Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Politiche del Security Hub
AWS Security Hub le politiche forniscono ai team addetti alla sicurezza un approccio centralizzato alla gestione delle configurazioni di sicurezza in tutti i loro ambienti. AWS Organizations Sfruttando queste politiche, è possibile stabilire e mantenere controlli di sicurezza coerenti attraverso un meccanismo di configurazione centrale. Questa integrazione consente di colmare le lacune nella copertura di sicurezza creando politiche in linea con i requisiti di sicurezza dell'organizzazione e applicandole centralmente a tutti gli account e le unità organizzative (). OUs
Le policy di Security Hub sono completamente integrate e consentono agli account di gestione o agli amministratori delegati di definire e applicare le configurazioni di sicurezza. AWS Organizations Quando gli account entrano a far parte dell'organizzazione, ereditano automaticamente le politiche applicabili in base alla loro posizione nella gerarchia organizzativa. Ciò garantisce che gli standard di sicurezza vengano applicati in modo coerente man mano che l'organizzazione cresce. Le politiche rispettano le strutture organizzative esistenti e offrono flessibilità nel modo in cui le configurazioni di sicurezza vengono distribuite, pur mantenendo il controllo centrale sulle impostazioni di sicurezza critiche.
## Caratteristiche e vantaggi principali
Le policy di Security Hub forniscono un set completo di funzionalità che aiutano a gestire e applicare le configurazioni di sicurezza in tutta l'organizzazione AWS . Queste funzionalità semplificano la gestione della sicurezza garantendo al contempo un controllo costante sull'ambiente multi-account.
+ [Attiva centralmente Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account) su tutti gli account e le regioni della tua organizzazione
+ Crea politiche di sicurezza che definiscano la configurazione di sicurezza tra account e OUs
+ Applica automaticamente le configurazioni di sicurezza ai nuovi account quando entrano a far parte della tua organizzazione
+ Garantisci impostazioni di sicurezza coerenti in tutta l'organizzazione
+ Impedisci agli account dei membri di modificare le configurazioni di sicurezza a livello di organizzazione
## Cosa sono le politiche del Security Hub?
Le policy di Security Hub sono AWS Organizations policy che forniscono il controllo centralizzato sulle configurazioni di sicurezza tra gli account dell'organizzazione. Queste policy si integrano perfettamente AWS Organizations per aiutarti a stabilire e mantenere standard di sicurezza coerenti in tutto l'ambiente con più account.
Quando si implementano le policy di Security Hub, si ottiene la possibilità di definire configurazioni di sicurezza specifiche che si propagano automaticamente all'interno dell'organizzazione. Ciò garantisce che tutti gli account, compresi quelli appena creati, siano in linea con i requisiti di sicurezza e le migliori pratiche dell'organizzazione.
Queste politiche aiutano anche a mantenere la conformità applicando controlli di sicurezza coerenti e impedendo ai singoli account di modificare le impostazioni di sicurezza a livello di organizzazione. Questo approccio centralizzato riduce in modo significativo il sovraccarico amministrativo legato alla gestione delle configurazioni di sicurezza in ambienti complessi e di grandi dimensioni. AWS
## Come funzionano le policy di Security Hub
Quando alleghi una policy di Security Hub alla tua organizzazione o unità organizzativa, valuta AWS Organizations automaticamente la policy e la applica in base all'ambito definito. Il processo di applicazione delle policy segue regole specifiche per la risoluzione dei conflitti:
Quando le regioni compaiono sia negli elenchi di attivazione che in quelli di disabilitazione, la configurazione di disabilitazione ha la precedenza. Ad esempio, se una regione è elencata sia nelle configurazioni di attivazione che di disabilitazione, Security Hub verrà disabilitato in quella regione.
Quando `ALL_SUPPORTED` viene specificata l'abilitazione, Security Hub è abilitato in tutte le regioni attuali e future a meno che non sia disabilitato esplicitamente. Ciò consente di mantenere una copertura di sicurezza completa man mano che AWS si espande in nuove regioni.
Le politiche per i figli possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà, consentendo un controllo granulare a diversi livelli organizzativi. Questo approccio gerarchico garantisce che unità organizzative specifiche possano personalizzare le proprie impostazioni di sicurezza mantenendo i controlli di base.
## Terminologia
In questo argomento vengono utilizzati i seguenti termini per discutere delle politiche di Security Hub.
