정책 고려 사항 구성 정책 유형 적용 및 상속을 통한 정책 연결 구성 정책 테스트

Security Hub에서 구성 정책이 작동하는 방식

위임된 AWS Security Hub 관리자는 조직의 Security Hub, 보안 표준 및 보안 제어를 구성하는 구성 정책을 만들 수 있습니다. 위임된 관리자는 구성 정책을 만든 후 이를 특정 계정, 조직 단위 (OUs) 또는 루트에 연결할 수 있습니다. 그러면 정책이 지정된 계정OUs, 즉 루트에 적용됩니다.

중앙 구성의 이점 및 작동 방식에 대한 배경 정보는 을 참조하십시오Security Hub의 중앙 구성에 대한 이해.

이 섹션에서는 구성 정책에 대한 자세한 개요를 제공합니다.

정책 고려 사항

Security Hub에서 구성 정책을 만들 전에 다음 사항을 고려하세요.

구성 정책을 적용하려면 연결해야 합니다. 구성 정책을 만든 후 구성 정책을 하나 이상의 계정, 조직 단위 (OUs) 또는 루트에 연결할 수 있습니다. 구성 정책은 계정이나 직접 적용 또는 OUs 상위 OU의 상속을 통해 연결할 수 있습니다.
계정 또는 OU는 하나의 구성 정책에만 연결할 수 있습니다. — 설정 충돌을 방지하기 위해 계정 또는 OU는 한 번에 하나의 구성 정책에만 연결할 수 있습니다. 또는 계정이나 OU를 자체 관리할 수도 있습니다.
구성 정책은 완전합니다 - 구성 정책은 완전한 설정 사양을 제공합니다. 예를 들어 하위 계정은 한 정책의 일부 제어에 대한 설정과 다른 정책의 다른 제어에 대한 설정을 수락할 수 없습니다. 정책을 하위 계정에 연결할 때는 하위 계정에서 사용할 모든 설정이 정책에 지정되어 있는지 확인하세요.
구성 정책은 되돌릴 수 없습니다. 구성 정책을 계정이나 계정과 연결한 후에는 되돌릴 수 있는 옵션이 없습니다. OUs 예를 들어 CloudWatch 컨트롤을 사용하지 않도록 설정하는 구성 정책을 특정 계정에 연결한 다음 해당 정책을 분리하면 해당 계정에서 CloudWatch 컨트롤이 계속 사용 중지됩니다. CloudWatch 컨트롤을 다시 활성화하려면 컨트롤을 사용하도록 설정하는 새 정책에 계정을 연결할 수 있습니다. 또는 계정을 자체 관리형으로 변경하고 계정에서 각 CloudWatch 컨트롤을 활성화할 수 있습니다.
구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다 – 구성 정책은 홈 리전 및 연결된 모든 리전의 모든 관련 계정에 영향을 미칩니다. 이러한 리전 중 일부에만 적용되고 다른 리전에는 적용되지 않는 구성 정책을 만들 수 없습니다. 단, 글로벌 리소스를 사용하는 컨트롤은 예외입니다. Security Hub는 홈 지역을 제외한 모든 지역의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다.

2019년 3월 20일 또는 그 이후에 AWS 도입된 지역을 옵트인 지역이라고 합니다. 구성 정책이 계정에 적용되기 전에 해당 계정의 리전을 활성화해야 합니다. Organizations 관리 계정은 구성원 계정의 옵트인 리전을 활성화할 수 있습니다. 옵트인 지역을 활성화하는 방법에 대한 지침은 계정 관리 참조 가이드에서 AWS 리전 계정에서 사용할 수 있는 영역AWS 지정을 참조하십시오.

정책이 홈 리전 또는 하나 이상의 연결된 리전에서 사용할 수 없는 제어를 구성하는 경우 Security Hub는 사용할 수 없는 리전의 제어 구성을 건너뛰고 제어를 사용할 수 있는 리전에 구성을 적용합니다. 홈 지역이나 연결된 지역에서 사용할 수 없는 컨트롤은 적용 범위가 부족합니다.
구성 정책은 리소스로서 Amazon 리소스 이름 (ARN) 과 범용 고유 식별자 (UUID) 를 가집니다. ARN는 다음 arn:partition:securityhub:region:delegated administrator account ID:configuration-policy/configuration policy UUID 형식을 사용합니다. 자체 관리형 구성에는 ARN 또는 UUID 가 없습니다. 자체 관리 구성의 식별자는 입니다. SELF_MANAGED_SECURITY_HUB

구성 정책 유형

각 구성 정책은 다음 설정을 지정합니다.

