Políticas do Security Hub - AWS Organizations
Principais atributos e benefíciosQuais são as políticas do Security Hub?Como as políticas do Security Hub funcionamTerminologiaCasos de uso das políticas do Security HubHerança e aplicação de políticasValidação de políticasConsiderações regionais e regiões apoiadasPróximas etapas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Políticas do Security Hub

AWS Security Hub as políticas fornecem às equipes de segurança uma abordagem centralizada para gerenciar as configurações de segurança em todos os seus. AWS Organizations Ao aproveitar essas políticas, você pode estabelecer e manter controles de segurança consistentes por meio de um mecanismo de configuração central. Essa integração permite que você resolva as lacunas de cobertura de segurança criando políticas alinhadas aos requisitos de segurança da sua organização e aplicando-as centralmente em todas as contas e unidades organizacionais ()OUs.

As políticas do Security Hub são totalmente integradas AWS Organizations, permitindo que contas de gerenciamento ou administradores delegados definam e apliquem configurações de segurança. Quando as contas ingressam na sua organização, elas herdam automaticamente as políticas aplicáveis com base em sua localização na hierarquia organizacional. Isso garante que seus padrões de segurança sejam aplicados de forma consistente à medida que sua organização cresce. As políticas respeitam as estruturas organizacionais existentes e oferecem flexibilidade na forma como as configurações de segurança são distribuídas, mantendo o controle central sobre as configurações críticas de segurança.

Principais atributos e benefícios

As políticas do Security Hub fornecem um conjunto abrangente de recursos que ajudam você a gerenciar e aplicar configurações de segurança em toda a organização AWS . Esses recursos simplificam o gerenciamento de segurança e, ao mesmo tempo, garantem um controle consistente sobre seu ambiente de várias contas.

  • Ative centralmente o Security Hub em todas as contas e regiões da sua organização

  • Crie políticas de segurança que definam sua configuração de segurança em todas as contas e OUs

  • Aplique automaticamente as configurações de segurança às novas contas quando elas ingressarem na sua organização

  • Garanta configurações de segurança consistentes em toda a sua organização

  • Impedir que as contas dos membros modifiquem as configurações de segurança no nível da organização

Quais são as políticas do Security Hub?

As políticas do Security Hub são AWS Organizations políticas que fornecem controle centralizado sobre as configurações de segurança nas contas da sua organização. Essas políticas funcionam perfeitamente AWS Organizations para ajudá-lo a estabelecer e manter padrões de segurança consistentes em todo o seu ambiente de várias contas.

Ao implementar as políticas do Security Hub, você ganha a capacidade de definir configurações de segurança específicas que se propagam automaticamente pela sua organização. Isso garante que todas as contas, inclusive as recém-criadas, estejam alinhadas aos requisitos de segurança e às melhores práticas da sua organização.

Essas políticas também ajudam você a manter a conformidade, aplicando controles de segurança consistentes e impedindo que contas individuais modifiquem as configurações de segurança no nível da organização. Essa abordagem centralizada reduz significativamente a sobrecarga administrativa do gerenciamento de configurações de segurança em ambientes grandes e complexos. AWS

Como as políticas do Security Hub funcionam

Quando você anexa uma política do Security Hub à sua organização ou unidade organizacional, avalia AWS Organizations automaticamente a política e a aplica com base no escopo definido. O processo de aplicação da política segue regras específicas de resolução de conflitos:

Quando as regiões aparecem nas listas de ativação e desativação, a configuração de desativação tem precedência. Por exemplo, se uma região estiver listada nas configurações de ativação e desativação, o Security Hub será desativado nessa região.

Quando ALL_SUPPORTED é especificado para ativação, o Security Hub é ativado em todas as regiões atuais e futuras, a menos que seja explicitamente desativado. Isso permite que você mantenha uma cobertura de segurança abrangente à medida que AWS se expande para novas regiões.

