Kebijakan Security Hub - AWS Organizations

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kebijakan Security Hub

AWS Security Hub kebijakan menyediakan tim keamanan dengan pendekatan terpusat untuk mengelola konfigurasi keamanan di seluruh mereka. AWS Organizations Dengan memanfaatkan kebijakan ini, Anda dapat membuat dan mempertahankan kontrol keamanan yang konsisten melalui mekanisme konfigurasi pusat. Integrasi ini memungkinkan Anda mengatasi kesenjangan cakupan keamanan dengan membuat kebijakan yang selaras dengan persyaratan keamanan organisasi Anda dan menerapkannya secara terpusat di seluruh akun dan unit organisasi ()OUs.

Kebijakan Security Hub terintegrasi sepenuhnya AWS Organizations, memungkinkan akun manajemen atau administrator yang didelegasikan untuk menentukan dan menegakkan konfigurasi keamanan. Ketika akun bergabung dengan organisasi Anda, mereka secara otomatis mewarisi kebijakan yang berlaku berdasarkan lokasinya dalam hierarki organisasi. Ini memastikan bahwa standar keamanan Anda diterapkan secara konsisten seiring pertumbuhan organisasi Anda. Kebijakan menghormati struktur organisasi yang ada dan memberikan fleksibilitas dalam bagaimana konfigurasi keamanan didistribusikan, sambil mempertahankan kontrol pusat atas pengaturan keamanan kritis.

Fitur dan manfaat utama

Kebijakan Security Hub menyediakan serangkaian kemampuan komprehensif yang membantu Anda mengelola dan menegakkan konfigurasi keamanan di seluruh organisasi. AWS Fitur-fitur ini merampingkan manajemen keamanan sekaligus memastikan kontrol yang konsisten atas lingkungan multi-akun Anda.

  • Aktifkan Security Hub secara terpusat di seluruh akun dan Wilayah di organisasi Anda

  • Buat kebijakan keamanan yang menentukan konfigurasi keamanan Anda di seluruh akun dan OUs

  • Terapkan konfigurasi keamanan secara otomatis ke akun baru saat mereka bergabung dengan organisasi Anda

  • Pastikan pengaturan keamanan yang konsisten di seluruh organisasi

  • Mencegah akun anggota memodifikasi konfigurasi keamanan tingkat organisasi

Apa kebijakan Security Hub?

Kebijakan Security Hub adalah AWS Organizations kebijakan yang memberikan kontrol terpusat atas konfigurasi keamanan di seluruh akun organisasi Anda. Kebijakan ini bekerja dengan mulus AWS Organizations untuk membantu Anda menetapkan dan mempertahankan standar keamanan yang konsisten di seluruh lingkungan multi-akun Anda.

Saat menerapkan kebijakan Security Hub, Anda mendapatkan kemampuan untuk menentukan konfigurasi keamanan tertentu yang secara otomatis menyebar di seluruh organisasi Anda. Ini memastikan bahwa semua akun, termasuk yang baru dibuat, selaras dengan persyaratan keamanan dan praktik terbaik organisasi Anda.

Kebijakan ini juga membantu Anda menjaga kepatuhan dengan menerapkan kontrol keamanan yang konsisten dan mencegah akun individu memodifikasi pengaturan keamanan tingkat organisasi. Pendekatan terpusat ini secara signifikan mengurangi overhead administratif dalam mengelola konfigurasi keamanan di lingkungan yang besar dan kompleks. AWS

Cara kerja kebijakan Security Hub

Saat Anda melampirkan kebijakan Security Hub ke organisasi atau unit organisasi Anda, AWS Organizations secara otomatis mengevaluasi kebijakan tersebut dan menerapkannya berdasarkan cakupan yang Anda tentukan. Proses penegakan kebijakan mengikuti aturan resolusi konflik tertentu:

Ketika wilayah muncul di daftar aktifkan dan nonaktifkan, konfigurasi penonaktifan diutamakan. Misalnya, jika suatu wilayah terdaftar dalam konfigurasi aktifkan dan nonaktifkan, Security Hub akan dinonaktifkan di wilayah tersebut.

Bila ALL_SUPPORTED ditentukan untuk pengaktifan, Security Hub diaktifkan di semua wilayah saat ini dan masa depan kecuali dinonaktifkan secara eksplisit. Ini memungkinkan Anda untuk mempertahankan cakupan keamanan yang komprehensif saat AWS meluas ke wilayah baru.

