Politiche del Security Hub - AWS Organizations

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Politiche del Security Hub

AWS Security Hub le politiche forniscono ai team addetti alla sicurezza un approccio centralizzato alla gestione delle configurazioni di sicurezza in tutti i loro ambienti. AWS Organizations Sfruttando queste politiche, è possibile stabilire e mantenere controlli di sicurezza coerenti attraverso un meccanismo di configurazione centrale. Questa integrazione consente di colmare le lacune nella copertura di sicurezza creando politiche in linea con i requisiti di sicurezza dell'organizzazione e applicandole centralmente a tutti gli account e le unità organizzative (). OUs

Le policy di Security Hub sono completamente integrate e consentono agli account di gestione o agli amministratori delegati di definire e applicare le configurazioni di sicurezza. AWS Organizations Quando gli account entrano a far parte dell'organizzazione, ereditano automaticamente le politiche applicabili in base alla loro posizione nella gerarchia organizzativa. Ciò garantisce che gli standard di sicurezza vengano applicati in modo coerente man mano che l'organizzazione cresce. Le politiche rispettano le strutture organizzative esistenti e offrono flessibilità nel modo in cui le configurazioni di sicurezza vengono distribuite, pur mantenendo il controllo centrale sulle impostazioni di sicurezza critiche.

Caratteristiche e vantaggi principali

Le policy di Security Hub forniscono un set completo di funzionalità che aiutano a gestire e applicare le configurazioni di sicurezza in tutta l'organizzazione AWS . Queste funzionalità semplificano la gestione della sicurezza garantendo al contempo un controllo costante sull'ambiente multi-account.

  • Attiva centralmente Security Hub su tutti gli account e le regioni della tua organizzazione

  • Crea politiche di sicurezza che definiscano la configurazione di sicurezza tra account e OUs

  • Applica automaticamente le configurazioni di sicurezza ai nuovi account quando entrano a far parte della tua organizzazione

  • Garantisci impostazioni di sicurezza coerenti in tutta l'organizzazione

  • Impedisci agli account dei membri di modificare le configurazioni di sicurezza a livello di organizzazione

Cosa sono le politiche del Security Hub?

Le policy di Security Hub sono AWS Organizations policy che forniscono il controllo centralizzato sulle configurazioni di sicurezza tra gli account dell'organizzazione. Queste policy si integrano perfettamente AWS Organizations per aiutarti a stabilire e mantenere standard di sicurezza coerenti in tutto l'ambiente con più account.

Quando si implementano le policy di Security Hub, si ottiene la possibilità di definire configurazioni di sicurezza specifiche che si propagano automaticamente all'interno dell'organizzazione. Ciò garantisce che tutti gli account, compresi quelli appena creati, siano in linea con i requisiti di sicurezza e le migliori pratiche dell'organizzazione.

Queste politiche aiutano anche a mantenere la conformità applicando controlli di sicurezza coerenti e impedendo ai singoli account di modificare le impostazioni di sicurezza a livello di organizzazione. Questo approccio centralizzato riduce in modo significativo il sovraccarico amministrativo legato alla gestione delle configurazioni di sicurezza in ambienti complessi e di grandi dimensioni. AWS

Come funzionano le policy di Security Hub

Quando alleghi una policy di Security Hub alla tua organizzazione o unità organizzativa, valuta AWS Organizations automaticamente la policy e la applica in base all'ambito definito. Il processo di applicazione delle policy segue regole specifiche per la risoluzione dei conflitti:

Quando le regioni compaiono sia negli elenchi di attivazione che in quelli di disabilitazione, la configurazione di disabilitazione ha la precedenza. Ad esempio, se una regione è elencata sia nelle configurazioni di attivazione che di disabilitazione, Security Hub verrà disabilitato in quella regione.

Quando ALL_SUPPORTED viene specificata l'abilitazione, Security Hub è abilitato in tutte le regioni attuali e future a meno che non sia disabilitato esplicitamente. Ciò consente di mantenere una copertura di sicurezza completa man mano che AWS si espande in nuove regioni.

