Amazon Inspector와 Security Hub를 사용하여 계정 간 워크로드에 대한 보안 스캔을 자동화합니다. AWS - AWS 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스첨부

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector와 Security Hub를 사용하여 계정 간 워크로드에 대한 보안 스캔을 자동화합니다. AWS

작성자: 람야 풀리파카 () 와 미케시 카날 () AWS AWS

환경: 프로덕션

기술: 보안, 자격 증명, 규정 준수, 관리 및 거버넌스

AWS서비스: 아마존 인스펙터, 아마존, SNS AWS 람다, 보안 허브, AWS 아마존 CloudWatch

요약

이 패턴은 Amazon Web Services () AWS 클라우드에서 계정 간 워크로드의 취약성을 자동으로 스캔하는 방법을 설명합니다.

이 패턴은 태그별로 그룹화된 Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스의 호스트 기반 스캔 또는 네트워크 기반 Amazon Inspector 스캔 일정을 생성하는 데 도움이 됩니다. AWS CloudFormation 스택은 필요한 모든 리소스와 서비스를 계정에 배포합니다. AWS AWS

Amazon Inspector 조사 결과는 AWS Security Hub로 내보내져 계정, AWS 지역, 가상 사설 클라우드 (VPCs) 및 인스턴스 전반의 취약성에 대한 통찰력을 제공합니다. EC2 이러한 결과를 이메일로 받거나, HTTP 엔드포인트를 사용하여 티켓 작성 도구, 보안 정보 및 이벤트 관리 (SNS) 소프트웨어 또는 기타 타사 보안 솔루션으로 결과를 전송하는 Amazon Simple Notification Service (AmazonSIEM) 주제를 생성할 수 있습니다.

사전 조건 및 제한 사항

사전 조건 

  • Amazon으로부터 이메일 알림을 받기 위한 기존 이메일 주소SNS. 

  • 티켓 발급 도구, SIEM 소프트웨어 또는 기타 타사 보안 솔루션에서 사용하는 기존 HTTP 엔드포인트.

  • 중앙 AWS 감사 계정을 포함하여 계정 간 워크로드를 호스팅하는 활성 계정. 

  • Security Hub, 활성화되고 및 구성됨. 이 패턴은 Security Hub 없이 사용할 수 있지만, Security Hub를 통해 생성되는 인사이트 때문에 Security Hub를 사용하는 것이 좋습니다. 자세한 내용은 Security Hub 설명서의 AWS Security Hub 설정을 참조하십시오.

  • 스캔하려는 각 EC2 인스턴스에 Amazon Inspector 에이전트가 설치되어 있어야 합니다. AWSSystems Manager 실행 명령을 사용하여 Amazon Inspector 에이전트를 여러 EC2 인스턴스에 설치할 수 있습니다. 

‬기술

  • 스택 세트 사용 self-managedservice-managed 권한 사용 경험이 있습니다. AWS CloudFormation self-managed권한을 사용하여 특정 지역의 특정 계정에 스택 인스턴스를 배포하려면 필수 AWS Identity 및 Access Management (IAM) 역할을 생성해야 합니다. service-managed권한을 사용하여 특정 지역의 AWS Organizations에서 관리하는 계정에 스택 인스턴스를 배포하려는 경우 필요한 IAM 역할을 생성할 필요가 없습니다. 자세한 내용은 AWS CloudFormation 설명서의 스택 세트 생성을 참조하십시오. 

제한 사항

  • 계정의 EC2 인스턴스에 태그가 적용되지 않은 경우 Amazon Inspector는 해당 계정의 모든 EC2 인스턴스를 스캔합니다.

  • AWS CloudFormation 스택 세트와 onboard-audit-account .yaml 파일 (첨부) 은 동일한 지역에 배포되어야 합니다.

  • 기본적으로 Amazon Inspector Classic은 집계된 조사 결과를 지원하지 않습니다. Security Hub는 여러 계정 또는 AWS 지역에 대한 평가를 보는 데 권장되는 솔루션입니다.

  • 이 패턴의 접근 방식은 미국 동부 (버지니아 북부) 지역 (us-east-1TPS) 의 SNS 주제에 대한 게시 할당량인 초당 트랜잭션 30,000건 () 이하로 확장할 수 있지만 한도는 지역에 따라 다릅니다. 보다 효과적으로 확장하고 데이터 손실을 방지하려면 SNS 주제 앞에 Amazon 심플 큐 서비스 (AmazonSQS) 를 사용하는 것이 좋습니다.

아키텍처

다음 다이어그램은 EC2 인스턴스를 자동으로 스캔하는 워크플로를 보여줍니다.

검사를 실행하기 위한 AWS 계정과 알림 전송을 위한 별도의 감사 계정.

워크플로우는 다음 단계로 구성됩니다.

1. 아마존 EventBridge 규칙은 크론 표현식을 사용하여 특정 일정에 따라 자체 시작하고 Amazon Inspector를 시작합니다.  

2. Amazon Inspector는 계정에서 태그가 지정된 EC2 인스턴스를 스캔합니다. 

3. Amazon Inspector는 조사 결과를 Security Hub로 전송하고, Security Hub는 워크플로, 우선 순위 지정, 문제 해결에 대한 통찰력을 생성합니다.

4. 또한 Amazon Inspector는 평가 상태를 감사 계정의 SNS 주제로 전송합니다. 이벤트가 AWS 주제에 게시되면 findings reported Lambda 함수가 호출됩니다. SNS  

5. Lambda 함수는 결과를 가져와서 형식을 지정하고 감사 계정의 SNS 다른 주제로 전송합니다.

6. 조사 결과는 주제를 구독하는 이메일 주소로 전송됩니다. SNS 전체 세부 정보 및 권장 사항은 HTTP 구독된 JSON 엔드포인트에 형식으로 전송됩니다.