**Terminologia delle policy di Security Hub**
| Termine | Definizione |
| --- | --- |
| Policy operativa | La politica finale che si applica a un account dopo aver combinato tutte le politiche ereditate. |
| Ereditarietà delle policy | Processo mediante il quale gli account ereditano le politiche dalle unità organizzative principali. |
| Amministratore delegato | Un account designato per gestire le politiche del Security Hub per conto dell'organizzazione. |
| Ruolo collegato al servizio | Un ruolo IAM che consente a Security Hub di interagire con altri AWS servizi. |
## Casi d'uso per le policy di Security Hub
Le policy di Security Hub risolvono le sfide più comuni di gestione della sicurezza in ambienti con più account. I seguenti casi d'uso dimostrano come le organizzazioni in genere implementano queste politiche per migliorare il proprio livello di sicurezza.
### Caso d'uso di esempio: requisiti di conformità regionali
Una multinazionale necessita di diverse configurazioni di Security Hub per diverse aree geografiche. Creano una politica principale che abilita Security Hub in tutte le regioni utilizzando`ALL_SUPPORTED`, quindi utilizzano politiche secondarie per disabilitare aree specifiche in cui sono richiesti controlli di sicurezza diversi. Ciò consente loro di mantenere la conformità alle normative regionali garantendo al contempo una copertura di sicurezza completa.
### Caso d'uso di esempio: standard di sicurezza del team di sviluppo
Un'organizzazione di sviluppo software implementa le politiche del Security Hub che consentono il monitoraggio nelle aree di produzione mantenendo le aree di sviluppo non gestite. Nelle proprie politiche utilizzano elenchi di regioni espliciti anziché `ALL_SUPPORTED` mantenere un controllo preciso sulla copertura del monitoraggio della sicurezza. Questo approccio consente loro di applicare controlli di sicurezza più rigorosi negli ambienti di produzione, mantenendo al contempo la flessibilità nelle aree di sviluppo.
## Ereditarietà e applicazione delle politiche
Comprendere come le politiche vengono ereditate e applicate è fondamentale per una gestione efficace della sicurezza in tutta l'organizzazione. Il modello di ereditarietà segue la AWS Organizations gerarchia, garantendo un'applicazione delle policy prevedibile e coerente.
+ Le politiche allegate a livello principale si applicano a tutti gli account
+ Gli account ereditano le politiche dalle unità organizzative principali
+ È possibile applicare più politiche a un singolo account
+ Le politiche più specifiche (più vicine all'account nella gerarchia) hanno la precedenza
## Convalida di policy
Quando si creano le policy di Security Hub, si verificano le seguenti convalide:
+ I nomi delle regioni devono essere identificatori di AWS regione validi
+ Le aree devono essere supportate da Security Hub
+ La struttura delle politiche deve seguire le AWS Organizations regole di sintassi delle politiche
+ Entrambi `enable_in_regions` gli `disable_in_regions` elenchi devono essere presenti, sebbene possano essere vuoti
## Considerazioni regionali e regioni supportate
Le policy di Security Hub operano in più regioni e richiedono un'attenta considerazione dei requisiti di sicurezza globali. La comprensione del comportamento regionale consente di implementare controlli di sicurezza efficaci in tutta la presenza globale dell'organizzazione.
+ L'applicazione delle politiche avviene in ogni regione in modo indipendente
+ Puoi specificare quali regioni includere o escludere nelle tue politiche
+ Le nuove regioni vengono incluse automaticamente quando si utilizza l'`ALL_SUPPORTED`opzione
+ Le politiche si applicano solo alle regioni in cui è disponibile Security Hub
## Fasi successive
Per iniziare a usare le policy di Security Hub:
1. Consulta i prerequisiti nella Guida introduttiva alle politiche di Security Hub
1. Pianifica la tua strategia politica utilizzando la nostra guida alle migliori pratiche
1. Scopri la sintassi delle policy e visualizza esempi di policy
# Guida introduttiva alle policy di Security Hub
Prima di configurare le policy di Security Hub, assicurati di aver compreso i prerequisiti e i requisiti di implementazione. Questo argomento ti guida attraverso il processo di configurazione e gestione di queste politiche nella tua organizzazione.
## Prima di iniziare
Esamina i seguenti requisiti prima di implementare le politiche del Security Hub:
+ Il tuo account deve far parte di un' AWS Organizations organizzazione
+ Devi aver effettuato l'accesso in uno dei seguenti modi:
+ L'account di gestione dell'organizzazione
+ Un account amministratore delegato con autorizzazioni per gestire le politiche del Security Hub
+ È necessario abilitare l'accesso affidabile per Security Hub nella propria organizzazione
+ È necessario abilitare il tipo di policy Security Hub nella radice dell'organizzazione
Inoltre, verifica che:
+ Security Hub è supportato nelle regioni in cui si desidera applicare le politiche
+ Il ruolo `AWSServiceRoleForSecurityHubV2` collegato al servizio è configurato nel tuo account di gestione. Per verificare l'esistenza di questo ruolo, esegui. `aws iam get-role --role-name AWSServiceRoleForSecurityHubV2` Se devi creare questo ruolo, puoi eseguirlo `aws securityhub enable-security-hub-v2` in qualsiasi regione dal tuo account di gestione o crearlo direttamente eseguendo`aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com`.
