Auto Scaling을 위한 Security Hub 컨트롤 - AWS 보안 허브

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Auto Scaling을 위한 Security Hub 컨트롤

이러한 Security Hub 컨트롤은 Amazon EC2 Auto Scaling 서비스 및 리소스를 평가합니다.

이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.2, .800-53.r5 CP-2 (2) NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-2 NIST

범주: 식별 > 인벤토리

심각도: 낮음

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-group-elb-healthcheck-required

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 로드 밸런서와 연결된 Amazon EC2 Auto Scaling 그룹이 Elastic Load Balancing (ELB) 상태 확인을 사용하는지 여부를 확인합니다. Auto Scaling 그룹이 ELB 상태 확인을 사용하지 않으면 제어가 실패합니다.

ELB상태 확인을 통해 Auto Scaling 그룹이 로드 밸런서에서 제공하는 추가 테스트를 기반으로 인스턴스의 상태를 확인할 수 있습니다. Elastic Load Balancing 상태 확인을 사용하면 EC2 Auto Scaling 그룹을 사용하는 애플리케이션의 가용성을 지원하는 데도 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

Elastic 로드 밸런싱 상태 확인을 추가하려면 Amazon EC2 Auto Scaling 사용 설명서의 Elastic Load Balancing 상태 확인 추가를 참조하십시오.

[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-multiple-az

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값

minAvailabilityZones

최소 가용 영역의 수

Enum

2, 3, 4, 5, 6

2

이 컨트롤은 Amazon EC2 Auto Scaling 그룹이 지정된 수 이상의 가용 영역 (AZs) 에 걸쳐 있는지 확인합니다. Auto Scaling 그룹이 지정된 개수 이상으로 확장되지 않으면 제어가 AZs 실패합니다. 최소 개수의 AZs 사용자 지정 매개 변수 값을 제공하지 않는 한 Security Hub는 기본값인 2를 사용합니다AZs.

여러 AZ에 걸쳐 있지 않은 Auto Scaling 그룹은 구성된 단일 AZ를 AZs 사용할 수 없게 되는 경우를 보완하기 위해 다른 AZ에서 인스턴스를 시작할 수 없습니다. 그러나 일괄 작업이나 AZ 간 전송 비용을 최소로 유지해야 하는 경우와 같은 일부 사용 사례에서는 단일 가용 영역이 있는 Auto Scaling 그룹이 선호될 수 있습니다. 이 경우 이 제어를 비활성화하거나 결과를 숨길 수 있습니다.

이제 Security Hub가 와 통합되었습니다

기존 Auto Scaling 그룹에 추가하려면 Amazon EC2 Auto Scaling 사용 설명서의 가용 영역 추가 및 제거를 참조하십시오. AZs

[AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 (15), (7),, NIST.800-53.r5 AC-3 NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 AC-6, NIST .800-53.r5 CM-2

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launchconfig-requires-imdsv2

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 IMDSv2 컨트롤은 Amazon EC2 Auto Scaling 그룹에서 시작하는 모든 인스턴스에서 활성화되었는지 여부를 확인합니다. 인스턴스 메타데이터 서비스 (IMDS) 버전이 시작 구성에 포함되지 않았거나 또는 를 허용하는 설정으로 구성된 경우 제어가 IMDSv2 실패합니다. token optional IMDSv1

IMDS실행 중인 인스턴스를 구성하거나 관리하는 데 사용할 수 있는 인스턴스에 대한 데이터를 제공합니다.

버전 2에는 인스턴스의 추가 보호를 IMDSv1 위해 사용할 수 없었던 새로운 보호 기능이 IMDS 추가되었습니다. EC2

이제 Security Hub가 와 통합되었습니다

Auto Scaling 그룹 은 한 번에 한 개의 시작 구성과 연결됩니다. 시작 구성을 생성한 후에는 수정할 수 없습니다. Auto Scaling 그룹의 시작 구성을 변경하려면 IMDSv2 활성화된 상태에서 기존 시작 구성을 새 시작 구성의 기반으로 사용하십시오. 자세한 내용은 Amazon EC2 사용 설명서의 새 인스턴스에 대한 인스턴스 메타데이터 옵션 구성을 참조하십시오.

