기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub에서 비활성화할 때 권장되는 제어
결과 노이즈를 줄이고 비용을 제한하려면 일부 AWS Security Hub 제어를 비활성화하는 것이 좋습니다.
글로벌 리소스를 사용하는 제어
일부는 글로벌 리소스를 AWS 서비스 지원하므로 어떤 리소스에서든 리소스에 액세스할 수 있습니다 AWS 리전. 비용을 절감하기 위해 한 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 비활성화 AWS Config할 수 있습니다. 이렇게 한 후에도 Security Hub는 제어가 활성화된 모든 리전에서 보안 검사를 계속 실행하고 리전별 계정당 검사 횟수에 따라 요금을 부과합니다. 따라서 조사 결과 노이즈를 줄이고 Security Hub 비용을 절약하려면 글로벌 리소스를 기록하는 리전을 제외한 모든 리전에서 글로벌 리소스와 관련된 다음 제어도 비활성화해야 합니다.
제어에 글로벌 리소스가 포함되어 있지만 한 리전에서만 사용할 수 있는 경우, 해당 리전에서 해당 제어를 비활성화하면 기본 리소스에 대한 조사 결과를 가져올 수 없습니다. 이 경우, 제어를 활성화 상태로 유지하는 것이 좋습니다. 리전 간 집계를 사용하는 경우, 제어를 사용할 수 있는 리전은 집계 리전 또는 연결된 리전 중 하나여야 합니다. 다음 제어에는 글로벌 리소스가 포함되지만 단일 리전에서만 사용할 수 있습니다.
모든 CloudFront 제어 - 미국 동부(버지니아 북부)에서만 사용 가능
GlobalAccelerator.1 – 미국 서부(오리건)에서만 사용 가능
Route53.2: 미국 동부(버지니아 북부)에서만 사용 가능
WAF.1, WAF.6, WAF.7 및 WAF.8 - 미국 동부(버지니아 북부)에서만 사용 가능
참고
중앙 구성을 사용하는 경우, Security Hub는 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 컨트롤에 대한 결과를 리전 하나로 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 리전을 제외한 모든 리전에서 글로벌 리소스 레코딩을 끌 수 있습니다.
홈 리전에서 글로벌 리소스가 포함된 활성화된 제어가 지원되지 않는 경우 Security Hub는 제어가 지원되는 연결된 리전 하나에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하면 홈 리전 또는 연결된 리전에서 사용할 수 없는 컨트롤에 대한 적용 범위가 부족합니다.
중앙 구성에 대한 자세한 내용은 Security Hub의 중앙 구성에 대한 이해 섹션을 참조하세요.
주기적 일정 유형의 제어의 경우, 청구를 방지하려면 Security Hub에서 이를 비활성화해야 합니다. AWS Config 파라미터를 includeGlobalResourceTypes로 설정해도 주기적 Security Hub 제어에는 영향을 false 주지 않습니다.
다음은 글로벌 리소스를 사용하는 Security Hub 제어 목록입니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다.
CloudTrail 로깅 제어
이 제어는 AWS Key Management Service (AWS KMS)를 사용하여 AWS CloudTrail 추적 로그를 암호화하는 방법을 다룹니다. 중앙 집중식 로깅 계정에 이러한 추적을 기록하는 경우, 중앙 집중식 로깅이 수행되는 계정 및 리전에서만 이 제어를 활성화하면 됩니다.
참고
중앙 구성을 사용하는 경우, 제어의 활성화 상태를 홈 리전 및 연결된 리전 전체에 걸쳐 조정합니다. 일부 리전에서는 제어를 비활성화하고 다른 리전에서는 활성화할 수 없습니다. 이 경우, 다음 제어에서 조사 결과를 표시하지 않도록 하여 검색 노이즈를 줄이세요.
CloudWatch 경보 제어
예외 항목 탐지에 Amazon CloudWatch 경보 대신 Amazon GuardDuty를 사용하려는 경우, CloudWatch 경보에 초점을 맞춘 이러한 제어를 비활성화할 수 있습니다.
-
[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.5] CloudTrail AWS Config사용량 변경에 대한 로그 지표 필터 및 경보가 있는지 확인
-
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인
-
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.
-
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
