本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 Security Hub 政策的最佳實務
在整個組織中實作 Security Hub 政策時,遵循已建立的最佳實務有助於確保安全組態的成功部署和維護。這些指導方針特別說明 Security Hub 政策管理和強制執行的獨特層面 AWS Organizations。
政策設計原則
建立 Security Hub 政策之前,請為您的政策結構建立明確的原則。保持政策簡單,並避免複雜的跨屬性或巢狀規則,以致難以判斷最終結果。從組織根層級的廣泛政策開始,並視需要透過子政策進行精簡。
考慮以策略方式使用空白區域清單。當您只需要在特定區域中停用 Security Hub 時,您可以保留enable_in_regions空白,或保留disable_in_regions空白,讓區域不受政策管理。此彈性可協助您精確控制安全監控涵蓋範圍。
區域管理策略
透過 Security Hub 政策管理區域時,請考慮這些經過驗證的方法。當您想要在安全涵蓋範圍內自動包含未來區域ALL_SUPPORTED時,請使用 。對於更精細的控制,請明確列出區域,而不是依賴 ALL_SUPPORTED,尤其是當不同的區域需要不同的安全組態時。
記錄您的區域特定需求,特別是:
-
需要特定組態的合規規定區域
-
開發與生產環境的差異
-
選擇加入具有特殊考量的區域
-
Security Hub 必須保持停用的區域
政策繼承規劃
仔細規劃您的政策繼承結構,以維持有效的安全控制,同時允許必要的彈性。記錄哪些組織單位可以修改繼承的政策,以及允許哪些修改。當您需要強制執行嚴格的安全控制時,請考慮在父層級限制繼承運算子 (@@assign、@@append、@@remove)。
監控和驗證
實作定期監控實務,以確保您的政策保持有效。定期檢閱政策附件,尤其是在組織變更之後。驗證區域組態是否符合您的預期安全涵蓋範圍,特別是在使用 ALL_SUPPORTED或 管理多個區域清單時。
故障診斷策略
疑難排解 Security Hub 政策時,請先專注於政策優先順序和繼承。請記住,當區域出現在兩個清單中時,停用組態優先於啟用組態。檢查政策繼承鏈,以了解父系和子系政策如何結合,以為每個帳戶建立有效的政策。