[AutoScaling.4] Auto Scaling 그룹 시작 구성의 메타데이터 응답 홉 제한은 1보다 커서는 안 됩니다.

중요

Security Hub는 2024년 4월에 이 제어를 폐기했습니다. 자세한 내용은 Security Hub 제어 기능의 변경 로그 단원을 참조하십시오.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launch-config-hop-limit

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 메타데이터 토큰이 이동할 수 있는 네트워크 홉 수를 확인합니다. 메타데이터 응답 홉 제한이 1보다 크면 제어가 실패합니다.

인스턴스 메타데이터 서비스 (IMDS) 는 Amazon EC2 인스턴스에 대한 메타데이터 정보를 제공하며 애플리케이션 구성에 유용합니다. 메타데이터 서비스에 대한 HTTP PUT 응답을 EC2 인스턴스로만 제한하면 무단 사용을 IMDS 방지할 수 있습니다.

IP 패킷의 Time To Live (TTL) 필드는 모든 홉에서 1개씩 줄어듭니다. 이렇게 줄이면 패킷이 외부로 이동하지 않도록 할 수 EC2 있습니다. IMDSv2개방형 라우터, 레이어 3 방화벽VPNs, 터널 또는 NAT 디바이스로 잘못 구성되었을 수 있는 EC2 인스턴스를 보호하여 권한이 없는 사용자가 메타데이터를 검색하지 못하도록 합니다. IMDSv2에서는 기본 메타데이터 PUT 응답 홉 제한이 로 설정되어 있기 때문에 비밀 토큰이 포함된 응답은 인스턴스 외부로 이동할 수 없습니다. 1 하지만 이 값이 보다 1 크면 토큰이 EC2 인스턴스를 벗어날 수 있습니다.

이제 Security Hub가 와 통합되었습니다

기존 시작 구성의 메타데이터 응답 홉 제한을 수정하려면 Amazon EC2 User Guide의 기존 인스턴스에 대한 인스턴스 메타데이터 옵션 수정을 참조하십시오.

[오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 (11) NIST.800-53.r5 SC-7, (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::AutoScaling::LaunchConfiguration

AWS Config 규칙: autoscaling-launch-config-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Auto Scaling 그룹 의 관련 시작 구성이 그룹 인스턴스에 퍼블릭 IP 주소를 할당하는지 여부를 확인합니다. 연결된 시작 구성이 퍼블릭 IP 주소를 할당하면 제어가 실패합니다.

Auto Scaling 그룹 시작 구성의 Amazon EC2 인스턴스에는 제한된 엣지 케이스를 제외하고 연결된 퍼블릭 IP 주소가 없어야 합니다. Amazon EC2 인스턴스는 인터넷에 직접 노출되지 않고 로드 밸런서 뒤에서만 액세스할 수 있어야 합니다.

이제 Security Hub가 와 통합되었습니다

Auto Scaling 그룹 은 한 번에 한 개의 시작 구성과 연결됩니다. 시작 구성을 생성한 후에는 수정할 수 없습니다. 기존 Auto Scaling 그룹 의 시작 구성을 변경하기 위해 기존 시작 구성을 새 시작 구성의 기초로 사용할 수 있습니다. 그런 다음 새로운 시작 구성을 사용하도록 Auto Scaling 그룹을 업데이트합니다. step-by-step 지침은 Amazon EC2 Auto Scaling 사용 설명서에서 Auto Scaling 그룹의 시작 구성 변경을 참조하십시오. 새 시작 구성을 생성할 때, 추가 구성에서 고급 세부 정보, IP 주소 유형에서 어떤 인스턴스에도 퍼블릭 IP 주소를 할당하지 않음을 선택합니다.

