Melhores práticas para usar as políticas do Security Hub

Ao implementar políticas do Security Hub em sua organização, seguir as melhores práticas estabelecidas ajuda a garantir a implantação e a manutenção bem-sucedidas de suas configurações de segurança. Essas diretrizes abordam especificamente os aspectos exclusivos do gerenciamento e aplicação de políticas do Security Hub AWS Organizations.

Princípios de design de políticas

Antes de criar políticas do Security Hub, estabeleça princípios claros para sua estrutura de políticas. Mantenha as políticas simples e evite regras complexas de atributos cruzados ou aninhadas que dificultam a determinação do resultado final. Comece com políticas amplas no nível raiz da organização e refine-as por meio de políticas secundárias, quando necessário.

Considere usar listas de regiões vazias de forma estratégica. Você pode deixar em enable_in_regions branco quando precisar apenas desativar o Security Hub em regiões específicas ou deixar em disable_in_regions branco para manter as regiões não gerenciadas pela política. Essa flexibilidade ajuda você a manter um controle preciso sobre sua cobertura de monitoramento de segurança.

Estratégias de gestão da região

Ao gerenciar regiões por meio de políticas do Security Hub, considere essas abordagens comprovadas. Use ALL_SUPPORTED quando quiser incluir automaticamente futuras regiões em sua cobertura de segurança. Para um controle mais granular, liste explicitamente as regiões em vez de confiar nelasALL_SUPPORTED, especialmente quando regiões diferentes exigem configurações de segurança diferentes.

Documente os requisitos específicos de sua região, especialmente para:

• Regiões exigidas pela conformidade que exigem configurações específicas

• Diferenças entre desenvolvimento e ambiente de produção

• Regiões opcionais com considerações especiais

• Regiões em que o Security Hub deve permanecer desativado

Planejamento de herança de políticas

Planeje cuidadosamente sua estrutura de herança de políticas para manter um controle de segurança eficaz e, ao mesmo tempo, permitir a flexibilidade necessária. Documente quais unidades organizacionais podem modificar políticas herdadas e quais modificações são permitidas. Considere restringir os operadores de herança (@ @assign, @ @append, @ @remove) nos níveis principais quando precisar aplicar controles de segurança rígidos.

Monitoramento e validação

Implemente práticas regulares de monitoramento para garantir que suas políticas permaneçam efetivas. Revise os anexos da política periodicamente, especialmente após mudanças organizacionais. Valide se as configurações de região correspondem à cobertura de segurança pretendida, especialmente ao usar ALL_SUPPORTED ou ao gerenciar várias listas de regiões.

estratégias de solução de problemas

Ao solucionar problemas de políticas do Security Hub, concentre-se primeiro na precedência e herança das políticas. Lembre-se de que as configurações de desativação têm precedência sobre as configurações de ativação quando as regiões aparecem nas duas listas. Verifique as cadeias de herança de políticas para entender como as políticas de pais e filhos se combinam para criar uma política eficaz para cada conta.