Habilitación de un estándar de seguridad - AWS Security Hub
Habilitar un estándar en varias cuentas y Regiones de AWSHabilitar un estándar en una sola cuenta y Región de AWSComprobar el estado de un estándar

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación de un estándar de seguridad

Al habilitar un estándar de seguridad en AWS Security Hub Cloud Security Posture Management (CSPM), Security Hub CSPM crea y habilita automáticamente todos los controles que se aplican al estándar. Security Hub CSPM también comienza a ejecutar controles de seguridad y a generar hallazgos para los controles.

Para optimizar la cobertura y la precisión de los hallazgos, habilite y configure el registro de recursos AWS Config antes de activar un estándar. Al configurar el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos que se comprueban mediante los controles que se aplican al estándar. De lo contrario, es posible que Security Hub CSPM no pueda evaluar los recursos adecuados y generar resultados precisos para los controles que se aplican a la norma. Para obtener más información, consulte Habilitación y configuración AWS Config de Security Hub CSPM.

Después de habilitar un estándar, puede deshabilitar o volver a habilitar más adelante los controles individuales que se apliquen al estándar. Si deshabilita un control para un estándar, Security Hub CSPM deja de generar hallazgos para el control. Además, Security Hub CSPM ignora el control cuando calcula la puntuación de seguridad del estándar. La puntuación de seguridad es el porcentaje de controles que han superado la evaluación, en relación con el número total de controles que se aplican al estándar, están activados y tienen datos de evaluación.

Al habilitar un estándar, Security Hub CSPM genera una puntuación de seguridad preliminar para el estándar, normalmente 30 minutos después de su primera visita a la página de resumen o estándares de seguridad en la consola CSPM de Security Hub. Las puntuaciones de seguridad se generan únicamente para los estándares que están activados al visitar esas páginas de la consola. Además, el registro de recursos debe estar configurado AWS Config para que aparezcan las puntuaciones. En las regiones de China y AWS GovCloud (US) Regions, Security Hub CSPM puede tardar hasta 24 horas en generar una puntuación de seguridad preliminar para un estándar. Una vez que Security Hub CSPM genera una puntuación preliminar, la actualiza cada 24 horas. Para determinar cuándo se actualizó por última vez una puntuación de seguridad, puede consultar la marca de tiempo que Security Hub CSPM proporciona para la puntuación. Para obtener más información, consulte Calcular las puntuaciones de seguridad.

La forma de habilitar un estándar depende de si utiliza la configuración central para administrar Security Hub (CSPM) para varias cuentas y. Regiones de AWS Recomendamos utilizar la configuración centralizada si desea habilitar los estándares en entornos con varias cuentas y regiones. Puede utilizar la configuración central si integra Security Hub CSPM con. AWS Organizations Si no utiliza la configuración central, debe habilitar cada estándar por separado en cada cuenta y región.

Habilitar un estándar en varias cuentas y Regiones de AWS

Para habilitar y configurar un estándar de seguridad en varias cuentas Regiones de AWS, utilice la configuración central. Con la configuración central, el administrador de CSPM de Security Hub delegado puede crear políticas de configuración de CSPM de Security Hub que habiliten uno o más estándares. A continuación, el administrador puede asociar una política de configuración a las cuentas individuales, a las unidades organizativas (OUs) o a la raíz. Una política de configuración afecta a la región de origen, también denominada región de agregación, y a todas las regiones vinculadas.

Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, puede optar por habilitar solo el estándar de mejores prácticas de seguridad AWS fundamentales (FSBP) para una unidad organizativa. Para otra unidad organizativa, puede optar por habilitar tanto el estándar FSBP como el estándar Foundations Benchmark v1.4.0 del Center for Internet Security (CIS) AWS . Para obtener información sobre la creación de una política de configuración que habilite los estándares específicos que especifique, consulte. Creación y asociación de políticas de configuración

Si usa la configuración central, Security Hub CSPM no habilita automáticamente ningún estándar en las cuentas nuevas o existentes. En su lugar, el administrador de CSPM de Security Hub especifica qué estándares se deben habilitar en las diferentes cuentas cuando crea las políticas de configuración de CSPM de Security Hub para su organización. Security Hub CSPM ofrece una política de configuración recomendada en la que solo se habilita el estándar FSBP. Para obtener más información, consulte Tipos de políticas de configuración.

nota

El administrador CSPM de Security Hub puede usar políticas de configuración para habilitar cualquier estándar, excepto el estándar de administración de AWS Control Tower servicios. Para habilitar este estándar, el administrador debe usarlo directamente. AWS Control Tower También deben utilizarse AWS Control Tower para activar o desactivar los controles individuales de este estándar para una cuenta gestionada de forma centralizada.

