本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用 Security Hub 策略的最佳实践
在整个组织中实施 Security Hub 策略时,遵循既定的最佳实践有助于确保成功部署和维护安全配置。这些指南专门针对了 Security Hub 策略管理和实施的独特方面 Amazon Organizations。
策略设计原则
在创建 Security Hub 策略之前,请先确立明确的策略结构原则。保持策略简洁明了,避免使用复杂的交叉属性或嵌套规则,以免难以确定最终结果。首先在组织根级别制定宽泛策略,然后根据需要通过子策略进行细化。
考虑策略性地使用空区域列表。如果您只需要在特定区域禁用 Security Hub,则可以将 enable_in_regions 留空,或者将 disable_in_regions 留空以使某些区域不受策略管理。这种灵活性有助于您精确控制安全监控的覆盖范围。
区域管理策略
在通过 Security Hub 策略管理区域时,请考虑这些经验证的方法。如果您想要自动将未来区域纳入安全覆盖范围,请使用 ALL_SUPPORTED。要进行更精细的控制,请明确列出区域而不是依赖 ALL_SUPPORTED,尤其是在不同区域需要不同安全配置的情况下。
记录您的区域特定要求,特别是:
-
需要特定配置的合规性规定区域
-
开发环境与生产环境存在差异
-
有特殊注意事项的选择加入区域
-
必须禁用 Security Hub 的区域
策略继承规划
仔细规划您的策略继承结构,在保持有效安全控制的同时兼顾必要的灵活性。记录哪些组织单元可以修改继承的策略以及允许进行哪些修改。当您需要强制执行严格的安全控制措施时,可以考虑在父级限制继承运算符(@@assign、@@append、@@remove)。
监控和验证
实施定期监控措施,确保您的策略持续有效。定期审查策略附件,尤其是在组织发生变更之后。验证区域配置是否符合您的预期安全覆盖范围,尤其是在使用 ALL_SUPPORTED 或管理多个区域列表时。
对策略进行问题排查
在对 Security Hub 策略进行问题排查时,首先要关注策略优先级和策略继承。请记住,如果区域出现在两个列表中,禁用配置的优先级高于启用配置。检查策略继承链,了解父策略和子策略如何组合起来为每个账户创建有效策略。