Actualización de las políticas de configuración - AWS Security Hub

Actualización de las políticas de configuración

Después de crear una política de configuración, la cuenta del administrador delegado del CSPM de AWS Security Hub puede actualizar los detalles de la política y las asociaciones de la política. Cuando se actualizan los detalles de la política, las cuentas asociadas a la política de configuración comienzan a utilizar de manera automática la política actualizada.

Para obtener información general sobre las ventajas de la configuración centralizada y su funcionamiento, consulte Descripción de la configuración central en el CSPM de Security Hub.

El administrador delegado puede actualizar los siguientes ajustes de la política:

  • Habilite o desactive el CSPM de Security Hub.

  • Habilite uno o más estándares de seguridad.

  • Indique qué controles de seguridad están habilitados en todos los estándares habilitados. Para ello, proporcione una lista de controles específicos que deberían estar habilitados y el CSPM de Security Hub desactivará todos los demás controles, lo que incluye los controles nuevos cuando se lanzan. De forma alternativa, proporcione una lista de controles específicos que deberían estar desactivados y el CSPM de Security Hub habilitará todos los demás controles, incluidos los controles nuevos cuando se lanzan.

  • Si lo desea, personalice parámetros de ciertos controles habilitados en los estándares habilitados.

Elija su método preferido y siga estos pasos para actualizar una política de configuración.

nota

Si usa la configuración centralizada, el CSPM de Security Hub desactiva automáticamente los controles que implican recursos globales en todas las regiones, excepto en la región de origen. Los controles que elija habilitar a través de una política de configuración están habilitados en todas las regiones en las que están disponibles. Para limitar los resultados de estos controles a una sola región, puede actualizar la configuración del registro de AWS Config y desactivar el registro de recursos globales en todas las regiones, excepto en la región de origen.

Si un control habilitado que implica recursos globales no es compatible en la región de origen, el CSPM de Security Hub intenta habilitarlo en una región vinculada donde sí se admita. Con la configuración centralizada, no se obtiene cobertura para un control que no está disponible ni en la región de origen ni en ninguna de las regiones vinculadas.

Para obtener una lista de los controles que implican recursos globales, consulte Controles que utilizan recursos globales.

Console
Actualización de las políticas de configuración

  1. Abra la consola del CSPM de AWS Security Hub en https://console.aws.amazon.com/securityhub/.

    Inicie sesión con las credenciales de la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. En el panel de navegación, seleccione Configuración y Configuración.

  3. Elija la pestaña Policies.

  4. Seleccione la política de configuración que desea modificar y elija Editar. Si lo desea, edite la configuración de la política. Deje esta sección como está si desea mantener la configuración de la política sin cambios.

  5. Seleccione Siguiente. Si lo desea, edite las asociaciones de políticas. Deje esta sección como está si desea mantener las asociaciones de políticas sin cambios. Puede asociar o desasociar la política a un máximo de 15 destinos (cuentas, unidades organizativas o raíz) cuando la actualiza.

  6. Elija Siguiente.

  7. Revise los cambios y seleccione Guardar y aplicar. Tanto en su región de origen como en las regiones vinculadas, esta acción anula los ajustes de configuración existentes de las cuentas asociadas a esta política de configuración. Las cuentas se pueden asociar a una política de configuración mediante una aplicación o la herencia de un nodo principal.

API
Actualización de las políticas de configuración

  1. Para actualizar los ajustes de una política de configuración, invoque la API UpdateConfigurationPolicy desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.

  3. Proporcione valores actualizados para los campos de ConfigurationPolicy. También tiene la opción de indicar el motivo de la actualización.

  4. Para agregar asociaciones nuevas para esta política de configuración, invoque la API StartConfigurationPolicyAssociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, invoque la API StartConfigurationPolicyDisassociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  5. En el campo ConfigurationPolicyIdentifier, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

  6. En el campo Target, indique las cuentas, las unidades organizativas o el ID de raíz que desee asociar o desasociar. Esta acción anula las asociaciones de políticas anteriores para las unidades organizativas o cuentas especificadas.

nota

Al invocar la API UpdateConfigurationPolicy, el CSPM de Security Hub sustituye por completo la lista de los campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers y SecurityControlCustomParameters. Cada vez que invoque esta API, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

Ejemplo de solicitud de API para actualizar una política de configuración:

{
    "Identifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Description": "Updated configuration policy",
    "UpdatedReason": "Disabling CloudWatch.1",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0" 
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2",
                    "CloudWatch.1"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}
AWS CLI
Actualización de las políticas de configuración

  1. Para actualizar los ajustes de una política de configuración, ejecute el comando update-configuration-policy desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  2. Proporcione el nombre de recurso de Amazon (ARN) o el ID de la política de configuración que desea actualizar.

  3. Proporcione valores actualizados para los campos de configuration-policy. También tiene la opción de indicar el motivo de la actualización.

  4. Para agregar nuevas asociaciones para esta política de configuración, ejecute el comando start-configuration-policy-association desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen. Para eliminar una o más asociaciones actuales, ejecute el comando start-configuration-policy-disassociation desde la cuenta de administrador delegado del CSPM de Security Hub en la región de origen.

  5. En el campo configuration-policy-identifier, indique el ARN o el ID de la política de configuración cuyas asociaciones desee actualizar.

  6. En el campo target, indique las cuentas, las unidades organizativas o el ID de raíz que desee asociar o desasociar. Esta acción anula las asociaciones de políticas anteriores para las unidades organizativas o cuentas especificadas.

nota

Al ejecutar el comando update-configuration-policy, el CSPM de Security Hub sustituye por completo la lista de los campos EnabledStandardIdentifiers, EnabledSecurityControlIdentifiers, DisabledSecurityControlIdentifiers y SecurityControlCustomParameters. Cada vez que ejecute este comando, proporcione la lista completa de estándares que desee habilitar y la lista completa de controles que desee habilitar o deshabilitar y para los que desee personalizar los parámetros.

Ejemplo de comando para actualizar una política de configuración:

aws securityhub update-configuration-policy \
--region us-east-1 \
--identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--description "Updated configuration policy" \
--updated-reason "Disabling CloudWatch.1" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2","CloudWatch.1"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

La API StartConfigurationPolicyAssociation devuelve un campo llamado AssociationStatus. Este campo indica si la asociación de una política está pendiente o si su estado es correcto o incorrecto. El estado puede tardar hasta 24 horas minutos en cambiar de PENDING a SUCCESS o FAILURE. Para obtener más información sobre el estado de una asociación, consulte Revisión del estado de asociación de una política de configuración.