Security Hub CSPM 政策 - AWS Organizations
主要功能和优势什么是 Security Hub CSPM 政策?Security Hub CSPM 策略的工作原理术语Security Hub CSPM 策略的用例策略继承和强制执行策略验证区域注意事项和支持的区域后续步骤

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub CSPM 政策

AWS Security Hub CSPM 策略为安全团队提供了一种集中式方法来管理其中的安全配置 AWS Organizations。利用这些策略,您可以通过集中配置机制建立和维护一致的安全控制措施。通过这种集成,您可以通过创建符合组织安全要求的策略并将其集中应用于各个账户和组织部门(OUs)来填补安全覆盖的漏洞。

Security Hub CSPM 策略与完全集成 AWS Organizations,允许管理账户或受托管理员定义和强制执行安全配置。当有账户加入您的组织时,它们会根据其在组织层次结构中的位置自动继承适用的策略。这样可以确保在组织不断发展的过程中,您的安全标准得到始终一致的应用。这些策略尊重现有的组织结构,灵活地分配安全配置,同时保持对关键安全设置的集中控制。

主要功能和优势

Security Hub CSPM 策略提供了一套全面的功能,可帮助您在 AWS 整个组织中管理和实施安全配置。这些功能简化了安全管理,同时确保对多账户环境实施一致的控制。

  • 在组织中跨账户和区域集中启用 Security Hub CSPM

  • 创建安全策略来定义您的跨账户的安全配置 OUs

  • 新账户加入组织时,会自动应用安全配置

  • 确保整个组织内安全设置的一致性

  • 防止成员账户修改组织级别的安全配置

什么是 Security Hub CSPM 政策?

Security Hub CSPM AWS Organizations 策略是提供对组织账户中安全配置的集中控制的策略。这些策略与 AWS Organizations 无缝协作,帮助您在多账户环境中建立和维护一致的安全标准。

在实施 Security Hub CSPM 策略时,您将能够定义在整个组织中自动传播的特定安全配置。这样可以确保所有账户(包括新创建的账户)都符合组织的安全要求和最佳实践。

这些策略还能够强制执行一致的安全控制措施并防止个人账户修改组织级别的安全设置,从而帮助您保持合规性。这种集中式方法大大减少了在大型复杂 AWS 环境中管理安全配置的管理开销。

Security Hub CSPM 策略的工作原理

当您将 Security Hub CSPM 策略附加到您的组织或组织单位时, AWS Organizations 会自动评估该策略并根据您定义的范围进行应用。策略执行过程遵循特定的冲突解决规则:

区域同时出现在启用和禁用列表中时,禁用配置优先。例如,如果在启用和禁用配置中都列出了某个区域,则该区域的 Security Hub CSPM 将被禁用。

如果指定启用,ALL_SUPPORTED则除非明确禁用 Security Hub CSPM,否则将在所有当前和将来的地区启用 Security Hub CSPM。这使您能够在 AWS 扩展到新区域时保持全面的安全保障。

子策略可以使用继承运算符修改父策略设置,从而允许在不同的组织级别实现精细控制。这种分层方法可确保特定的组织单元在保持基准控制的同时,可以自定义其安全设置。

术语

本主题在讨论 Security Hub CSPM 策略时使用以下术语。

Security Hub 策略术语
租期 定义
有效策略 合并所有继承的策略后,应用于某个账户的最终策略。
策略继承 账户从父级组织单元继承策略的过程。
委派管理员 指定代表组织管理 Security Hub CSPM 策略的账户。
服务相关角色 一个 IAM 角色,允许 Security Hub CSPM 与其他 AWS 服务进行交互。

Security Hub CSPM 策略的用例

Security Hub CSPM 策略解决了多账户环境中常见的安全管理难题。以下使用案例演示了组织通常如何实施这些策略来增强其安全状况。

示例使用案例:区域合规性要求

一家跨国公司需要针对不同的地理区域使用不同的 Security Hub CSPM 配置。他们使用创建父策略,在所有地区启用 Security Hub CSPMALL_SUPPORTED,然后使用子策略禁用需要不同安全控制的特定区域。这样,他们既能够遵守地区法规,又能确保全面的安全覆盖范围。

示例使用案例:开发团队安全标准

软件开发组织实施 Security Hub CSPM 策略,这些策略允许在生产区域进行监控,同时保持开发区域不受管理。他们在策略中使用明确的区域列表而不是 ALL_SUPPORTED,以精确控制安全监控的覆盖范围。使用这种方法,他们能够在生产环境中实施更严格的安全控制,同时保持开发领域具有灵活性。

策略继承和强制执行

了解策略的继承和执行方式对于在整个组织中实现有效的安全管理至关重要。继承模型遵循 AWS Organizations 层次结构,确保策略应用的可预测性和一致性。

  • 在根级别附加的策略适用于所有账户

  • 账户从其父级组织单元继承策略

  • 多个策略可应用于单个账户

  • 更具体的策略(层次结构中更接近账户的策略)优先级更高

策略验证

创建 Security Hub CSPM 策略时,会进行以下验证:

  • 区域名称必须是有效的 AWS 区域标识符

  • Security Hub CSPM 必须支持区域

  • 策略结构必须遵循 AWS Organizations 策略语法规则

  • 必须同时存在 enable_in_regionsdisable_in_regions 列表,但这两个列表都可以为空

区域注意事项和支持的区域

Security Hub CSPM 策略跨多个区域运行,因此需要仔细考虑您的全球安全需求。了解区域行为有助于您在组织的全局范围内实施有效的安全控制。

  • 策略在每个区域内独立执行

  • 您可以指定在策略中包括或排除哪些区域

  • 使用 ALL_SUPPORTED 选项时,新区域将自动包含在内

  • 政策仅适用于提供 Security Hub CSPM 的地区

后续步骤

要开始使用 Security Hub CSPM 策略,请执行以下操作:

  1. 查看 Security Hub CSPM 策略入门中的先决条件

  2. 使用我们的最佳实践指南规划您的策略

  3. 了解策略语法并查看示例策略