Security Hub 政策 - AWS Organizations

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Security Hub 政策

AWS Security Hub 策略为安全团队提供了一种集中式方法来管理其中的安全配置 AWS Organizations。通过利用这些策略,您可以通过中央配置机制建立和维护一致的安全控制。通过这种集成,您可以通过创建符合组织安全要求的策略并将其集中应用于各个账户和组织部门(OUs)来解决安全覆盖范围的漏洞。

Security Hub 策略与完全集成 AWS Organizations,允许管理账户或受托管理员定义和强制执行安全配置。当账户加入您的组织时,他们会根据其在组织层次结构中的位置自动继承适用的政策。这样可以确保您的安全标准随着组织的发展而始终如一地得到应用。这些策略尊重现有的组织结构,为安全配置的分布方式提供了灵活性,同时保持了对关键安全设置的集中控制。

主要功能和优势

Security Hub 策略提供了一套全面的功能,可帮助您在整个 AWS 组织中管理和实施安全配置。这些功能简化了安全管理,同时确保了对多账户环境的一致控制。

  • 在组织中跨账户和区域集中启用 Security Hub

  • 创建安全策略来定义您的跨账户的安全配置 OUs

  • 在新账户加入您的组织时自动将安全配置应用于他们

  • 确保整个组织的安全设置保持一致

  • 防止成员账户修改组织级别的安全配置

什么是 Security Hub 政策?

Security Hub AWS Organizations 策略是对组织账户中的安全配置进行集中控制的策略。这些政策无缝配合 AWS Organizations ,可帮助您在整个多账户环境中建立和维护一致的安全标准。

在实施 Security Hub 策略时,您将能够定义在整个组织中自动传播的特定安全配置。这样可以确保所有账户(包括新创建的账户)都符合贵组织的安全要求和最佳实践。

这些策略还可以通过实施一致的安全控制措施和防止个人账户修改组织级别的安全设置来帮助您保持合规性。这种集中式方法大大减少了在大型复杂 AWS 环境中管理安全配置的管理开销。

Security Hub 策略的工作原理

当您将 Security Hub 策略附加到您的组织或组织单位时, AWS Organizations 会自动评估该策略并根据您定义的范围进行应用。策略执行过程遵循特定的冲突解决规则:

当区域同时出现在启用和禁用列表中时,禁用配置优先。例如,如果在启用和禁用配置中都列出了某个区域,则该区域的 Security Hub 将被禁用。

如果指定启用,ALL_SUPPORTED则除非明确禁用 Security Hub,否则将在所有当前和将来的地区启用 Security Hub。这使您能够在 AWS 扩展到新区域时保持全面的安全保障。

子策略可以使用继承运算符修改父策略设置,从而允许在不同的组织级别进行精细控制。这种分层方法可确保特定的组织单位可以在保持基本控制的同时自定义其安全设置。

术语

本主题在讨论 Security Hub 策略时使用以下术语。

Security Hub 策略术语
租期 定义
有效策略 合并所有继承的策略后适用于账户的最终策略。
策略继承 账户从上级组织单位继承策略的过程。
委派管理员 指定代表组织管理 Security Hub 策略的账户。
服务相关角色 允许 Security Hub 与其他 AWS 服务进行交互的 IAM 角色。

Security Hub 策略的用例

Security Hub 策略解决了多账户环境中常见的安全管理难题。以下用例演示了组织通常如何实施这些策略来增强其安全状况。

用例示例:地区合规性要求

跨国公司需要针对不同的地理区域使用不同的 Security Hub 配置。他们使用创建在所有区域启用 Security Hub 的父策略ALL_SUPPORTED,然后使用子策略禁用需要不同安全控制的特定区域。这使他们能够遵守地区法规,同时确保全面的安全保障。

示例用例:开发团队安全标准

软件开发组织实施 Security Hub 策略,允许在生产区域进行监控,同时保持开发区域不受管理。他们在策略中使用明确的区域列表,而不是ALL_SUPPORTED对安全监控覆盖范围进行精确控制。这种方法使他们能够在生产环境中实施更严格的安全控制,同时保持开发领域的灵活性。

策略继承和执行

了解策略是如何继承和执行的,对于整个组织进行有效的安全管理至关重要。继承模型遵循 AWS Organizations 层次结构,确保策略应用的可预测性和一致性。

  • 在根级别附加的策略适用于所有账户

  • 账户继承其上级组织单位的政策

  • 多个政策可以适用于一个账户

  • 更具体的策略(更接近层次结构中的账户)优先

策略验证

创建 Security Hub 策略时,需要进行以下验证:

  • 区域名称必须是有效的 AWS 区域标识符

  • Security Hub 必须支持区域

  • 策略结构必须遵循 AWS Organizations 策略语法规则

  • enable_in_regionsdisable_in_regions列表必须同时存在,但它们可以为空

区域注意事项和支持的区域

Security Hub 策略跨多个区域运行,因此需要仔细考虑您的全球安全需求。了解区域行为有助于您在组织的全球范围内实施有效的安全控制。

  • 每个地区都独立实施政策

  • 您可以指定要在您的政策中包括或排除哪些区域

  • 使用该ALL_SUPPORTED选项时会自动包含新区域

  • 政策仅适用于提供 Security Hub 的区域

后续步骤

要开始使用 Security Hub 策略,请执行以下操作:

  1. 查看 Security Hub 策略入门中的先决条件

  2. 使用我们的最佳实践指南规划您的政策策略

  3. 了解策略语法并查看策略示例