Habilitación del CSPM de Security Hub

Hay dos maneras de habilitar el CSPM de AWS Security Hub: a través de la integración con AWS Organizations o de forma manual.

Se recomienda encarecidamente la integración con Organizations para entornos con varias cuentas y regiones. Si tiene una cuenta independiente, es necesario configurar el CSPM de Security Hub manualmente.

Verificación de los permisos necesarios

Después de registrarse en Amazon Web Services (AWS), debe habilitar el CSPM de Security Hub para usar sus capacidades y características. Para habilitar el CSPM de Security Hub, primero debe configurar permisos que permitan acceder a la consola y a las operaciones de la API del CSPM de Security Hub. Para ello, usted o su administrador de AWS pueden utilizar AWS Identity and Access Management (IAM) para asociar la política administrada por AWS denominada AWSSecurityHubFullAccess a su identidad de IAM.

Para habilitar y administrar el CSPM de Security Hub mediante la integración con Organizations, también debe asociar la política administrada de AWS denominada AWSSecurityHubOrganizationsAccess.

Para obtener más información, consulte AWSPolíticas administradas por para Security Hub.

Habilitación del CSPM de Security Hub con la integración de Organizations

Para empezar a usar el CSPM de Security Hub con AWS Organizations, la cuenta de administración de AWS Organizations de la organización debe asignar una cuenta como administrador delegado del CSPM de Security Hub. El CSPM de Security Hub se habilita automáticamente en la cuenta de administrador delegada en la región actual.

Seleccione el método que prefiera y siga los pasos para designar el administrador delegado.

Security Hub CSPM console

Para designar al administrador delegado del CSPM de Security Hub durante el proceso de incorporación

1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. Seleccione Ir al CSPM de Security Hub. Se le solicitará que inicie sesión en la cuenta de administración de Organizations.

3. En la página Designar administrador delegado, en la sección Cuenta de administrador delegado, especifique la cuenta de administrador delegado. Se recomienda que elija el mismo administrador delegado que haya configurado para otros servicios de seguridad y conformidad de AWS.

4. Elija Establecer administrador delegado.

Security Hub CSPM API

Invoque la API EnableOrganizationAdminAccount desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

AWS CLI

Ejecute el comando enable-organization-admin-account desde la cuenta de administración de Organizations. Proporcione el ID de Cuenta de AWS de la cuenta del administrador delegado del CSPM de Security Hub.

Comando de ejemplo:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Para obtener más información acerca de la integración con Organizations, consulte Integración del CSPM de Security Hub con AWS Organizations.

Configuración centralizada

Cuando integra el CSPM de Security Hub con Organizations, tiene la opción de usar una característica llamada configuración centralizada para configurar y administrar el CSPM de Security Hub para la organización. Se recomienda encarecidamente utilizar la configuración centralizada porque permite que el administrador personalice la cobertura de seguridad de la organización. Cuando corresponde, el administrador delegado puede permitir que la cuenta de un miembro configure sus propios ajustes de cobertura de seguridad.

La configuración centralizada permite que el administrador delegado configure el CSPM de Security Hub en las cuentas, las unidades organizativas y las Regiones de AWS. El administrador delegado configura el CSPM de Security Hub mediante la creación de políticas de configuración. Dentro de una política de configuración, puede especificar la siguiente configuración:

Como administrador delegado, puede crear una política de configuración única para toda la organización o diferentes políticas de configuración para las distintas cuentas y unidades organizativas. Por ejemplo, las cuentas de prueba y las cuentas de producción pueden utilizar políticas de configuración diferentes.

Las cuentas de los miembros y las unidades organizativas que utilizan una política de configuración se administran de forma centralizada y solo las puede configurar el administrador delegado. El administrador delegado puede designar cuentas de miembro y unidades organizativas específicos como autoadministrables para que el miembro pueda configurar sus propios ajustes región por región.

Si no utiliza la configuración centralizada, debe configurar el CSPM de Security Hub, en gran medida, de forma independiente en cada cuenta y región. Esto se denomina configuración local. En la configuración local, el administrador delegado puede habilitar automáticamente el CSPM de Security Hub y un conjunto limitado de estándares de seguridad en las nuevas cuentas de la organización dentro de la región actual. La configuración local no se aplica a las cuentas de la organización existentes ni a otras regiones que no sean la actual. La configuración local tampoco admite el uso de políticas de configuración.

