기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Auto Scaling을 위한 Security Hub 제어

이러한 Security Hub 제어는 Amazon EC2 Auto Scaling 서비스 및 리소스를 평가합니다.

이러한 제어 기능을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.2, NIST.800-53.r5 CA-7, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 SI-2

범주: 식별 > 인벤토리

심각도: 낮음

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-group-elb-healthcheck-required

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 로드 밸런서와 연결된 Amazon EC2 Auto Scaling 그룹이 Elastic Load Balancing(ELB) 상태 확인을 사용하는지 확인합니다. Auto Scaling 그룹이 ELB 상태 확인을 사용하지 않으면 제어가 실패합니다.

ELB 상태 확인은 Auto Scaling 그룹이 로드 밸런서에서 제공하는 추가 테스트를 기반으로 인스턴스의 상태를 확인할 수 있도록 합니다. Elastic Load Balancing 상태 확인을 사용하면 EC2 Auto Scaling 그룹을 사용하는 애플리케이션의 가용성도 지원할 수 있습니다.

문제 해결

Elastic Load Balancing 상태 확인을 추가하려면 Amazon EC2 Auto Scaling 사용 설명서의 Elastic Load Balancing 상태 확인 추가를 참조하세요.

[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-multiple-az

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 Auto Scaling 그룹이 최소한 지정된 가용 영역 수()에 걸쳐 있는지 확인합니다AZs. Auto Scaling 그룹이 지정된 수 이상의에 걸쳐 있지 않으면 제어가 실패합니다AZs. 최소 수에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 AZsSecurity Hub는 기본값인 2개를 사용합니다AZs.

여러에 걸쳐 있지 않은 Auto Scaling 그룹은 구성된 단일 AZ를 사용할 AZs 수 없게 되면 다른 AZ에서 인스턴스를 시작하여 보상할 수 없습니다. 하지만 일괄 작업이나 AZ 간 전송 비용을 최소로 유지해야 하는 경우와 같은 일부 사용 사례에서는 단일 가용 영역이 있는 Auto Scaling 그룹이 선호될 수 있습니다. 이 경우, 이 제어를 비활성화하거나 조사 결과를 숨길 수 있습니다.

문제 해결

기존 Auto Scaling 그룹에 AZs를 추가하려면 Amazon EC2 Auto Scaling 사용 설명서의 가용 영역 추가 및 제거를 참조하세요.

[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, PCI DSS v4.0.1/2.2.6

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launchconfig-requires-imdsv2

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어IMDSv2는 Amazon EC2 Auto Scaling 그룹에서 시작된 모든 인스턴스에서가 활성화되었는지 확인합니다. 인스턴스 메타데이터 서비스(IMDS) 버전이 시작 구성에 포함되어 있지 않거나 IMDSv1 또는를 허용하는 설정token optional인 로 구성된 경우 제어가 실패합니다IMDSv2.

IMDS는 실행 중인 인스턴스를 구성하거나 관리하는 데 사용할 수 있는 인스턴스에 대한 데이터를 제공합니다.

의 버전 2는 EC2 인스턴스를 추가로 보호하기 IMDSv1 위해에서 사용할 수 없었던 새로운 보호를 IMDS 추가합니다.

문제 해결

Auto Scaling 그룹 은 한 번에 한 개의 시작 구성과 연결됩니다. 시작 구성을 생성한 후에는 수정할 수 없습니다. Auto Scaling 그룹의 시작 구성을 변경하려면 기존 시작 구성을 IMDSv2 활성화된 새 시작 구성의 기반으로 사용합니다. 자세한 내용은 Amazon EC2 사용 설명서의 새 인스턴스에 대한 인스턴스 메타데이터 옵션 구성을 참조하세요.

[AutoScaling.4] Auto Scaling 그룹 시작 구성에는 메타데이터 응답 홉 제한이 1보다 크지 않아야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launch-config-hop-limit

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 메타데이터 토큰이 이동할 수 있는 네트워크 홉 수를 확인합니다. 메타데이터 응답 홉 제한이 1보다 크면 제어가 실패합니다.

인스턴스 메타데이터 서비스(IMDS)는 Amazon EC2 인스턴스에 대한 메타데이터 정보를 제공하며 애플리케이션 구성에 유용합니다. 메타데이터 서비스에 대한 HTTP PUT 응답을 EC2 인스턴스로만 제한하면가 무단으로 사용되지 IMDS 않습니다.

IP 패킷의 Time To Live(TTL) 필드는 홉마다 하나씩 줄어듭니다. 이 축소는 패킷이 외부로 이동하지 않도록 하는 데 사용할 수 있습니다EC2.는 개방된 라우터, 계층 3 방화벽, , VPNs터널 또는 NAT 디바이스로 잘못 구성되었을 수 있는 EC2 인스턴스를 IMDSv2 보호하여 권한이 없는 사용자가 메타데이터를 검색하지 못하도록 합니다. IMDSv2를 사용하면 기본 메타데이터 PUT 응답 홉 제한이 로 설정되므로 보안 암호 토큰이 포함된 응답이 인스턴스 외부로 이동할 수 없습니다1. 그러나이 값이 보다 크면 1토큰이 EC2 인스턴스를 떠날 수 있습니다.

