Security Hub 政策 - AWS Organizations
主要功能和優點什麼是 Security Hub 政策?Security Hub 政策的運作方式術語Security Hub 政策的使用案例政策繼承和強制執行政策驗證區域考量事項和支援的區域後續步驟

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Security Hub 政策

AWS Security Hub 政策為安全團隊提供集中式方法來管理整個安全組態 AWS Organizations。透過利用這些政策,您可以透過中央組態機制建立和維護一致的安全控制。此整合可讓您建立符合您組織安全需求的政策,並將這些政策集中套用至帳戶和組織單位 (OUs),以解決安全涵蓋範圍漏洞。

Security Hub 政策已與 完全整合 AWS Organizations,允許管理帳戶或委派管理員定義和強制執行安全組態。當帳戶加入您的組織時,他們會根據其在組織階層中的位置自動繼承適用的政策。這可確保您的安全標準會隨著組織的成長而一致套用。這些政策會遵守現有的組織結構,並在安全組態的分佈方式方面提供彈性,同時維持對關鍵安全設定的集中控制。

主要功能和優點

Security Hub 政策提供一組完整的功能,可協助您在整個 AWS 組織中管理和強制執行安全組態。這些功能可簡化安全管理,同時確保對多帳戶環境的一致控制。

  • 在您的組織中跨帳戶和區域集中啟用 Security Hub

  • 建立安全政策,以跨帳戶和 OUs 定義您的安全組態

  • 加入您的組織時,自動將安全組態套用至新帳戶

  • 確保整個組織的安全設定一致

  • 防止成員帳戶修改組織層級的安全組態

什麼是 Security Hub 政策?

Security Hub 政策是 AWS Organizations 政策,可讓您集中控制整個組織帳戶的安全組態。這些政策可與 無縫搭配 AWS Organizations ,協助您在整個多帳戶環境中建立和維護一致的安全標準。

當您實作 Security Hub 政策時,您可以定義特定安全組態,以自動在整個組織中傳播。這可確保所有帳戶,包括新建立的帳戶,都符合您組織的安全需求和最佳實務。

這些政策也透過強制執行一致的安全控制,並防止個別帳戶修改組織層級的安全設定,來協助您維持合規。這種集中式方法可大幅降低管理大型複雜 AWS 環境中安全組態的管理開銷。

Security Hub 政策的運作方式

當您將 Security Hub 政策連接至組織或組織單位時, AWS Organizations 會自動評估政策,並根據您定義的範圍套用政策。政策強制執行程序遵循特定的衝突解決規則:

當區域同時出現在啟用和停用清單中時,停用組態優先。例如,如果啟用和停用組態中同時列出一個區域,則 Security Hub 將在該區域中停用。

ALL_SUPPORTED 指定為啟用時,除非明確停用,否則所有目前和未來的區域都會啟用 Security Hub。這可讓您在 AWS 擴展到新區域時維持全面的安全涵蓋範圍。

子政策可以使用繼承運算子修改父政策設定,允許在不同組織層級進行精細控制。這種階層方法可確保特定組織單位可以自訂其安全設定,同時維護基準控制。

術語

本主題會在討論 Security Hub 政策時使用下列術語。

Security Hub 政策術語
術語 定義
有效政策 合併所有繼承的政策後,套用至帳戶的最終政策。
政策繼承 帳戶從父組織單位繼承政策的程序。
委派的管理員 指定代表組織管理 Security Hub 政策的帳戶。
服務連結角色 允許 Security Hub 與其他 AWS 服務互動的 IAM 角色。

Security Hub 政策的使用案例

Security Hub 政策可解決多帳戶環境中常見的安全管理挑戰。下列使用案例示範組織通常如何實作這些政策,以增強其安全狀態。

範例使用案例:區域合規要求

跨國公司需要不同地理區域的不同 Security Hub 組態。他們會使用 在所有區域中建立啟用 Security Hub 的父政策ALL_SUPPORTED,然後使用子政策來停用需要不同安全控制的特定區域。這可讓他們保持符合區域法規,同時確保全面的安全涵蓋範圍。

範例使用案例:開發團隊安全標準

軟體開發組織實作 Security Hub 政策,在生產區域中啟用監控,同時不管理開發區域。他們在政策中使用明確的區域清單ALL_SUPPORTED,而不是維持對安全監控涵蓋範圍的精確控制。這種方法允許他們在生產環境中強制執行更嚴格的安全控制,同時在開發領域保持靈活性。

政策繼承和強制執行

了解政策如何繼承和強制執行對於整個組織的有效安全管理至關重要。繼承模型遵循 AWS Organizations 階層,確保可預測且一致的政策應用程式。

  • 連接到根層級的政策適用於所有帳戶

  • 帳戶從其父組織單位繼承政策

  • 多個政策可以套用至單一帳戶

  • 更具體的政策 (更接近階層中的帳戶) 優先

政策驗證

建立 Security Hub 政策時,會發生下列驗證:

  • 區域名稱必須是有效的 AWS 區域識別符

  • Security Hub 必須支援區域

  • 政策結構必須遵循 AWS Organizations 政策語法規則

  • enable_in_regionsdisable_in_regions清單都必須存在,但可以是空的

區域考量事項和支援的區域

Security Hub 政策跨多個區域運作,需要仔細考慮您的全球安全需求。了解區域行為可協助您在整個組織的全球足跡中實作有效的安全控制。

  • 政策強制執行會在每個區域中獨立執行

  • 您可以指定要在政策中包含或排除的區域

  • 使用 ALL_SUPPORTED選項時,會自動包含新區域

  • 政策僅適用於可使用 Security Hub 的區域

後續步驟

若要開始使用 Security Hub 政策:

  1. 檢閱 Security Hub 政策入門中的先決條件

  2. 使用我們的最佳實務指南來規劃您的政策策略

  3. 了解政策語法並檢視範例政策