View a markdown version of this page

Accelerate의 기타 Security Hub 제어 - AMS Accelerate 사용 설명서
Lambda.3 - Lambda 함수는 VPC에 있어야 합니다.S3.17 - S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keysKMS.2 - IAM 보안 주체에 모든 KMS 키에 대한 복호화 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.S3.9 - S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다.EC2.6 - 모든 VPC에서 VPCs 흐름 로깅을 활성화해야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Accelerate의 기타 Security Hub 제어

Accelerate에서 다음 보정 컨트롤을 사용할 수 있습니다.

Lambda.3 - Lambda 함수는 VPC에 있어야 합니다.

리소스:

  • AMSAlarmManagerDeploymentHandler

  • AMSAlarmManagerOrphanedAlarmCleanup

  • AMSAlarmManagerRemediation

  • AMSAlarmManagerReporting

  • AMSAlarmManagerTriggerEvaluation

  • AMSAlarmManagerValidation

  • AMSConfigExtensionDeploymentHandler

  • AMSConfigFSXExtension

  • AMSConfigOutpostExtension

  • AMSConfigSyntheticCanaryExtension

AMS에서 배포한 AWS Lambda 함수는 계정의 리소스와 통신하지 않습니다. 따라서 전용 탄력적 네트워크 인터페이스(ENIs) 또는 VPC 배치가 필요하지 않습니다. VPC 외부에 이러한 함수를 배포하면 비용이 절감되고 배포 속도가 향상됩니다. 이 접근 방식은 리소스 내 통신에 대한 보안 문제를 일으키지 않습니다. 이러한 Lambda 함수는 독립적으로 작동하고 VPC 기반 리소스에 액세스하지 않으므로 VPC 배포는 추가 보안 이점 없이 불필요한 복잡성과 비용을 추가합니다.

S3.17 - S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys

리소스:

  • arn:aws:s3::ams-a<account_id>-alarmmanager-<region>

AMS Alarm Manager 시스템에서 사용하는 Amazon Simple Storage Service 버킷은 고객 관리형 KMS 키(SSE-KMS) 대신 Amazon 관리형 암호화 키(SSE-S3)를 사용합니다. 고객 관리형 키를 구현하려면 키 정책을 통해 KMS 키를 사용할 수 있는 AMS 명시적 권한을 부여해야 합니다. 이로 인해 추가적인 운영 복잡성과 위험이 발생합니다. 이 제어를 사용하면 추가 비용과 운영 복잡성을 방지하면서 저장 시 강력한 암호화가 가능합니다.

키 정책을 수정하거나, 키를 부적절하게 교체하거나, 실수로 키를 삭제하거나 비활성화하면 AMS 모니터링이 즉시 실패합니다. 고객 관리형 키 가용성에 대한 이러한 종속성은 AMS 중요 모니터링 및 알림 인프라를 손상시킵니다. 실시간 모니터링 기능, 알림 전송, 인시던트 대응 및 서비스 상태 가시성이 잠재적으로 중단될 수 있습니다. Amazon 관리형 암호화 키는 키 정책, 교체 일정 또는 액세스 권한을 관리할 필요 없이 저장 데이터를 자동으로 암호화합니다. 이 구현은 AMS관리형 인프라의 비용 효율성과 운영 간소화를 유지하면서 암호화 요구 사항을 충족합니다.

리소스:

  • arn:aws:s3::ams-a<account_id>-cloudtrail-log-<region>-audit

AWS CloudTrail 감사 로깅 버킷은 AWS 서비스 제한으로 인해 AWS KMS 암호화를 사용할 수 없습니다. 서버 액세스 로깅 대상으로 사용되는 S3 버킷에는 KMS 키 암호화가 활성화되어 있지 않아야 합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서기본 암호화 구성서버 액세스 로깅 문제 해결을 참조하세요. 로깅 대상 버킷에서 AWS KMS 암호화를 활성화하면 로깅 실패가 발생하고 운영 문제가 발생할 수 있습니다. 이 버킷은 대신 Amazon S3-managed 암호화(SSE-S3)를 사용합니다. 이렇게 하면 S3 서버 액세스 로깅 기능과의 호환성을 유지하면서 저장 시 암호화를 제공합니다.

KMS.2 - IAM 보안 주체에 모든 KMS 키에 대한 복호화 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.

리소스:

  • KMS 키: alias/ams/patchreporting

인라인 정책에는 특정 KMS 키(ams_ssm_inventory_bucket_kms_key)에 연결된 리소스 기반 정책인 KMS 키 정책에 "Resource": ["*"]가 포함되어 있습니다. 키 정책은 기본적으로 개별 키로 범위가 지정되며, 정책 범위가 이미 키 자체에 의해 제한되므로 리소스 요소에 *를 사용하는 것이 표준 AWS 관행입니다. 자세한 내용은 AWS KMS keys 개발자 안내서키 정책 생성기본 키 정책을 참조하세요. 이 구성은 계정의 모든 키가 아닌 단일 KMS 키로 액세스가 제한되므로 보안 위험이 없습니다.

S3.9 - S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다.

리소스:

  • ams-config-recorder-bucket-<account_id>-audit

이러한 S3 버킷은 AWS Config 레코더 버킷의 액세스 로깅 대상 버킷입니다. S3는 이러한 버킷에 대한 액세스 로깅을 설정하지 않는 것이 좋습니다. 그러면 로깅 루프가 무한하게 생성되어 비용이 불필요하게 증가합니다. AWS Security Hub 대신는이 시나리오의 리소스에 조사 결과가 표시되지 않도록 할 것을 권장합니다.

문제 해결:

결과는 유용하지 않으므로 영향을 받는 이러한 버킷에 대해이 결과를 숨겨야 합니다. 조사 결과를 억제하지 않으려면 선택적으로 버킷에서 자체 로깅을 구성할 수 있습니다. AMS가 버킷을 업데이트하면 자체 로깅이 제거될 위험이 있습니다.

EC2.6 - 모든 VPC에서 VPCs 흐름 로깅을 활성화해야 합니다.

리소스:

  • 계정 생성 시 기본 vpc

기본적으로 AMS는 기본 VPC에 대해 VPC 흐름 로그를 활성화하지 않습니다.

문제 해결:

ams:managed=true 태그 키/값을 추가하고, 구성 규칙의 상태를 지우고, 규칙 평가를 다시 실행하여 제어를 자체 수정할 수 있습니다. AMS의 자동 수정 구성 요소는 vpc에서 VPC 흐름 로그를 활성화합니다.