Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Mejores prácticas para usar las políticas de Security Hub
Al implementar las políticas de Security Hub en toda la organización, seguir las mejores prácticas establecidas ayuda a garantizar el despliegue y el mantenimiento correctos de las configuraciones de seguridad. Estas directrices abordan específicamente los aspectos únicos de la administración y aplicación de las políticas de Security Hub en su interior AWS Organizations.
Principios de diseño de políticas
Antes de crear políticas de Security Hub, establezca principios claros para su estructura de políticas. Mantenga las políticas simples y evite reglas complejas entre atributos cruzados o anidadas que dificulten la determinación del resultado final. Comience con políticas amplias a nivel de base de la organización y, cuando sea necesario, afínelas mediante políticas basadas en los niños.
Considere la posibilidad de utilizar estratégicamente listas de regiones vacías. Puede dejarlo enable_in_regions vacío cuando solo necesite deshabilitar Security Hub en regiones específicas, o dejarlo disable_in_regions vacío para mantener las regiones no administradas por la política. Esta flexibilidad le ayuda a mantener un control preciso sobre la cobertura de supervisión de la seguridad.
Estrategias de gestión regional
Cuando gestione regiones mediante políticas de Security Hub, tenga en cuenta estos enfoques comprobados. ALL_SUPPORTEDÚselo cuando desee incluir automáticamente futuras regiones en su cobertura de seguridad. Para un control más detallado, enumere las regiones de forma explícita en lugar de confiar en ellasALL_SUPPORTED, especialmente cuando las diferentes regiones requieren diferentes configuraciones de seguridad.
Documente los requisitos específicos de su región, especialmente en lo que respecta a:
-
Regiones exigidas por el cumplimiento de normas que requieren configuraciones específicas
-
Diferencias entre el entorno de desarrollo y el de producción
-
Regiones de suscripción voluntaria con consideraciones especiales
-
Regiones en las que Security Hub debe permanecer desactivado
Planificación de la herencia de pólizas
Planifique cuidadosamente la estructura de herencia de su póliza para mantener un control de seguridad efectivo y, al mismo tiempo, permitir la flexibilidad necesaria. Documenta qué unidades organizativas pueden modificar las políticas heredadas y qué modificaciones están permitidas. Considere la posibilidad de restringir los operadores de herencia (@ @assign, @ @append, @ @remove) en los niveles principales cuando necesite aplicar controles de seguridad estrictos.
Supervisión y validación
Implemente prácticas de supervisión periódicas para garantizar que sus políticas sigan siendo eficaces. Revise los anexos de las políticas periódicamente, especialmente después de los cambios organizativos. Compruebe que las configuraciones regionales coincidan con la cobertura de seguridad prevista, especialmente cuando utilice ALL_SUPPORTED o gestione listas de varias regiones.
Estrategias para solucionar problemas
Al solucionar problemas de las políticas de Security Hub, céntrese primero en la prioridad y la herencia de las políticas. Recuerde que las configuraciones de inhabilitación tienen prioridad sobre las configuraciones de activación cuando las regiones aparecen en ambas listas. Consulta las cadenas de herencia de políticas para entender cómo se combinan las políticas principales y secundarias para crear la política efectiva para cada cuenta.