Habilitación manual del CSPM de Security Hub

Si tiene una cuenta independiente o si no se ha integrado con AWS Organizations, debe habilitar el CSPM de Security Hub manualmente. Las cuentas independientes no se pueden integrar con AWS Organizations y deben utilizar habilitación manual.

Al habilitar el CSPM de Security Hub manualmente, designa una cuenta de administrador de este servicio e invita a otras cuentas a convertirse en cuentas de miembro. La relación entre administrador y miembros se establece cuando una potencial cuenta de miembro acepta la invitación.

Elija el método que prefiera y siga estos pasos para habilitar el CSPM de Security Hub. Al habilitar el CSPM de Security Hub desde la consola, también tiene la opción de habilitar los estándares de seguridad admitidos.

Security Hub CSPM console

1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

2. Al abrir la consola del CSPM de Security Hub por primera vez, seleccione Ir al CSPM de Security Hub.

3. En la página de bienvenida, la sección Estándares de seguridad enumera los estándares de seguridad que el CSPM de Security Hub admite.

   Seleccione la casilla de verificación de un estándar para habilitarlo y quite la selección de la casilla para deshabilitarlo.

   Puede habilitar o deshabilitar un estándar o sus controles individuales en cualquier momento. Para obtener más información sobre cómo administrar los estándares de seguridad, consulte Descripción de los estándares de seguridad en el CSPM de Security Hub.

4. Seleccione Habilitar Security Hub.

Security Hub CSPM API

Invoque la API EnableSecurityHub. Al habilitar el CSPM de Security Hub desde la API, se habilitan automáticamente los siguientes estándares de seguridad predeterminados:

• AWSPrácticas recomendadas de seguridad básica de

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

Si no deseas habilitar estos estándares, establece EnableDefaultStandards como false.

También puede usar el parámetro Tags para asignar valores de etiqueta al recurso del hub.

AWS CLI

Ejecute el comando enable-security-hub. Para habilitar los estándares predeterminados, incluya --enable-default-standards. Para no habilitar los estándares predeterminados, incluya --no-enable-default-standards. Los estándares de seguridad predeterminados son los siguientes:

• AWSPrácticas recomendadas de seguridad básica de

• Center for Internet Security (CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

Ejemplo

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

Script de habilitación de múltiples cuentas

El script de habilitación de múltiples cuentas del CSPM de Security Hub en GitHub permite habilitar el CSPM de Security Hub en las cuentas y regiones. El script también automatiza el proceso de envío de invitaciones a las cuentas miembro y de activación de AWS Config.

El script habilita de forma automática el registro de recursos de AWS Config para todos los recursos, incluidos los globales, en todas las regiones. No limita el registro de recursos globales a una única región. Para optimizar costos, recomendamos registrar los recursos globales únicamente en una sola región. Si utiliza configuración centralizada o agregación entre Regiones, esta debe ser la región de origen. Para obtener más información, consulte Registro de recursos en AWS Config.

Existe un script correspondiente que permite desactivar el CSPM de Security Hub en las cuentas y regiones.

Próximos pasos: administración de postura e integraciones

Después de habilitar el CSPM de Security Hub, recomendamos habilitar estándares y controles de seguridad para supervisar la postura de seguridad. Una vez que habilite los controles, el CSPM de Security Hub empieza a ejecutar comprobaciones de seguridad y a generar resultados de control que ayudan a detectar configuraciones incorrectas en el entorno de AWS. Para recibir resultados de control, debe habilitar y configurar AWS Config para el CSPM de Security Hub. Para obtener más información, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub.

Después de habilitar el CSPM de Security Hub, también puede aprovechar las integraciones entre el CSPM de Security Hub y otros Servicios de AWS y soluciones de terceros para visualizar sus resultados en el CSPM de Security Hub. El CSPM de Security Hub consolida resultados provenientes de distintos orígenes y los ingiere en un formato coherente. Para obtener más información, consulte Comprensión de las integraciones en el CSPM de Security Hub.