Habilitación de un estándar de seguridad
Cuando habilita un estándar de seguridad en el CSPM de AWS Security Hub, este crea automáticamente todos los controles que se aplican al estándar y los habilita. El CSPM de Security Hub también inicia las comprobaciones de seguridad y empieza a generar resultados para esos controles.
Para optimizar la cobertura y la precisión de los resultados, habilite y configure el registro de recursos en AWS Config antes de habilitar un estándar. Cuando configure el registro de recursos, asegúrese también de habilitarlo para todos los tipos de recursos que los controles del estándar verifican. De lo contrario, es posible que el CSPM de Security Hub no pueda evaluar los recursos adecuados ni generar los resultados precisos para los controles aplicables al estándar. Para obtener más información, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub.
Después de habilitar un estándar, puede desactivar o volver a habilitar posteriormente controles individuales que se aplican al estándar. Si desactiva un control para un estándar, el CSPM de Security Hub deja de generar resultados para dicho control. Además, el CSPM de Security Hub ignora ese control al calcular la puntuación de seguridad del estándar. La puntuación de seguridad es el porcentaje de controles que superaron la evaluación, en relación con el número total de controles que se aplican al estándar, están habilitados y disponen de datos de evaluación.
Cuando habilita un estándar, el CSPM de Security Hub genera una puntuación de seguridad preliminar para el estándar, normalmente dentro de los primeros 30 minutos tras su primera visita a la página Resumen o a la página Estándares de seguridad, dentro de la consola del CSPM de Security Hub. Las puntuaciones de seguridad solo se generan para los estándares que están habilitados cuando visita esas páginas en la consola. Además, el registro de recursos se debe configurar en AWS Config para que las puntuaciones aparezcan. En las regiones de China y en AWS GovCloud (US) Regions, el CSPM de Security Hub puede tardar hasta 24 horas en generar una puntuación de seguridad preliminar para un estándar. Después de que el CSPM de Security Hub genera una puntuación preliminar, este actualiza la puntuación cada 24 horas. Para determinar cuándo se actualizó por última vez una puntuación de seguridad, puede consultar una marca de tiempo que el CSPM de Security Hub proporciona para la puntuación. Para obtener más información, consulte Calcular las puntuaciones de seguridad.
La forma en que habilita un estándar depende de si utiliza la configuración centralizada para administrar el CSPM de Security Hub para varias cuentas y Regiones de AWS. Recomendamos utilizar la configuración centralizada si desea habilitar los estándares en entornos con varias cuentas y regiones. Puede utilizar la configuración centralizada si integra el CSPM de Security Hub con AWS Organizations. Si no utiliza la configuración centralizada, debe habilitar cada estándar por separado en cada cuenta y en cada región.
Temas
Habilitación de un estándar en varias cuentas y Regiones de AWS
Para habilitar y configurar un estándar de seguridad en varias cuentas y Regiones de AWS, utilice la configuración centralizada. Con la configuración centralizada, el administrador delegado del CSPM de Security Hub puede crear políticas de configuración del CSPM de Security Hub que habilitan uno o varios estándares. El administrador puede asociar posteriormente una política de configuración con cuentas individuales, unidades organizativas (UO) o con la raíz. Una política de configuración afecta a la región de origen, también denominada región de agregación, y a todas las regiones vinculadas.
Las políticas de configuración ofrecen opciones de personalización. Por ejemplo, podría optar por habilitar únicamente el estándar de Prácticas recomendadas de seguridad básica (FSBP) de AWS para una UO. Para otra UO, podría habilitar tanto el estándar FSBP como el estándar Indicador de referencia de AWS de CIS v.1.4.0. Para obtener información sobre cómo crear una política de configuración que habilite los estándares que especifique, consulte Creación y asociación de políticas de configuración.
