了解 Security Hub 中的跨区域聚合 - AWS Security Hub

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

了解 Security Hub 中的跨区域聚合

注意

聚合区域现在称为主区域。一些 Secur API ity Hub 操作仍使用旧术语聚合区域。

通过在中使用跨区域聚合 AWS Security Hub,你可以汇总多个调查结果、查找更新、见解、控制合规状态和安全评分 AWS 区域 到单一家庭区域。然后,您可以从本地区域管理所有这些数据。

假设您将美国东部(弗吉尼亚北部)设置为主区域,将美国西部(俄勒冈)和美国西部(加利福尼亚北部)设置为关联区域。在美国东部(弗吉尼亚州北部)查看调查发现页面时,您会看到所有三个地区的调查发现。这些调查发现的最新情况也反映在所有三个区域。

注意

In AWS GovCloud (US),仅支持跨区域聚合的发现、发现更新和洞察 AWS GovCloud (US)。 具体而言,您只能汇总两者之间的发现、查找更新和见解 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)。在中国区域,跨区域聚合仅支持对中国区域的调查发现、调查发现更新和见解进行跨区域聚合。具体而言,您只能聚合中国(北京)和中国(宁夏)之间的调查发现、调查发现更新和见解。

如果某个控件在关联区域启用,但在主区域中禁用,则可以从主区域查看该控件的合规性状态,但无法从主区域启用或禁用该控件。唯一的例外是您使用中央配置。如果您使用集中配置,则委派的 Security Hub 管理员可以在主区域中配置控件,也可以从主区域配置关联区域。

如果您设置了主区域,则安全分数会将控制状态全部考虑在内 关联区域。要查看跨区域安全评分和合规状态,请向使用 Security Hub 的IAM角色添加以下权限:

聚合的数据类型

当一个或多个关联区域启用跨区域聚合时,Security Hub 会将以下数据从关联区域复制到主区域。每个启用了跨区域聚合的账户都会发生这种情况。

  • 调查发现

  • 洞察

  • 控制合规性状态

  • 安全分数

除了上面列表中的新数据外,Security Hub 还会在关联的区域和主区域之间复制对这些数据的更新。关联区域中发生的更新会复制到主区域。在主区域发生的更新会被复制回关联区域。如果主区域和关联区域的更新相互冲突,则使用最新的更新。

启用跨区域聚合后,Security Hub 会在关联的区域和主区域之间复制新的和更新的发现。

跨区域聚合不会增加 Security Hub 的费用。Security Hub 复制新数据或更新时,您无需付费。

在主区域中,摘要页面提供了您在关联区域中的活跃发现的视图。有关信息,请参阅按严重性查看跨区域调查发现摘要。其他用于分析调查发现的摘要页面面板还会显示来自关联区域的信息。

您在主区域的安全评分是通过比较所有关联区域中已通过的控件数量和已启用的控件数量来计算的。此外,如果在至少一个关联区域中启用了控件,则该控件将在主区域的安全标准详细信息页面上可见。标准详情页面上控件的合规状态反映了关联区域的调查发现。如果与控件关联的安全检查在一个或多个关联区域中失败,则该控件的合规性状态将在主区域的标准详细信息页面上显示为 “失败”。安全检查的数量包括来自所有关联区域的调查发现。

Security Hub 仅汇总来自账户启用了 Security Hub 的地区数据。根据跨区域聚合配置,不会自动为账户启用 Security Hub。

可以在不选择任何关联区域的情况下启用跨区域聚合。在这种情况下,不会进行数据复制。

管理员和成员账户的聚合

独立账户、成员账户和管理员账户可以配置跨区域聚合。如果由管理员配置,则管理员帐户的存在对于跨区域聚合在托管账户中发挥作用至关重要。如果管理员账户被移除或取消与成员账户的关联,则该成员账户的跨区域聚合将停止。即使账户在管理员-成员关系开始之前启用了跨区域聚合,也是如此。

当管理员帐户启用跨区域聚合时,Security Hub 会将管理员帐户在所有关联区域中生成的数据复制到主区域。此外,Security Hub 可以识别与该管理员关联的成员账户,并且每个成员账户都继承管理员的跨区域聚合设置。Security Hub 会将成员账户在所有关联区域生成的数据复制到主区域。

管理员可以访问和管理来自管理区域内所有成员账户的安全调查结果。但是,作为 Security Hub 管理员,您必须登录到主区域才能查看来自所有成员账户和关联区域的汇总数据。

作为 Security Hub 成员账户,您必须登录主区域才能查看来自所有关联区域的账户汇总数据。成员账户无权查看其他成员账户的数据。

管理员账户可以手动邀请成员账户,也可以作为与之集成的组织的委托管理员 AWS Organizations。 对于手动邀请的成员账户,管理员必须邀请来自主区域和所有关联区域的账户,才能使跨区域聚合发挥作用。此外,成员账户必须在主区域和所有关联区域中启用 Security Hub,这样管理员才能查看来自成员账户的调查结果。如果您不将主区域用于其他目的,则可以在该区域禁用 Security Hub 标准和集成以防止收费。

如果您计划使用跨区域聚合,并且拥有多个管理员账户,我们建议您遵循以下最佳实践:

  • 每个管理员账户都有不同的成员账户。

  • 每个管理员账户在不同地区都有相同的成员账户。

  • 每个管理员帐户使用不同的主区域。

注意

要了解跨区域聚合如何影响中央配置,请参阅中央配置对跨区域聚合的影响