특정 표준에 따른 제어 구성 - AWS Security Hub
특정 표준에서 제어 활성화하기특정 표준의 제어 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

특정 표준에 따른 제어 구성

에서 표준을 활성화하는 경우 AWS Security Hub적용되는 모든 컨트롤은 해당 표준에서 자동으로 활성화됩니다. 단, 서비스 관리 표준은 예외입니다. 그런 다음 표준 내에서 특정 제어를 비활성화하고 다시 활성화할 수 있습니다. 하지만 제어의 활성화 상태를 활성화된 모든 표준에 맞게 조정하는 것이 좋습니다.

참고

Security Hub 중앙 구성을 사용하는 경우 위임된 관리자는 활성화된 모든 표준에서 조직 계정에 대한 제어를 활성화 및 비활성화할 수 있습니다. 제어의 활성화 상태를 표준 전반에 걸쳐 조정하려면 이 방법을 사용하는 것이 좋습니다. 하지만 위임된 관리자는 계정을 자체 관리형으로 지정하여 특정 표준에 따라 제어를 활성화 및 비활성화할 수 있습니다. 자세한 내용은 Security Hub의 중앙 구성에 대한 이해 단원을 참조하십시오.

표준의 세부 정보 페이지에는 표준에 적용할 수 있는 제어 목록과 해당 표준에서 현재 활성화되고 비활성화된 제어에 대한 정보가 포함되어 있습니다.

표준 세부 정보 페이지에서 특정 표준의 제어를 활성화하고 비활성화할 수도 있습니다. 각 컨트롤에서 개별적으로 컨트롤을 활성화하고 비활성화해야 합니다. AWS 계정 그리고 AWS 리전. 컨트롤을 활성화 또는 비활성화하면 현재 계정 및 지역에만 영향을 미칩니다.

Security Hub 콘솔, Security Hub를 사용하여 각 지역에서 제어를 활성화하거나 비활성화할 수 있습니다. API AWS CLI. 집계 지역을 설정한 경우 연결된 모든 지역의 컨트롤이 표시됩니다. 연결된 리전에서는 제어를 사용할 수 있지만 집계 영역에서는 사용할 수 없는 경우, 집계 영역에서 해당 제어를 활성화하거나 비활성화할 수 없습니다. 다중 계정 및 다중 리전 제어 비활성화 스크립트의 경우 다중 계정 환경에서 Security Hub 제어 비활성화를 참조하세요.

특정 표준에서 제어 활성화하기

표준에서 제어를 활성화하려면 먼저 제어가 적용되는 표준을 하나 이상 활성화해야 합니다. 표준 활성화에 대한 지침은 을 참조하십시오Security Hub에서 표준 구성하기. 표준에서 컨트롤을 활성화하면 AWS Security Hub 해당 컨트롤에 대한 결과 생성을 시작합니다. Security Hub는 전체 보안 점수 및 표준 보안 점수 계산에 제어 상태를 포함합니다. 여러 표준에서 제어를 활성화하더라도 통합 제어 조사 결과를 켜면 표준 전반에 걸쳐 보안 검사당 단일 조사 결과를 받게 됩니다. 자세한 내용은 Consolidated control findings를 참조하세요.

표준에서 제어를 활성화하려면 현재 리전에서 제어를 사용할 수 있어야 합니다. 자세한 내용은 리전별 제어 가용성 섹션을 참조하세요.

다음 단계에 따라 특정 표준에서 Security Hub 제어를 활성화하세요. 다음 단계 대신 UpdateStandardsControlAPI작업을 사용하여 특정 표준에서 컨트롤을 활성화할 수도 있습니다. 모든 표준에서 제어를 활성화하는 방법에 대한 지침은 단일 계정 및 리전에서 모든 표준의 제어 활성화 섹션을 참조하세요.

Security Hub console
특정 표준에서 제어를 활성화하려면

  1. 를 여세요. AWS Security Hub 에서 콘솔을 https://console.aws.amazon.com/securityhub/실행하세요.

