Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Activación de Security Hub CSPM

Hay dos formas de habilitar la gestión de AWS la postura de seguridad (CSPM) en la nube de Security Hub: integrándolo con AWS Organizations o manualmente.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar el Security Hub CSPM manualmente.

Verificación de los permisos necesarios

Tras suscribirse a Amazon Web Services (AWS), debe habilitar Security Hub CSPM para que utilice sus funciones y funciones. Para habilitar el CSPM de Security Hub, primero debe configurar los permisos que le permitan acceder a la consola CSPM de Security Hub y a las operaciones de la API. Usted o su AWS administrador pueden hacerlo mediante AWS Identity and Access Management (IAM) para adjuntar la política AWS gestionada llamada AWSSecurityHubFullAccess a su identidad de IAM.

Para habilitar y administrar Security Hub CSPM a través de la integración de Organizations, también debe adjuntar la política AWS administrada denominada. AWSSecurityHubOrganizationsAccess

Para obtener más información, consulte AWS políticas gestionadas para Security Hub.

Habilitación de la integración de Security Hub CSPM con Organizations

Para empezar a usar Security Hub CSPM con AWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador de CSPM de Security Hub delegada para la organización. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegado de la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

Security Hub CSPM console

Para designar al administrador (CSPM) de Security Hub delegado al incorporarse

1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

2. Selecciona Ir a Security Hub CSPM. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS .

4. Elija Establecer administrador delegado.

Security Hub CSPM API

Invoque la API EnableOrganizationAdminAccount desde la cuenta de administración de Organizations. Proporcione el Cuenta de AWS ID de la cuenta de administrador delegado de CSPM de Security Hub.

AWS CLI

Ejecute el comando enable-organization-admin-account desde la cuenta de administración de Organizations. Proporcione el Cuenta de AWS ID de la cuenta de administrador delegado de CSPM de Security Hub.

Comando de ejemplo:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obtener más información acerca de la integración con Organizations, consulte Integración de Security Hub CSPM con AWS Organizations.

Configuración centralizada

Al integrar Security Hub CSPM y Organizations, tiene la opción de usar una función llamada configuración central para configurar y administrar Security Hub CSPM para su organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración central permite al administrador delegado configurar Security Hub (CSPM) en todas las cuentas, y OUs. Regiones de AWS El administrador delegado configura el CSPM de Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para sus distintas cuentas y. OUs Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros OUs que utilizan una política de configuración se administran de forma centralizada y solo el administrador delegado puede configurarlas. El administrador delegado puede designar cuentas de miembros específicas y OUs autoadministrarlas para que el miembro pueda configurar sus propios ajustes de forma específica. Region-by-Region

Si no utiliza la configuración central, debe configurar en gran medida el Security Hub CSPM por separado en cada cuenta y región. Esto se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente el Security Hub CSPM y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización en la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

Activación manual del Security Hub CSPM

Debe habilitar el CSPM de Security Hub manualmente si tiene una cuenta independiente o si no se integra con ella. AWS Organizations Las cuentas independientes no se pueden integrar con la activación manual AWS Organizations y deben utilizarla.

Al activar Security Hub CSPM manualmente, designa una cuenta de administrador de Security Hub CSPM e invita a otras cuentas a convertirse en cuentas de miembros. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga los pasos para activar el CSPM de Security Hub. Al habilitar Security Hub CSPM desde la consola, también tiene la opción de habilitar los estándares de seguridad compatibles.

Security Hub CSPM console

1. Abra la consola AWS de Security Hub Cloud Security Posture Management (CSPM) en. https://console.aws.amazon.com/securityhub/

2. Cuando abra la consola CSPM de Security Hub por primera vez, elija Ir a Security Hub CSPM.

3. En la página de bienvenida, la sección Estándares de seguridad enumera los estándares de seguridad compatibles con Security Hub CSPM.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener más información sobre cómo administrar los estándares de seguridad, consulte Descripción de los estándares de seguridad en Security Hub (CSPM).

4. Seleccione Habilitar Security Hub.

Security Hub CSPM API

Invoque la API EnableSecurityHub. Al habilitar el CSPM de Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:

• AWS Mejores prácticas de seguridad fundamentales

• Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

Si no deseas habilitar estos estándares, establece EnableDefaultStandards como false.

También puede usar el parámetro Tags para asignar valores de etiqueta al recurso del hub.

AWS CLI

Ejecute el comando enable-security-hub. Para habilitar los estándares predeterminados, incluya --enable-default-standards. Para no habilitar los estándares predeterminados, incluya --no-enable-default-standards. Los estándares de seguridad predeterminados son los siguientes:

• AWS Mejores prácticas fundamentales de seguridad

• Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Ejemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitación de múltiples cuentas

El script de activación de múltiples cuentas de Security Hub CSPM GitHub le permite habilitar el CSPM de Security Hub en todas las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script permite registrar automáticamente los recursos de todos los AWS Config recursos, incluidos los globales, en todas las regiones. No limita el registro de recursos globales a una única región. Para ahorrar costes, recomendamos registrar los recursos globales en una sola región únicamente. Si utiliza una configuración central o una agregación entre regiones, esta debería ser su región de origen. Para obtener más información, consulte Registrar los recursos en AWS Config.

Existe un script correspondiente para deshabilitar el CSPM de Security Hub en todas las cuentas y regiones.

Próximos pasos: gestión de la postura e integraciones

Tras activar Security Hub CSPM, le recomendamos que active los estándares y controles de seguridad para supervisar su postura de seguridad. Después de habilitar los controles, Security Hub CSPM comienza a ejecutar comprobaciones de seguridad y a generar resultados de control que le ayudan a detectar errores de configuración en su entorno. AWS Para recibir los resultados de control, debe habilitar y configurar AWS Config Security Hub CSPM. Para obtener más información, consulte Habilitación y configuración AWS Config de Security Hub CSPM.

Tras activar Security Hub CSPM, también puede aprovechar las integraciones entre Security Hub CSPM y soluciones de otros fabricantes para ver sus Servicios de AWS resultados en Security Hub CSPM. Security Hub CSPM agrega los hallazgos de diferentes fuentes y los ingiere en un formato coherente. Para obtener más información, consulte Descripción de las integraciones en Security Hub CSPM.