Si desea que algunas cuentas habiliten y configuren estándares para sus propias cuentas, el administrador CSPM de Security Hub puede designarlas como cuentas autogestionadas. Las cuentas autogestionadas deben habilitar y configurar los estándares por separado en cada región.

Habilitar un estándar en una sola cuenta y Región de AWS

Si no utiliza la configuración central o tiene una cuenta autogestionada, no podrá utilizar las políticas de configuración para habilitar de forma centralizada los estándares de seguridad en varias cuentas o Regiones de AWS. Sin embargo, puedes habilitar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola CSPM de Security Hub o la API CSPM de Security Hub.

Security Hub CSPM console

Siga estos pasos para habilitar un estándar en una cuenta y región mediante la consola CSPM de Security Hub.

Habilitación de un estándar en una cuenta y región

  1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

  2. Con el Región de AWS selector situado en la esquina superior derecha de la página, elija la región en la que desee activar el estándar.

  3. En el panel de navegación, elija Estándares de seguridad. La página de estándares de seguridad enumera todos los estándares que Security Hub CSPM admite actualmente. Si ya ha activado un estándar, la sección correspondiente al estándar incluye la puntuación de seguridad actual y detalles adicionales del estándar.

  4. En la sección del estándar que desee habilitar, elija Habilitar estándar.

Para activar el estándar en otras regiones, repita los pasos anteriores en cada región adicional.

Security Hub CSPM API

Para habilitar un estándar mediante programación en una sola cuenta y región, utilice la BatchEnableStandardsoperación. O bien, si está utilizando AWS Command Line Interface (AWS CLI), ejecute el batch-enable-standardscomando.

En su solicitud, utilice el StandardsArn parámetro para especificar el nombre de recurso de Amazon (ARN) del estándar que desee habilitar. Especifique también la región a la que se aplica la solicitud. Por ejemplo, el siguiente comando habilita el estándar AWS Foundational Security Best Practices (FSBP):

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

¿Dónde arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0 está el ARN del estándar FSBP en la región EE.UU. Este (Virginia del Norte) y us-east-1 es la región en la que se debe habilitar?

Para obtener el ARN de un estándar, utilice la DescribeStandardsoperación o, si está utilizando el AWS CLI, ejecute el describe-standardscomando.

Para revisar primero una lista de estándares que están actualmente habilitados en su cuenta, puede usar la GetEnabledStandardsoperación. Si utilizas el AWS CLI, puedes ejecutar el get-enabled-standardscomando para recuperar esta lista.

Tras habilitar un estándar, Security Hub CSPM comienza a realizar tareas para habilitar el estándar en la cuenta y en la región especificada. Esto incluye la creación de todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede comprobar el estado de la norma para la cuenta y la región.

Comprobar el estado de un estándar

Al habilitar un estándar de seguridad para una cuenta, Security Hub CSPM comienza a crear todos los controles que se aplican al estándar en la cuenta. Security Hub CSPM también realiza tareas adicionales para habilitar el estándar para la cuenta, como generar una puntuación de seguridad preliminar para el estándar. Mientras Security Hub CSPM realiza estas tareas, el estado del estándar es el Pendingde la cuenta. A continuación, el estado del estándar pasa por estados adicionales, que puede supervisar y comprobar.

nota

Los cambios en los controles individuales de una norma no afectan al estado general de la norma. Por ejemplo, si habilita un control que había desactivado anteriormente, el cambio no afectará al estado del estándar. Del mismo modo, si cambias el valor de un parámetro para un control activado, el cambio no afectará al estado del estándar.

Para comprobar el estado de un estándar mediante la consola CSPM de Security Hub, elija Estándares de seguridad en el panel de navegación. La página de estándares de seguridad enumera todos los estándares que Security Hub CSPM admite actualmente. Si Security Hub CSPM está realizando tareas para habilitar el estándar, la sección correspondiente al estándar indica que Security Hub CSPM sigue generando una puntuación de seguridad para el estándar. Si un estándar está activado, la sección correspondiente al estándar incluye la puntuación actual. Seleccione Ver resultados para revisar detalles adicionales, incluido el estado de los controles individuales que se aplican a la norma. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.

Para comprobar el estado de un estándar mediante programación con la API CSPM de Security Hub, utilice la operación. GetEnabledStandards En su solicitud, si lo desea, utilice el StandardsSubscriptionArns parámetro para especificar el nombre de recurso de Amazon (ARN) del estándar cuyo estado desea comprobar. Si utiliza AWS Command Line Interface (AWS CLI), puede ejecutar el get-enabled-standardscomando para comprobar el estado de un estándar. Para especificar el ARN del estándar que se va a comprobar, utilice el standards-subscription-arns parámetro. Para determinar qué ARN especificar, puede utilizar la DescribeStandardsoperación o, para ello AWS CLI, ejecutar el describe-standardscomando.

