Deshabilitación de un estándar de seguridad - AWS Security Hub
Deshabilitar un estándar en varias cuentas y Regiones de AWSDeshabilitar un estándar en una sola cuenta y Región de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Deshabilitación de un estándar de seguridad

Al deshabilitar un estándar de seguridad en AWS Security Hub Cloud Security Posture Management (CSPM), ocurre lo siguiente:

  • Todos los controles que se aplican al estándar están deshabilitados, a menos que estén asociados a otro estándar que esté activado actualmente.

  • Ya no se realizan controles de seguridad para los controles desactivados y no se generan más resultados en relación con los controles desactivados.

  • Los hallazgos existentes sobre los controles desactivados se archivan automáticamente después de aproximadamente 3 a 5 días.

  • AWS Config se eliminan las reglas que Security Hub CSPM creó para los controles deshabilitados.

Por lo general, la eliminación de AWS Config las reglas correspondientes se produce a los pocos minutos de haber desactivado un estándar. Sin embargo, es posible que tarde más. Si la primera solicitud no elimina las reglas, Security Hub CSPM vuelve a intentarlo cada 12 horas. Sin embargo, si has desactivado Security Hub CSPM o no has activado ningún otro estándar, Security Hub CSPM no podrá volver a intentarlo, lo que significa que no podrá eliminar las reglas. Si esto ocurre y necesita eliminar las reglas, póngase en contacto con nosotros. AWS Support

Deshabilitar un estándar en varias cuentas y Regiones de AWS

Para deshabilitar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la configuración central. Con la configuración central, el administrador de CSPM de Security Hub delegado puede crear políticas de configuración de CSPM de Security Hub que inhabiliten uno o más estándares. A continuación, el administrador puede asociar una política de configuración a cuentas individuales, unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada región de agregación, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por deshabilitar el Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) en una unidad organizativa. En el caso de otra unidad organizativa, puede optar por deshabilitar tanto el PCI DSS como el estándar SP 800-53 rev. 5 del Instituto Nacional de Estándares y Tecnología (NIST). Para obtener información sobre cómo crear una política de configuración que habilite o deshabilite los estándares individuales que especifique, consulte. Creación y asociación de políticas de configuración

nota

El administrador CSPM de Security Hub puede usar políticas de configuración para deshabilitar cualquier estándar, excepto el estándar de administración de AWS Control Tower servicios. Para deshabilitar este estándar, el administrador debe usarlo directamente. AWS Control Tower También se deben usar AWS Control Tower para deshabilitar o habilitar los controles individuales de este estándar para una cuenta administrada de forma centralizada.

Si desea que algunas cuentas configuren o deshabiliten los estándares para sus propias cuentas, el administrador CSPM de Security Hub puede designarlas como cuentas autogestionadas. Las cuentas autogestionadas deben deshabilitar los estándares por separado en cada región.

Deshabilitar un estándar en una sola cuenta y Región de AWS

Si no utiliza la configuración central o tiene una cuenta autogestionada, no podrá utilizar las políticas de configuración para deshabilitar de forma centralizada los estándares de seguridad en varias cuentas o. Regiones de AWS Sin embargo, puedes deshabilitar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola CSPM de Security Hub o la API CSPM de Security Hub.

Security Hub CSPM console

Siga estos pasos para deshabilitar un estándar en una cuenta y región mediante la consola CSPM de Security Hub.

Deshabilitación de un estándar en una cuenta y región

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee desactivar el estándar.

  3. En el panel de navegación, elija Estándares de seguridad.

  4. En la sección del estándar que desee deshabilitar, elija Desactivar estándar.

Para deshabilitar el estándar en otras regiones, repita los pasos anteriores en cada región adicional.

Security Hub CSPM API

Para deshabilitar un estándar mediante programación en una sola cuenta y región, utilice la BatchDisableStandardsoperación. O bien, si usas AWS Command Line Interface (AWS CLI), ejecuta el batch-disable-standardscomando.

En su solicitud, utilice el StandardsSubscriptionArns parámetro para especificar el nombre de recurso de Amazon (ARN) del estándar que desee deshabilitar. Si utiliza el AWS CLI, utilice el standards-subscription-arns parámetro para especificar el ARN. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando desactiva el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una cuenta (): 123456789012

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

¿Dónde arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0 está el ARN del estándar FSBP para la cuenta en la región EE.UU. Este (Virginia del Norte) y us-east-1 es la región en la que se debe deshabilitar?

Para obtener el ARN de un estándar, puede utilizar la GetEnabledStandardsoperación. Esta operación recupera información sobre los estándares que están actualmente habilitados en su cuenta. Si utilizas el AWS CLI, puedes ejecutar el get-enabled-standardscomando para recuperar esta información.

Tras deshabilitar un estándar, Security Hub CSPM comienza a realizar tareas para inhabilitar el estándar en la cuenta y en la región especificada. Esto incluye deshabilitar todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puedes comprobar el estado de la norma para la cuenta y la región.