문제 해결

기존 시작 구성에 대한 메타데이터 응답 홉 제한을 수정하려면 Amazon EC2 사용 설명서의 기존 인스턴스에 대한 인스턴스 메타데이터 옵션 수정을 참조하세요.

[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7,(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9), PCI DSS v4.0.1/1.4.4

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launch-config-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Auto Scaling 그룹 의 관련 시작 구성이 그룹 인스턴스에 퍼블릭 IP 주소를 할당하는지 여부를 확인합니다. 연결된 시작 구성이 퍼블릭 IP 주소를 할당하면 제어가 실패합니다.

Auto Scaling 그룹 시작 구성의 Amazon EC2 인스턴스에는 제한된 엣지 경우를 제외하고 연결된 퍼블릭 IP 주소가 없어야 합니다. Amazon EC2 인스턴스는 인터넷에 직접 노출되는 대신 로드 밸런서 뒤에서만 액세스할 수 있어야 합니다.

문제 해결

Auto Scaling 그룹 은 한 번에 한 개의 시작 구성과 연결됩니다. 시작 구성을 생성한 후에는 수정할 수 없습니다. 기존 Auto Scaling 그룹의 시작 구성을 변경하기 위해 기존 시작 구성을 새로운 시작 구성의 기초로 사용할 수 있습니다. 그런 다음 새로운 시작 구성을 사용하도록 Auto Scaling 그룹을 업데이트합니다. 지침은 step-by-step Amazon Auto Scaling 사용 설명서의 Auto Scaling 그룹에 대한 시작 구성 변경을 참조하세요. EC2 Auto Scaling 새로운 시작 구성을 생성할 때, 추가 구성에서 고급 세부 정보, IP 주소 유형에서 어떤 인스턴스에도 퍼블릭 IP 주소를 할당하지 않음을 선택합니다.

시작 구성을 변경한 후 Auto Scaling은 새 구성 옵션을 사용하여 새로운 인스턴스를 시작합니다. 기존 인스턴스는 영향을 받지 않습니다. 기존 인스턴스를 업데이트하려면 인스턴스를 새로 고치거나 자동 조정을 허용하여 종료 정책에 따라 이전 인스턴스를 새로운 인스턴스로 점진적으로 교체하는 것이 좋습니다. Auto Scaling 인스턴스 업데이트에 대한 자세한 내용은 Amazon Auto Scaling 사용 설명서의 Auto Scaling 인스턴스 업데이트를 참조하세요. EC2 Auto Scaling

[AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-multiple-instance-types

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon EC2 Auto Scaling 그룹이 여러 인스턴스 유형을 사용하는지 확인합니다. Auto Scaling 그룹 에 정의된 인스턴스 유형이 하나만 있는 경우, 제어가 실패합니다.

여러 가용 영역에서 실행되는 여러 인스턴스 유형에 애플리케이션을 배포하여 가용성을 높일 수 있습니다. Security Hub는 선택한 가용 영역에 인스턴스 용량이 부족한 경우, Auto Scaling 그룹 에서 다른 인스턴스 유형을 시작할 수 있도록 여러 인스턴스 유형을 사용할 것을 권장합니다.

문제 해결

여러 인스턴스 유형으로 Auto Scaling 그룹을 생성하려면 Amazon Auto Scaling 사용 설명서의 여러 인스턴스 유형 및 구매 옵션이 있는 Auto Scaling 그룹을 참조하세요. EC2 Auto Scaling

[AutoScaling.9] Amazon EC2 Auto Scaling 그룹은 Amazon EC2 시작 템플릿을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 식별 > 리소스 구성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-launch-template

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon EC2 Auto Scaling 그룹이 EC2 시작 템플릿에서 생성되었는지 확인합니다. Amazon EC2 Auto Scaling 그룹이 시작 템플릿으로 생성되지 않았거나 혼합 인스턴스 정책에 시작 템플릿이 지정되지 않은 경우이 제어가 실패합니다.

EC2 Auto Scaling 그룹은 EC2 시작 템플릿 또는 시작 구성에서 생성할 수 있습니다. 하지만 시작 템플릿을 사용하여 Auto Scaling 그룹 을 생성하면 최신 기능과 개선 사항을 이용할 수 있습니다.

문제 해결

EC2 시작 템플릿을 사용하여 Auto Scaling 그룹을 생성하려면 Amazon Auto Scaling 사용 설명서의 시작 템플릿을 사용하여 Auto Scaling 그룹 생성을 참조하세요. EC2 Auto Scaling 시작 구성을 시작 템플릿으로 교체하는 방법에 대한 자세한 내용은 Amazon EC2 사용 설명서의 시작 구성을 시작 템플릿으로 교체를 참조하세요.

[AutoScaling.10] EC2 Auto Scaling 그룹에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태그 지정

심각도: 낮음

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: tagged-autoscaling-autoscalinggroup (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 Auto Scaling 그룹에 파라미터에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. Auto Scaling 그룹에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 Auto Scaling 그룹에 키로 태그가 지정되지 않으면 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태그 지정은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태그 지정을 사용하는 경우 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. 보안 IAM 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서AWS의 ABAC 용도를 참조하세요.

문제 해결

Auto Scaling 그룹에 태그를 추가하려면 Amazon Auto Scaling 사용 설명서의 Tag Auto Scaling 그룹 및 인스턴스를 참조하세요. EC2 Auto Scaling