구성 정책 생성 및 연결 - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

구성 정책 생성 및 연결

위임된 AWS Security Hub 관리자 계정은 Security Hub, 표준 및 컨트롤이 지정된 계정 및 조직 구성 단위 (OUs) 에서 구성되는 방식을 지정하는 구성 정책을 만들 수 있습니다. 구성 정책은 위임된 관리자가 하나 이상의 계정이나 조직 단위 (OUs) 또는 루트에 연결한 후에만 적용됩니다. 위임된 관리자는 자체 관리형 구성을 계정 또는 루트와 연결할 수도 있습니다. OUs

구성 정책을 처음 생성하는 경우 먼저 Security Hub에서 구성 정책이 작동하는 방식 섹션을 검토하는 것이 좋습니다.

원하는 액세스 방법을 선택하고 단계에 따라 구성 정책 또는 자체 관리 구성을 만들고 연결합니다. Security Hub 콘솔을 사용하는 경우 구성을 여러 계정에 연결하거나 OUs 동시에 연결할 수 있습니다. Security Hub API 또는 AWS CLI를 사용하는 경우 각 요청에서 하나의 계정 또는 OU에만 구성을 연결할 수 있습니다.

참고

중앙 구성을 사용하는 경우 Security Hub는 홈 지역을 제외한 모든 지역의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 사용하도록 선택한 기타 제어 기능은 사용 가능한 모든 지역에서 사용할 수 있습니다. 이러한 컨트롤에 대한 검색 결과를 한 지역으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 지역을 제외한 모든 지역에서 글로벌 리소스 기록을 끄면 됩니다. 중앙 구성을 사용하면 홈 지역이나 연결된 지역에서 사용할 수 없는 컨트롤을 사용할 수 없게 됩니다. 글로벌 리소스와 관련된 컨트롤 목록은 을 참조하십시오글로벌 리소스를 사용하는 규제.

Security Hub console
구성 정책을 만들고 연결하려면

  1. 에서 AWS Security Hub 콘솔을 엽니다 https://console.aws.amazon.com/securityhub/.

    홈 리전에서 Security Hub 위임된 관리자 계정의 보안 인증 정보를 사용하여 로그인합니다.

  2. 탐색 창에서 구성정책 탭을 선택합니다. 그런 다음 정책 생성을 선택합니다.

  3. 구성 정책을 처음 만들면 조직 구성 페이지의 구성 유형 아래에 세 가지 옵션이 표시됩니다. 구성 정책을 하나 이상 이미 만든 경우 사용자 지정 정책 옵션만 표시됩니다.

    • 권장 정책을 사용하려면 전체 조직에 AWS 권장되는 Security Hub 구성 사용을 선택합니다. 권장 정책은 모든 조직 계정에서 Security Hub를 사용하도록 설정하고, AWS 기본 보안 모범 사례 (FSBP) 표준을 사용하도록 설정하고, 모든 신규 및 기존 FSBP 제어를 사용하도록 설정합니다. 제어는 기본 파라미터 값을 사용합니다.

    • 나중에 구성 정책을 만들려면 아직 구성할 준비가 되지 않았음을 선택합니다.

    • 사용자 지정 정책을 선택하여 사용자 지정 구성 정책을 생성합니다. Security Hub를 활성화 또는 비활성화할지 여부, 활성화할 표준, 해당 표준에서 활성화할 제어를 지정합니다. 필요에 따라 사용자 지정 파라미터를 지원하는 하나 이상의 활성화된 제어에 대해 사용자 지정 파라미터 값을 지정합니다.

  4. 계정 섹션에서 구성 정책을 적용할 대상 계정 또는 루트를 선택합니다. OUs

    • 구성 정책을 루트에 적용하려면 모든 계정을 선택합니다. 여기에는 다른 정책이 적용되거나 상속되지 않은 조직 OUs 내 모든 계정이 포함됩니다.

    • 구성 정책을 특정 계정에 적용하려는 경우 특정 계정을 선택하거나 OUs 계정을 IDs 입력하거나 조직 OUs 구조에서 계정을 선택합니다. 정책을 만들 때 최대 15개의 대상 (계정 또는 루트) 에 정책을 적용할 수 있습니다. OUs 더 큰 수를 지정하려면 생성 후 정책을 편집하여 추가 대상에 적용하십시오.

