本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Security Hub 政策
AWS Security Hub 政策為安全團隊提供集中式方法來管理其各個安全組態 AWS Organizations。透過利用這些政策,您可以透過中央組態機制建立和維護一致的安全控制。此整合可讓您建立符合您組織安全需求的政策,並將這些政策集中套用至帳戶和組織單位 (OUs),以解決安全涵蓋範圍漏洞。
Security Hub 政策已與 完全整合 AWS Organizations,允許管理帳戶或委派管理員定義和強制執行安全組態。當帳戶加入您的組織時,他們會根據其在組織階層中的位置自動繼承適用的政策。這可確保您的安全標準會隨著組織的成長而一致套用。這些政策會遵守現有的組織結構,並在安全組態的分佈方式方面提供彈性,同時維持對關鍵安全設定的集中控制。
## 主要功能和優點
Security Hub 政策提供一組完整的功能,可協助您在整個 AWS 組織中管理和強制執行安全組態。這些功能可簡化安全管理,同時確保對多帳戶環境的一致控制。
+ 在您的組織中跨帳戶和區域集中[啟用 Security Hub](https://docs.aws.amazon.com/securityhub/latest/userguide/security-hub-adv-getting-started-enable.html#security-hub-adv-getting-started-enable-org-account)
+ 建立安全政策,以跨帳戶和 OUs 定義您的安全組態
+ 加入您的組織時,自動將安全組態套用至新帳戶
+ 確保整個組織的安全設定一致
+ 防止成員帳戶修改組織層級的安全組態
## 什麼是 Security Hub 政策?
Security Hub 政策是 AWS Organizations 政策,可讓您集中控制整個組織帳戶的安全組態。這些政策可與 無縫搭配使用 AWS Organizations ,協助您在整個多帳戶環境中建立和維護一致的安全標準。
當您實作 Security Hub 政策時,您可以定義特定的安全組態,以自動在您的組織中傳播。這可確保所有帳戶,包括新建立的帳戶,都符合您組織的安全需求和最佳實務。
這些政策也透過強制執行一致的安全控制,並防止個別帳戶修改組織層級的安全設定,來協助您維持合規性。這種集中式方法可大幅降低管理大型複雜 AWS 環境中安全組態的管理開銷。
## Security Hub 政策的運作方式
當您將 Security Hub 政策連接到組織或組織單位時, AWS Organizations 會自動評估政策,並根據您定義的範圍套用政策。政策強制執行程序遵循特定的衝突解決規則:
當區域同時出現在啟用和停用清單中時,停用組態優先。例如,如果同時在啟用和停用組態中列出區域,則 Security Hub 將在該區域中停用。
`ALL_SUPPORTED` 指定啟用時,除非明確停用,否則會在所有目前和未來的區域中啟用 Security Hub。這可讓您在 AWS 擴展到新區域時維持全面的安全涵蓋範圍。
子政策可以使用繼承運算子修改父政策設定,允許在不同組織層級進行精細控制。這種階層方法可確保特定組織單位可以自訂其安全設定,同時維護基準控制。
## 術語
本主題在討論 Security Hub 政策時使用下列術語。
**Security Hub 政策術語**
| 術語 | 定義 |
| --- | --- |
| 有效政策 | 合併所有繼承的政策後,套用至帳戶的最終政策。 |
| 政策繼承 | 帳戶從父組織單位繼承政策的程序。 |
| 委派的管理員 | 指定代表組織管理 Security Hub 政策的帳戶。 |
| 服務連結角色 | 允許 Security Hub 與其他 AWS 服務互動的 IAM 角色。 |
## Security Hub 政策的使用案例
Security Hub 政策可解決多帳戶環境中常見的安全管理挑戰。下列使用案例示範組織通常如何實作這些政策,以增強其安全狀態。
### 範例使用案例:區域合規要求
跨國公司需要不同地理區域的不同 Security Hub 組態。他們會建立父政策,使用 在所有區域中啟用 Security Hub`ALL_SUPPORTED`,然後使用子政策來停用需要不同安全控制的特定區域。這可讓他們維持區域法規的合規性,同時確保全面的安全涵蓋範圍。
### 範例使用案例:開發團隊安全標準
軟體開發組織實作 Security Hub 政策,在生產區域中啟用監控,同時不管理開發區域。他們在政策中使用明確的區域清單`ALL_SUPPORTED`,而不是維持對安全監控涵蓋範圍的精確控制。這種方法允許他們在生產環境中強制執行更嚴格的安全控制,同時在開發領域保持靈活性。
## 政策繼承和強制執行
了解政策如何繼承和強制執行對於整個組織的有效安全管理至關重要。繼承模型遵循 AWS Organizations 階層,確保可預測且一致的政策應用程式。
+ 連接到根層級的政策適用於所有帳戶
+ 帳戶從其父組織單位繼承政策
+ 多個政策可以套用至單一帳戶
+ 更具體的政策 (更接近階層中的帳戶) 優先
## 政策驗證
建立 Security Hub 政策時,會發生下列驗證:
+ 區域名稱必須是有效的 AWS 區域識別符
+ Security Hub 必須支援區域
+ 政策結構必須遵循 AWS Organizations 政策語法規則
+ `enable_in_regions` 和 `disable_in_regions`清單都必須存在,但可以是空的
