View a markdown version of this page

Prácticas recomendadas para el uso de las políticas de Security Hub - AWS Organizations
Principios del diseño de políticasEstrategias de administración de regionesPlanificación de la herencia de políticasSupervisión y validaciónEstrategias para solucionar problemas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas para el uso de las políticas de Security Hub

Seguir las prácticas recomendadas establecidas garantiza la implementación y el mantenimiento correctos de sus configuraciones de seguridad al momento de implementar las políticas de Security Hub en su organización. Estas directrices abordan específicamente los aspectos únicos de la administración y aplicación de las políticas de Security Hub en su interior AWS Organizations.

Principios del diseño de políticas

Antes de crear políticas de Security Hub, defina principios claros para su estructura de políticas. Cree políticas simples y evite reglas complejas entre atributos cruzados o anidadas que dificulten la determinación del resultado final. Comience con políticas amplias a nivel de base de la organización y, cuando sea necesario, afínelas mediante políticas secundarias.

Tenga en cuenta utilizar estratégicamente listas de regiones vacías. Puede dejar enable_in_regions vacío cuando solo necesite deshabilitar Security Hub en regiones específicas, o dejar disable_in_regions vacío para mantener las regiones no administradas por la política. Esta flexibilidad permite mantener un control preciso sobre la cobertura de supervisión de la seguridad.

Estrategias de administración de regiones

Cuando administre regiones mediante políticas de Security Hub, tenga en cuenta estos enfoques comprobados. Utilice ALL_SUPPORTED cuando desee incluir automáticamente futuras regiones en su cobertura de seguridad. Para realizar un control más detallado, enumere las regiones de forma explícita en lugar de contar con ALL_SUPPORTED, sobre todo cuando las diferentes regiones requieren diferentes configuraciones de seguridad.

Documente los requisitos específicos de su región, sobre todo para lo siguiente:

  • Regiones exigidas por el cumplimiento de normas que requieren configuraciones específicas

  • Diferencias entre el entorno de desarrollo y el de producción

  • Regiones de suscripción voluntaria con consideraciones especiales

  • Regiones en las que Security Hub debe permanecer deshabilitado

Planificación de la herencia de políticas

Planifique cuidadosamente la estructura de herencia de su política para mantener un control de seguridad efectivo, sin dejar de permitir la flexibilidad necesaria. Documente las unidades organizativas que pueden modificar las políticas heredadas y las modificaciones que están permitidas. Evalúe la posibilidad de restringir los operadores de herencia (@@assign, @@append, @@remove) en los niveles principales cuando necesite aplicar controles de seguridad estrictos.

Supervisión y validación

Implemente prácticas de supervisión periódicas para garantizar que sus políticas sigan siendo eficaces. Además, revise los anexos de las políticas periódicamente, sobre todo después de los cambios organizativos. Compruebe que las configuraciones regionales coincidan con la cobertura de seguridad prevista, en especial cuando utilice ALL_SUPPORTED o administre listas de varias regiones.

Estrategias para solucionar problemas

Al solucionar problemas de las políticas de Security Hub, céntrese primero en la prioridad y la herencia de las políticas. Recuerde que las configuraciones de deshabilitación tienen prioridad sobre las configuraciones de habilitación cuando las regiones aparecen en ambas listas. Consulte las cadenas de herencia de políticas para entender cómo se combinan las políticas principales y secundarias para crear la política en vigor para cada cuenta.