Si utiliza la configuración centralizada, el CSPM de Security Hub no habilita automáticamente ningún estándar en las cuentas nuevas o existentes. En su lugar, el administrador del CSPM de Security Hub especifica qué estándares habilitar en las distintas cuentas cuando crea políticas de configuración del CSPM de Security Hub para la organización. El CSPM de Security Hub ofrece una política de configuración recomendada en la cual solo se habilita el estándar FSBP. Para obtener más información, consulte Tipos de políticas de configuración.
nota
El administrador del CSPM de Security Hub puede utilizar políticas de configuración para habilitar cualquier estándar, excepto el estándar administrado por el servicio: AWS Control Tower. Para habilitar ese estándar, el administrador debe usar AWS Control Tower directamente. También debe usar AWS Control Tower para habilitar o desactivar controles individuales en ese estándar para una cuenta administrada de manera centralizada.
Si desea que determinadas cuentas habiliten y configuren estándares para sus propias cuentas, el administrador del CSPM de Security Hub puede designar esas cuentas como cuentas autoadministradas. Las cuentas autoadministradas deben habilitar y configurar los estándares por separado en cada región.
Habilitación de un estándar en una sola cuenta y Región de AWS
Si no utiliza la configuración centralizada o si tiene una cuenta autoadministrada, no puede utilizar políticas de configuración para habilitar estándares de seguridad de manera centralizada en varias cuentas o Regiones de AWS. Sin embargo, puede habilitar un estándar en una sola cuenta y región. Puede hacerlo mediante la consola del CSPM de Security Hub o mediante la API del CSPM de Security Hub.
Después de habilitar un estándar, el CSPM de Security Hub inicia las tareas necesarias para habilitar el estándar en la cuenta y en la región especificada. Esto incluye crear todos los controles que se aplican al estándar. Para supervisar el estado de estas tareas, puede consultar el estado del estándar en la cuenta y la región.
Verificación del estado de un estándar
Cuando habilita un estándar de seguridad para una cuenta, el CSPM de Security Hub empieza a crear todos los controles que corresponden a ese estándar en la cuenta. El CSPM de Security Hub también realiza otras tareas necesarias para habilitarlo, como generar una puntuación de seguridad preliminar del estándar. Mientras el CSPM de Security Hub completa estas tareas, el estado del estándar aparece como Pending para esa cuenta. Después, el estado cambia a otros valores que puede consultar y supervisar.
nota
Los cambios que haga en controles individuales no modifican el estado general del estándar. Por ejemplo, si vuelve a habilitar un control que antes había desactivado, el estado del estándar no cambia. Lo mismo ocurre si modifica un parámetro de un control que ya está habilitado: el estado del estándar permanece igual.
Para revisar el estado de un estándar desde la consola del CSPM de Security Hub, seleccione Estándares de seguridad en el panel de navegación. La página Estándares de seguridad muestra todos los estándares que el CSPM de Security Hub admite actualmente. Si el CSPM de Security Hub aún está en proceso de habilitar un estándar, la sección correspondiente indicará que continúa en el proceso de generar la puntuación de seguridad correspondiente al estándar. Si un estándar está habilitado, la sección correspondiente muestra la puntuación actual. Seleccione Ver resultados para revisar más detalles, incluido el estado de los controles individuales que se aplican al estándar. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
Para verificar el estado de un estándar mediante programación con la API del CSPM de Security Hub, utilice la operación GetEnabledStandards. En la solicitud, puede usar de forma opcional el parámetro StandardsSubscriptionArns para especificar el nombre de recurso de Amazon (ARN) del estándar cuyo estado desea consultar. Si utiliza AWS Command Line Interface (AWS CLI), puede ejecutar el comando get-enabled-standards para verificar el estado de un estándar. Para indicar el ARN del estándar que desea consultar, utilice el parámetro standards-subscription-arns. Para determinar qué ARN especificar, puede usar la operación DescribeStandards o, para la AWS CLI, ejecutar el comando describe-standards.
Si la solicitud se completa correctamente, el CSPM de Security Hub responde con una matriz de objetos StandardsSubscription. Una suscripción a un estándar es un recurso de AWS que el CSPM de Security Hub crea en una cuenta cuando se habilita un estándar para esa cuenta. Cada objeto StandardsSubscription proporciona información sobre un estándar que está habilitado actualmente o que está en proceso de habilitarse o desactivarse para la cuenta. Dentro de cada objeto, el campo StandardsStatus indica el estado actual del estándar para la cuenta.