Security Hub를 활성화하거나 비활성화합니다.
하나 이상의 보안 표준을 활성화합니다.
활성화된 표준 전반에서 어떤 보안 제어를 사용할 수 있는지 표시합니다. 이를 위해 활성화해야 하는 특정 제어 목록을 제공할 수 있습니다. 그러면 Security Hub에서 새 제어가 릴리스될 떄 새 제어를 포함한 다른 모든 제어를 비활성화합니다. 또는 비활성화해야 하는 특정 제어의 목록을 제공할 수 있습니다. 그러면 Security Hub에서 새 제어가 릴리스될 때 이를 포함하여 다른 모든 제어를 활성화합니다.
사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 파라미터를 사용자 지정할 수도 있습니다.

중앙 구성 정책에는 AWS Config 레코더 설정이 포함되지 않습니다. Security Hub에서 제어 결과를 생성하려면 필요한 리소스에 대한 기록을 별도로 AWS Config 활성화하고 설정해야 합니다. 자세한 내용은 Security AWS Config Hub를 위한 구성 단원을 참조하십시오.

중앙 구성을 사용하는 경우 Security Hub는 홈 지역을 제외한 모든 지역의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 사용하도록 선택한 기타 제어 기능은 사용 가능한 모든 지역에서 사용할 수 있습니다. 이러한 컨트롤에 대한 검색 결과를 한 지역으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 지역을 제외한 모든 지역에서 글로벌 리소스 기록을 끄면 됩니다. 중앙 구성을 사용하면 홈 지역이나 연결된 지역에서 사용할 수 없는 컨트롤을 사용할 수 없게 됩니다. 글로벌 리소스와 관련된 컨트롤 목록은 을 참조하십시오글로벌 리소스를 사용하는 컨트롤.

권장 구성 정책

Security Hub 콘솔에서 처음으로 구성 정책을 생성할 때는 Security Hub 권장 정책을 선택할 수 있습니다.

권장 정책은 Security Hub, AWS 기본 보안 모범 사례 (FSBP) 표준, 모든 기존 및 새로운 FSBP 제어를 지원합니다. 파라미터를 허용하는 제어는 기본값을 사용합니다. 권장 정책은 루트 (모든 계정OUs, 신규 및 기존 계정 모두) 에 적용됩니다. 조직을 위한 권장 정책을 만든 후 위임된 관리자 계정에서 수정할 수 있습니다. 예를 들어 추가 표준 또는 제어를 활성화하거나 특정 FSBP 컨트롤을 사용하지 않도록 설정할 수 있습니다. 구성 정책 수정에 대한 지침은 구성 정책 업데이트 섹션을 참조하세요.

사용자 지정 구성 정책

위임된 관리자는 권장 정책 대신 최대 20개의 사용자 지정 구성 정책을 만들 수 있습니다. 단일 사용자 지정 정책을 전체 조직에 연결하거나 다른 사용자 지정 정책을 다른 계정 및 에 연결할 수 OUs 있습니다. 사용자 지정 구성 정책에서 원하는 설정을 지정합니다. 예를 들어, 인터넷 보안 센터 (CIS) AWS 기반 벤치마크 v1.4.0을 FSBP 활성화하고 Amazon Redshift 컨트롤을 제외한 해당 표준의 모든 컨트롤을 활성화하는 사용자 지정 정책을 생성할 수 있습니다. 사용자 지정 구성 정책에 사용하는 세분화 수준은 조직 전체의 의도한 보안 적용 범위에 따라 달라집니다.

참고

Security Hub를 비활성화하는 구성 정책을 위임된 관리자 계정과 연결할 수 없습니다. 이러한 정책을 다른 계정과 연결할 수는 있지만 위임된 관리자와의 연결은 건너뜁니다. 위임된 관리자 계정은 현재의 구성을 유지합니다.

사용자 지정 구성 정책을 만든 후 권장 구성을 반영하도록 구성 정책을 업데이트하여 권장 구성 정책으로 전환할 수 있습니다. 하지만 첫 번째 정책을 만든 후에는 Security Hub 콘솔에 권장 구성 정책을 생성할 수 있는 옵션이 표시되지 않습니다.

적용 및 상속을 통한 정책 연결

처음에 중앙 구성을 선택하면 조직은 연결되지 않으면 옵트인 전과 동일한 방식으로 동작합니다. 그러면 위임된 관리자가 구성 정책, 자체 관리 동작 및 계정 또는 루트 간의 연결을 설정할 수 있습니다. OUs 적용 또는 상속을 통해 연결을 설정할 수 있습니다.

