Seguridad

Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizada

Agregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.

約 8 分で読めます

Descripción general de Security Hub

Security Hub es un servicio que agrega los hallazgos de seguridad del entorno AWS y gestiona de forma centralizada la postura de seguridad. Gestiona de manera unificada los resultados de múltiples servicios de seguridad, como la detección de amenazas de GuardDuty, el escaneo de vulnerabilidades de Inspector, la detección de datos sensibles de Macie y la evaluación de cumplimiento de Config, utilizando el formato AWS Security Finding Format (ASFF). ASFF es un formato JSON que estructura los hallazgos con aproximadamente 50 campos, normalizando los diferentes formatos de alerta de cada servicio para permitir la priorización, filtrado y análisis de tendencias de forma transversal.

Estándares de seguridad y respuesta automatizada

Al habilitar los estándares de seguridad, se ejecutan verificaciones automáticas basadas en reglas de Config. AWS Foundational Security Best Practices (FSBP) cubre las configuraciones de seguridad recomendadas por AWS, evaluando automáticamente el acceso público a buckets S3, el cifrado de RDS, las políticas de contraseñas de IAM, el estado de habilitación de CloudTrail y más. CIS AWS Foundations Benchmark v1.4.0/v3.0.0, NIST 800-53 Rev.5 y PCI DSS v3.2.1 también están disponibles, permitiendo ejecutar múltiples estándares en paralelo según sus requisitos de cumplimiento. La puntuación de seguridad muestra el porcentaje de cumplimiento respecto a todos los elementos verificados, permitiendo rastrear cuantitativamente el progreso de las mejoras. Las reglas de automatización permiten configurar cambios automáticos de estado, sobreescritura de severidad y notificaciones a través de EventBridge para hallazgos específicos, y pueden transicionar automáticamente hallazgos de bajo riesgo ruidosos al estado SUPPRESSED.

Remediación automática e integración

La remediación automática de Security Hub define acciones personalizadas para los hallazgos y ejecuta Lambda o Systems Manager Automation a través de EventBridge. Por ejemplo, para un hallazgo de "bucket S3 con acceso público", se configura una acción que habilita automáticamente el bloqueo de acceso público. AWS publica la plantilla de solución Automated Security Response on AWS (ASR), que permite desplegar runbooks de remediación para controles principales de CIS/FSBP con un único despliegue de CloudFormation. La integración con herramientas de seguridad de terceros (Splunk, PagerDuty, Jira) permite vincular automáticamente los hallazgos a flujos de trabajo de gestión de incidentes. Con el administrador delegado de Organizations, se agregan los hallazgos de todas las cuentas y se rastrea la puntuación de seguridad a nivel organizacional. La agregación regional consolida los hallazgos de múltiples regiones en una sola región, simplificando la gestión. Para profundizar en la comprensión de la gestión de seguridad, puede consultar libros especializados en Amazon.

Mejores prácticas de diseño y errores comunes

Para operar Security Hub eficazmente, comience configurando la cuenta de administrador delegado como la cuenta de seguridad dedicada de su organización y habilitando la inscripción automática de cuentas miembro. La habilitación manual para nuevas cuentas genera brechas. Para estándares de seguridad, usar FSBP como base y agregar CIS o PCI DSS solo cuando los requisitos regulatorios lo exijan proporciona el mejor equilibrio entre carga de gestión y costo. Habilitar todos los estándares uniformemente crea controles superpuestos, mostrando múltiples estados FAILED para el mismo recurso y dificultando la priorización. Establezca un protocolo unificado de estados de workflow (NEW/NOTIFIED/RESOLVED/SUPPRESSED) en su organización con SLAs definidos para evitar que los hallazgos se vuelvan obsoletos. Un error común es que las regiones donde el Config recorder está deshabilitado no producen resultados de verificación, haciendo que la puntuación aparezca como 100% - un falso positivo. Es necesario habilitar Config en todas las regiones o usar SCPs para prohibir la creación de recursos en regiones no utilizadas.

Comparación con otros servicios

Security Hub se especializa en la agregación de hallazgos y gestión de postura, complementando a GuardDuty (detección de amenazas), Inspector (gestión de vulnerabilidades) y Config (cumplimiento de configuración). GuardDuty analiza VPC Flow Logs, logs DNS y CloudTrail en tiempo real para detectar anomalías, pero no realiza puntuación de postura. Config rastrea cambios de configuración de recursos individuales y detecta violaciones de reglas, pero carece de la capacidad de agregar hallazgos de múltiples servicios. Security Hub normaliza estos hallazgos en ASFF, los agrega y proporciona puntuación a nivel organizacional y gestión de workflow como un "centro de comando central." Comparado con herramientas CSPM (Cloud Security Posture Management) de terceros, Security Hub es nativo de AWS, no requiere agentes adicionales, ofrece integración profunda con servicios AWS y su precio basado en volumen de eventos permite comenzar con montos pequeños. Sin embargo, tiene limitaciones en soporte multi-nube y creación de reglas personalizadas avanzadas con lenguajes de política propietarios.

