Bonnes pratiques relatives à l'utilisation des politiques du Security Hub

Lorsque vous mettez en œuvre les politiques du Security Hub au sein de votre organisation, le respect des meilleures pratiques établies permet de garantir le déploiement et la maintenance réussis de vos configurations de sécurité. Ces directives abordent spécifiquement les aspects uniques de la gestion et de l'application des politiques du Security Hub au sein de ce dernier AWS Organizations.

Principes de conception des politiques

Avant de créer des politiques Security Hub, définissez des principes clairs pour votre structure de politique. Simplifiez les politiques et évitez les règles complexes à attributs croisés ou imbriquées qui compliquent la détermination du résultat final. Commencez par des politiques générales au niveau de la racine de l'organisation et affinez-les au besoin par le biais de politiques relatives aux enfants.

Envisagez d'utiliser des listes de régions vides de manière stratégique. Vous pouvez laisser ce enable_in_regions champ vide lorsque vous devez uniquement désactiver Security Hub dans des régions spécifiques, ou le laisser disable_in_regions vide pour éviter que les régions ne soient gérées par des règles. Cette flexibilité vous permet de garder un contrôle précis sur votre couverture de surveillance de sécurité.

Stratégies de gestion des régions

Lorsque vous gérez des régions par le biais des politiques du Security Hub, tenez compte de ces approches éprouvées. À utiliser ALL_SUPPORTED lorsque vous souhaitez inclure automatiquement les futures régions dans votre couverture de sécurité. Pour un contrôle plus précis, listez explicitement les régions plutôt que de vous fier à celles-ciALL_SUPPORTED, en particulier lorsque différentes régions nécessitent des configurations de sécurité différentes.

Documentez les exigences spécifiques à votre région, en particulier pour :

• Régions soumises à des obligations de conformité qui nécessitent des configurations spécifiques

• Différences entre environnement de développement et environnement de production

• Régions optionnelles soumises à des considérations spéciales

• Régions dans lesquelles Security Hub doit rester désactivé

Politique de planification successorale

Planifiez soigneusement la structure d'héritage de vos polices afin de maintenir un contrôle de sécurité efficace tout en garantissant la flexibilité nécessaire. Documentez quelles unités organisationnelles peuvent modifier les politiques héritées et quelles modifications sont autorisées. Envisagez de restreindre les opérateurs d'héritage (@ @assign, @ @append, @ @remove) au niveau des parents lorsque vous devez appliquer des contrôles de sécurité stricts.

Surveillance et validation

Mettez en œuvre des pratiques de surveillance régulières pour garantir l'efficacité de vos politiques. Passez régulièrement en revue les pièces jointes aux politiques, en particulier après des changements organisationnels. Vérifiez que les configurations régionales correspondent à la couverture de sécurité prévue, en particulier lors de l'utilisation ALL_SUPPORTED ou de la gestion de plusieurs listes de régions.

Stratégies de dépannage

Lors de la résolution des problèmes liés aux politiques du Security Hub, concentrez-vous d'abord sur la priorité et l'héritage des politiques. N'oubliez pas que les configurations de désactivation ont priorité sur les configurations d'activation lorsque les régions apparaissent dans les deux listes. Consultez les chaînes d'héritage des politiques pour comprendre comment les politiques relatives aux parents et aux enfants se combinent pour créer une politique efficace pour chaque compte.