위임된 관리자 계정에서 구성 정책을 계정, OU 또는 루트에 직접 적용할 수 있습니다. 또는 위임된 관리자가 계정, OU 또는 루트에 자체 관리형 지정을 직접 적용할 수도 있습니다.

직접 적용하지 않는 경우 계정 또는 OU는 구성 정책 또는 자체 관리 동작이 있는 가장 가까운 상위 계정의 설정을 상속합니다. 가장 가까운 상위 항목이 구성 정책에 연결되어 있는 경우 해당 정책은 해당 하위 항목에 상속되며 홈 리전의 위임된 관리자만 구성할 수 있습니다. 가장 가까운 부모가 스스로 관리하는 경우, 자녀는 스스로 관리하는 행동을 물려받으며 각 동작에 자체 설정을 지정할 수 있습니다. AWS 리전

애플리케이션은 상속보다 우선합니다. 즉, 위임된 관리자가 계정이나 OU에 직접 적용한 구성 정책이나 자체 관리형 지정은 상속이 무시되지 않습니다.

구성 정책을 자체 관리 계정에 직접 적용하는 경우 정책이 자체 관리형 지정보다 우선 적용됩니다. 계정은 중앙에서 관리되며 구성 정책에 반영된 설정을 채택합니다.

구성 정책을 루트에 직접 적용하는 것이 좋습니다. 정책을 루트에 적용하면 조직에 가입한 새 계정을 다른 정책에 연결하거나 자체 관리형으로 지정하지 않는 한 루트 정책을 자동으로 상속합니다.

적용이나 상속을 통해 한 번에 하나의 구성 정책만 계정이나 OU에 연결할 수 있습니다. 이는 설정 충돌을 방지하기 위한 것입니다.

다음 다이어그램은 중앙 구성에서 정책 적용 및 상속이 작동하는 방식을 보여줍니다.

이 예제에서 녹색으로 강조 표시된 노드에는 구성 정책이 적용되어 있습니다. 파란색으로 강조 표시된 노드에는 해당 노드에 적용된 구성 정책이 없습니다. 노란색으로 강조 표시된 노드는 자체 관리형 노드로 지정되었습니다. 각 계정 및 OU는 다음 구성을 사용합니다.

OU:Root(녹색) - 이 OU는 해당 OU에 적용된 구성 정책을 사용합니다.
OU:Prod(파란색) - 이 OU는 OU:Root의 구성 정책을 상속합니다.
OU:Applications(녹색) – 이 OU는 해당 OU에 적용된 구성 정책을 사용합니다.
Account 1(녹색) - 이 계정은 해당 계정에 적용된 구성 정책을 사용합니다.
Account 2(파란색) - 이 계정은 OU:Applications의 구성 정책을 상속합니다.
OU:Dev(노란색) – 이 OU는 자체 관리형입니다.
Account 3(녹색) - 이 계정은 해당 계정에 적용된 구성 정책을 사용합니다.
Account 4(파란색) - 이 계정은 OU:Dev의 자체 관리형 동작을 상속합니다.
OU:Test(파란색) - 이 계정은 OU:Root의 구성 정책을 상속합니다.
Account 5(파란색) - 이 계정은 OU:Root의 구성 정책을 상속합니다. 직계 상위 항목인 OU:Test가 구성 정책과 연결되어 있지 않기 때문입니다.

구성 정책 테스트

구성 정책의 효과를 테스트하려면 조직 전체에 더 광범위하게 연결하기 전에 단일 계정이나 OU에 연결하면 됩니다.

구성 정책을 테스트하려면

사용자 지정 구성 정책을 만들되, 어떤 계정에도 적용하지 않습니다. Security Hub 활성화, 표준 및 제어에 대해 지정된 설정이 올바른지 확인합니다.
자녀 계정이나 계정이 없는 테스트 계정 또는 OU에 구성 정책을 적용합니다OUs.
테스트 계정 또는 OU가 홈 리전 및 연결된 모든 리전에서 예상대로 구성 정책을 사용하는지 확인합니다. 또한 조직의 다른 모든 계정과 OUs 계정이 자체 관리되는 상태를 유지하고 각 지역에서 자체 설정을 변경할 수 있는지 확인할 수 있습니다.

단일 계정 또는 OU에서 구성 정책을 테스트한 후 다른 계정이나 OU와 연결할 수 있습니다. OUs 정책 생성 및 연결에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요. 적용된 계정의 하위 항목은 자체 관리되거나 다른 구성 정책이 적용되지 않는 한 정책을 상속합니다. 필요에 따라 구성 정책을 편집하고 추가 구성 정책을 만들 수도 있습니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

관리 유형 선택

구성 정책 생성 및 연결