AWS Security Hub es un servicio fundamental para la gestión centralizada de seguridad en entornos multicuenta, especialmente cuando se utiliza AWS Control Tower como base de la arquitectura.
1. Beneficios de integrar Security Hub con Control Tower vc. sin control tower
Con Control Tower:
- ✅ Configuración automática: Se habilita automáticamente en todas las cuentas nuevas
- ✅ Agregación centralizada preconfigurada: Los hallazgos se consolidan en la cuenta Audit
- ✅ Estándares pre-habilitados: CIS AWS Foundations Benchmark activado por defecto
- ✅ Gobernanza integrada: SCPs ya configurados para permitir la integración
Sin Control Tower:
- ⚠️ Requiere configuración manual en cada cuenta
- ⚠️ Necesitas configurar manualmente la agregación de hallazgos
- ⚠️ Mayor esfuerzo de mantenimiento para estándares de seguridad
2. Servicios AWS que se integran con Security Hub
Security Hub actúa como un concentrador central que recibe y correlaciona datos de múltiples servicios de seguridad de AWS:
1. Amazon GuardDuty
Definición: Servicio de detección de amenazas inteligente que monitorea continuamente actividades maliciosas y comportamientos anómalos.
Integración:
- Detecta amenazas como compromiso de credenciales, instancias comprometidas y actividad maliciosa
- Los hallazgos se envían a Security Hub con severidad y detalles completos
- Ejemplo: «Reconocimiento:EC2/Portscan» o «Compromised:IAMUser/UnauthorizedAccess»
2. AWS Inspector
Definición: Servicio de evaluación automatizada de seguridad que ayuda a identificar vulnerabilidades en aplicaciones desplegadas en AWS.
Integración:
- Escanea vulnerabilidades en EC2 y contenedores ECR
- Proporciona hallazgos sobre CVEs conocidos en paquetes de software
- Clasifica vulnerabilidades por CVSS score
- Ejemplo: «CVE-2023-1234 en paquete openssl»
3. Amazon Macie
Definición: Servicio de protección de datos que utiliza machine learning para descubrir, clasificar y proteger información sensible en AWS.
Integración:
- Detecta exposición accidental de datos sensibles (PII, credenciales, etc.)
- Identifica buckets S3 públicos con información sensible
- Ejemplo: «S3BucketPublicWithPII»
4. AWS Config
Definición: Servicio que evalúa, audita y evalúa la configuración de los recursos AWS contra mejores prácticas.
Integración:
- Proporciona evaluación continua de conformidad
- Detecta configuraciones inseguras (security groups abiertos, buckets sin encriptación)
- Relaciona hallazgos con reglas CIS AWS Foundations Benchmark
- Ejemplo: «IAM_POLICY_NO_STATEMENT_WITH_ADMIN_ACCESS»
5. AWS IAM Access Analyzer
Definición: Servicio que ayuda a identificar recursos en su organización y cuentas que son compartidos con entidades externas.
Integración:
- Identifica acceso excesivo en políticas IAM
- Detecta recursos compartidos públicamente
- Ejemplo: «S3BucketSharedWithExternalAccount»
6. AWS Systems Manager Patch Manager
Definición: Servicio que automatiza el proceso de aplicar parches de seguridad a instancias administradas.
Integración:
- Proporciona estado de parches faltantes
- Relaciona con vulnerabilidades conocidas
- Ejemplo: «MissingPatchForCriticalVulnerability»
7. AWS Firewall Manager
Definición: Servicio de gestión centralizada de reglas de firewall a través de cuentas y aplicaciones.
Integración:
- Reporta violaciones de políticas de firewall
- Proporciona visibilidad centralizada de configuraciones
- Ejemplo: «MissingWAFRuleForSQLInjection»
8. Amazon Detective
Definición: Servicio que analiza, investiga y visualiza la causa raíz de potenciales issues de seguridad.
Integración:
- Proporciona contexto adicional para hallazgos
- Ayuda a correlacionar eventos relacionados
- Ejemplo: «BehaviorAnalysis:EC2/LateralMovement»
9. AWS Audit Manager
Definición: Servicio que automatiza la recolección de evidencia para simplificar auditorías de cumplimiento.