## 區域考量事項和支援的區域
Security Hub 政策跨多個區域運作,需要仔細考慮您的全球安全需求。了解區域行為可協助您在整個組織的全球足跡中實作有效的安全控制。
+ 政策強制執行會在每個區域中獨立執行
+ 您可以指定要在政策中包含或排除的區域
+ 使用 `ALL_SUPPORTED`選項時,會自動包含新區域
+ 政策僅適用於可使用 Security Hub 的區域
## 後續步驟
若要開始使用 Security Hub 政策:
1. 檢閱 Security Hub 政策入門中的先決條件
1. 使用我們的最佳實務指南來規劃您的政策策略
1. 了解政策語法並檢視範例政策
# Security Hub 政策入門
設定 Security Hub 政策之前,請確定您了解先決條件和實作需求。本主題會引導您在組織中設定和管理這些政策的程序。
## 開始之前
在實作 Security Hub 政策之前,請檢閱下列要求:
+ 您的帳戶必須是 AWS Organizations 組織的一部分
+ 您必須以下列其中一種身分登入:
+ 組織的管理帳戶
+ 具有管理 Security Hub 政策許可的委派管理員帳戶
+ 您必須為組織中的 Security Hub 啟用受信任存取
+ 您必須在組織的根目錄中啟用 Security Hub 政策類型
此外,請確認:
+ 您要套用政策的區域中支援 Security Hub
+ 您的管理帳戶中已設定`AWSServiceRoleForSecurityHubV2`服務連結角色。若要驗證此角色是否存在,請執行 `aws iam get-role --role-name AWSServiceRoleForSecurityHubV2`。如果您需要建立此角色,您可以從管理帳戶`aws securityhub enable-security-hub-v2`在任何區域中執行 ,或執行 直接建立該角色`aws iam create-service-linked-role --aws-service-name securityhubv2.amazonaws.com`。
## 實作步驟
若要有效實作 Security Hub 政策,請依序遵循這些步驟。每個步驟可確保適當的組態,並有助於防止設定期間的常見問題。管理帳戶或委派管理員可以透過 AWS Organizations 主控台、 AWS 命令列界面 (AWS CLI) 或 AWS SDKs執行這些步驟。
1. [啟用 Security Hub 的受信任存取](orgs_integrate_services.md#orgs_how-to-enable-disable-trusted-access)。
1. [為您的組織啟用 Security Hub 政策](enable-policy-type.md)。
1. [建立 Security Hub 政策](orgs_policies_create.md#create-security-hub-policy-procedure)。
1. [將 Security Hub 政策連接至組織的根、OU 或帳戶](orgs_policies_attach.md)。
1. [檢視套用至 帳戶的合併有效 Security Hub 政策](orgs_manage_policies_effective.md)。
對於所有這些步驟,您以 AWS Identity and Access Management (IAM) 使用者身分登入、擔任 IAM 角色,或以組織的管理帳戶中的根使用者身分登入 ([不建議](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials))。
**其他資訊**
+ [了解 Security Hub 政策的政策語法,並查看政策範例](orgs_manage_policies_security_hub_syntax.md)
# 使用 Security Hub 政策的最佳實務
在整個組織中實作 Security Hub 政策時,遵循已建立的最佳實務有助於確保安全組態的成功部署和維護。這些準則特別說明 Security Hub 政策管理和強制執行的獨特層面 AWS Organizations。
## 政策設計原則
建立 Security Hub 政策之前,請為您的政策結構建立明確的原則。保持政策簡單,並避免複雜的跨屬性或巢狀規則,以致難以判斷最終結果。從組織根層級的廣泛政策開始,並視需要透過子政策進行精簡。
考慮以策略方式使用空白區域清單。當您只需要在特定區域中停用 Security Hub 時,您可以保留`enable_in_regions`空白,或保留`disable_in_regions`空白,讓區域不受政策管理。此彈性可協助您精確控制安全監控涵蓋範圍。
## 區域管理策略
透過 Security Hub 政策管理區域時,請考慮這些經過驗證的方法。當您想要在安全涵蓋範圍中自動包含未來區域`ALL_SUPPORTED`時,請使用 。對於更精細的控制,請明確列出區域,而不是依賴 `ALL_SUPPORTED`,尤其是當不同的區域需要不同的安全組態時。
記錄您的區域特定需求,特別是:
+ 需要特定組態的合規指定區域
+ 開發與生產環境的差異
+ 選擇加入具有特殊考量的區域
+ Security Hub 必須保持停用的區域
## 政策繼承規劃
仔細規劃您的政策繼承結構,以維持有效的安全控制,同時允許必要的彈性。記錄哪些組織單位可以修改繼承的政策,以及允許哪些修改。當您需要強制執行嚴格的安全控制時,請考慮在父層級限制繼承運算子 (@@assign、@@append、@@remove)。