Kebijakan anak dapat mengubah setelan kebijakan induk menggunakan operator pewarisan, memungkinkan kontrol terperinci pada tingkat organisasi yang berbeda. Pendekatan hierarkis ini memastikan bahwa unit organisasi tertentu dapat menyesuaikan pengaturan keamanan mereka sambil mempertahankan kontrol dasar.

Terminologi

Topik ini menggunakan istilah berikut saat membahas kebijakan Security Hub.

Terminologi kebijakan Security Hub
Jangka Waktu Definisi
Kebijakan yang efektif Kebijakan final yang berlaku untuk akun setelah menggabungkan semua kebijakan yang diwariskan.
Pewarisan kebijakan Proses dimana akun mewarisi kebijakan dari unit organisasi induk.
Administrator yang didelegasikan Akun yang ditujukan untuk mengelola kebijakan Security Hub atas nama organisasi.
Peran terkait layanan Peran IAM yang memungkinkan Security Hub berinteraksi dengan AWS layanan lain.

Kasus penggunaan untuk kebijakan Security Hub

Kebijakan Security Hub mengatasi tantangan manajemen keamanan umum di lingkungan multi-akun. Kasus penggunaan berikut menunjukkan bagaimana organisasi biasanya menerapkan kebijakan ini untuk meningkatkan postur keamanan mereka.

Contoh kasus penggunaan: Persyaratan kepatuhan regional

Perusahaan multinasional membutuhkan konfigurasi Security Hub yang berbeda untuk wilayah geografis yang berbeda. Mereka membuat kebijakan induk yang memungkinkan Security Hub di semua wilayah menggunakanALL_SUPPORTED, lalu menggunakan kebijakan anak untuk menonaktifkan wilayah tertentu di mana kontrol keamanan yang berbeda diperlukan. Hal ini memungkinkan mereka untuk mempertahankan kepatuhan terhadap peraturan regional sambil memastikan cakupan keamanan yang komprehensif.

Contoh kasus penggunaan: Standar keamanan tim pengembangan

Organisasi pengembangan perangkat lunak menerapkan kebijakan Security Hub yang memungkinkan pemantauan di wilayah produksi sambil menjaga wilayah pengembangan tidak terkelola. Mereka menggunakan daftar wilayah eksplisit dalam kebijakan mereka daripada ALL_SUPPORTED untuk mempertahankan kontrol yang tepat atas cakupan pemantauan keamanan. Pendekatan ini memungkinkan mereka untuk menegakkan kontrol keamanan yang lebih ketat di lingkungan produksi sambil mempertahankan fleksibilitas di area pengembangan.

Warisan dan penegakan kebijakan

Memahami bagaimana kebijakan diwariskan dan ditegakkan sangat penting untuk manajemen keamanan yang efektif di seluruh organisasi Anda. Model pewarisan mengikuti AWS Organizations hierarki, memastikan penerapan kebijakan yang dapat diprediksi dan konsisten.

  • Kebijakan yang dilampirkan di tingkat root berlaku untuk semua akun

  • Akun mewarisi kebijakan dari unit organisasi induknya

  • Beberapa kebijakan dapat berlaku untuk satu akun

  • Kebijakan yang lebih spesifik (lebih dekat ke akun dalam hierarki) diutamakan

Validasi kebijakan

Saat membuat kebijakan Security Hub, validasi berikut akan terjadi:

  • Nama wilayah harus merupakan pengidentifikasi AWS wilayah yang valid

  • Wilayah harus didukung oleh Security Hub

  • Struktur kebijakan harus mengikuti aturan sintaks AWS Organizations kebijakan

  • Keduanya enable_in_regions dan disable_in_regions daftar harus ada, meskipun mereka bisa kosong

Pertimbangan regional dan Daerah yang didukung

Kebijakan Security Hub beroperasi di beberapa Wilayah, yang memerlukan pertimbangan yang cermat terhadap persyaratan keamanan global Anda. Memahami perilaku regional membantu Anda menerapkan kontrol keamanan yang efektif di seluruh jejak global organisasi Anda.

  • Penegakan kebijakan terjadi di setiap Wilayah secara independen

  • Anda dapat menentukan Wilayah mana yang akan disertakan atau dikecualikan dalam kebijakan Anda

  • Wilayah Baru secara otomatis disertakan saat menggunakan ALL_SUPPORTED opsi

  • Kebijakan hanya berlaku untuk Wilayah di mana Security Hub tersedia

Langkah selanjutnya

Untuk memulai kebijakan Security Hub:

  1. Tinjau prasyarat dalam Memulai kebijakan Security Hub

  2. Rencanakan strategi kebijakan Anda menggunakan panduan praktik terbaik kami

  3. Pelajari tentang sintaks kebijakan dan lihat contoh kebijakan