セキュリティ

AWS Security Hub

Servicio que visualiza centralmente la postura de seguridad de todo el entorno AWS, realizando evaluación automatizada contra estándares de seguridad de la industria y agregación de hallazgos

Unos 3 min de lectura

Descripción general

AWS Security Hub es un servicio de gestión de postura de seguridad en la nube que agrega hallazgos de seguridad de múltiples servicios AWS y herramientas de terceros, evalúa el entorno contra estándares de seguridad y proporciona una vista centralizada del estado de seguridad. Automatiza verificaciones de cumplimiento y prioriza hallazgos para remediación eficiente.

ASFF resuelve el problema de fragmentación de hallazgos

AWS Security Finding Format (ASFF) es el esquema JSON estandarizado que Security Hub utiliza para normalizar hallazgos de diferentes fuentes. GuardDuty, Inspector, Macie, Firewall Manager, IAM Access Analyzer y decenas de integraciones de terceros envían hallazgos en ASFF, eliminando la necesidad de correlacionar manualmente formatos dispares. Cada hallazgo incluye severidad, tipo de recurso afectado, cuenta, región, estado de flujo de trabajo (NEW, NOTIFIED, RESOLVED, SUPPRESSED) y campos de remediación. Las integraciones personalizadas pueden enviar hallazgos vía BatchImportFindings API. Los hallazgos se retienen 90 días y pueden exportarse a S3 vía EventBridge para retención a largo plazo y análisis con Athena.

Selección de estándares de seguridad y operación de puntuación

Security Hub ofrece múltiples estándares de seguridad: AWS Foundational Security Best Practices (FSBP), CIS AWS Foundations Benchmark, PCI DSS y NIST 800-53. Cada estándar contiene controles que verifican automáticamente la configuración de recursos. La puntuación de seguridad (0-100%) refleja el porcentaje de controles que pasan. En la práctica, habilitar FSBP como línea base es recomendable para todas las cuentas, añadiendo CIS o PCI DSS según requisitos de cumplimiento. Los controles fallidos se priorizan por severidad (CRITICAL, HIGH, MEDIUM, LOW) y por número de recursos afectados. Suprimir hallazgos para controles no aplicables al entorno (por ejemplo, controles de hardware HSM cuando no se usa CloudHSM) mantiene la puntuación significativa.

Integración con Organizations y pipeline de remediación automática

Security Hub se habilita centralmente para toda la organización mediante un administrador delegado, agregando hallazgos de todas las cuentas miembro. Las reglas de agregación entre regiones consolidan hallazgos de múltiples regiones en una región de agregación. Para remediación automática, EventBridge captura hallazgos específicos (por tipo, severidad o recurso) y activa funciones Lambda o documentos de Systems Manager Automation que aplican correcciones. Ejemplos incluyen habilitar cifrado en buckets S3 no cifrados, cerrar puertos SSH abiertos al mundo en grupos de seguridad, y habilitar logging en recursos sin él. Las acciones personalizadas permiten activar remediación manual con un clic desde la consola. La integración con chatbot envía notificaciones de hallazgos críticos a canales de Slack para respuesta rápida del equipo de seguridad.

共有するXB!

Términos relacionados

Amazon GuardDutyAmazon InspectorAWS ConfigAWS OrganizationsAmazon Macie

Servicios relacionados

Amazon GuardDutyAmazon InspectorAWS ConfigAWS Organizations

Artículos relacionados

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.Monitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Construcción de un entorno multicuenta con AWS Control Tower - Landing Zone y barandillas de seguridadEstablezca la gobernanza de su entorno multicuenta con la construcción automatizada de landing zones y la aplicación de políticas mediante barandillas de seguridad. También se presenta la creación automatizada de cuentas con Account Factory.Gestión multi-cuenta con AWS Organizations - Diseño de OU y aplicación de políticas de control de serviciosExplicación de la gestión multi-cuenta con AWS Organizations. Se presenta el diseño de OU, la aplicación de SCP, la integración con Control Tower y la facturación consolidada.

Términos y artículos similares

Gestión centralizada de la postura de seguridad con AWS Security Hub - Agregación de hallazgos y respuesta automatizadaAgregamos los hallazgos de GuardDuty, Inspector y Macie en formato ASFF, cuantificamos la puntuación mediante la evaluación automática de estándares de seguridad y presentamos la remediación automática con integración de EventBridge.Gestión de la postura de seguridad - Plataforma integrada de monitoreo de seguridad con AWS Security HubExplicamos el monitoreo integrado de seguridad con AWS Security Hub y la automatización de la detección de amenazas mediante la integración con GuardDuty. Presentamos la visualización del estado de cumplimiento de las mejores prácticas de seguridad y la gobernanza de seguridad en entornos multi-cuenta.AWS Security HubGestione centralmente la postura de seguridad de AWS y verifique automáticamente el cumplimiento de mejores prácticasMonitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.El poder de integración de los servicios de seguridad de AWS - Detección nativa de amenazas sin SIEM, de GuardDuty a DetectiveExplicamos el mecanismo de detección nativa de amenazas mediante la integración de GuardDuty, Security Hub, Detective y Macie, comparando la diferencia de filosofía de diseño con Azure Sentinel.