本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Security Hub 策略的最佳实践
在整个组织中实施 Security Hub 策略时,遵循既定的最佳实践有助于确保成功部署和维护您的安全配置。这些指南专门针对了 Security Hub 策略管理和实施的独特方面 AWS Organizations。
政策设计原则
在创建 Security Hub 策略之前,请为策略结构制定明确的原则。保持策略简单,避免使用复杂的交叉属性或嵌套规则,因为这些规则难以确定最终结果。从组织根层的广泛政策开始,并在需要时通过子政策对其进行完善。
考虑策略性地使用空区域列表。当你只需要在特定区域禁用 Security Hub 时,可以留enable_in_regionsdisable_in_regions空,也可以留空以使区域不受策略管理。这种灵活性有助于您精确控制安全监控范围。
区域管理策略
在通过 Security Hub 策略管理区域时,请考虑这些行之有效的方法。ALL_SUPPORTED当您想自动将 future 区域纳入您的安全覆盖范围时使用。要进行更精细的控制,请明确列出区域而不是依赖区域ALL_SUPPORTED,尤其是在不同的区域需要不同的安全配置时。
记录您所在地区的特定要求,特别是:
-
需要特定配置的合规性强制区域
-
开发环境与生产环境的差异
-
有特殊注意事项的选择加入区域
-
必须禁用 Security Hub 的区域
策略继承规划
仔细规划您的策略继承结构,以保持有效的安全控制,同时允许必要的灵活性。记录哪些组织单位可以修改继承的策略以及允许进行哪些修改。当你需要实施严格的安全控制时,可以考虑限制父级的继承运算符(@ @assign、@ @append、@ @remove)。
监控和验证
实施定期监控措施,确保您的政策保持有效。定期查看政策附件,尤其是在组织变更之后。验证区域配置是否符合您的预期安全覆盖范围,尤其是在使用ALL_SUPPORTED或管理多个区域列表时。
故障排除策略
在对 Security Hub 策略进行故障排除时,请首先关注策略优先级和继承。请记住,当区域出现在两个列表中时,禁用配置优先于启用配置。查看策略继承链,了解父级和子级政策是如何组合起来为每个账户创建有效的策略的。