As políticas secundárias podem modificar as configurações da política principal usando operadores de herança, permitindo um controle granular em diferentes níveis organizacionais. Essa abordagem hierárquica garante que unidades organizacionais específicas possam personalizar suas configurações de segurança enquanto mantêm os controles básicos.

Terminologia

Este tópico usa os seguintes termos ao discutir as políticas do Security Hub.

Terminologia da política do Security Hub
Prazo Definição
Política eficaz A política final que se aplica a uma conta depois de combinar todas as políticas herdadas.
Herança de política O processo pelo qual as contas herdam políticas das unidades organizacionais principais.
Administrador delegado Uma conta designada para gerenciar as políticas do Security Hub em nome da organização.
Perfil vinculado a serviço Uma função do IAM que permite que o Security Hub interaja com outros AWS serviços.

Casos de uso das políticas do Security Hub

As políticas do Security Hub abordam desafios comuns de gerenciamento de segurança em ambientes com várias contas. Os casos de uso a seguir demonstram como as organizações normalmente implementam essas políticas para aprimorar sua postura de segurança.

Exemplo de caso de uso: requisitos regionais de conformidade

Uma empresa multinacional precisa de diferentes configurações do Security Hub para diferentes regiões geográficas. Eles criam uma política principal que habilita o Security Hub em todas as regiões usando eALL_SUPPORTED, em seguida, usam políticas secundárias para desabilitar regiões específicas onde diferentes controles de segurança são necessários. Isso permite que eles mantenham a conformidade com os regulamentos regionais e, ao mesmo tempo, garantam uma cobertura de segurança abrangente.

Exemplo de caso de uso: padrões de segurança da equipe de desenvolvimento

Uma organização de desenvolvimento de software implementa políticas do Security Hub que permitem o monitoramento nas regiões de produção e, ao mesmo tempo, mantêm as regiões de desenvolvimento sem gerenciamento. Eles usam listas de regiões explícitas em suas políticas, em vez de ALL_SUPPORTED manter um controle preciso sobre a cobertura do monitoramento de segurança. Essa abordagem permite que eles apliquem controles de segurança mais rígidos em ambientes de produção e, ao mesmo tempo, mantenham a flexibilidade nas áreas de desenvolvimento.

Herança e aplicação de políticas

Entender como as políticas são herdadas e aplicadas é crucial para o gerenciamento eficaz da segurança em toda a organização. O modelo de herança segue a AWS Organizations hierarquia, garantindo uma aplicação previsível e consistente da política.

  • As políticas anexadas no nível raiz se aplicam a todas as contas

  • As contas herdam políticas de suas unidades organizacionais principais

  • Várias políticas podem ser aplicadas a uma única conta

  • Políticas mais específicas (mais próximas da conta na hierarquia) têm precedência

Validação de políticas

Ao criar políticas do Security Hub, as seguintes validações ocorrem:

  • Os nomes das regiões devem ser identificadores de AWS região válidos

  • As regiões devem ser suportadas pelo Security Hub

  • A estrutura da política deve seguir as regras AWS Organizations de sintaxe da política

  • Ambas enable_in_regions e disable_in_regions as listas devem estar presentes, embora possam estar vazias

Considerações regionais e regiões apoiadas

As políticas do Security Hub operam em várias regiões, exigindo uma análise cuidadosa de seus requisitos globais de segurança. Compreender o comportamento regional ajuda você a implementar controles de segurança eficazes em toda a presença global da sua organização.

  • A aplicação da política ocorre em cada região de forma independente

  • Você pode especificar quais regiões incluir ou excluir em suas políticas

  • Novas regiões são incluídas automaticamente ao usar a ALL_SUPPORTED opção

  • As políticas se aplicam somente às regiões em que o Security Hub está disponível

Próximas etapas

Para começar a usar as políticas do Security Hub:

  1. Analise os pré-requisitos em Introdução às políticas do Security Hub

  2. Planeje sua estratégia política usando nosso guia de melhores práticas

  3. Saiba mais sobre a sintaxe de políticas e veja exemplos de políticas