Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Políticas de Security Hub
AWS Security Hub las políticas proporcionan a los equipos de seguridad un enfoque centralizado para administrar las configuraciones de seguridad en todos sus AWS Organizations Con estas políticas puede establecer y mantener controles de seguridad consistentes mediante un mecanismo de configuración central. Esta integración le permite abordar las brechas en la cobertura de seguridad mediante la creación de políticas que se ajusten a los requisitos de seguridad de su organización y su aplicación centralizada en todas las cuentas y unidades organizativas (OUs).
Las políticas de Security Hub están completamente integradas AWS Organizations, lo que permite a las cuentas de administración o a los administradores delegados definir y aplicar las configuraciones de seguridad. Cuando las cuentas se unen a su organización, heredan automáticamente las políticas aplicables según la ubicación en la jerarquía organizacional. Esto contribuye a que los estándares de seguridad se apliquen de manera coherente a medida que crece la organización. Las políticas respetan las estructuras organizativas existentes y brindan flexibilidad en la forma en que se distribuyen las configuraciones de seguridad, sin dejar de mantener el control central sobre las configuraciones de seguridad críticas.
## Características y ventajas clave
Las políticas de Security Hub proporcionan un conjunto integral de capacidades que le ayudan a administrar y aplicar las configuraciones de seguridad en toda su AWS organización. Estas características optimizan la administración de la seguridad y, al mismo tiempo, permiten un control uniforme del entorno de varias cuentas.
+ [Habilite Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account) de forma centralizada en todas las cuentas y regiones de su organización
+ Cree políticas de seguridad que definan su configuración de seguridad en todas las cuentas y OUs
+ Aplique automáticamente las configuraciones de seguridad a las nuevas cuentas cuando se unan a su organización
+ Garantice una configuración de seguridad de forma coherente en la organización
+ Impida que las cuentas de miembros modifiquen las configuraciones de seguridad a nivel de la organización
## ¿Qué son las políticas de Security Hub?
Las políticas de Security Hub son AWS Organizations políticas que proporcionan un control centralizado de las configuraciones de seguridad de las cuentas de la organización. Estas políticas trabajan con AWS Organizations de manera transparente para establecer y mantener estándares de seguridad consistentes en todo el entorno de varias cuentas.
Al implementar las políticas de Security Hub, obtendrá la capacidad de definir configuraciones de seguridad específicas que se propagan automáticamente por la organización. Esto garantiza que todas las cuentas, como las recién creadas, se ajusten a los requisitos de seguridad y las prácticas recomendadas de la organización.
Estas políticas también permiten mantener el cumplimiento al aplicar controles de seguridad de manera coherente e impedir que las cuentas individuales modifiquen la configuración de seguridad a nivel de la organización. Este enfoque centralizado reduce considerablemente la sobrecarga administrativa que supone gestionar las configuraciones de seguridad en AWS entornos grandes y complejos.
## Funcionamiento de las políticas de Security Hub
Cuando se asocia una política de Security Hub a la organización o a la unidad organizativa, AWS Organizations la evalúa automáticamente y la aplica según el ámbito definido. El proceso de aplicación de la política sigue reglas específicas de resolución de conflictos:
Cuando las regiones aparecen en las listas de habilitación y deshabilitación, prevalece la configuración de deshabilitación. Por ejemplo, si una región aparece en las configuraciones de habilitación y deshabilitación, Security Hub se deshabilitará en esa región.
Cuando `ALL_SUPPORTED` se especifica para la habilitación, Security Hub se habilita en todas las regiones actuales y futuras, a menos que se deshabilite explícitamente. Esto le permite mantener una cobertura de seguridad integral a medida que AWS se expande a nuevas regiones.
Las políticas secundarias pueden modificar la configuración de las políticas principales mediante operadores de herencia, de modo que permite un control detallado en los diferentes niveles organizativos. Este enfoque jerárquico garantiza que las unidades organizativas específicas puedan personalizar las configuraciones de seguridad, sin dejar de mantener los controles básicos.
## Terminología
En este tema se utilizan los siguientes términos al analizar las políticas de Security Hub.
