Compreender a agregação entre regiões do Security Hub - Security Hub da AWS

Compreender a agregação entre regiões do Security Hub

nota

A região de agregação agora é denominada região inicial. Algumas operações da API do Security Hub ainda usam o termo antigo região de agregação.

Usando a agregação entre regiões do AWS Security Hub, você pode agregar descobertas, atualizações de descobertas, insights, status de conformidade dos controles e pontuações de segurança de várias Regiões da AWS em uma única região inicial. Assim, você pode gerenciar todos esses dados na região inicial.

Suponha que você defina Leste dos EUA (Norte da Virgínia) como a região inicial e Oeste dos EUA (Oregon) e Oeste dos EUA (N. da Califórnia) como regiões vinculadas. Ao visualizar a página de Descobertas no Leste dos EUA (Norte da Virgínia), você vê as descobertas de todas as três regiões. As atualizações dessas descobertas também se refletem nas três regiões.

nota

No AWS GovCloud (US), a agregação entre regiões é compatível somente com descobertas, atualizações e insights do AWS GovCloud (US). Especificamente, você só pode agregar descobertas, atualizações de descobertas e insights entre o AWS GovCloud (Leste dos EUA) e do AWS GovCloud (Oeste dos EUA). Nas regiões da China, a agregação entre regiões é compatível somente com descobertas, atualizações de descobertas e insights das regiões da China. Especificamente, você só pode agregar descobertas, atualizações de descobertas e insights entre a China (Pequim) e a China (Ningxia).

Se um controle estiver habilitado em uma região vinculada, mas desabilitado na região inicial, você poderá ver o status de conformidade do controle na região inicial, mas não poderá habilitar ou desabilitar esse controle na região inicial. A exceção é se você usar a configuração central. Se você usar a configuração central, o administrador delegado do Security Hub poderá configurar os controles da região inicial e das regiões vinculadas na região inicial.

Se você definiu uma região inicial, as pontuações de segurança refletirão o status dos controles em todas as regiões vinculadas. Para ver as pontuações de segurança e os status de conformidade entre regiões, adicione as seguintes permissões ao seu perfil do IAM que usa o Security Hub:

Tipos de dados que são agregados

Quando a agregação entre regiões está habilitada com uma ou mais regiões vinculadas, o Security Hub replica os dados a seguir das regiões vinculadas na região inicial. Isso ocorre em todas as contas que têm a agregação entre regiões habilitada.

  • Descobertas

  • Insights

  • Status de conformidade de controle

  • Pontuações de segurança

Além dos novos dados da lista anterior, o Security Hub também replica as atualizações desses dados entre as regiões vinculadas e a região inicial. As atualizações que ocorrem em uma região vinculada são replicadas na região inicial. As atualizações que ocorrem na região inicial são replicadas de volta para a região vinculada. Se houver atualizações conflitantes entre a região inicial e a região vinculada, a atualização mais recente será usada.

Quando a agregação entre regiões é habilitada, o Security Hub replica as descobertas novas e atualizadas entre as regiões vinculadas e a região inicial.

A agregação entre regiões não aumenta o custo do Security Hub. Você não é cobrado quando o Security Hub replica novos dados ou atualizações.

Na região inicial, a página Resumo fornece uma visão das descobertas ativas nas várias regiões vinculadas. Para obter informações, consulte Visualização de um resumo de descobertas entre regiões por gravidade. Outros painéis da página de Resumo que analisam as descobertas também exibem informações de todas as regiões vinculadas.

As pontuações de segurança da região inicial são calculadas comparando o número de controles aprovados com o número de controles habilitados em todas as regiões vinculadas. Além disso, se um controle estiver habilitado em pelo menos uma região vinculada, ele estará visível nas páginas de detalhes Padrões de segurança da região inicial. O status de conformidade dos controles nas páginas de detalhes dos padrões reflete as descobertas nas regiões vinculadas. Se uma verificação de segurança associada a um controle falhar em uma ou mais regiões vinculadas, o status de conformidade desse controle será exibido como Reprovado nas páginas de detalhes dos padrões da região inicial. O número de verificações de segurança inclui descobertas de todas as regiões vinculadas.

O Security Hub agrega apenas dados de regiões em que uma conta tem o Security Hub habilitado. O Security Hub não é habilitado automaticamente para uma conta com base na configuração de agregação entre regiões.

É possível habilitar a agregação entre regiões sem que nenhuma região vinculada seja selecionada. Nesse caso, nenhuma replicação de dados ocorrerá.

Agregação para contas de administrador e contas-membro

Contas autônomas, contas-membro e contas de administrador podem configurar a agregação entre regiões. Se for configurada por um administrador, a presença da conta de administrador é essencial para que a agregação entre regiões funcione nas contas administradas. Se a conta de administrador for removida ou desassociada de uma conta-membro a agregação entre regiões será interrompida na conta de membro. Isso acontece mesmo que a conta tenha a agregação entre regiões habilitada antes que a relação de adminstrador-membro comece.

Quando uma conta de administrador habilita a agregação entre regiões, o Security Hub replica na região inicial os dados gerados pela conta de administrador em todas as regiões vinculadas. Além disso, o Security Hub identifica as contas-membros associadas a esse administrador, e todas elas herdam as configurações de agregação entre regiões da conta de administrador. O Security Hub replica os dados que uma conta-membro gera em todas as regiões vinculadas à região inicial.

O administrador pode acessar e gerenciar as descobertas de segurança de todas as contas-membro nas regiões administradas. Porém, como administrador do Security Hub, você deve estar conectado à região inicial para visualizar os dados agregados de todas as contas-membro e toda as regiões vinculadas.

Como uma conta-membro do Security Hub, você deve estar conectado à região inicial para visualizar na sua conta os dados agregados de todas as regiões vinculadas. As contas-membros não têm permissão para visualizar os dados de outras contas-membro.

Uma conta de administrador pode convidar contas-membros manualmente ou servir como administrador delegado de uma organização integrada com o AWS Organizations. Para uma conta-membro convidada manualmente, o administrador deve convidar a conta na região inicial e em todas as regiões vinculadas para que a agregação entre regiões funcione. Além disso, a conta-membro deve ter o Security Hub habilitado na região inicial e em todas as regiões vinculadas para que o administrador possa visualizar as descobertas na conta-membro. Se você não usar a região inicial para outras finalidades, poderá desabilitar os padrões e as integrações do Security Hub nessa região para evitar custos.

Se você planejar usar a agregação entre regiões e tiver várias contas de administrador, recomendado as seguintes práticas:

  • Cada conta de administrador tem contas de membro diferentes.

  • Cada conta de administrador tem as mesmas contas-membro em todas as regiões.

  • Cada conta de administrador usa uma região inicial diferente.

nota

Para entender como a configuração central afeta a agregação entre regiões, consulte Efeito da configuração central na agregação entre regiões.