Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Habilitación del CSPM de Security Hub

Hay dos formas de habilitar el CSPM de AWS Security Hub: integrándolo con AWS Organizations o manualmente.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar el CSPM de Security Hub manualmente.

Verificación de los permisos necesarios

Después de registrarse en Amazon Web Services (AWS), debe habilitar el CSPM de Security Hub para usar sus capacidades y características. Para habilitar el CSPM de Security Hub, primero debe configurar permisos que permitan acceder a la consola y a las operaciones de la API del CSPM de Security Hub. Usted o su AWS administrador pueden hacerlo mediante AWS Identity and Access Management (IAM) para adjuntar la política AWS gestionada llamada AWSSecurityHubFullAccess a su identidad de IAM.

Para habilitar y administrar Security Hub CSPM a través de la integración de Organizations, también debe adjuntar la política AWS administrada denominada. AWSSecurityHubOrganizationsAccess

Para obtener más información, consulte AWSpolíticas gestionadas para Security Hub.

Habilitación del CSPM de Security Hub con la integración de Organizations

Para empezar a usar Security Hub CSPM conAWS Organizations, la cuenta de AWS Organizations administración de la organización designa una cuenta como la cuenta de administrador de CSPM de Security Hub delegada para la organización. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegada en la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

Security Hub CSPM console

Para designar al administrador delegado del CSPM de Security Hub durante el proceso de incorporación

1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

2. Seleccione Ir al CSPM de Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS.

4. Elija Establecer administrador delegado.

Security Hub CSPM API

Invoque la API EnableOrganizationAdminAccount desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

AWS CLI

Ejecute el comando enable-organization-admin-account desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

Comando de ejemplo:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obtener más información acerca de la integración con Organizations, consulte Integración del CSPM de Security Hub con AWS Organizations.

Configuración centralizada

Cuando integra el CSPM de Security Hub con Organizations, tiene la opción de usar una característica llamada configuración centralizada para configurar y administrar el CSPM de Security Hub para la organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración central permite al administrador delegado configurar Security Hub CSPM en todas las cuentas, y OUs. Regiones de AWS El administrador delegado configura el CSPM de Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para sus distintas cuentas y. OUs Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros OUs que utilizan una política de configuración se administran de forma centralizada y solo el administrador delegado puede configurarlas. El administrador delegado puede designar cuentas de miembros específicas y OUs autoadministrarlas para que el miembro pueda configurar sus propios ajustes de forma específica. Region-by-Region

Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

Habilitación manual del CSPM de Security Hub

Debe habilitar el CSPM de Security Hub manualmente si tiene una cuenta independiente o si no se integra con ella. AWS Organizations Las cuentas independientes no se pueden integrar con la activación manual AWS Organizations y deben utilizarla.

Al habilitar el CSPM de Security Hub manualmente, designa una cuenta de administrador de este servicio e invita a otras cuentas a convertirse en cuentas de miembro. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub. Al habilitar el CSPM de Security Hub desde la consola, también tiene la opción de habilitar los estándares de seguridad admitidos.

Security Hub CSPM console

1. Abra la consola CSPM de AWS Security Hub en. https://console.aws.amazon.com/securityhub/

2. Al abrir la consola del CSPM de Security Hub por primera vez, seleccione Ir al CSPM de Security Hub.

3. En la página de bienvenida, la sección Estándares de seguridad enumera los estándares de seguridad que el CSPM de Security Hub admite.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener más información sobre cómo administrar los estándares de seguridad, consulte Descripción de los estándares de seguridad en el CSPM de Security Hub.

4. Seleccione Habilitar Security Hub.

Security Hub CSPM API

Invoque la API EnableSecurityHub. Al habilitar el CSPM de Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:

• AWSMejores prácticas fundamentales de seguridad

• Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

Si no deseas habilitar estos estándares, establece EnableDefaultStandards como false.

También puede usar el parámetro Tags para asignar valores de etiqueta al recurso del hub.

AWS CLI

Ejecute el comando enable-security-hub. Para habilitar los estándares predeterminados, incluya --enable-default-standards. Para no habilitar los estándares predeterminados, incluya --no-enable-default-standards. Los estándares de seguridad predeterminados son los siguientes:

• AWSMejores prácticas fundamentales de seguridad

• Punto de referencia básico del Center for Internet Security (CIS), AWS versión 1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Ejemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitación de múltiples cuentas

El script de activación de múltiples cuentas de Security Hub CSPM GitHub le permite habilitar Security Hub CSPM en todas las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script permite registrar automáticamente los recursos de todos los AWS Config recursos, incluidos los globales, en todas las regiones. No limita el registro de recursos globales a una única región. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta debe ser la región de origen. Para obtener más información, consulte Registro de recursos en AWS Config.

Existe un script correspondiente que permite desactivar el CSPM de Security Hub en las cuentas y regiones.

Próximos pasos: administración de postura e integraciones

Después de habilitar el CSPM de Security Hub, recomendamos habilitar estándares y controles de seguridad para supervisar la postura de seguridad. Después de habilitar los controles, Security Hub CSPM comienza a ejecutar comprobaciones de seguridad y a generar resultados de control que le ayudan a detectar errores de configuración en su entorno. AWS Para recibir los resultados de control, debe habilitar y configurar AWS Config Security Hub CSPM. Para obtener más información, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub.

Tras activar Security Hub CSPM, también puede aprovechar las integraciones entre Security Hub CSPM y soluciones de otros fabricantes para ver sus Servicios de AWS resultados en Security Hub CSPM. El CSPM de Security Hub consolida resultados provenientes de distintos orígenes y los ingiere en un formato coherente. Para obtener más información, consulte Comprensión de las integraciones en el CSPM de Security Hub.