Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Politiche CSPM di Security Hub
AWS Security Hub CSPM le politiche forniscono ai team addetti alla sicurezza un approccio centralizzato alla gestione delle configurazioni di sicurezza su tutti i loro sistemi. AWS Organizations Sfruttando queste politiche, è possibile stabilire e mantenere controlli di sicurezza coerenti attraverso un meccanismo di configurazione centrale. Questa integrazione consente di colmare le lacune nella copertura di sicurezza creando politiche in linea con i requisiti di sicurezza dell'organizzazione e applicandole centralmente a tutti gli account e le unità organizzative (). OUs
Le policy CSPM di Security Hub sono completamente integrate e consentono agli account di gestione o agli amministratori delegati di definire e applicare le configurazioni di sicurezza. AWS Organizations Quando gli account entrano a far parte dell'organizzazione, ereditano automaticamente le politiche applicabili in base alla loro posizione nella gerarchia organizzativa. Ciò garantisce che gli standard di sicurezza vengano applicati in modo coerente man mano che l'organizzazione cresce. Le politiche rispettano le strutture organizzative esistenti e offrono flessibilità nel modo in cui le configurazioni di sicurezza vengono distribuite, pur mantenendo il controllo centrale sulle impostazioni di sicurezza critiche.
Caratteristiche e vantaggi principali
Le policy CSPM di Security Hub forniscono un set completo di funzionalità che aiutano a gestire e applicare le configurazioni di sicurezza in tutta l'organizzazione. AWS Queste funzionalità semplificano la gestione della sicurezza garantendo al contempo un controllo costante sull'ambiente con più account.
-
Abilita centralmente Security Hub CSPM su tutti gli account e le regioni dell'organizzazione
-
Crea politiche di sicurezza che definiscono la configurazione di sicurezza tra account e OUs
-
Applica automaticamente le configurazioni di sicurezza ai nuovi account quando entrano a far parte della tua organizzazione
-
Garantisci impostazioni di sicurezza coerenti in tutta l'organizzazione
-
Impedisci agli account dei membri di modificare le configurazioni di sicurezza a livello di organizzazione
Cosa sono le politiche CSPM di Security Hub?
Le policy CSPM di Security Hub sono AWS Organizations policy che forniscono il controllo centralizzato sulle configurazioni di sicurezza tra gli account dell'organizzazione. Queste politiche si integrano perfettamente AWS Organizations per aiutarti a stabilire e mantenere standard di sicurezza coerenti in tutto l'ambiente con più account.
Quando si implementano le politiche CSPM di Security Hub, si ottiene la capacità di definire configurazioni di sicurezza specifiche che si propagano automaticamente all'interno dell'organizzazione. Ciò garantisce che tutti gli account, compresi quelli appena creati, siano in linea con i requisiti di sicurezza e le migliori pratiche dell'organizzazione.
Queste politiche aiutano anche a mantenere la conformità applicando controlli di sicurezza coerenti e impedendo ai singoli account di modificare le impostazioni di sicurezza a livello di organizzazione. Questo approccio centralizzato riduce in modo significativo il sovraccarico amministrativo legato alla gestione delle configurazioni di sicurezza in ambienti complessi e di grandi dimensioni. AWS
Come funzionano le politiche CSPM di Security Hub
Quando alleghi una policy CSPM di Security Hub alla tua organizzazione o unità organizzativa, valuta AWS Organizations automaticamente la politica e la applica in base all'ambito definito. Il processo di applicazione delle politiche segue regole specifiche per la risoluzione dei conflitti:
Quando le regioni compaiono sia negli elenchi di attivazione che in quelli di disabilitazione, la configurazione di disabilitazione ha la precedenza. Ad esempio, se una regione è elencata sia nelle configurazioni di attivazione che di disabilitazione, Security Hub CSPM verrà disabilitato in quella regione.
Quando ALL_SUPPORTED viene specificata l'abilitazione, Security Hub CSPM è abilitato in tutte le regioni attuali e future a meno che non sia disabilitato esplicitamente. Ciò consente di mantenere una copertura di sicurezza completa man AWS mano che si espande in nuove regioni.