Integración:
- Proporciona evidencia de controles de cumplimiento
- Relaciona hallazgos con frameworks regulatorios
- Ejemplo: «PCI_DSS_3.2.1_Control_Failure»
3. Configuración del panel central – Cuenta Audit
Dónde acceder:
- 🔍 Cuenta principal: La cuenta Audit creada automáticamente por Control Tower
- 👨💻 Permisos necesarios:
securityhub:*(para administración completa)- O el policy predefinido
AWSSecurityHubFullAccess
Cómo verificar:
- Inicia sesión en la cuenta Audit
- Navega a AWS Security Hub
- Verifica que aparezcan hallazgos de otras cuentas
Nota importante: La cuenta Log Archive solo almacena registros, no gestiona Security Hub.
4. Conectar nuevas cuentas al Security Hub centralizado
Para cuentas creadas con Control Tower:
- Se configuran automáticamente
- No requiere acción manual
Para cuentas existentes no gestionadas:
- Desde la cuenta Audit: aws securityhub create-members –account-details AccountId=<NUEVA_CUENTA>,Email=<EMAIL>
- En la nueva cuenta:
- Aceptar la invitación (automático si está en la misma organización)
- Verificar que tiene el SCP adecuado
Verificación:
aws securityhub list-members --only-associated5. Costos de Security Hub (2023)
Modelo de precios:
- 💵 $0.10 por hallazgo por cuenta por región (primeros 100,000 hallazgos/mes gratis)
- 💵 $0.0005 por hallazgo adicional (más de 100,000)
Ejemplo práctico:
- 10 cuentas
- 5,000 hallazgos/mes cada una
- Costo total: 10 x 5,000 x 0.10=0.10=5,000/mes
Cómo optimizar costos:
- Filtrar hallazgos no críticos
- Configurar supresión de reglas no relevantes
- Consolidar regiones cuando sea posible
6. Datos adicionales importantes
Integración con automatizaciones:
- Usa Amazon EventBridge para automatizar respuestas
- Ejemplo: Auto-remediación con AWS Lambda o SSM Automation
Monitoreo recomendado:
- Configura notificaciones SNS para hallazgos críticos
- Integra con Amazon Detective para investigación profunda
Solución de problemas comunes:
- Problema: Cuentas no aparecen en la vista consolidada
Solución: Verificar SCPs y habilitar «AWS Security Hub» en el servicio catalog de Control Tower - Problema: Hallazgos duplicados
Solución: Configurar supresión de reglas en la cuenta Audit
Configuración recomendada
Implementación inicial
- Habilitar Security Hub desde Control Tower:
- A través de los «Mandatory Guardrails» o «Strongly Recommended Guardrails»
- Configurar la cuenta de seguridad (Security Tooling Account) como administradora
- Configuración de agregación:bashCopyaws securityhub create-finding-aggregator –region <region> \ –region-linking-mode ALL_REGIONS \ –specified-regions <regiones> \ –account <cuenta-agregadora>
Mejores prácticas
- Designación de cuentas:
- Una cuenta dedicada como «Security Tooling Account» para administración central
- Habilitar la agregación de hallazgos en esta cuenta
- Integración con otros servicios:
- Conectar con GuardDuty, Inspector y Macie para una visión completa
- Integrar con AWS Config para el monitoreo de configuración
- Automatización de respuestas:
- Usar EventBridge para desencadenar automatizaciones basadas en hallazgos
- Implementar playbooks de respuesta con AWS SSM Automation
Retos comunes y soluciones
- Gestión de estándares:
- Problema: Diferentes cuentas pueden necesitar distintos estándares
- Solución: Usar AWS Organizations SCPs para aplicar configuraciones por OU
- Costo:
- Problema: El costo puede escalar en entornos muy grandes
- Solución: Implementar filtros para hallazgos críticos y muestreo estratégico
- Gestión de alertas:
- Problema: Sobrecarga de alertas
- Solución: Configurar umbrales y usar Amazon EventBridge para filtrar
Ejemplo de arquitectura
Copy
[Cuenta Maestra]
|
|-- [OU Core]
| |-- Security Tooling Account (Security Hub Admin)
| |-- Log Archive Account
|
|-- [OU Workloads]
|-- [Cuenta Dev] --(findings)--> Security Hub Admin
|-- [Cuenta Prod] --(findings)--> Security Hub Admin
Conclusión
La integración de AWS Security Hub con Control Tower proporciona una base sólida para la gobernanza de seguridad en entornos multicuenta, permitiendo una gestión centralizada mientras mantiene la flexibilidad necesaria para diferentes cargas de trabajo.