    • 구성 정책을 현재 위임된 관리자 계정에 적용하려면 위임된 관리자만을 선택합니다.

  5. Next(다음)를 선택합니다.

  6. 검토 및 배포 페이지에서 구성 정책 세부 정보를 검토합니다. 그런 다음 정책 생성 및 연결을 선택합니다. 홈 리전 및 연결된 리전에서 이 작업은 이 구성 정책과 연결된 계정의 기존 구성 설정보다 우선 적용됩니다. 계정은 적용 또는 상위 노드로부터의 상속을 통해 구성 정책에 연결될 수 있습니다. 자녀 계정과 OUs 적용된 대상은 특별히 제외되거나, 자체 관리되거나, 다른 구성 정책을 사용하지 않는 한 이 구성 정책을 자동으로 상속합니다.

Security Hub API
구성 정책을 만들고 연결하려면

  1. 홈 지역의 CreateConfigurationPolicyAPISecurity Hub 위임 관리자 계정에서 를 호출합니다.

  2. Name에서 구성 정책의 고유한 이름을 입력합니다. 필요에 따라 Description에서 구성 정책에 대한 설명을 제공할 수 있습니다.

  3. ServiceEnabled 필드에서는 이 구성 정책에서 Security Hub를 활성화 또는 비활성화할지 여부를 지정합니다.

  4. EnabledStandardIdentifiers 필드에서는 이 구성 정책에서 활성화할 Security Hub 표준을 지정합니다.

  5. SecurityControlsConfiguration 개체에서는 이 구성 정책에서 활성화 또는 비활성화하려는 제어를 지정합니다. EnabledSecurityControlIdentifiers를 선택하면 지정된 제어가 활성화됩니다. 활성화된 표준에 속하는 다른 제어(새로 릴리스된 제어 포함)는 비활성화됩니다. DisabledSecurityControlIdentifiers를 선택하면 지정된 제어가 비활성화됩니다. 활성화된 표준에 속하는 다른 제어(새로 릴리스된 제어 포함)는 활성화됩니다.

  6. 필요에 따라 파라미터를 사용자 지정하려는 활성화된 제어를 SecurityControlCustomParameters 필드에 지정할 수 있습니다. ValueType 필드에 CUSTOM을 입력하고 Value 필드에 사용자 지정 파라미터 값을 입력합니다. 값은 올바른 데이터 유형이어야 하며 Security Hub에서 지정한 유효한 범위 내에 있어야 합니다. 일부 제어만 사용자 지정 파라미터 값을 지원합니다. 자세한 내용은 Security Hub의 제어 매개변수 이해 단원을 참조하십시오.

  7. 구성 정책을 계정에 적용하거나 OUs 홈 지역의 Security Hub 위임 관리자 계정에서 호출하십시오. StartConfigurationPolicyAssociationAPI

  8. ConfigurationPolicyIdentifier필드에는 정책의 Amazon 리소스 이름 (ARN) 또는 범용 고유 식별자 (UUID) 를 제공하십시오. 는 에서 ARN 및 UUID 를 CreateConfigurationPolicy API 반환합니다. 자체 관리형 구성의 경우 ConfigurationPolicyIdentifier 필드는 다음과 같습니다. SELF_MANAGED_SECURITY_HUB

  9. Target 필드에는 이 구성 정책을 적용할 OU, 계정 또는 루트 ID를 입력합니다. 각 API 요청에는 대상을 하나만 제공할 수 있습니다. 선택한 OUs 대상의 자녀 계정과 해당 계정이 자체 관리되거나 다른 구성 정책을 사용하지 않는 한 이 구성 정책은 자동으로 상속됩니다.

구성 정책 생성 API 요청의 예:

{
    "Name": "SampleConfigurationPolicy",
    "Description": "Configuration policy for production accounts",
    "ConfigurationPolicy": {
        "SecurityHub": {
             "ServiceEnabled": true,
             "EnabledStandardIdentifiers": [
                    "arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0",
                    "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"
                ],
            "SecurityControlsConfiguration": {
                "DisabledSecurityControlIdentifiers": [
                    "CloudTrail.2"
                ],
                "SecurityControlCustomParameters": [
                    {
                        "SecurityControlId": "ACM.1",
                        "Parameters": {
                            "daysToExpiration": {
                                "ValueType": "CUSTOM",
                                "Value": {
                                    "Integer": 15
                                }
                            }
                        }
                    }
                ]
            }
        }
    }
}

구성 정책을 연결하기 위한 API 요청의 예:

{
    "ConfigurationPolicyIdentifier": "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111",
    "Target": {"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}
}
AWS CLI
구성 정책을 만들고 연결하려면

  1. 홈 리전의 Security Hub 위임된 관리자 계정에서 create-configuration-policy 명령을 실행합니다.