Si la solicitud se realiza correctamente, Security Hub CSPM responde con una serie de objetos. StandardsSubscription Una suscripción estándar es un AWS recurso que Security Hub CSPM crea en una cuenta cuando se habilita un estándar para la cuenta. Cada StandardsSubscription objeto proporciona detalles sobre un estándar que está actualmente activado o que se está activando o deshabilitando para la cuenta. Dentro de cada objeto, el StandardsStatus campo especifica el estado actual del estándar de la cuenta.

El estado de un estándar (StandardsStatus) puede ser uno de los siguientes.

PENDING

Security Hub (CSPM) está realizando tareas para habilitar el estándar para la cuenta. Esto incluye la creación de los controles que se aplican al estándar y la generación de una puntuación de seguridad preliminar para el estándar. Security Hub CSPM puede tardar varios minutos en completar todas las tareas. Un estándar también puede tener este estado si ya está activado para la cuenta y Security Hub CSPM está añadiendo nuevos controles al estándar.

Si un estándar tiene este estado, es posible que no puedas recuperar los detalles de los controles individuales que se aplican al estándar. Además, es posible que no pueda configurar o deshabilitar los controles individuales del estándar. Por ejemplo, si intenta deshabilitar un control mediante la UpdateStandardsControloperación, se produce un error.

Para determinar si puede configurar o administrar de otro modo los controles individuales para el estándar, consulte el valor del StandardsControlsUpdatable campo. Si el valor de este campo esREADY_FOR_UPDATES, puede empezar a gestionar los controles individuales del estándar. De lo contrario, espere a que Security Hub CSPM complete las tareas de procesamiento adicionales para habilitar el estándar.

READY

El estándar está activado actualmente para la cuenta. Security Hub CSPM puede ejecutar comprobaciones de seguridad y generar resultados para todos los controles que se aplican al estándar y que están habilitados actualmente. Security Hub CSPM también puede calcular una puntuación de seguridad para el estándar.

Si una norma tiene este estado, puede recuperar los detalles de los controles individuales que se aplican a la norma. Además, puede configurar, deshabilitar o volver a activar los controles. También puede desactivar el estándar.

INCOMPLETE

Security Hub CSPM no pudo habilitar el estándar por completo para la cuenta. Security Hub CSPM no puede ejecutar comprobaciones de seguridad ni generar resultados para todos los controles que se aplican al estándar y que están habilitados actualmente. Además, Security Hub CSPM no puede calcular una puntuación de seguridad para el estándar.

Para determinar por qué el estándar no se habilitó por completo, consulte la información de la StandardsStatusReason matriz. Esta matriz especifica los problemas que impidieron que Security Hub CSPM habilitara el estándar. Si se ha producido un error interno, intente volver a activar el estándar para la cuenta. Para otros tipos de problemas, comprueba AWS Config la configuración. También puedes desactivar los controles individuales que no quieras comprobar o desactivar el estándar por completo.

DELETING

Security Hub CSPM está procesando actualmente una solicitud para deshabilitar el estándar de la cuenta. Esto incluye deshabilitar los controles que se aplican al estándar y eliminar la puntuación de seguridad asociada. El Security Hub CSPM puede tardar varios minutos en terminar de procesar la solicitud.

Si un estándar tiene este estado, no puede volver a activarlo ni intentar deshabilitarlo de nuevo para la cuenta. Security Hub CSPM debe terminar de procesar primero la solicitud actual. Además, no puede recuperar los detalles de los controles individuales que se aplican al estándar ni administrar los controles.

FAILED

Security Hub CSPM no ha podido inhabilitar el estándar para la cuenta. Se produjeron uno o más errores cuando el Security Hub CSPM intentó deshabilitar el estándar. Además, Security Hub CSPM no puede calcular una puntuación de seguridad para el estándar.

Para determinar por qué el estándar no se deshabilitó por completo, consulte la información de la StandardsStatusReason matriz. Esta matriz especifica los problemas que impidieron que Security Hub CSPM deshabilitara el estándar.

Si un estándar tiene este estado, no podrá recuperar los detalles de los controles individuales que se aplican al estándar ni administrar los controles. Sin embargo, puedes volver a activar el estándar para la cuenta. Si soluciona los problemas que impidieron que Security Hub CSPM deshabilitara el estándar, también puede intentar deshabilitarlo nuevamente.

Si el estado de un estándar esREADY, Security Hub CSPM ejecuta comprobaciones de seguridad y genera resultados para todos los controles que se aplican al estándar y que están habilitados actualmente. Para otros estados, el CSPM de Security Hub puede ejecutar comprobaciones y generar resultados para algunos controles habilitados, pero no para todos. Generar o actualizar los resultados de los controles puede tardar hasta 24 horas. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.