View a markdown version of this page

Práticas recomendadas para políticas do Security Hub - AWS Organizations
Princípios de design de políticaEstratégias de gerenciamento de regiãoPlanejamento de herança de políticaMonitoramento e validaçãoEstratégias para solucionar problemas

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Práticas recomendadas para políticas do Security Hub

Ao implementar políticas do Security Hub em sua organização, seguir as práticas recomendadas estabelecidas ajuda a garantir a implantação e a manutenção bem-sucedidas de suas configurações de segurança. Essas diretrizes abordam especificamente os aspectos exclusivos do gerenciamento e aplicação de políticas do Security Hub AWS Organizations.

Princípios de design de política

Antes de criar políticas do Security Hub, estabeleça princípios claros para sua estrutura de políticas. Mantenha as políticas simples e evite regras complexas de atributos cruzados ou aninhadas que dificultam a determinação do resultado final. Comece com políticas amplas no nível raiz da organização e refine-as por meio de políticas secundárias, quando necessário.

Considere usar listas de regiões vazias de forma estratégica. Você pode deixar enable_in_regions em branco quando precisar apenas desativar o Security Hub em regiões específicas ou deixar disable_in_regions em branco para manter as regiões não gerenciadas pela política. Essa flexibilidade ajuda você a manter um controle preciso sobre sua cobertura de monitoramento de segurança.

Estratégias de gerenciamento de região

Ao gerenciar regiões por meio de políticas do Security Hub, considere essas abordagens comprovadas. Use ALL_SUPPORTED quando quiser incluir automaticamente futuras regiões em sua cobertura de segurança. Para um controle mais preciso, liste explicitamente as regiões em vez de usar ALL_SUPPORTED, especialmente quando diferentes regiões exigem configurações de segurança diferentes.

Documente os requisitos específicos de sua região, especialmente para:

  • Regiões exigidas pela conformidade que exigem configurações específicas

  • Diferenças entre desenvolvimento e ambiente de produção

  • Regiões opcionais com considerações especiais

  • Regiões em que o Security Hub deve permanecer desativado

Planejamento de herança de política

Planeje cuidadosamente sua estrutura de herança de políticas para manter um controle de segurança eficaz e, ao mesmo tempo, permitir a flexibilidade necessária. Documente quais unidades organizacionais podem modificar políticas herdadas e quais modificações são permitidas. Considere restringir os operadores de herança (@@assign, @@append, @@remove) nos níveis principais quando precisar aplicar controles de segurança rígidos.

Monitoramento e validação

Implemente práticas regulares de monitoramento para garantir que suas políticas permaneçam efetivas. Revise os anexos da política periodicamente, especialmente após mudanças organizacionais. Valide se as configurações de região correspondem à cobertura de segurança pretendida, especialmente ao usar ALL_SUPPORTED ou ao gerenciar várias listas de regiões.

Estratégias para solucionar problemas

Ao solucionar problemas de políticas do Security Hub, concentre-se primeiro na precedência e herança das políticas. Lembre-se de que as configurações de desativação têm precedência sobre as configurações de ativação quando as regiões aparecem nas duas listas. Verifique as cadeias de herança de políticas para entender como as políticas de pais e filhos se combinam para criar uma política eficaz para cada conta.