Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Políticas de CSPM de Security Hub
AWS Security Hub CSPM las políticas proporcionan a los equipos de seguridad un enfoque centralizado para administrar las configuraciones de seguridad en todos sus equipos. AWS Organizations Con estas políticas puede establecer y mantener controles de seguridad consistentes mediante un mecanismo de configuración central. Esta integración le permite abordar las brechas en la cobertura de seguridad mediante la creación de políticas que se ajusten a los requisitos de seguridad de su organización y su aplicación centralizada en todas las cuentas y unidades organizativas (OUs).
Las políticas de CSPM de Security Hub están completamente integradas AWS Organizations, lo que permite a las cuentas de administración o a los administradores delegados definir y aplicar las configuraciones de seguridad. Cuando las cuentas se unen a su organización, heredan automáticamente las políticas aplicables según la ubicación en la jerarquía organizacional. Esto contribuye a que los estándares de seguridad se apliquen de manera coherente a medida que crece la organización. Las políticas respetan las estructuras organizativas existentes y brindan flexibilidad en la forma en que se distribuyen las configuraciones de seguridad, sin dejar de mantener el control central sobre las configuraciones de seguridad críticas.
Características y ventajas clave
Las políticas CSPM de Security Hub proporcionan un conjunto integral de capacidades que le ayudan a administrar y aplicar las configuraciones de seguridad en toda su AWS organización. Estas características optimizan la administración de la seguridad y, al mismo tiempo, permiten un control uniforme del entorno de varias cuentas.
-
Habilite el Security Hub CSPM de forma centralizada en todas las cuentas y regiones de su organización
-
Cree políticas de seguridad que definan su configuración de seguridad en todas las cuentas y OUs
-
Aplique automáticamente las configuraciones de seguridad a las nuevas cuentas cuando se unan a su organización
-
Garantice una configuración de seguridad de forma coherente en la organización
-
Impida que las cuentas de miembros modifiquen las configuraciones de seguridad a nivel de la organización
¿Cuáles son las políticas de CSPM de Security Hub?
Las políticas CSPM de Security Hub son AWS Organizations políticas que proporcionan un control centralizado de las configuraciones de seguridad en las cuentas de su organización. Estas políticas trabajan con AWS Organizations de manera transparente para establecer y mantener estándares de seguridad consistentes en todo el entorno de varias cuentas.
Cuando implementa las políticas CSPM de Security Hub, obtiene la capacidad de definir configuraciones de seguridad específicas que se propagan automáticamente por toda la organización. Esto garantiza que todas las cuentas, como las recién creadas, se ajusten a los requisitos de seguridad y las prácticas recomendadas de la organización.
Estas políticas también permiten mantener el cumplimiento al aplicar controles de seguridad de manera coherente e impedir que las cuentas individuales modifiquen la configuración de seguridad a nivel de la organización. Este enfoque centralizado reduce considerablemente la sobrecarga administrativa que supone la administración de las configuraciones de seguridad en entornos grandes y complejos. AWS
Cómo funcionan las políticas de CSPM de Security Hub
Cuando adjuntas una política CSPM de Security Hub a tu organización o unidad organizativa, evalúa AWS Organizations automáticamente la política y la aplica en función del ámbito que definas. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
Cuando las regiones aparecen en las listas de habilitación y deshabilitación, prevalece la configuración de deshabilitación. Por ejemplo, si una región aparece en las configuraciones de activación e inhabilitación, el CSPM de Security Hub se deshabilitará en esa región.
Cuando ALL_SUPPORTED se especifica su activación, el CSPM de Security Hub se habilita en todas las regiones actuales y futuras, a menos que se deshabilite explícitamente. Esto le permite mantener una cobertura de seguridad integral a medida que AWS se expande a nuevas regiones.
Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, de modo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar las configuraciones de seguridad, sin dejar de mantener los controles básicos.
Terminología
En este tema se utilizan los siguientes términos al tratar las políticas de CSPM de Security Hub.
| Plazo | Definición |
|---|---|
| Política en vigor | Política final que se aplica a una cuenta luego de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para administrar las políticas de CSPM de Security Hub en nombre de la organización. |
| Rol vinculado a servicios | Una función de IAM que permite a Security Hub CSPM interactuar con otros servicios. AWS |
Casos de uso de las políticas de CSPM de Security Hub
Las políticas de CSPM de Security Hub abordan los desafíos comunes de administración de la seguridad en entornos de cuentas múltiples. En los siguientes casos de uso se muestra la forma en que las organizaciones suelen implementar estas políticas para mejorar su postura de seguridad.
Ejemplo de caso de uso: requisitos de conformidad regionales
Una empresa multinacional necesita diferentes configuraciones de CSPM de Security Hub para diferentes regiones geográficas. Crean una política principal que habilita el CSPM de Security Hub en todas las regiones y, a continuaciónALL_SUPPORTED, utilizan políticas secundarias para deshabilitar regiones específicas en las que se requieren diferentes controles de seguridad. Esto les permite mantener el cumplimiento de las normativas regionales, sin dejar de garantizar una cobertura de seguridad integral.
Ejemplo de caso de uso: normas de seguridad para equipos de desarrollo
Una organización de desarrollo de software implementa políticas CSPM de Security Hub que permiten la supervisión en las regiones de producción y, al mismo tiempo, mantienen las regiones de desarrollo sin administrar. Utilizan listas de regiones explícitas en sus políticas en lugar de ALL_SUPPORTED a fin de mantener un control preciso sobre la cobertura de supervisión de la seguridad. Este enfoque les permite aplicar controles de seguridad más estrictos en los entornos de producción, sin dejar de mantener la flexibilidad en las áreas de desarrollo.
Herencia y aplicación de políticas
Es fundamental entender cómo las políticas se heredan y se aplican para conseguir una administración eficaz de la seguridad en la organización. El modelo de herencia sigue la jerarquía de AWS Organizations , de modo que garantiza una aplicación de políticas predecible y coherente.
-
Las políticas asociadas en el nivel raíz se aplican a todas las cuentas
-
Las cuentas heredan las políticas de sus unidades organizativas principales
-
Se pueden aplicar varias políticas a una sola cuenta
-
Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
Validación de políticas
Al crear políticas CSPM de Security Hub, se producen las siguientes validaciones:
-
Los nombres de las regiones deben ser identificadores de región válidos AWS
-
Las regiones deben ser compatibles con Security Hub (CSPM)
-
La estructura de políticas debe seguir las reglas de sintaxis AWS Organizations de las políticas
-
Las listas
enable_in_regionsydisable_in_regionsdeben estar presentes, aunque pueden estar vacías
Consideraciones regionales y regiones compatibles
Las políticas de CSPM de Security Hub funcionan en varias regiones, por lo que es necesario tener en cuenta cuidadosamente sus requisitos de seguridad globales. Comprender el comportamiento regional permite implementar controles de seguridad efectivos en la presencia global de su organización.
-
La aplicación de políticas se produce en cada región de forma independiente
-
Puede especificar las regiones a incluir o excluir en sus políticas
-
Las nuevas regiones se incluyen automáticamente al usar la opción
ALL_SUPPORTED -
Las políticas solo se aplican a las regiones en las que Security Hub (CSPM) está disponible.
Siguientes pasos
Para empezar con las políticas de CSPM de Security Hub:
-
Revise los requisitos previos en Introducción a las políticas de CSPM de Security Hub
-
Planifique su estrategia de políticas con nuestra guía de prácticas recomendadas
-
Aprenda la sintaxis de las políticas y vea ejemplos de ellas
