP nuevos y existentes. Los controles utilizan valores de parámetros predeterminados.

    • Para crear una política de configuración más tarde, seleccione Aún no lo tengo todo listo para configurarla.

    • Seleccione Política personalizada para crear una política de configuración personalizada. Especifique si desea habilitar o desactivar el CSPM de Security Hub, qué estándares desea habilitar y qué controles desea habilitar dentro de esos estándares. Si lo desea, especifique valores de parámetros personalizados para uno o más controles habilitados que admitan parámetros personalizados.

  4. En la sección Cuentas, seleccione las cuentas de destino, las unidades organizativas o la raíz a las que desea que se aplique la política de configuración.

    • Seleccione Todas las cuentas si desea aplicar la política de configuración a la raíz. Esto incluye todas las cuentas y unidades organizativas de la organización a las que no se les ha aplicado ninguna otra política o que no hayan sido heredadas.

    • Seleccione Cuentas específicas si desea aplicar la política de configuración a cuentas o unidades organizativas específicas. Ingrese los ID de las cuentas o seleccione las cuentas y unidades organizativas en la estructura de la organización. Puede aplicar la política a un máximo de 15 destinos (cuentas, unidades organizativas o raíz) cuando la crea. Para especificar un número mayor, edite la política después de crearla y aplíquela a destinos adicionales.

    • Seleccione Solo el administrador delegado para aplicar la política de configuración a la cuenta de administrador delegado actual.

  5. Elija Siguiente.

  6. En la página Revisar y aplicar, revise los detalles de la política de configuración. A continuación, seleccione Crear y aplicar política. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a la política de configuración mediante una aplicación o la herencia de un nodo principal. Las cuentas secundarias y las unidades organizativas de los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se excluyan específicamente, se autoadministren o utilicen una política de configuración diferente.

Security Hub CSPM API
Creación y asociación de políticas de configuración

  1. Invoque la API CreateConfigurationPolicy desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En Name, especifique un nombre para la política de configuración. Si lo desea, en el caso de Description, proporcione una descripción de la política de configuración.

  3. En el campo ServiceEnabled, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

  4. En el campo EnabledStandardIdentifiers, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

  5. Para el objeto SecurityControlsConfiguration, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir EnabledSecurityControlIdentifiers significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir DisabledSecurityControlIdentifiers significa que los controles especificados están deshabilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están habilitados.

  6. Si lo desea, en el campo SecurityControlCustomParameters, especifique los controles habilitados para los que desee personalizar los parámetros. Indique CUSTOM en el campo ValueType y el valor del parámetro personalizado para el campo Value. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte Comprensión de los parámetros de control en el CSPM de Security Hub.

  7. Para aplicar la política de configuración a las cuentas o unidades organizativas, invoque la API StartConfigurationPolicyAssociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  8. En el campo ConfigurationPolicyIdentifier, indique el nombre de recurso de Amazon (ARN) o el identificador único universal (UUID) de la política. La API CreateConfigurationPolicy devuelve el ARN y el UUID. En una configuración autoadministrada, el campo ConfigurationPolicyIdentifier es igual a SELF_MANAGED_SECURITY_HUB.

  9. En el campo Target, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un objetivo en cada solicitud de API. Las cuentas secundarias y las unidades organizativas de los destinos aplicados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

Ejemplo de solicitud de API para crear una política de configuración:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

Ejemplo de solicitud de API para asociar una política de configuración:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
Creación y asociación de políticas de configuración

  1. Ejecute el comando create-configuration-policy desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En name, especifique un nombre para la política de configuración. Si lo desea, en el caso de description, proporcione una descripción de la política de configuración.

  3. En el campo ServiceEnabled, especifique si desea que el CSPM de Security Hub esté habilitado o desactivado en esta política de configuración.

  4. En el campo EnabledStandardIdentifiers, especifique qué estándares del CSPM de Security Hub desea habilitar en esta política de configuración.

  5. En el campo SecurityControlsConfiguration, especifique qué controles desea habilitar o deshabilitar en esta política de configuración. Elegir EnabledSecurityControlIdentifiers significa que los controles especificados están habilitados. Otros controles que forman parte de los estándares habilitados (como los controles recién lanzados) están deshabilitados. Elegir DisabledSecurityControlIdentifiers significa que los controles especificados están deshabilitados. Se han habilitado otros controles que se aplican a los estándares habilitados (como los controles recién lanzados).

  6. Si lo desea, en el campo SecurityControlCustomParameters, especifique los controles habilitados para los que desee personalizar los parámetros. Indique CUSTOM en el campo ValueType y el valor del parámetro personalizado para el campo Value. El valor debe ser del tipo de datos correcto y estar dentro de los rangos válidos que especifique el CSPM de Security Hub. Solo algunos controles admiten valores de parámetros personalizados. Para obtener más información, consulte Comprensión de los parámetros de control en el CSPM de Security Hub.

  7. Para aplicar la política de configuración a las cuentas o unidades organizativas, ejecute el comando start-configuration-policy-association desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  8. En el campo configuration-policy-identifier, indique el nombre de recurso de Amazon (ARN) o el ID de la política de configuración. El comando create-configuration-policy devuelve este ARN e ID.

  9. En el campo target, indique el ID de raíz, unidad organizativa, o cuenta donde desea que se aplique esta política de configuración. Solo puede proporcionar un destino cada vez que ejecute el comando. Las entidades secundarias de los destinos seleccionados heredarán automáticamente esta política de configuración, a menos que se autoadministren o utilicen una política de configuración diferente.

Ejemplo de comando para crear una política de configuración:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

Ejemplo de comando para asociar una política de configuración:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

La API StartConfigurationPolicyAssociation devuelve un campo llamado AssociationStatus. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILURE. Para obtener más información sobre el estado de una asociación, consulte Revisión del estado de asociación de una política de configuración.