## Passaggi dell’implementazione
Per implementare le politiche del Security Hub in modo efficace, segui questi passaggi in sequenza. Ogni passaggio garantisce una configurazione corretta e aiuta a prevenire problemi comuni durante la configurazione. L'account di gestione o l'amministratore delegato può eseguire questi passaggi tramite la AWS Organizations console, l'interfaccia a riga di AWS comando (AWS CLI) o. AWS SDKs
1. [Abilita l'accesso affidabile per Security Hub](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access).
1. [Abilita le politiche di Security Hub per la tua organizzazione](enable-policy-type.md).
1. [Crea una policy Security Hub](orgs_policies_create.md#create-security-hub-policy-procedure).
1. [Allega la policy Security Hub alla directory principale, all'unità organizzativa o all'account della tua organizzazione](orgs_policies_attach.md).
1. [Visualizza la politica combinata efficace di Security Hub che si applica a un account](orgs_manage_policies_effective.md).
Per tutti questi passaggi, accedi come utente AWS Identity and Access Management (IAM), assumi un ruolo IAM o accedi come utente root ([non consigliato](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials)) nell'account di gestione dell'organizzazione.
**Altre informazioni**
+ [Scopri la sintassi delle policy per le policy di Security Hub e guarda gli esempi di policy](orgs_manage_policies_security_hub_syntax.md)
# Le migliori pratiche per l'utilizzo delle policy di Security Hub
Quando si implementano le policy di Security Hub in tutta l'organizzazione, seguire le best practice consolidate aiuta a garantire la corretta implementazione e manutenzione delle configurazioni di sicurezza. Queste linee guida riguardano specificamente gli aspetti unici della gestione e dell'applicazione delle policy di Security Hub AWS Organizations.
## Principi di progettazione delle politiche
Prima di creare le policy di Security Hub, stabilisci principi chiari per la struttura delle policy. Mantieni le policy semplici ed evita complesse regole combinate tra attributi o annidate che rendono difficile la determinazione del risultato finale. Inizia con politiche generali a livello di organizzazione e perfezionale attraverso politiche secondarie, se necessario.
Prendi in considerazione l'utilizzo strategico di elenchi di regioni vuoti. Puoi lasciarlo `enable_in_regions` vuoto quando devi disabilitare Security Hub solo in aree specifiche o lasciare `disable_in_regions` vuoto per mantenere le aree non gestite dalle policy. Questa flessibilità ti aiuta a mantenere un controllo preciso sulla copertura del monitoraggio della sicurezza.
## Strategie di gestione delle regioni
Quando gestisci le aree tramite le policy del Security Hub, prendi in considerazione questi approcci collaudati. `ALL_SUPPORTED`Utilizzalo quando desideri includere automaticamente le regioni future nella copertura di sicurezza. Per un controllo più granulare, elenca in modo esplicito le regioni anziché fare affidamento su di esse`ALL_SUPPORTED`, soprattutto quando aree diverse richiedono configurazioni di sicurezza diverse.
Documenta i requisiti specifici della tua regione, in particolare per:
+ Regioni soggette a obblighi di conformità che richiedono configurazioni specifiche
+ Differenze tra ambiente di sviluppo e ambiente di produzione
+ Regioni che prevedono l'adesione con considerazioni particolari
+ Regioni in cui il Security Hub deve rimanere disabilitato
## Pianificazione dell'eredità delle politiche
Pianificate attentamente la struttura di ereditarietà delle polizze per mantenere un controllo di sicurezza efficace, garantendo al contempo la flessibilità necessaria. Documenta quali unità organizzative possono modificare le politiche ereditate e quali modifiche sono consentite. Prendi in considerazione la possibilità di limitare gli operatori di ereditarietà (@ @assign, @ @append, @ @remove) ai livelli principali quando devi applicare controlli di sicurezza rigorosi.
## Monitoraggio e convalida
Implementa pratiche di monitoraggio regolari per garantire che le tue politiche rimangano efficaci. Rivedi periodicamente gli allegati delle politiche, soprattutto dopo i cambiamenti organizzativi. Verifica che le configurazioni delle aree corrispondano alla copertura di sicurezza prevista, in particolare quando utilizzi `ALL_SUPPORTED` o gestisci più elenchi di aree.
