Politiques du Security Hub - AWS Organizations
Caractéristiques et avantages clésQuelles sont les politiques de Security Hub ?Comment fonctionnent les politiques du Security HubTerminologieCas d'utilisation des politiques du Security HubHéritage et application des politiquesValidation de politiqueConsidérations régionales et régions prises en chargeÉtapes suivantes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques du Security Hub

AWS Security Hub les politiques fournissent aux équipes de sécurité une approche centralisée pour gérer les configurations de sécurité au sein de leurs équipes AWS Organizations. En tirant parti de ces politiques, vous pouvez établir et maintenir des contrôles de sécurité cohérents grâce à un mécanisme de configuration central. Cette intégration vous permet de combler les lacunes en matière de couverture de sécurité en créant des politiques conformes aux exigences de sécurité de votre entreprise et en les appliquant de manière centralisée à tous les comptes et unités organisationnelles (OUs).

Les politiques du Security Hub sont entièrement intégrées AWS Organizations, ce qui permet aux comptes de gestion ou aux administrateurs délégués de définir et d'appliquer les configurations de sécurité. Lorsque des comptes rejoignent votre organisation, ils héritent automatiquement des politiques applicables en fonction de leur emplacement dans la hiérarchie organisationnelle. Cela garantit que vos normes de sécurité sont appliquées de manière cohérente au fur et à mesure que votre organisation se développe. Les politiques respectent les structures organisationnelles existantes et offrent de la flexibilité dans la manière dont les configurations de sécurité sont distribuées, tout en maintenant le contrôle centralisé des paramètres de sécurité critiques.

Caractéristiques et avantages clés

Les politiques du Security Hub fournissent un ensemble complet de fonctionnalités qui vous aident à gérer et à appliquer les configurations de sécurité au sein de votre AWS entreprise. Ces fonctionnalités rationalisent la gestion de la sécurité tout en garantissant un contrôle constant de votre environnement multi-comptes.

  • Activez Security Hub de manière centralisée sur tous les comptes et régions de votre organisation

  • Créez des politiques de sécurité qui définissent votre configuration de sécurité pour tous les comptes et OUs

  • Appliquez automatiquement des configurations de sécurité aux nouveaux comptes lorsqu'ils rejoignent votre organisation

  • Garantissez des paramètres de sécurité cohérents au sein de votre entreprise

  • Empêcher les comptes membres de modifier les configurations de sécurité au niveau de l'organisation

Quelles sont les politiques de Security Hub ?

Les politiques du Security Hub sont des AWS Organizations politiques qui fournissent un contrôle centralisé des configurations de sécurité des comptes de votre entreprise. Ces politiques fonctionnent parfaitement pour vous aider AWS Organizations à établir et à maintenir des normes de sécurité cohérentes dans l'ensemble de votre environnement multi-comptes.

Lorsque vous implémentez les politiques du Security Hub, vous pouvez définir des configurations de sécurité spécifiques qui se propagent automatiquement au sein de votre organisation. Cela garantit que tous les comptes, y compris les comptes nouvellement créés, sont conformes aux exigences de sécurité et aux meilleures pratiques de votre organisation.

Ces politiques vous aident également à maintenir la conformité en appliquant des contrôles de sécurité cohérents et en empêchant les comptes individuels de modifier les paramètres de sécurité au niveau de l'organisation. Cette approche centralisée réduit considérablement les frais administratifs liés à la gestion des configurations de sécurité dans des AWS environnements complexes et de grande envergure.

Comment fonctionnent les politiques du Security Hub

Lorsque vous associez une politique Security Hub à votre organisation ou unité organisationnelle, elle est AWS Organizations automatiquement évaluée et appliquée en fonction du périmètre que vous définissez. Le processus d'application des politiques suit des règles spécifiques de résolution des conflits :

Lorsque des régions apparaissent à la fois dans les listes d'activation et de désactivation, la configuration de désactivation est prioritaire. Par exemple, si une région est répertoriée dans les configurations d'activation et de désactivation, Security Hub sera désactivé dans cette région.

Lorsque l'activation ALL_SUPPORTED est spécifiée, Security Hub est activé dans toutes les régions actuelles et futures, sauf s'il est explicitement désactivé. Cela vous permet de maintenir une couverture de sécurité complète à mesure que vous vous AWS étendez dans de nouvelles régions.