  2. 탐색 창에서 보안 표준을 선택합니다.

  3. 관련 표준의 결과 보기를 선택합니다.

  4. 제어를 선택합니다.

  5. 제어 활성화를 선택합니다(이 옵션은 이미 활성화된 제어에는 표시되지 않습니다). 활성화를 선택하여 확인합니다.

Security Hub API
특정 표준에서 제어를 활성화하려면

  1. 실행하고 ListSecurityControlDefinitions 표준을 제공하여 특정 ARN 표준에 사용할 수 있는 컨트롤 목록을 가져옵니다. 표준을 ARN 구하려면 를 실행하십시오 DescribeStandards. 그러면 API 표준별 제어가 IDs 아니라 표준에 구애받지 않는 보안 제어가 반환됩니다. IDs

    요청 예:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. ListStandardsControlAssociations를 실행하고 특정 제어 ID를 입력하여 각 표준에서 제어의 현재 활성화 상태를 반환하십시오.

    요청 예:

    {
    "SecurityControlId": "IAM.1"
}

  3. BatchUpdateStandardsControlAssociations를 실행합니다. 제어를 ARN 활성화하려는 표준을 제공하십시오.

  4. AssociationStatus 파라미터를 ENABLED와 동일하게 설정합니다.

    요청 예:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}]
}
AWS CLI
특정 표준에서 제어를 활성화하려면

  1. list-security-control-definitions명령을 실행하고 표준을 제공하여 특정 ARN 표준에 사용할 수 있는 컨트롤 목록을 가져옵니다. 표준을 ARN 구하려면 를 실행하십시오describe-standards. 이 명령은 표준별 제어가 IDs 아니라 표준에 구애받지 않는 보안 제어를 반환합니다. IDs 

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. list-standards-control-associations 명령을 실행하고 특정 제어 ID를 제공하여 각 표준에서 제어의 현재 활성화 상태를 반환합니다.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. batch-update-standards-control-associations 명령을 실행합니다. 제어를 ARN 활성화하려는 표준을 제공하십시오.

  4. AssociationStatus 파라미터를 ENABLED와 동일하게 설정합니다.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]'

특정 표준의 제어 비활성화

표준에서 제어를 사용하지 않도록 설정하면 Security Hub는 제어에 대한 조사 결과 생성을 중지합니다. 제어 상태는 표준의 보안 점수를 계산하는 데 더 이상 사용되지 않습니다.

제어를 비활성화하는 한 가지 방법은 제어가 적용되는 모든 표준을 비활성화하는 것입니다. 표준을 비활성화하면 표준에 적용되는 모든 제어가 비활성화됩니다. 그러나 다른 표준에서는 해당 제어가 계속 활성화되어 있을 수 있습니다. 표준 비활성화에 대한 지침은 을 참조하십시오Security Hub에서 표준 구성하기.

적용되는 표준을 비활성화하여 제어를 비활성화하면 다음과 같은 상황이 발생합니다.

  • 해당 표준에 대해서는 제어에 대한 보안 검사가 더 이상 수행되지 않습니다. 즉, 제어 상태는 표준 보안 점수에 영향을 주지 않습니다(Security Hub는 다른 표준에서 활성화된 경우 해당 제어에 대한 보안 검사를 계속 실행합니다).

  • 해당 제어에 대해 추가 조사 결과가 생성되지 않습니다.

  • 기존 조사 결과는 3-5일 후에 자동으로 보관됩니다(이는 최선의 노력이며 보장되지는 않음).

  • 관련 정보 AWS Config Security Hub에서 생성한 규칙은 제거됩니다.

표준을 비활성화하면 Security Hub는 어떤 제어가 비활성화되었는지 추적하지 않습니다. 이후에 표준을 다시 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다. 또한 제어 비활성화는 일회성 작업입니다. 제어를 비활성화한 다음 이전에 비활성화했던 표준을 활성화한다고 가정해 보겠습니다. 표준에 해당 제어가 포함되어 있는 경우 해당 표준에서도 해당 제어가 활성화됩니다. Security Hub에서 표준을 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다.

