Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Comprendere l'aggregazione interregionale in Security Hub
Nota
La regione di aggregazione è ora denominata regione principale. Alcune API operazioni del Security Hub utilizzano ancora la vecchia area di aggregazione a termine.
Utilizzando l'aggregazione tra regioni in AWS Security Hub, puoi aggregare i risultati, trovare aggiornamenti e approfondimenti, controllare gli stati di conformità e i punteggi di sicurezza provenienti da più fonti Regioni AWS in una singola regione d'origine. È quindi possibile gestire tutti questi dati dalla regione di origine.
Supponiamo di impostare Stati Uniti orientali (Virginia settentrionale) come regione di origine e Stati Uniti occidentali (Oregon) e Stati Uniti occidentali (California settentrionale) come regioni collegate. Quando si visualizza la pagina Risultati negli Stati Uniti orientali (Virginia settentrionale), vengono visualizzati i risultati di tutte e tre le regioni. Gli aggiornamenti a tali risultati si riflettono anche in tutte e tre le regioni.
Nota
In AWS GovCloud (US), L'aggregazione tra regioni è supportata solo per i risultati, gli aggiornamenti delle ricerche e gli approfondimenti in tutte le aree AWS GovCloud (US). In particolare, puoi aggregare i risultati, trovare aggiornamenti e approfondimenti solo tra AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali). Nelle regioni cinesi, l'aggregazione interregionale è supportata solo per i risultati, gli aggiornamenti delle ricerche e gli approfondimenti nelle regioni cinesi. In particolare, puoi aggregare risultati, trovare aggiornamenti e approfondimenti solo tra Cina (Pechino) e Cina (Ningxia).
Se un controllo è abilitato in una regione collegata ma disattivato nella regione di origine, è possibile visualizzare lo stato di conformità del controllo dalla regione di origine, ma non è possibile abilitare o disabilitare tale controllo dalla regione di origine. L'eccezione è se si utilizza la configurazione centrale. Se si utilizza la configurazione centrale, l'amministratore delegato del Security Hub può configurare i controlli nella regione di origine e nelle regioni collegate dalla regione di origine.
Se hai impostato una regione d'origine, i punteggi di sicurezza tengono conto degli stati di controllo in generale Regioni collegate. Per visualizzare i punteggi di sicurezza e gli stati di conformità tra le regioni, aggiungi le seguenti autorizzazioni al tuo IAM ruolo che utilizza Security Hub:
Tipi di dati aggregati
Quando l'aggregazione tra regioni è abilitata con una o più regioni collegate, Security Hub replica i seguenti dati dalle regioni collegate alla regione principale. Ciò si verifica in tutti gli account in cui è abilitata l'aggregazione tra aree geografiche.
Risultati
Informazioni dettagliate
Controlla gli stati di conformità
Punteggi di sicurezza
Oltre ai nuovi dati nell'elenco precedente, Security Hub replica anche gli aggiornamenti di questi dati tra le regioni collegate e la regione di origine. Gli aggiornamenti che si verificano in una regione collegata vengono replicati nella regione di origine. Gli aggiornamenti che si verificano nella regione di origine vengono replicati nella regione collegata. Se sono presenti aggiornamenti in conflitto nella regione di origine e nella regione collegata, viene utilizzato l'aggiornamento più recente.
L'aggregazione tra regioni non aumenta il costo di Security Hub. Non ti viene addebitato alcun costo quando Security Hub replica nuovi dati o aggiornamenti.
Nella regione di origine, la pagina di riepilogo fornisce una visualizzazione dei risultati attivi nelle regioni collegate. Per informazioni, vedere Visualizzazione di un riepilogo interregionale dei risultati per gravità. In altri pannelli della pagina di riepilogo che analizzano i risultati vengono visualizzate anche informazioni provenienti da tutte le regioni collegate.
I punteggi di sicurezza nella regione d'origine vengono calcolati confrontando il numero di controlli approvati con il numero di controlli abilitati in tutte le aree collegate. Inoltre, se un controllo è abilitato in almeno una regione collegata, è visibile nelle pagine dei dettagli degli standard di sicurezza della regione d'origine. Lo stato di conformità dei controlli nelle pagine dei dettagli degli standard riflette i risultati delle regioni collegate. Se un controllo di sicurezza associato a un controllo ha esito negativo in una o più aree collegate, lo stato di conformità di tale controllo viene visualizzato come Non riuscito nelle pagine dei dettagli degli standard della regione di origine. Il numero di controlli di sicurezza include i risultati di tutte le regioni collegate.
Security Hub aggrega solo i dati delle regioni in cui un account ha Security Hub abilitato. Security Hub non è abilitato automaticamente per un account in base alla configurazione di aggregazione tra regioni.
È possibile abilitare l'aggregazione tra regioni senza selezionare alcuna regione collegata. In questo caso, non si verifica alcuna replica dei dati.
Aggregazione per gli account degli amministratori e dei membri
Gli account autonomi, gli account membro e gli account amministratore possono configurare l'aggregazione tra regioni. Se configurata da un amministratore, la presenza dell'account amministratore è essenziale affinché l'aggregazione tra regioni funzioni negli account amministrati. Se l'account amministratore viene rimosso o dissociato da un account membro, l'aggregazione tra aree geografiche per l'account membro si interrompe. Ciò è vero anche se l'aggregazione tra aree geografiche era abilitata per l'account prima dell'inizio della relazione amministratore-membro.
Quando un account amministratore abilita l'aggregazione tra regioni, Security Hub replica i dati generati dall'account amministratore in tutte le regioni collegate alla regione di origine. Inoltre, Security Hub identifica gli account membro associati a quell'amministratore e ogni account membro eredita le impostazioni di aggregazione interregionale dell'amministratore. Security Hub replica i dati generati da un account membro in tutte le regioni collegate alla regione di origine.
L'amministratore può accedere e gestire i risultati di sicurezza di tutti gli account dei membri all'interno delle regioni amministrate. Tuttavia, in qualità di amministratore di Security Hub, è necessario accedere alla regione di origine per visualizzare i dati aggregati di tutti gli account membri e le regioni collegate.
In qualità di account membro di Security Hub, devi accedere alla regione di origine per visualizzare i dati aggregati del tuo account da tutte le regioni collegate. Gli account dei membri non dispongono delle autorizzazioni per visualizzare i dati degli altri account membri.
Un account amministratore può invitare manualmente gli account dei membri o fungere da amministratore delegato di un'organizzazione integrata con AWS Organizations. Per un account membro invitato manualmente, l'amministratore deve invitare l'account dalla regione di origine e da tutte le regioni collegate affinché l'aggregazione tra regioni funzioni. Inoltre, l'account membro deve avere il Security Hub abilitato nella regione di origine e in tutte le regioni collegate per consentire all'amministratore di visualizzare i risultati dell'account membro. Se non utilizzi la regione d'origine per altri scopi, puoi disabilitare gli standard e le integrazioni di Security Hub in quella regione per evitare addebiti.
Se prevedi di utilizzare l'aggregazione tra regioni e disponi di più account amministratore, ti consigliamo di seguire queste best practice:
-
Ogni account amministratore ha account membri diversi.
-
Ogni account amministratore ha gli stessi account membro in tutte le regioni.
-
Ogni account amministratore utilizza una regione di residenza diversa.
Nota
Per comprendere in che modo l'aggregazione interregionale influisce sulla configurazione centrale, consulta. Impatto della configurazione centrale sull'aggregazione tra regioni