  2. name에서 구성 정책의 고유한 이름을 입력합니다. 필요에 따라 description에서 구성 정책에 대한 설명을 제공할 수 있습니다.

  3. ServiceEnabled 필드에서는 이 구성 정책에서 Security Hub를 활성화 또는 비활성화할지 여부를 지정합니다.

  4. EnabledStandardIdentifiers 필드에서는 이 구성 정책에서 활성화할 Security Hub 표준을 지정합니다.

  5. SecurityControlsConfiguration 필드에서는 이 구성 정책에서 활성화 또는 비활성화하려는 제어를 지정합니다. EnabledSecurityControlIdentifiers를 선택하면 지정된 제어가 활성화됩니다. 활성화된 표준에 속하는 다른 제어(새로 릴리스된 제어 포함)는 비활성화됩니다. DisabledSecurityControlIdentifiers를 선택하면 지정된 제어가 비활성화됩니다. 활성화된 표준에 적용되는 다른 제어(새로 릴리스된 제어 포함)는 활성화됩니다.

  6. 필요에 따라 파라미터를 사용자 지정하려는 활성화된 제어를 SecurityControlCustomParameters 필드에 지정할 수 있습니다. ValueType 필드에 CUSTOM을 입력하고 Value 필드에 사용자 지정 파라미터 값을 입력합니다. 값은 올바른 데이터 유형이어야 하며 Security Hub에서 지정한 유효한 범위 내에 있어야 합니다. 일부 제어만 사용자 지정 파라미터 값을 지원합니다. 자세한 내용은 Security Hub의 제어 매개변수 이해 단원을 참조하십시오.

  7. 구성 정책을 계정에 적용하거나 OUs 홈 지역의 Security Hub 위임 관리자 계정에서 start-configuration-policy-association명령을 실행합니다.

  8. configuration-policy-identifier필드에는 구성 정책의 Amazon 리소스 이름 (ARN) 또는 ID를 제공하십시오. 이 ARN ID와 ID는 create-configuration-policy 명령에 의해 반환됩니다.

  9. target 필드에는 이 구성 정책을 적용할 OU, 계정 또는 루트 ID를 입력합니다. 명령을 실행할 때마다 하나의 대상만 입력할 수 있습니다. 선택한 대상의 하위 항목은 자체 관리형이거나 다른 구성 정책을 사용하지 않는 한 이 구성 정책을 자동으로 상속합니다.

구성 정책을 만들기 위한 명령 예시:

aws securityhub --region us-east-1 create-configuration-policy \
--name "SampleConfigurationPolicy" \
--description "Configuration policy for production accounts" \
--configuration-policy '{"SecurityHub": {"ServiceEnabled": true, "EnabledStandardIdentifiers": ["arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0","arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0"],"SecurityControlsConfiguration":{"DisabledSecurityControlIdentifiers": ["CloudTrail.2"], "SecurityControlCustomParameters": [{"SecurityControlId": "ACM.1", "Parameters": {"daysToExpiration": {"ValueType": "CUSTOM", "Value": {"Integer": 15}}}}]}}}'

구성 정책을 연결하기 위한 명령 예시:

aws securityhub --region us-east-1 start-configuration-policy-association \
--configuration-policy-identifier "arn:aws:securityhub:us-east-1:123456789012:configuration-policy/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111" \
--target '{"OrganizationalUnitId": "ou-examplerootid111-exampleouid111"}'

는 라는 필드를 StartConfigurationPolicyAssociation API 반환합니다AssociationStatus. 이 필드는 정책 연결이 보류 중인지 또는 성공 또는 실패 상태인지를 알려줍니다. PENDING에서 SUCCESS 또는 FAILURE로 상태가 변경되려면 최대 24시간이 걸릴 수 있습니다. 연결 상태에 대한 자세한 내용은 구성 정책의 연결 상태 검토 섹션을 참조하세요.