기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 제어 대상 AWS Config
이러한 Security Hub 컨트롤은 다음을 평가합니다. AWS Config 서비스 및 리소스.
이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.
[구성.1] AWS Config 서비스 연결 역할을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.
관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/2.5, CIS AWS 파운데이션 벤치마크 v1.4.0/3.5, CIS AWS 파운데이션 벤치마크 v3.0.0/3.3, NIST .800-53.r5 CM-3, .800-53.r5 CM-6 (1), .800-53.r5 CM-8, .800-53.r5 CM-8 (2), v3.2.1/10.5.2, v3.2.1/11.5 NIST NIST NIST PCI DSS PCI DSS
범주: 식별 > 인벤토리
심각도: 중간
리소스 유형: AWS::::Account
AWS Config 규칙: 없음 (사용자 지정 Security Hub 규칙)
스케줄 유형: 주기적
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
|
|
컨트롤은 여부를 평가하지 않습니다. AWS Config 매개변수가 로 설정된 경우 서비스 연결 역할을 사용합니다. |
불 |
|
|
이 컨트롤은 다음 사항을 확인합니다. AWS Config 현재 계정에서 활성화되어 있습니다. AWS 리전, 현재 지역에서 활성화된 컨트롤에 해당하는 모든 리소스를 기록하고 서비스에 연결된 서비스를 사용합니다. AWS Config 역할. 서비스 연결 역할의 이름은 입니다. AWSServiceRoleForConfig 서비스 연결 역할을 사용하지 않고 includeConfigServiceLinkedRoleCheck 매개 변수를 로 false 설정하지 않으면 다른 역할에 필요한 권한이 없을 수 있으므로 제어가 실패합니다. AWS Config 리소스를 정확하게 기록하기 위해서입니다.
The AWS Config 서비스는 지원되는 구성 관리를 수행합니다. AWS 계정의 리소스 및 사용자에게 로그 파일을 제공합니다. 기록된 정보에는 구성 항목 (AWS 리소스), 구성 항목 간의 관계, 리소스 내의 모든 구성 변경 글로벌 리소스는 모든 지역에서 사용할 수 있는 리소스입니다.
컨트롤은 다음과 같이 평가됩니다.
현재 지역이 집계 지역으로 설정된 경우 컨트롤은 다음과 같은 경우에만
PASSED결과를 생성합니다. AWS Identity and Access Management (IAM) 글로벌 리소스가 기록됩니다 (필요한 컨트롤을 활성화한 경우).현재 지역이 연결된 지역으로 설정된 경우 컨트롤은 IAM 글로벌 리소스가 기록되는지 여부를 평가하지 않습니다.
현재 지역이 애그리게이터에 없거나 계정에 지역 간 집계가 설정되어 있지 않은 경우, 컨트롤은 IAM 글로벌 리소스가 기록되는 경우에만
PASSED결과를 생성합니다 (필요한 컨트롤을 활성화한 경우).
제어 결과는 리소스 상태 변경 사항을 매일 기록할지 또는 지속적으로 기록할지 여부에 영향을 받지 않습니다. AWS Config. 하지만 새 컨트롤을 자동으로 사용하도록 구성했거나 새 컨트롤을 자동으로 사용하도록 설정하는 중앙 구성 정책이 있는 경우 새 컨트롤이 출시되면 이 컨트롤의 결과가 변경될 수 있습니다. 이러한 경우 모든 리소스를 기록하지 않으면 새 컨트롤과 연결된 리소스에 대한 기록을 구성해야 PASSED 검색 결과를 받을 수 있습니다.
Security Hub 보안 검사는 활성화한 경우에만 의도한 대로 작동합니다. AWS Config 모든 지역에서 필요한 컨트롤에 대해 리소스 기록을 구성하십시오.
참고
구성 1에는 다음이 필요합니다. AWS Config Security Hub를 사용하는 모든 지역에서 활성화됩니다.
Security Hub는 지역 서비스이므로 이 컨트롤에 대해 수행된 검사는 계정의 현재 지역만 평가합니다.
지역의 IAM 글로벌 리소스에 대한 보안 검사를 허용하려면 해당 지역의 IAM 글로벌 리소스를 기록해야 합니다. IAM글로벌 리소스가 기록되지 않은 지역에는 글로벌 리소스를 확인하는 IAM 컨트롤에 대한 기본 PASSED 검색 결과가 제공됩니다. IAM글로벌 리소스는 전체적으로 동일하기 때문입니다. AWS 리전 IAM글로벌 리소스는 홈 지역에만 기록하는 것이 좋습니다 (계정에서 지역 간 집계가 활성화된 경우). IAM리소스는 글로벌 리소스 기록이 켜진 지역에서만 기록됩니다.
IAM전 세계적으로 기록된 리소스 유형은 다음과 같습니다. AWS Config 지원은 IAM 사용자, 그룹, 역할 및 고객 관리형 정책입니다. 글로벌 리소스 기록이 해제된 리전에서 이러한 리소스 유형을 검사하는 Security Hub 제어를 비활성화하는 것을 고려할 수 있습니다. 자세한 내용은 Security Hub에서 비활성화할 권장 제어 단원을 참조하십시오.
이제 Security Hub가 와 통합되었습니다
각 컨트롤에 대해 기록해야 하는 리소스 목록은 을 참조하십시오Security Hub 제어 결과에 필요한 AWS Config 리소스.
애그리게이터에 속하지 않는 홈 지역 및 지역에는 글로벌 리소스가 필요한 컨트롤을 활성화한 경우 IAM 글로벌 리소스를 포함하여 현재 지역에서 활성화된 컨트롤에 필요한 IAM 모든 리소스를 기록하세요.
연결된 지역에서는 아무 곳이나 사용할 수 있습니다. AWS Config 녹화 모드 (현재 지역에서 활성화된 컨트롤에 해당하는 모든 리소스를 레코딩하는 경우). 연결된 지역에서 IAM 글로벌 리소스를 기록해야 하는 컨트롤을 활성화한 경우 FAILED 검색 결과를 받을 수 없습니다 (다른 리소스에 대한 기록이면 충분합니다).
활성화하려면 AWS Config 리소스를 기록하도록 구성하려면 설정을 참조하십시오. AWS Config 콘솔이 켜진 상태에서 AWS Config 개발자 가이드. 다음을 사용할 수도 있습니다. AWS CloudFormation 템플릿을 사용하여 이 프로세스를 자동화할 수 있습니다. 자세한 내용은 단원을 참조하세요.AWS CloudFormation StackSets 의 샘플 템플릿 AWS CloudFormation 사용자 가이드.