Precios de Security Hub

Los precios de Security Hub se componen del número de verificaciones de seguridad (evaluaciones de reglas de Config) y el número de hallazgos ingeridos. Las verificaciones de seguridad cuestan aproximadamente $0.001 por verificación para las primeras 100,000 verificaciones/mes, con descuentos por volumen a partir de ahí. La ingesta de hallazgos es gratuita para los primeros 10,000 hallazgos/mes, y aproximadamente $0.00003 por hallazgo a partir de entonces. Consejos prácticos de gestión de costos incluyen limitar los estándares habilitados a los necesarios, tener en cuenta que las evaluaciones de reglas de Config también se facturan por separado en el lado de Config creando posible confusión de doble facturación, y deshabilitar Security Hub en regiones no utilizadas. Confirme los costos reales con la prueba gratuita de 30 días antes de la implementación en producción. Para Organizations con todas las cuentas ejecutando solo FSBP, los costos típicamente se mantienen en unos pocos dólares por cuenta al mes.

Resumen

Security Hub es un servicio de gestión central que proporciona agregación de hallazgos de seguridad y evaluación automática de estándares de seguridad. Cuantifica la puntuación de seguridad con verificaciones de AWS Foundational Security Best Practices y CIS Benchmark, y reduce la carga operativa mediante acciones de remediación automática con integración de EventBridge y la solución ASR. La agregación regional y la integración con Organizations proporcionan gestión centralizada de hallazgos en múltiples cuentas y regiones, y la integración con SIEM de terceros optimiza la respuesta a incidentes.

Servicios relacionados

AWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasAmazon GuardDutyUn servicio de detección de amenazas impulsado por aprendizaje automáticoAWS ConfigUn servicio que registra y evalúa cambios de configuración de recursos AWS y monitorea el cumplimiento continuamente

Artículos relacionados

Detección de amenazas con Amazon GuardDuty - Detección de anomalías basada en ML y respuesta a incidentesAprende cómo GuardDuty detecta amenazas, clasifica hallazgos e integra con Security Hub para la respuesta a incidentes.Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.

Más sobre este tema

Detección de permisos excesivos con IAM Access Analyzer - Análisis de acceso externo y permisos no utilizadosDetecta permisos no utilizados en roles IAM mediante análisis basado en CloudTrail y genera automáticamente políticas de mínimo privilegio. Cubre la detección de acceso externo y la integración de verificaciones de políticas personalizadas en pipelines CI/CD.Automatización de la gestión de certificados SSL/TLS con AWS Certificate Manager - Desde la emisión hasta la rotaciónExplicamos la emisión gratuita de certificados públicos con ACM, la validación DNS, la renovación automática y el despliegue en ALB y CloudFront.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.La estructura oculta de los 12 dígitos del ID de cuenta de AWS - Por qué son 12 dígitos y qué se puede inferirUna exploración curiosa de por qué los ID de cuenta de AWS son números de 12 dígitos, la intención de diseño incorporada en la estructura ARN, y las consideraciones de seguridad sobre lo que se puede inferir a partir de un ID de cuenta.Por qué el usuario root de una cuenta AWS es peligroso - Filosofía de diseño de separación de privilegios y práctica de selladoExplicamos por qué el usuario root de AWS tiene privilegios que IAM no puede restringir, la lista de operaciones que solo el usuario root puede realizar, cómo configurar MFA y la estrategia de sellado mediante la gestión de acceso root de Organizations.Gestión de certificados y HTTPS - Operaciones automatizadas de certificados TLS con AWS Certificate ManagerAprenda sobre la emisión de certificados TLS/SSL, renovación automática y despliegue usando AWS Certificate Manager (ACM). Cubre la integración con CloudFront, ALB y API Gateway, validación DNS y uso de Private CA.Gestión dedicada de claves con AWS CloudHSM - Cifrado compatible con FIPS 140-2 Level 3Logre gestión de claves compatible con FIPS 140-2 Level 3 con instancias HSM dedicadas. Aprenda cuándo elegir CloudHSM sobre KMS y cómo integrar ambos mediante almacenes de claves personalizados de KMS.

Artículos y servicios similares

AWS Security HubServicio que visualiza centralmente la postura de seguridad de todo el entorno AWS, realizando evaluación automatizada contra estándares de seguridad de la industria y agregación de hallazgosGestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.