El estado de un estándar (StandardsStatus) puede ser uno de los siguientes:
- PENDING
-
El CSPM de Security Hub realiza tareas para habilitar el estándar en la cuenta. Esto incluye crear los controles que se aplican al estándar y generar una puntuación de seguridad preliminar. El CSPM de Security Hub puede tardar varios minutos en completar todas estas tareas. Un estándar también puede tener este estado si ya está habilitado para la cuenta y el CSPM de Security Hub se encuentra en proceso de agregar controles nuevos al estándar.
Si un estándar tiene este estado, es posible que no pueda obtener los detalles de los controles individuales que se aplican al estándar. Además, es posible que no pueda configurar o desactivar controles individuales del estándar. Por ejemplo, si intenta desactivar un control mediante la operación UpdateStandardsControl, se producirá un error.
Para saber si puede configurar o administrar controles individuales del estándar, consulte el valor del campo
StandardsControlsUpdatable. Si el valor de este campo esREADY_FOR_UPDATES, puede comenzar a administrar los controles individuales del estándar. De lo contrario, espere a que el CSPM de Security Hub complete las tareas adicionales necesarias para habilitar el estándar. - READY
-
El estándar está habilitado actualmente para la cuenta. El CSPM de Security Hub puede ejecutar comprobaciones de seguridad y generar resultados para todos los controles que se aplican al estándar y que están habilitados. El CSPM de Security Hub también puede calcular una puntuación de seguridad para el estándar.
Si un estándar tiene este estado, puede consultar los detalles de los controles individuales que se aplican al estándar. Además, puede configurar, desactivar o volver a habilitar los controles. También puede desactivar el estándar.
- INCOMPLETE
-
El CSPM de Security Hub no pudo habilitar por completo el estándar para la cuenta. El CSPM de Security Hub no puede ejecutar comprobaciones de seguridad ni generar resultados para los controles que se aplican al estándar y que están habilitados actualmente. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.
Para determinar por qué el estándar no se habilitó por completo, consulte la información en la matriz
StandardsStatusReason. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub habilitara el estándar. Si ocurrió un error interno, intente habilitar nuevamente el estándar para la cuenta. Para otros tipos de problemas, revise la configuración de AWS Config. También puede desactivar controles individuales que no desee evaluar, o desactivar por completo el estándar. - DELETING
-
El CSPM de Security Hub está en proceso de completar una solicitud para desactivar el estándar de la cuenta. Esto incluye desactivar los controles que se aplican al estándar y eliminar la puntuación de seguridad asociada. El CSPM de Security Hub puede tardar varios minutos en completar esta solicitud.
Si un estándar tiene este estado, no puede volver a habilitarlo ni intentar desactivarlo otra vez para la cuenta. El CSPM de Security Hub debe concluir primero la solicitud actual. Además, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos mientras el estándar está en este estado.
- FAILED
-
El CSPM de Security Hub no pudo desactivar el estándar para la cuenta. Ocurrieron uno o más errores cuando el CSPM de Security Hub intentó desactivar el estándar. Además, el CSPM de Security Hub no puede calcular una puntuación de seguridad para el estándar.
Para determinar por qué el estándar no se desactivó por completo, consulte la información en la matriz
StandardsStatusReason. Esta matriz especifica los problemas que impidieron que el CSPM de Security Hub desactivara el estándar.Si un estándar tiene este estado, no puede consultar los detalles de los controles individuales que se aplican al estándar ni administrarlos. Sin embargo, puede volver a habilitar el estándar para la cuenta. Si resuelve los problemas que impidieron que el CSPM de Security Hub desactivara el estándar, también puede intentar desactivar el estándar nuevamente.
Si el estado de un estándar es READY, el CSPM de Security Hub ejecuta comprobaciones de seguridad y genera resultados para todos los controles que se aplican al estándar y que están habilitados. Para otros estados, el CSPM de Security Hub puede ejecutar comprobaciones y generar resultados solo para algunos controles habilitados, pero no para todos. La generación o actualización de resultados de controles puede tardar hasta 24 horas. Para obtener más información, consulte Programación para ejecutar comprobaciones de seguridad.
