Praktik terbaik untuk menggunakan kebijakan Security Hub - AWS Organizations
Prinsip desain kebijakanStrategi pengelolaan wilayahPerencanaan pewarisan kebijakanPemantauan dan validasiStrategi pemecahan masalah

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Praktik terbaik untuk menggunakan kebijakan Security Hub

Saat menerapkan kebijakan Security Hub di seluruh organisasi Anda, mengikuti praktik terbaik yang telah ditetapkan akan membantu memastikan penerapan dan pemeliharaan konfigurasi keamanan Anda berhasil. Pedoman ini secara khusus membahas aspek unik manajemen dan penegakan kebijakan Security Hub di dalamnya AWS Organizations.

Prinsip desain kebijakan

Sebelum membuat kebijakan Security Hub, tetapkan prinsip yang jelas untuk struktur kebijakan Anda. Jaga kebijakan tetap sederhana dan hindari aturan lintas atribut atau bersarang yang rumit yang menyulitkan untuk menentukan hasil akhir. Mulailah dengan kebijakan luas di tingkat akar organisasi dan perbaiki melalui kebijakan anak jika diperlukan.

Pertimbangkan untuk menggunakan daftar wilayah kosong secara strategis. Anda dapat membiarkan enable_in_regions kosong ketika Anda hanya perlu menonaktifkan Security Hub di wilayah tertentu, atau biarkan disable_in_regions kosong untuk menjaga wilayah tidak dikelola oleh kebijakan. Fleksibilitas ini membantu Anda mempertahankan kontrol yang tepat atas cakupan pemantauan keamanan Anda.

Strategi pengelolaan wilayah

Saat mengelola wilayah melalui kebijakan Security Hub, pertimbangkan pendekatan yang telah terbukti ini. Gunakan ALL_SUPPORTED saat Anda ingin secara otomatis menyertakan wilayah masa depan dalam cakupan keamanan Anda. Untuk kontrol yang lebih terperinci, daftar wilayah secara eksplisit daripada mengandalkanALL_SUPPORTED, terutama ketika wilayah yang berbeda memerlukan konfigurasi keamanan yang berbeda.

Dokumentasikan persyaratan khusus wilayah Anda, terutama untuk:

  • Wilayah yang diamanatkan kepatuhan yang memerlukan konfigurasi khusus

  • Perbedaan lingkungan pengembangan versus produksi

  • Daerah keikutsertaan dengan pertimbangan khusus

  • Wilayah di mana Security Hub harus tetap dinonaktifkan

Perencanaan pewarisan kebijakan

Rencanakan struktur warisan kebijakan Anda dengan hati-hati untuk mempertahankan kontrol keamanan yang efektif sambil memungkinkan fleksibilitas yang diperlukan. Dokumentasikan unit organisasi mana yang dapat memodifikasi kebijakan yang diwariskan dan modifikasi apa yang diizinkan. Pertimbangkan untuk membatasi operator pewarisan (@ @assign, @ @append, @ @remove) di tingkat induk saat Anda perlu menerapkan kontrol keamanan yang ketat.

Pemantauan dan validasi

Terapkan praktik pemantauan rutin untuk memastikan kebijakan Anda tetap efektif. Meninjau lampiran kebijakan secara berkala, terutama setelah perubahan organisasi. Validasi bahwa konfigurasi wilayah cocok dengan cakupan keamanan yang Anda inginkan, terutama saat menggunakan ALL_SUPPORTED atau saat mengelola beberapa daftar wilayah.

Strategi pemecahan masalah

Saat memecahkan masalah kebijakan Security Hub, fokuslah terlebih dahulu pada prioritas kebijakan dan pewarisan. Ingatlah bahwa menonaktifkan konfigurasi lebih diutamakan daripada mengaktifkan konfigurasi saat wilayah muncul di kedua daftar. Periksa rantai warisan kebijakan untuk memahami bagaimana kebijakan induk dan anak digabungkan untuk membuat kebijakan yang efektif untuk setiap akun.