**Terminología de la política de Security Hub**
| Plazo | Definición |
| --- | --- |
| Política en vigor | Política final que se aplica a una cuenta luego de combinar todas las políticas heredadas. |
| Herencia de políticas | Proceso mediante el cual las cuentas heredan las políticas de las unidades organizativas principales. |
| Administrador delegado | Una cuenta designada para administrar las políticas de Security Hub en nombre de la organización. |
| Rol vinculado a servicios | Un rol de IAM que permite a Security Hub interactuar con otros servicios de AWS . |
## Casos de uso de las políticas de Security Hub
Las políticas de Security Hub abordan los desafíos comunes de administración de la seguridad en entornos de varias cuentas. En los siguientes casos de uso se muestra la forma en que las organizaciones suelen implementar estas políticas para mejorar su postura de seguridad.
### Ejemplo de caso de uso: requisitos de conformidad regionales
Una empresa multinacional necesita diferentes configuraciones de Security Hub para diferentes regiones geográficas. Crean una política principal que habilita Security Hub en todas las regiones con `ALL_SUPPORTED`y luego utilizan políticas secundarias para deshabilitar regiones específicas en las que se requieren diferentes controles de seguridad. Esto les permite mantener el cumplimiento de las normativas regionales, sin dejar de garantizar una cobertura de seguridad integral.
### Ejemplo de caso de uso: normas de seguridad para equipos de desarrollo
Una organización de desarrollo de software implementa políticas de Security Hub que permiten la supervisión en las regiones de producción, para así mantener las regiones de desarrollo sin administrar. Utilizan listas de regiones explícitas en sus políticas en lugar de `ALL_SUPPORTED` a fin de mantener un control preciso sobre la cobertura de supervisión de la seguridad. Este enfoque les permite aplicar controles de seguridad más estrictos en los entornos de producción, sin dejar de mantener la flexibilidad en las áreas de desarrollo.
## Herencia y aplicación de políticas
Es fundamental entender cómo las políticas se heredan y se aplican para conseguir una administración eficaz de la seguridad en la organización. El modelo de herencia sigue la jerarquía de AWS Organizations , de modo que garantiza una aplicación de políticas predecible y coherente.
+ Las políticas asociadas en el nivel raíz se aplican a todas las cuentas
+ Las cuentas heredan las políticas de sus unidades organizativas principales
+ Se pueden aplicar varias políticas a una sola cuenta
+ Las políticas más específicas (más próximas a la cuenta en la jerarquía) tienen prioridad
## Validación de políticas
Se producen las siguientes validaciones al crear políticas de Security Hub:
+ Los nombres de las regiones deben ser identificadores de AWS región válidos
+ Security Hub debe ser compatible con las regiones
+ La estructura de políticas debe seguir las reglas AWS Organizations de sintaxis de las políticas
+ Las listas `enable_in_regions` y `disable_in_regions` deben estar presentes, aunque pueden estar vacías
## Consideraciones regionales y regiones compatibles
Las políticas de Security Hub funcionan en varias regiones, por lo que es necesario prestar especial atención a sus requisitos de seguridad globales. Comprender el comportamiento regional permite implementar controles de seguridad efectivos en la presencia global de su organización.
+ La aplicación de políticas se produce en cada región de forma independiente
+ Puede especificar las regiones a incluir o excluir en sus políticas
+ Las nuevas regiones se incluyen automáticamente al usar la opción `ALL_SUPPORTED`
+ Las políticas solo se aplican a las regiones en las que Security Hub está disponible
## Siguientes pasos
Cómo iniciar con las políticas de Security Hub:
1. Revise los requisitos previos en las políticas de Introducción a Security Hub
1. Planifique su estrategia de políticas con nuestra guía de prácticas recomendadas
1. Aprenda la sintaxis de las políticas y vea ejemplos de ellas
# Introducción a las políticas de Security Hub
Antes de configurar las políticas de Security Hub, asegúrese de comprender los requisitos previos y de implementación. Esta sección explica cómo configurar y administrar estas políticas en su organización.
## Antes de empezar
Revise los siguientes requisitos antes de implementar las políticas de Security Hub:
+ Tu cuenta debe formar parte de una AWS Organizations organización
+ Debe haber iniciado sesión de la siguiente manera:
+ La cuenta de administración de la organización
+ Una cuenta de administrador delegado con permisos para administrar las políticas de Security Hub
+ Debe habilitar el acceso de confianza de Security Hub de su organización
+ Debe habilitar el tipo de política Security Hub en la raíz de su organización.
Además, compruebe que:
+ Security Hub sea compatible con las regiones en las que desee aplicar políticas
+ Tenga el rol vinculado a servicios `AWSServiceRoleForSecurityHubV2` configurado en su cuenta de administración. Para comprobar que este rol existe, ejecute `aws iam get-role --role-name AWSServiceRoleForSecurityHubV2`. Si necesita crear este rol, puede ejecutar `aws securityhub enable-security-hub-v2` en cualquier región desde su cuenta de administración o crearlo directamente al ejecutar `aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com`.