Le politiche per i figli possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà, consentendo un controllo granulare a diversi livelli organizzativi. Questo approccio gerarchico garantisce che unità organizzative specifiche possano personalizzare le proprie impostazioni di sicurezza mantenendo i controlli di base.

Terminologia

In questo argomento vengono utilizzati i seguenti termini per discutere delle politiche di Security Hub.

Terminologia delle policy di Security Hub
Termine Definizione
Policy operativa La politica finale che si applica a un account dopo aver combinato tutte le politiche ereditate.
Ereditarietà delle policy Processo mediante il quale gli account ereditano le politiche dalle unità organizzative principali.
Amministratore delegato Un account designato per gestire le politiche del Security Hub per conto dell'organizzazione.
Ruolo collegato al servizio Un ruolo IAM che consente a Security Hub di interagire con altri AWS servizi.

Casi d'uso per le policy di Security Hub

Le policy di Security Hub risolvono le sfide più comuni di gestione della sicurezza in ambienti con più account. I seguenti casi d'uso dimostrano come le organizzazioni in genere implementano queste politiche per migliorare il proprio livello di sicurezza.

Caso d'uso di esempio: requisiti di conformità regionali

Una multinazionale necessita di diverse configurazioni di Security Hub per diverse aree geografiche. Creano una politica principale che abilita Security Hub in tutte le regioni utilizzandoALL_SUPPORTED, quindi utilizzano politiche secondarie per disabilitare aree specifiche in cui sono richiesti controlli di sicurezza diversi. Ciò consente loro di mantenere la conformità alle normative regionali garantendo al contempo una copertura di sicurezza completa.

Caso d'uso di esempio: standard di sicurezza del team di sviluppo

Un'organizzazione di sviluppo software implementa le politiche del Security Hub che consentono il monitoraggio nelle aree di produzione mantenendo le aree di sviluppo non gestite. Nelle proprie politiche utilizzano elenchi di regioni espliciti anziché ALL_SUPPORTED mantenere un controllo preciso sulla copertura del monitoraggio della sicurezza. Questo approccio consente loro di applicare controlli di sicurezza più rigorosi negli ambienti di produzione, mantenendo al contempo la flessibilità nelle aree di sviluppo.

Ereditarietà e applicazione delle politiche

Comprendere come le politiche vengono ereditate e applicate è fondamentale per una gestione efficace della sicurezza in tutta l'organizzazione. Il modello di ereditarietà segue la AWS Organizations gerarchia, garantendo un'applicazione delle policy prevedibile e coerente.

  • Le politiche allegate a livello principale si applicano a tutti gli account

  • Gli account ereditano le politiche dalle unità organizzative principali

  • È possibile applicare più politiche a un singolo account

  • Le politiche più specifiche (più vicine all'account nella gerarchia) hanno la precedenza

Convalida di policy

Quando si creano le policy di Security Hub, si verificano le seguenti convalide:

  • I nomi delle regioni devono essere identificatori di AWS regione validi

  • Le aree devono essere supportate da Security Hub

  • La struttura delle politiche deve seguire le AWS Organizations regole di sintassi delle politiche

  • Entrambi enable_in_regions gli disable_in_regions elenchi devono essere presenti, sebbene possano essere vuoti

Considerazioni regionali e regioni supportate

Le policy di Security Hub operano in più regioni e richiedono un'attenta considerazione dei requisiti di sicurezza globali. La comprensione del comportamento regionale consente di implementare controlli di sicurezza efficaci in tutta la presenza globale dell'organizzazione.

  • L'applicazione delle politiche avviene in ogni regione in modo indipendente

  • Puoi specificare quali regioni includere o escludere nelle tue politiche

  • Le nuove regioni vengono incluse automaticamente quando si utilizza l'ALL_SUPPORTEDopzione

  • Le politiche si applicano solo alle regioni in cui è disponibile Security Hub

Passaggi successivi

Per iniziare a usare le policy di Security Hub:

  1. Consulta i prerequisiti nella Guida introduttiva alle politiche di Security Hub

  2. Pianifica la tua strategia politica utilizzando la nostra guida alle migliori pratiche

  3. Scopri la sintassi delle policy e visualizza esempi di policy