Les politiques relatives aux enfants peuvent modifier les paramètres des politiques parentales à l'aide d'opérateurs d'héritage, ce qui permet un contrôle granulaire à différents niveaux organisationnels. Cette approche hiérarchique garantit que les unités organisationnelles spécifiques peuvent personnaliser leurs paramètres de sécurité tout en maintenant les contrôles de base.

Terminologie

Cette rubrique utilise les termes suivants pour aborder les politiques du Security Hub.

Terminologie des politiques du Security Hub
Durée Définition
Stratégie effective Politique finale qui s'applique à un compte après avoir combiné toutes les politiques héritées.
Héritage de politique Processus par lequel les comptes héritent des politiques des unités organisationnelles parentes.
Administrateur délégué Un compte désigné pour gérer les politiques du Security Hub au nom de l'organisation.
Rôle lié à un service Rôle IAM qui permet à Security Hub d'interagir avec d'autres AWS services.

Cas d'utilisation des politiques du Security Hub

Les politiques du Security Hub répondent aux défis courants en matière de gestion de la sécurité dans les environnements multi-comptes. Les cas d'utilisation suivants montrent comment les entreprises mettent généralement en œuvre ces politiques pour améliorer leur posture de sécurité.

Exemple de cas d'utilisation : exigences de conformité régionales

Une multinationale a besoin de différentes configurations de Security Hub pour différentes régions géographiques. Ils créent une politique parent qui active Security Hub dans toutes les régions en utilisantALL_SUPPORTED, puis utilisent des politiques relatives aux enfants pour désactiver des régions spécifiques où différents contrôles de sécurité sont requis. Cela leur permet de respecter les réglementations régionales tout en garantissant une couverture de sécurité complète.

Exemple de cas d'utilisation : normes de sécurité pour les équipes de développement

Une organisation de développement de logiciels met en œuvre les politiques du Security Hub qui permettent de surveiller les régions de production tout en évitant de gérer les régions de développement. Ils utilisent des listes de régions explicites dans leurs politiques plutôt que ALL_SUPPORTED pour maintenir un contrôle précis sur la couverture de surveillance de la sécurité. Cette approche leur permet d'appliquer des contrôles de sécurité plus stricts dans les environnements de production tout en préservant la flexibilité dans les domaines de développement.

Héritage et application des politiques

Comprendre comment les politiques sont héritées et appliquées est essentiel pour une gestion efficace de la sécurité au sein de votre entreprise. Le modèle d'héritage suit la AWS Organizations hiérarchie, garantissant ainsi une application prévisible et cohérente des politiques.

  • Les politiques associées au niveau racine s'appliquent à tous les comptes

  • Les comptes héritent des politiques de leurs unités organisationnelles mères

  • Plusieurs politiques peuvent s'appliquer à un seul compte

  • Les politiques plus spécifiques (plus proches du compte dans la hiérarchie) ont priorité

Validation de politique

Lors de la création des politiques Security Hub, les validations suivantes ont lieu :

  • Les noms de région doivent être des identifiants de AWS région valides

  • Les régions doivent être prises en charge par Security Hub

  • La structure des politiques doit suivre les règles AWS Organizations de syntaxe des politiques

  • Les deux enable_in_regions et disable_in_regions les listes doivent être présentes, bien qu'elles puissent être vides

Considérations régionales et régions prises en charge

Les politiques du Security Hub s'appliquent à plusieurs régions, ce qui nécessite un examen attentif de vos exigences de sécurité globales. Comprendre le comportement régional vous aide à mettre en œuvre des contrôles de sécurité efficaces sur l'ensemble du territoire mondial de votre entreprise.

  • L'application des politiques se fait indépendamment dans chaque région

  • Vous pouvez spécifier les régions à inclure ou à exclure dans vos politiques

  • Les nouvelles régions sont automatiquement incluses lorsque vous utilisez l'ALL_SUPPORTEDoption

  • Les politiques s'appliquent uniquement aux régions où Security Hub est disponible

Étapes suivantes

Pour commencer à utiliser les politiques du Security Hub, procédez comme suit :

  1. Consultez les conditions préalables dans les politiques de Getting Started with Security Hub

  2. Planifiez votre stratégie politique à l'aide de notre guide des meilleures pratiques

  3. En savoir plus sur la syntaxe des politiques et consulter des exemples de politiques