## Pasos para la implementación
Para implementar las políticas de Security Hub de manera efectiva, siga estos pasos en orden. Cada paso garantiza una configuración adecuada y ayuda a evitar problemas comunes durante la configuración. La cuenta de administración o el administrador delegado pueden realizar estos pasos a través de la AWS Organizations consola, la interfaz de línea de AWS comandos (AWS CLI) o AWS SDKs.
1. [Habilite el acceso de confianza de Security Hub](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Habilite las políticas de Security Hub de su organización](enable-policy-type.md).
1. [Cree una política de Security Hub](orgs_policies_create.md#create-security-hub-policy-procedure).
1. [Asocie la política de Security Hub a la raíz, unidad organizativa o cuenta de su organización](orgs_policies_attach.md).
1. [Vea la política de Security Hub en vigor combinada que se aplica a una cuenta](orgs_manage_policies_effective.md).
Para todos estos pasos, debe iniciar sesión como usuario AWS Identity and Access Management (de IAM), asumir una función de IAM o iniciar sesión como usuario raíz ([no se recomienda](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) en la cuenta de administración de la organización.
**Información adicional**
+ [Conozca la sintaxis de políticas para las políticas de Security Hub y vea ejemplos de políticas](orgs_manage_policies_security_hub_syntax.md)
# Prácticas recomendadas para el uso de las políticas de Security Hub
Seguir las prácticas recomendadas establecidas garantiza la implementación y el mantenimiento correctos de sus configuraciones de seguridad al momento de implementar las políticas de Security Hub en su organización. Estas directrices abordan específicamente los aspectos únicos de la administración y aplicación de las políticas de Security Hub en su interior AWS Organizations.
## Principios del diseño de políticas
Antes de crear políticas de Security Hub, defina principios claros para su estructura de políticas. Cree políticas simples y evite reglas complejas entre atributos cruzados o anidadas que dificulten la determinación del resultado final. Comience con políticas amplias a nivel de base de la organización y, cuando sea necesario, afínelas mediante políticas secundarias.
Tenga en cuenta utilizar estratégicamente listas de regiones vacías. Puede dejar `enable_in_regions` vacío cuando solo necesite deshabilitar Security Hub en regiones específicas, o dejar `disable_in_regions` vacío para mantener las regiones no administradas por la política. Esta flexibilidad permite mantener un control preciso sobre la cobertura de supervisión de la seguridad.
## Estrategias de administración de regiones
Cuando administre regiones mediante políticas de Security Hub, tenga en cuenta estos enfoques comprobados. Utilice `ALL_SUPPORTED` cuando desee incluir automáticamente futuras regiones en su cobertura de seguridad. Para realizar un control más detallado, enumere las regiones de forma explícita en lugar de contar con `ALL_SUPPORTED`, sobre todo cuando las diferentes regiones requieren diferentes configuraciones de seguridad.
Documente los requisitos específicos de su región, sobre todo para lo siguiente:
+ Regiones exigidas por el cumplimiento de normas que requieren configuraciones específicas
+ Diferencias entre el entorno de desarrollo y el de producción
+ Regiones de suscripción voluntaria con consideraciones especiales
+ Regiones en las que Security Hub debe permanecer deshabilitado
## Planificación de la herencia de políticas
Planifique cuidadosamente la estructura de herencia de su política para mantener un control de seguridad efectivo, sin dejar de permitir la flexibilidad necesaria. Documente las unidades organizativas que pueden modificar las políticas heredadas y las modificaciones que están permitidas. Evalúe la posibilidad de restringir los operadores de herencia (@@assign, @@append, @@remove) en los niveles principales cuando necesite aplicar controles de seguridad estrictos.
## Supervisión y validación
Implemente prácticas de supervisión periódicas para garantizar que sus políticas sigan siendo eficaces. Además, revise los anexos de las políticas periódicamente, sobre todo después de los cambios organizativos. Compruebe que las configuraciones regionales coincidan con la cobertura de seguridad prevista, en especial cuando utilice `ALL_SUPPORTED` o administre listas de varias regiones.
## Estrategias para solucionar problemas
Al solucionar problemas de las políticas de Security Hub, céntrese primero en la prioridad y la herencia de las políticas. Recuerde que las configuraciones de deshabilitación tienen prioridad sobre las configuraciones de habilitación cuando las regiones aparecen en ambas listas. Consulte las cadenas de herencia de políticas para entender cómo se combinan las políticas principales y secundarias para crear la política en vigor para cada cuenta.
