Deshabilitación de un estándar de seguridad - AWSSecurity Hub
Deshabilitar un estándar en varias cuentas y Regiones de AWSDesactivar un estándar en una sola cuenta y Región de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación de un estándar de seguridad

Al deshabilitar un estándar de seguridad en AWS Security Hub CSPM, ocurre lo siguiente:

  • Todos los controles que se aplican al estándar se desactivan, a menos que estén asociados a otro estándar que permanezca habilitado.

  • Ya no se ejecutan comprobaciones de seguridad para los controles desactivados y no se generan resultados adicionales para esos controles.

  • Los resultados existentes de los controles desactivados se archivan automáticamente después de aproximadamente 3 a 5 días.

  • AWS Configse eliminan las reglas que Security Hub CSPM creó para los controles deshabilitados.

Por lo general, la eliminación de AWS Config las reglas correspondientes se produce a los pocos minutos de haber desactivado un estándar. aunque en algunos casos puede tardar más. Si la primera solicitud para eliminar las reglas falla, el CSPM de Security Hub vuelve a intentarlo cada 12 horas. Sin embargo, si desactivó el CSPM de Security Hub o no tiene otros estándares habilitados, el CSPM de Security Hub no puede volver a intentarlo, lo que significa que no podrá eliminar las reglas. Si esto ocurre y necesita eliminar las reglas, póngase en contacto conAWS Support.

Deshabilitar un estándar en varias cuentas y Regiones de AWS

Para deshabilitar un estándar de seguridad en varias cuentasRegiones de AWS, utilice la configuración central. Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que desactivan uno o varios estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada región de agregación, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por desactivar el estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) en una unidad organizativa. Para otra unidad organizativa, podría desactivar tanto el estándar PCI-DSS como el estándar NIST SP 800-53 Rev. 5. Para obtener información sobre cómo crear una política de configuración que habilite o desactive los estándares que especifique, consulte Creación y asociación de políticas de configuración.

nota

El administrador del CSPM de Security Hub puede usar políticas de configuración para desactivar cualquier estándar, excepto el estándar administrado por el servicio: AWS Control Tower. Para deshabilitar esta norma, el administrador debe utilizarla AWS Control Tower directamente. También se deben usar AWS Control Tower para deshabilitar o habilitar los controles individuales de este estándar para una cuenta administrada de forma centralizada.

Si desea que determinadas cuentas configuren o desactiven estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como cuentas autoadministradas. Las cuentas autoadministradas deben desactivar los estándares por separado en cada región.

Desactivar un estándar en una sola cuenta y Región de AWS

Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede usar políticas de configuración para desactivar estándares de seguridad de forma centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede desactivar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub.

Security Hub CSPM console

Siga estos pasos para desactivar un estándar en una cuenta y región con la consola del CSPM de Security Hub.

Deshabilitación de un estándar en una cuenta y región

  1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee desactivar el estándar.

  3. En el panel de navegación, elija Estándares de seguridad.

  4. En la sección del estándar que desea desactivar, seleccione Desactivar estándar.

Para desactivar el estándar en regiones adicionales, repita los pasos anteriores en cada región adicional.

Security Hub CSPM API

Para desactivar un estándar mediante programación en una sola cuenta y región, utilice la operación BatchDisableStandards. O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el batch-disable-standardscomando.

En la solicitud, utilice el parámetro StandardsSubscriptionArns para especificar el nombre de recurso de Amazon (ARN) del estándar que desea desactivar. Si utiliza elAWS CLI, utilice el standards-subscription-arns parámetro para especificar el ARN. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando desactiva el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una cuenta (): 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

¿Dónde arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 está el ARN del estándar FSBP para la cuenta en la región EE.UU. Este (Virginia del Norte) y us-east-1 es la región en la que se debe deshabilitar?

Para obtener el ARN de un estándar, puede usar la operación GetEnabledStandards. Esta operación recupera información sobre los estándares que están habilitados actualmente en la cuenta. Si utilizas elAWS CLI, puedes ejecutar el get-enabled-standardscomando para recuperar esta información.

Después de desactivar un estándar, el CSPM de Security Hub comienza a ejecutar tareas para desactivar el estándar en la cuenta y en la región especificada. Esto incluye desactivar todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede consultar el estado del estándar en la cuenta y la región.