## strategie di risoluzione dei problemi
Durante la risoluzione dei problemi relativi alle policy di Security Hub, concentrati innanzitutto sulla priorità e sull'ereditarietà delle policy. Ricorda che le configurazioni di disabilitazione hanno la precedenza sull'attivazione delle configurazioni quando le regioni compaiono in entrambi gli elenchi. Controlla le catene di ereditarietà delle politiche per capire come le politiche relative ai genitori e ai figli si combinano per creare la politica efficace per ogni account.
# Sintassi ed esempi delle policy di Security Hub
Le policy di Security Hub seguono una sintassi JSON standardizzata che definisce il modo in cui Security Hub è abilitato e configurato all'interno dell'organizzazione. La comprensione della struttura delle politiche consente di creare politiche efficaci per i requisiti di sicurezza.
## Considerazioni
Prima di creare le policy di Security Hub, comprendi questi punti chiave sulla sintassi delle policy:
+ Entrambi `enable_in_regions` gli `disable_in_regions` elenchi sono obbligatori nella policy, sebbene possano essere vuoti
+ Nell'elaborazione di politiche efficaci, ha la `disable_in_regions` precedenza su `enable_in_regions`
+ Le politiche secondarie possono modificare le politiche principali utilizzando operatori di ereditarietà, a meno che non siano esplicitamente limitate
+ La `ALL_SUPPORTED` designazione include regioni attuali e future
+ I nomi delle aree devono essere validi e disponibili in Security Hub
## Struttura politica di base
Una policy Security Hub utilizza questa struttura di base:
```
{
"securityhub": {
"enable_in_regions": {
"@@append": ["ALL_SUPPORTED"],
"@@operators_allowed_for_child_policies": ["@@all"]
},
"disable_in_regions": {
"@@append": [],
"@@operators_allowed_for_child_policies": ["@@all"]
}
}
}
```
## Componenti della policy
Le policy di Security Hub contengono questi componenti chiave:
`securityhub`
Il contenitore di primo livello per le impostazioni delle politiche
Obbligatorio per tutte le policy di Security Hub
`enable_in_regions`
Elenco delle regioni in cui deve essere abilitato Security Hub
Può contenere nomi di regioni specifici o `ALL_SUPPORTED`
Campo obbligatorio ma può essere vuoto
In caso di utilizzo`ALL_SUPPORTED`, include le regioni future
`disable_in_regions`
Elenco delle regioni in cui il Security Hub deve essere disabilitato
Può contenere nomi di regioni specifici o `ALL_SUPPORTED`
Campo obbligatorio ma può essere vuoto
Ha la precedenza su `enable_in_regions` quando le regioni appaiono in entrambi gli elenchi
Operatori di ereditarietà
@ @assign - Sovrascrive i valori ereditati
@ @append - Aggiunge nuovi valori a quelli esistenti
@ @remove - Rimuove valori specifici dalle impostazioni ereditate
## Esempi di policy di Security Hub
Gli esempi seguenti mostrano configurazioni comuni delle policy di Security Hub.
L'esempio seguente abilita Security Hub in tutte le regioni attuali e future. Inserendola `ALL_SUPPORTED` nell'`enable_in_regions`elenco e lasciandola `disable_in_regions` vuota, questa politica garantisce una copertura di sicurezza completa man mano che nuove regioni diventano disponibili.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
Questo esempio disabilita Security Hub in tutte le regioni, comprese le aree future, poiché l'`disable_in_regions`elenco ha la precedenza su. `enable_in_regions`
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2"
]
},
"disable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
}
}
}
```
L'esempio seguente dimostra come le politiche secondarie possono modificare le impostazioni delle politiche principali utilizzando operatori di ereditarietà. Questo approccio consente un controllo granulare mantenendo al contempo la struttura generale delle politiche. La politica per i bambini aggiunge una nuova regione `enable_in_regions` e ne rimuove una da`disable_in_regions`.
```
{
"securityhub":{
"enable_in_regions":{
"@@append":[
"eu-central-1"
]
},
"disable_in_regions":{
"@@remove":[
"us-west-2"
]
}
}
}
```
Questo esempio mostra come abilitare Security Hub in più aree specifiche senza utilizzarlo`ALL_SUPPORTED`. Ciò fornisce un controllo preciso su quali aree hanno il Security Hub abilitato, lasciando le aree non specificate non gestite dalla policy.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2",
"eu-west-1",
"ap-southeast-1"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
L'esempio seguente dimostra come gestire i requisiti di conformità regionali abilitando Security Hub nella maggior parte delle regioni e disabilitandolo esplicitamente in posizioni specifiche. L'`disable_in_regions`elenco ha la precedenza, garantendo che Security Hub rimanga disabilitato in quelle aree indipendentemente dalle altre impostazioni dei criteri.
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
"ap-east-1",
"me-south-1"
]
}
}
}
```