Le migliori pratiche per l'utilizzo delle policy di Security Hub - AWS Organizations
Principi di progettazione delle politicheStrategie di gestione delle regioniPianificazione dell'ereditarietà delle politicheMonitoraggio e convalidaStrategie di risoluzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le migliori pratiche per l'utilizzo delle policy di Security Hub

Quando si implementano le policy di Security Hub in tutta l'organizzazione, seguire le best practice consolidate aiuta a garantire l'implementazione e la manutenzione di successo delle configurazioni di sicurezza. Queste linee guida riguardano specificamente gli aspetti unici della gestione e dell'applicazione delle policy di Security Hub all'interno AWS Organizations.

Principi di progettazione delle politiche

Prima di creare le policy di Security Hub, stabilisci principi chiari per la struttura delle policy. Mantieni le policy semplici ed evita complesse regole combinate tra attributi o annidate che rendono difficile la determinazione del risultato finale. Inizia con politiche generali a livello di organizzazione e perfezionale attraverso politiche secondarie, se necessario.

Prendi in considerazione l'utilizzo strategico di elenchi di regioni vuoti. Puoi lasciarlo enable_in_regions vuoto quando devi disabilitare Security Hub solo in aree specifiche o lasciare disable_in_regions vuoto per evitare che le aree non siano gestite dalle policy. Questa flessibilità ti aiuta a mantenere un controllo preciso sulla copertura del monitoraggio della sicurezza.

Strategie di gestione delle regioni

Quando gestisci le aree tramite le policy del Security Hub, prendi in considerazione questi approcci collaudati. ALL_SUPPORTEDUtilizzalo quando desideri includere automaticamente le regioni future nella tua copertura di sicurezza. Per un controllo più granulare, elenca in modo esplicito le regioni anziché fare affidamento su di esseALL_SUPPORTED, soprattutto quando aree diverse richiedono configurazioni di sicurezza diverse.

Documenta i requisiti specifici della tua regione, in particolare per:

  • Regioni soggette a obblighi di conformità che richiedono configurazioni specifiche

  • Differenze tra ambiente di sviluppo e ambiente di produzione

  • Regioni che prevedono l'adesione con considerazioni particolari

  • Regioni in cui il Security Hub deve rimanere disabilitato

Pianificazione dell'ereditarietà delle politiche

Pianificate attentamente la struttura di ereditarietà delle polizze per mantenere un controllo di sicurezza efficace, garantendo al contempo la flessibilità necessaria. Documenta quali unità organizzative possono modificare le politiche ereditate e quali modifiche sono consentite. Prendi in considerazione la possibilità di limitare gli operatori di ereditarietà (@ @assign, @ @append, @ @remove) ai livelli principali quando devi applicare controlli di sicurezza rigorosi.

Monitoraggio e convalida

Implementa pratiche di monitoraggio regolari per garantire che le tue politiche rimangano efficaci. Rivedi periodicamente gli allegati delle politiche, soprattutto dopo i cambiamenti organizzativi. Verifica che le configurazioni delle aree corrispondano alla copertura di sicurezza prevista, in particolare quando utilizzi ALL_SUPPORTED o gestisci più elenchi di aree.

Strategie di risoluzione

Durante la risoluzione dei problemi relativi alle policy di Security Hub, concentrati innanzitutto sulla priorità e sull'ereditarietà delle policy. Ricorda che le configurazioni di disabilitazione hanno la precedenza sull'attivazione delle configurazioni quando le regioni compaiono in entrambi gli elenchi. Controlla le catene di ereditarietà delle politiche per capire come le politiche relative ai genitori e ai figli si combinano per creare la politica efficace per ogni account.