# Ejemplos y sintaxis de políticas de Security Hub
Las políticas de Security Hub siguen una sintaxis JSON estandarizada que define la habilitación y configuración de Security Hub en la organización. La comprensión de la estructura de las políticas permite crear políticas eficaces para sus requisitos de seguridad.
## Consideraciones
Antes de crear políticas de Security Hub, comprenda estos puntos esenciales sobre la sintaxis de las políticas:
+ Las listas `enable_in_regions` y `disable_in_regions` son obligatorias en la política, aunque puedan estar vacías
+ A la hora de procesar políticas en vigor, `disable_in_regions` prevalece sobre `enable_in_regions`
+ Las políticas secundarias pueden modificar las principales mediante operadores de herencia, a menos que estén explícitamente restringidas
+ La designación `ALL_SUPPORTED` incluye las regiones actuales y futuras
+ Los nombres de las regiones deben ser válidos y estar disponibles en Security Hub
## Estructura básica de las políticas
Una política de Security Hub utiliza la siguiente estructura básica:
```
{
"securityhub": {
"enable_in_regions": {
"@@append": ["ALL_SUPPORTED"],
"@@operators_allowed_for_child_policies": ["@@all"]
},
"disable_in_regions": {
"@@append": [],
"@@operators_allowed_for_child_policies": ["@@all"]
}
}
}
```
## Componentes de política
Las políticas de Security Hub contienen los siguientes componentes escenciales:
`securityhub`
Contenedor de nivel superior para configurar políticas
Obligatorio para todas las políticas de Security Hub
`enable_in_regions`
Lista de regiones en las que se debe habilitar Security Hub
Puede contener nombres de regiones específicos o `ALL_SUPPORTED`
Campo obligatorio, pero puede quedar vacío
Al utilizar `ALL_SUPPORTED`, significa que incluye regiones futuras
`disable_in_regions`
Lista de regiones en las que se debe deshabilitar Security Hub
Puede contener nombres de regiones específicos o `ALL_SUPPORTED`
Campo obligatorio, pero puede quedar vacío
Tiene prioridad sobre `enable_in_regions` cuando las regiones aparecen en ambas listas
Operadores de herencia
@@assign: Sobrescribe los valores heredados
@@append: Agrega valores nuevos a los existentes
@@remove: Elimina valores específicos de la configuración heredada
## Ejemplos de políticas de Security Hub
En los siguientes ejemplos se muestran las configuraciones de las políticas frecuentes de Security Hub.
El siguiente ejemplo habilita Security Hub en todas las regiones actuales y futuras. Con el uso de `ALL_SUPPORTED` en la lista `enable_in_regions` y al dejar `disable_in_regions` vacío, esta política garantizará una cobertura de seguridad integral a medida que haya nuevas regiones disponibles.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
En este ejemplo, se deshabilita Security Hub en todas las regiones, entre ellas, las futuras, ya que la lista `disable_in_regions` tiene prioridad sobre `enable_in_regions`.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2"
]
},
"disable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
}
}
}
```
El siguiente ejemplo demuestra cómo las políticas secundarias pueden modificar la configuración de la política principal mediante operadores de herencia. Este enfoque permite un control detallado, mientras se mantiene la estructura general de la política. La política secundaria agrega una nueva región a `enable_in_regions` y elimina una región de `disable_in_regions`.
```
{
"securityhub":{
"enable_in_regions":{
"@@append":[
"eu-central-1"
]
},
"disable_in_regions":{
"@@remove":[
"us-west-2"
]
}
}
}
```
En este ejemplo se muestra cómo habilitar Security Hub en varias regiones específicas sin dejar de utilizar `ALL_SUPPORTED`. Esto ofrece un control preciso sobre las regiones que tienen habilitado Security Hub, mientras que deja las regiones no especificadas sin administrar por la política.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2",
"eu-west-1",
"ap-southeast-1"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
El siguiente ejemplo muestra cómo gestionar los requisitos de conformidad regionales mediante la habilitación de Security Hub en la mayoría de las regiones, mientras se deshabilita explícitamente en ubicaciones específicas. La lista `disable_in_regions` tiene prioridad, lo que garantiza que Security Hub permanezca deshabilitado en esas regiones, independiente de otras configuraciones de políticas.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
"ap-east-1",
"me-south-1"
]
}
}
}
```