기술 스택

  • AWS Control Tower

  • EventBridge 

  • IAM

  • Amazon Inspector

  • Lambda

  • Security Hub

  • 아마존 SNS

도구

  • AWS CloudFormation— 리소스를 모델링하고 설정하여 AWS 리소스를 관리하는 데 소요되는 시간을 줄이고 애플리케이션에 더 많은 시간을 집중할 수 있도록 AWS CloudFormation 도와줍니다.

  • AWS CloudFormation StackSets— 한 번의 작업으로 여러 계정 및 지역에서 스택을 생성, 업데이트 또는 삭제할 수 있도록 하여 스택의 기능을 AWS CloudFormation StackSets 확장합니다.

  • AWSControl Tower — AWS Control Tower는 Organizations를 비롯한 여러 다른 AWS 서비스의 기능을 결합하고 통합하는 추상화 또는 오케스트레이션 계층을 생성합니다. AWS

  • Amazon EventBridge — EventBridge 다양한 소스의 데이터에 애플리케이션을 쉽게 연결할 수 있게 해주는 서버리스 이벤트 버스 서비스입니다.

  • AWSLambda — Lambda는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있도록 지원하는 컴퓨팅 서비스입니다.

  • AWSSecurity Hub — Security Hub는 보안 상태를 포괄적으로 파악하고 보안 업계 표준 AWS 및 모범 사례와 비교하여 환경을 점검하는 데 도움이 됩니다.

  • Amazon SNS — Amazon 심플 알림 서비스 (AmazonSNS) 는 게시자로부터 구독자에게 메시지를 전달하는 관리형 서비스입니다.

에픽

작업설명필요한 기술

감사 계정에 AWS CloudFormation 템플릿을 배포합니다.

onboard-audit-account.yaml 파일(첨부됨)을 다운로드하여 컴퓨터의 로컬 경로에 저장합니다. 

감사 계정의 AWS 관리 콘솔에 로그인하고 AWS CloudFormation 콘솔을 연 다음 스택 생성을 선택합니다. 

사전 조건섹션에서 템플릿 준비를 선택하고, 템플릿이 준비 완료을 선택합니다. 템플릿 지정 섹션에서 템플릿 소스를 선택하고 템플릿 준비 완료를 선택하십시오. onboard-audit-account.yaml 파일을 업로드한 다음 요구 사항에 따라 나머지 옵션을 구성합니다. 

중요: 다음 입력 파라미터를 구성해야 합니다.

  • DestinationEmailAddress - 조사 결과를 받을 이메일 주소를 입력합니다.

  • HTTPEndpoint— 티켓팅 또는 SIEM 도구를 위한 HTTP 엔드포인트를 제공하십시오.

AWS명령줄 인터페이스 () AWS CLI 를 사용하여 AWS CloudFormation 템플릿을 배포할 수도 있습니다. 이에 대한 자세한 내용은 AWS CloudFormation 설명서의 스택 만들기를 참조하십시오.

개발자, 보안 엔지니어

Amazon SNS 구독을 확인합니다.

이메일 수신함을 열고 SNS Amazon에서 받은 이메일에서 구독 확인을 선택합니다. 그러면 웹 브라우저 창이 열리고 구독 확인이 표시됩니다.

개발자, 보안 엔지니어
작업설명필요한 기술

감사 계정에서 스택 세트를 생성합니다.

vulnerability-management-program.yaml 파일(첨부됨)을 컴퓨터의 로컬 경로에 다운로드합니다.

AWS CloudFormation 콘솔에서 스택세트 보기를 선택한 다음 생성을 선택합니다. StackSet Choose 템플릿 준비 완료를 선택하고, 템플릿 파일 업로드를 선택한 후,  vulnerability-management-program.yaml 파일을 업로딩합니다. 

self-managed권한을 사용하려면 설명서의 자체 관리 권한으로 스택 세트 만들기의 지침을 따르세요. AWS CloudFormation 이렇게 하면 개별 계정에 스택 세트가 생성됩니다. 

service-managed권한을 사용하려면 설명서의 서비스 관리 권한으로 스택 세트 만들기의 지침을 따르세요. AWS CloudFormation 이렇게 하면 전체 조직 또는 지정된 조직 단위 () OUs 에 스택 세트가 만들어집니다.

중요: 다음 입력 파라미터가 구성되었는지 확인합니다.

  • AssessmentSchedule— 크론 표현식 EventBridge 사용 일정. 

  • Duration - Amazon Inspector 평가 실행 기간은 초 단위입니다.

  • CentralSNSTopicArn— 중앙 SNS 주제에 대한 Amazon 리소스 이름 (ARN)

  • Tagkey - 리소스 그룹과 연결된 태그 키입니다. 

  • Tagvalue - 리소스 그룹과 연결된 태그 값입니다. 

감사 계정의 EC2 인스턴스를 스캔하려면 감사 계정에서 vulnerability-management-program.yaml 파일을 AWS CloudFormation 스택으로 실행해야 합니다.

개발자, 보안 엔지니어

솔루션을 검증합니다.

Amazon Inspector에 지정한 일정에 따라 이메일이나 HTTP 엔드포인트를 통해 결과를 수신하는지 확인하십시오.

개발자, 보안 엔지니어

관련 리소스

첨부

이 문서와 관련된 추가 콘텐츠에 액세스하려면 attachment.zip 파일의 압축을 풉니다.