적용되는 표준을 비활성화하여 제어를 비활성화하는 대신 하나 이상의 특정 표준에서 제어를 비활성화할 수 있습니다.

결과 노이즈를 줄이려면 환경과 관련이 없는 제어를 비활성화하는 것이 유용할 수 있습니다. 비활성화할 제어에 대한 자세한 내용은 비활성화하면 좋을 Security Hub 제어를 참조하세요.

다음 단계에 따라 특정 표준에서 제어를 비활성화하세요. 다음 단계 대신 UpdateStandardsControlAPI작업을 사용하여 특정 표준의 컨트롤을 사용하지 않도록 설정할 수도 있습니다. 모든 표준에서 제어를 비활성화하는 방법에 대한 지침은 표준 전반의 제어 구성 섹션을 참조하세요.

Security Hub console
특정 표준에서 제어를 비활성화하려면

  1. 를 엽니다. AWS Security Hub 에서 콘솔을 https://console.aws.amazon.com/securityhub/실행하세요.

  2. 탐색 창에서 보안 표준을 선택합니다. 관련 표준의 결과 보기를 선택합니다.

  3. 제어를 선택합니다.

  4. 제어 비활성화를 선택합니다. 이 옵션은 이미 비활성화된 제어에는 나타나지 않습니다.

  5. 제어를 비활성화하는 이유를 제공하고 비활성화를 선택하여 확인합니다.

Security Hub API
특정 표준에서 제어를 비활성화하려면

  1. 실행하고 ListSecurityControlDefinitions 표준을 제공하여 특정 ARN 표준에 사용할 수 있는 컨트롤 목록을 가져옵니다. 표준을 ARN 구하려면 를 실행하십시오 DescribeStandards. 그러면 API 표준별 제어가 IDs 아니라 표준에 구애받지 않는 보안 제어가 반환됩니다. IDs

    요청 예:

    {
    "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0"
}

  2. ListStandardsControlAssociations를 실행하고 특정 제어 ID를 입력하여 각 표준에서 제어의 현재 활성화 상태를 반환하십시오.

    요청 예:

    {
    "SecurityControlId": "IAM.1"
}

  3. BatchUpdateStandardsControlAssociations를 실행합니다. 제어를 ARN 비활성화하려는 표준을 제공하십시오.

  4. AssociationStatus 파라미터를 DISABLED와 동일하게 설정합니다. 이미 비활성화된 컨트롤에 대해 다음 단계를 수행하면 에서 HTTP 상태 코드 200 응답이 API 반환됩니다.

    요청 예:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED",  "UpdatedReason": "Not applicable to environment"}]
}
AWS CLI
특정 표준에서 제어를 비활성화하려면

  1. list-security-control-definitions명령을 실행하고 표준을 제공하여 특정 ARN 표준에 사용할 수 있는 컨트롤 목록을 가져옵니다. 표준을 ARN 구하려면 를 실행하십시오describe-standards. 이 명령은 표준별 제어가 IDs 아니라 표준에 구애받지 않는 보안 제어를 반환합니다. IDs 

    aws securityhub --region us-east-1 list-security-control-definitions --standards-arn "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"

  2. list-standards-control-associations 명령을 실행하고 특정 제어 ID를 제공하여 각 표준에서 제어의 현재 활성화 상태를 반환합니다.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  3. batch-update-standards-control-associations 명령을 실행합니다. ARN컨트롤을 사용하지 않도록 설정하려는 표준을 제공하십시오.

  4. AssociationStatus 파라미터를 DISABLED와 동일하게 설정합니다. 이미 활성화된 컨트롤에 대해 다음 단계를 수행하면 명령이 HTTP 상태 코드 200 응답을 반환합니다.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'