Controles de Security Hub para AWS Config
Estos controles de Security Hub evalúan el servicio y los recursos de AWS Config.
Es posible que estos controles no estén disponibles en todas las Regiones de AWS. Para obtener más información, consulte Disponibilidad de los controles por región.
[Config.1] AWS Config debe estar habilitado y usar el rol vinculado al servicio para el registro de recursos
Requisitos relacionados: Indicador de referencia v5.0.0/3.3 de AWS de CIS; Indicador de referencia v1.2.0/2.5 de AWS de CIS; Indicador de referencia v1.4.0/3.5 de AWS de CIS; Indicador de referencia v3.0.0/3.3 de AWS de CIS; NIST.800-53.r5 CM-3, NIST.800-53.r5 CM-6(1), NIST.800-53.r5 CM-8, NIST.800-53.r5 CM-8(2), PCI DSS v3.2.1/10.5.2, PCI DSS v3.2.1/11.5
Categoría: Identificar - Inventario
Gravedad: crítica
Tipo de recurso: AWS::::Account
Regla de AWS Config: Ninguna (regla personalizada de Security Hub)
Tipo de programa: Periódico
Parámetros:
| Parámetro | Descripción | Tipo | Valores personalizados permitidos | Valor predeterminado de Security Hub |
|---|---|---|---|---|
|
|
El control no evalúa si AWS Config utiliza el rol vinculado al servicio si el parámetro está configurado como |
Booleano |
|
|
Este control comprueba si AWS Config está habilitado en su cuenta en la actual Región de AWS, registra todos los recursos que corresponden a los controles que están habilitados en la región actual y utiliza el rol vinculado al servicio AWS Config. El nombre del rol vinculado al servicio es AWSServiceRoleForConfig. Si no usa el rol vinculado al servicio y no configura el parámetro includeConfigServiceLinkedRoleCheck como false, el control lanzará un error porque es posible que otros roles no tengan los permisos necesarios para que AWS Config registre sus recursos con precisión.
AWS Config es un servicio que se encarga de administrar la configuración de los recursos de AWS admitidos en la cuenta y le proporciona archivos de registro. La información registrada incluye el elemento de configuración (recurso de AWS), las relaciones entre elementos de configuración y cualquier cambio de configuración en los recursos. Los recursos globales son recursos que están disponibles en cualquier región.
El control se evalúa de la siguiente manera:
Si la región actual está configurada como su región de agregación, el control solo produce resultados
PASSEDsi se registran los recursos globales de AWS Identity and Access Management (IAM) (si ha habilitado los controles que los requieren).Si la región actual está configurada como una región vinculada, el control no evalúa si se registran recursos globales de IAM.
Si la región actual no está en su agregador o si la agregación entre regiones no está configurada en la cuenta, el control solo produce resultados
PASSEDsi se registran los recursos globales de IAM (si ha habilitado los controles que los requieren).
Los resultados del control no se ven afectados por el registro diario o continuo de los cambios en el estado de los recursos en AWS Config. Sin embargo, los resultados de este control pueden cambiar cuando se lanzan controles nuevos si se ha configurado la habilitación automática de los nuevos controles o si se cuenta con una política de configuración centralizada que habilita automáticamente los controles nuevos. En estos casos, si no registra todos los recursos, debe configurar el registro de los recursos asociados a los nuevos controles para recibir un resultado PASSED.
Los controles de seguridad de Security Hub funcionan según lo previsto solo si se habilita AWS Config en todas las regiones y se configura el registro de recursos para los controles que lo requieren.
nota
Config.1 necesita que AWS Config esté habilitado en todas las regiones en las que usa Security Hub.
Como Security Hub es un servicio regional, la comprobación que se realiza con este control solo se aplica a la región actual de la cuenta.
Para admitir los controles de seguridad en recursos globales de IAM de una región, debe registrar los recursos globales de IAM en esa región. Las regiones en las que no se hayan registrado los recursos globales de IAM recibirán un resultado PASSED predeterminado por los controles que comprueban los recursos globales de IAM. Como los recursos globales de IAM son idénticos en todas las Regiones de AWS, recomendamos que los registre únicamente en la región de origen (si la agregación entre regiones está habilitada en su cuenta). Los recursos de IAM solo se registrarán en la región en la que esté activado el registro de recursos globales.
Los tipos de recursos globales de IAM registrados que AWS Config admite incluyen usuarios, grupos, roles y políticas administradas por el cliente de IAM. Puede considerar desactivar los controles del concentrador de seguridad que comprueban estos tipos de recursos en las regiones en las que el registro global de recursos está desactivado. Para obtener más información, consulte Controles sugeridos para desactivar en el CSPM de Security Hub.
Corrección
En la región de origen y en las regiones que no forman parte de un agregador, registre todos los recursos necesarios para los controles que están habilitados en la región actual, incluidos los recursos globales de IAM si ha habilitado los controles que requieren recursos globales de IAM.
En las regiones vinculadas, puede utilizar cualquier modo de registro de AWS Config, siempre que registre todos los recursos que correspondan a los controles que estén habilitados en la región actual. En las regiones vinculadas, si tiene habilitados controles que requieren el registro de recursos globales de IAM, no recibirá un resultado FAILED (el registro de otros recursos es suficiente).
El campo StatusReasons en el objeto Compliance del resultado puede ayudarle a determinar por qué tiene un resultado fallido para este control. Para obtener más información, consulte Detalles de cumplimiento para los resultados de control.
Para obtener una lista de los recursos que deben registrarse para cada control, consulte Recursos de AWS Config necesarios para los resultados de control. Para obtener información general sobre cómo habilitar AWS Config y configurar el registro de recursos, consulte Habilitación y configuración de AWS Config para el CSPM de Security Hub.