시작 구성을 변경한 후 Auto Scaling은 새 구성 옵션을 사용하여 새 인스턴스를 시작합니다. 기존 인스턴스는 영향을 받지 않습니다. 기존 인스턴스를 업데이트하려면 인스턴스를 새로 고치거나 자동 조정을 허용하여 종료 정책에 따라 이전 인스턴스를 새 인스턴스로 점진적으로 교체하는 것이 좋습니다. Auto Scaling 인스턴스 업데이트에 대한 자세한 내용은 Amazon Auto Scaling 사용 설명서의 EC2 Auto Scaling 인스턴스 업데이트를 참조하십시오.

[AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-2(2), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-multiple-instance-types

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon EC2 Auto Scaling 그룹이 여러 인스턴스 유형을 사용하는지 여부를 확인합니다. Auto Scaling 그룹 에 정의된 인스턴스 유형이 하나만 있는 경우 제어가 실패합니다.

여러 가용 영역에서 실행되는 여러 인스턴스 유형에 애플리케이션을 배포하여 가용성을 높일 수 있습니다. Security Hub는 선택한 가용 영역에 인스턴스 용량이 부족한 경우 Auto Scaling 그룹 에서 다른 인스턴스 유형을 시작할 수 있도록 여러 인스턴스 유형을 사용할 것을 권장합니다.

이제 Security Hub가 와 통합되었습니다

여러 인스턴스 유형으로 Auto Scaling 그룹을 생성하려면 Amazon Auto Scaling 사용 설명서에서 여러 인스턴스 유형 및 구매 옵션을 포함하는 EC2 Auto Scaling 그룹을 참조하십시오.

[AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 식별 > 리소스 구성

심각도: 중간

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: autoscaling-launch-template

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon EC2 Auto Scaling 그룹이 EC2 시작 템플릿에서 생성되었는지 여부를 확인합니다. Amazon EC2 Auto Scaling 그룹이 시작 템플릿으로 생성되지 않았거나 혼합 인스턴스 정책에 시작 템플릿이 지정되지 않은 경우 이 제어가 실패합니다.

EC2Auto Scaling 그룹은 EC2 시작 템플릿 또는 시작 구성에서 생성할 수 있습니다. 하지만 시작 템플릿을 사용하여 Auto Scaling 그룹 을 생성하면 최신 기능과 개선 사항을 이용할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

EC2시작 템플릿으로 Auto Scaling 그룹을 생성하려면 Amazon Auto Scaling 사용 설명서의 시작 템플릿을 사용하여 EC2 Auto Scaling 그룹 생성을 참조하십시오. 시작 구성을 시작 템플릿으로 교체하는 방법에 대한 자세한 내용은 Amazon EC2 User Guide의 시작 구성을 시작 템플릿으로 바꾸기를 참조하십시오.

[AutoScaling.10] EC2 Auto Scaling 그룹에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::AutoScaling::AutoScalingGroup

AWS Config 규칙: tagged-autoscaling-autoscalinggroup (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

파라미터 설명 형식 허용된 사용자 지정 값 Security Hub 기본값
requiredTagKeys 평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. StringList 일치하는 태그 목록 AWS 요구 사항 기본값 없음

이 컨트롤은 Amazon EC2 Auto Scaling 그룹에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. Auto Scaling 그룹에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 Auto Scaling 그룹에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

참고

태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그는 많은 사람들이 이용할 수 있습니다. AWS 서비스다음을 포함하여 AWS Billing. 태그 지정 모범 사례에 대한 자세한 내용은 태그 지정을 참조하십시오. AWS 의 리소스 AWS 일반 참조.

이제 Security Hub가 와 통합되었습니다

Auto Scaling 그룹에 태그를 추가하려면 Amazon EC2 Auto Scaling 사용 설명서의 Auto Scaling 그룹 및 인스턴스에 태그 지정 섹션을 참조하십시오.