Le politiche per i figli possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà, consentendo un controllo granulare a diversi livelli organizzativi. Questo approccio gerarchico garantisce che unità organizzative specifiche possano personalizzare le proprie impostazioni di sicurezza mantenendo i controlli di base.
Terminologia
In questo argomento vengono utilizzati i seguenti termini per discutere delle politiche CSPM di Security Hub.
| Termine | Definizione |
|---|---|
| Policy operativa | La politica finale che si applica a un account dopo aver combinato tutte le politiche ereditate. |
| Ereditarietà delle policy | Processo mediante il quale gli account ereditano le politiche dalle unità organizzative principali. |
| Amministratore delegato | Un account designato per gestire le politiche CSPM di Security Hub per conto dell'organizzazione. |
| Ruolo collegato al servizio | Un ruolo IAM che consente a Security Hub CSPM di interagire con altri AWS servizi. |
Casi d'uso per le politiche CSPM di Security Hub
Le politiche CSPM di Security Hub risolvono le sfide comuni di gestione della sicurezza in ambienti con più account. I seguenti casi d'uso dimostrano come le organizzazioni in genere implementano queste politiche per migliorare il proprio livello di sicurezza.
Caso d'uso di esempio: requisiti di conformità regionali
Una multinazionale necessita di diverse configurazioni CSPM di Security Hub per diverse aree geografiche. Creano una politica principale che abilita Security Hub CSPM in tutte le regioni utilizzandoALL_SUPPORTED, quindi utilizzano politiche secondarie per disabilitare aree specifiche in cui sono richiesti controlli di sicurezza diversi. Ciò consente loro di mantenere la conformità alle normative regionali garantendo al contempo una copertura di sicurezza completa.
Caso d'uso di esempio: standard di sicurezza del team di sviluppo
Un'organizzazione di sviluppo software implementa le politiche CSPM di Security Hub che consentono il monitoraggio nelle aree di produzione mantenendo le aree di sviluppo non gestite. Nelle proprie politiche utilizzano elenchi di regioni espliciti anziché mantenere un controllo preciso sulla ALL_SUPPORTED copertura del monitoraggio della sicurezza. Questo approccio consente loro di applicare controlli di sicurezza più rigorosi negli ambienti di produzione, mantenendo al contempo la flessibilità nelle aree di sviluppo.
Ereditarietà e applicazione delle politiche
Comprendere come le politiche vengono ereditate e applicate è fondamentale per una gestione efficace della sicurezza in tutta l'organizzazione. Il modello di ereditarietà segue la AWS Organizations gerarchia, garantendo un'applicazione delle policy prevedibile e coerente.
-
Le politiche allegate a livello principale si applicano a tutti gli account
-
Gli account ereditano le politiche dalle unità organizzative principali
-
È possibile applicare più politiche a un singolo account
-
Le politiche più specifiche (più vicine all'account nella gerarchia) hanno la precedenza
Convalida di policy
Quando si creano le policy CSPM di Security Hub, si verificano le seguenti convalide:
-
I nomi delle regioni devono essere identificatori di regione validi AWS
-
Le regioni devono essere supportate da Security Hub CSPM
-
La struttura delle politiche deve seguire le AWS Organizations regole di sintassi delle politiche
-
Entrambi
enable_in_regionsglidisable_in_regionselenchi devono essere presenti, sebbene possano essere vuoti
Considerazioni regionali e regioni supportate
Le politiche CSPM di Security Hub operano in più regioni e richiedono un'attenta considerazione dei requisiti di sicurezza globali. La comprensione del comportamento regionale consente di implementare controlli di sicurezza efficaci in tutta la presenza globale dell'organizzazione.
-
L'applicazione delle politiche avviene in ogni regione in modo indipendente
-
Puoi specificare quali regioni includere o escludere nelle tue politiche
-
Le nuove regioni vengono incluse automaticamente quando si utilizza l'
ALL_SUPPORTEDopzione -
Le politiche si applicano solo alle regioni in cui è disponibile Security Hub CSPM
Fasi successive
Per iniziare a usare le politiche CSPM di Security Hub:
-
Consulta i prerequisiti in Guida introduttiva alle politiche CSPM di Security Hub
-
Pianifica la tua strategia politica utilizzando la nostra guida alle migliori pratiche
-
Scopri la sintassi delle policy e visualizza esempi di policy
