Security Hub ポリシーを使用するためのベストプラクティス

組織全体に Security Hub ポリシーを実装する場合、確立されたベストプラクティスに従うことで、セキュリティ設定のデプロイとメンテナンスを確実に成功させることができます。これらのガイドラインは、Security Hub ポリシーの管理と実施の固有の側面に特化しています AWS Organizations。

ポリシー設計の原則

Security Hub ポリシーを作成する前に、ポリシー構造の明確な原則を確立します。ポリシーはシンプルに保ち、最終的な結果を判断するのが難しい複雑な属性間ルールやネストされたルールは避けてください。組織のルートレベルで広範なポリシーから始め、必要に応じて子ポリシーを通じて絞り込みます。

空のリージョンリストを戦略的に使用することを検討してください。特定のリージョンで Security Hub を無効にするだけで済む場合はenable_in_regions空のままにすることも、リージョンをポリシーによって管理されないようにするためにdisable_in_regions空のままにすることもできます。この柔軟性により、セキュリティモニタリングカバレッジを正確に制御できます。

リージョン管理戦略

Security Hub ポリシーを使用してリージョンを管理する場合は、これらの実証済みのアプローチを検討してください。セキュリティカバレッジに将来のリージョンを自動的に含めALL_SUPPORTEDる場合に使用します。より詳細な制御を行うには、特に異なるリージョンで異なるセキュリティ設定が必要な場合にALL_SUPPORTED、 に依存するのではなく、リージョンを明示的に一覧表示します。

リージョン固有の要件、特に以下の要件を文書化します。

• 特定の設定を必要とするコンプライアンスが必須のリージョン

• 開発環境と本番環境の違い

• 特別な考慮事項があるオプトインリージョン

• Security Hub を無効にしておく必要があるリージョン

ポリシー継承計画

ポリシー継承構造を慎重に計画し、必要な柔軟性を確保しながら、効果的なセキュリティコントロールを維持します。継承されたポリシーを変更できる組織単位と許可される変更を文書化します。厳格なセキュリティコントロールを適用する必要がある場合は、継承演算子 (@@assign、@@append、@@remove) を親レベルで制限することを検討してください。

モニタリングと検証

定期的なモニタリングプラクティスを実装して、ポリシーが引き続き有効であることを確認します。ポリシーの添付ファイルは、特に組織の変更後に定期的に確認します。リージョン設定が意図したセキュリティカバレッジと一致することを検証します。特に、 を使用する場合、ALL_SUPPORTEDまたは複数のリージョンリストを管理する場合です。

トラブルシューティング戦略

Security Hub ポリシーをトラブルシューティングするときは、まずポリシーの優先順位と継承に焦点を当てます。リージョンが両方のリストに表示される場合、無効化設定は有効化設定よりも優先されることに注意してください。ポリシー継承チェーンをチェックして、親ポリシーと子ポリシーを組み合わせて各アカウントの有効なポリシーを作成する方法を理解します。