## 監控和驗證
實作定期監控實務,以確保您的政策保持有效。定期檢閱政策附件,尤其是在組織變更之後。驗證區域組態是否符合您的預期安全涵蓋範圍,特別是在使用 `ALL_SUPPORTED`或 管理多個區域清單時。
## 故障診斷策略
疑難排解 Security Hub 政策時,請先專注於政策優先順序和繼承。請記住,當區域出現在兩個清單中時,停用組態優先於啟用組態。檢查政策繼承鏈,以了解父系和子系政策如何結合,以為每個帳戶建立有效的政策。
# Security Hub 政策語法和範例
Security Hub 政策遵循標準化 JSON 語法,定義 Security Hub 如何在整個組織中啟用和設定。了解政策結構可協助您為您的安全需求建立有效的政策。
## 考量事項
建立 Security Hub 政策之前,請了解政策語法的這些要點:
+ `enable_in_regions` 和 `disable_in_regions`清單在政策中都是必要的,但它們可以是空的
+ 處理有效政策時, `disable_in_regions` 優先於 `enable_in_regions`
+ 除非明確限制,否則子政策可以使用繼承運算子修改父政策
+ `ALL_SUPPORTED` 指定項目包括目前和未來的區域
+ 區域名稱必須在 Security Hub 中有效且可用
## 基本政策結構
Security Hub 政策使用以下基本結構:
```
{
"securityhub": {
"enable_in_regions": {
"@@append": ["ALL_SUPPORTED"],
"@@operators_allowed_for_child_policies": ["@@all"]
},
"disable_in_regions": {
"@@append": [],
"@@operators_allowed_for_child_policies": ["@@all"]
}
}
}
```
## 政策元件
Security Hub 政策包含下列重要元件:
`securityhub`
政策設定的頂層容器
所有 Security Hub 政策都需要
`enable_in_regions`
應啟用 Security Hub 的區域清單
可以包含特定區域名稱或 `ALL_SUPPORTED`
必要欄位,但可為空白
使用 時`ALL_SUPPORTED`, 包含未來的區域
`disable_in_regions`
應停用 Security Hub 的區域清單
可以包含特定區域名稱或 `ALL_SUPPORTED`
必要欄位,但可為空白
當區域出現在兩個清單中`enable_in_regions`時,優先考慮
繼承運算子
@@指派 - 覆寫繼承的值
@@附加 - 將新值新增至現有值
@@移除 - 從繼承的設定中移除特定值
## Security Hub 政策範例
下列範例示範常見的 Security Hub 政策組態。
以下範例會在所有目前和未來的區域中啟用 Security Hub。透過`ALL_SUPPORTED`在`enable_in_regions`清單中使用 並保留`disable_in_regions`空白,此政策可在新區域可用時確保全面的安全涵蓋範圍。
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
此範例會在所有區域中停用 Security Hub,包括任何未來區域,因為`disable_in_regions`清單的優先順序高於 `enable_in_regions`。
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2"
]
},
"disable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
}
}
}
```
下列範例示範子政策如何使用繼承運算子修改父政策設定。此方法允許精細控制,同時維護整體政策結構。子政策會將新區域新增至 ,`enable_in_regions`並從 移除區域`disable_in_regions`。
```
{
"securityhub":{
"enable_in_regions":{
"@@append":[
"eu-central-1"
]
},
"disable_in_regions":{
"@@remove":[
"us-west-2"
]
}
}
}
```
此範例示範如何在多個特定區域中啟用 Security Hub,而不使用 `ALL_SUPPORTED`。這可讓您精確控制哪些區域已啟用 Security Hub,同時讓未指定的區域不受政策管理。
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"us-east-1",
"us-west-2",
"eu-west-1",
"ap-southeast-1"
]
},
"disable_in_regions":{
"@@assign":[
]
}
}
}
```
下列範例示範如何在大多數區域中啟用 Security Hub,同時在特定位置明確停用 Security Hub,以處理區域合規要求。`disable_in_regions` 清單優先,確保 Security Hub 在這些區域中保持停用狀態,無論其他政策設定為何。
```
{
"securityhub":{
"enable_in_regions":{
"@@assign":[
"ALL_SUPPORTED"
]
},
"disable_in_regions":{
"@@assign":[
"ap-east-1",
"me-south-1"
]
}
}
}
```