Security Hub의 제어 파라미터 이해 - AWS Security Hub
제어 파라미터 값 수정의 영향사용자 지정 파라미터를 지원하는 제어

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub의 제어 파라미터 이해

일부 제어는 제어 평가 방식에 영향을 미치는 파라미터를 AWS Security Hub 사용합니다. 일반적으로 이러한 제어는 Security Hub에서 정의하는 기본 파라미터 값을 기준으로 평가합니다. 하지만 이러한 제어의 한 하위 세트에 대해서는 파라미터 값을 수정할 수 있습니다. 제어의 파라미터 값을 사용자 지정하면 Security Hub는 지정한 값을 기준으로 제어를 평가하기 시작합니다. 제어의 기반이 되는 리소스가 사용자 지정 값을 만족하는 경우, Security Hub는 PASSED 조사 결과를 생성합니다. 리소스가 사용자 지정 값을 만족하지 않으면 Security Hub는 FAILED 조사 결과를 생성합니다.

제어 파라미터를 사용자 지정하면 Security Hub에서 권장하고 모니터링하는 보안 모범 사례를 비즈니스 요구 사항 및 보안 기대치에 맞게 조정할 수 있습니다. 제어에 대한 조사 결과를 숨기는 대신 하나 이상의 파라미터를 사용자 지정하여 보안 요구 사항에 맞는 조사 결과를 얻을 수 있습니다.

다음은 사용자 지정 제어 파라미터 수정과 설정 사용자 지정 값의 몇 가지 샘플 사용 사례입니다.

  • [CloudWatch.16] - CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.

    보존 기간을 지정할 수 있습니다.

  • [IAM.7] - IAM 사용자의 암호 정책에는 강력한 구성이 있어야 합니다.

    암호 강도와 관련된 파라미터를 지정할 수 있습니다.

  • [EC2.18] - 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

    수신 트래픽을 제한 없이 허용할 수 있는 포트를 지정할 수 있습니다.

  • [Lambda.5] – VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

    조사 결과 통과를 생성하는 최소 가용 영역 수를 지정할 수 있습니다.

이 섹션에서는 제어 파라미터를 수정할 때 고려해야 할 사항에 대해 다룹니다.

제어 파라미터 값 수정의 영향

파라미터 값을 변경하면 새로운 값을 기반으로 제어를 평가하는 새로운 보안 검사도 트리거됩니다. 그런 다음 Security Hub는 새로운 값을 기반으로 새로운 제어 조사 결과를 생성합니다. 제어 조사 결과를 정기적으로 업데이트하는 동안 Security Hub는 새로운 파라미터 값도 사용합니다. 제어의 파라미터 값을 변경했지만 제어가 포함된 표준을 활성화하지 않은 경우, Security Hub는 새로운 값을 사용하여 보안 검사를 수행하지 않습니다. Security Hub가 새로운 파라미터 값을 기반으로 제어를 평가하려면 관련 표준을 하나 이상 활성화해야 합니다.

제어에는 하나 이상의 사용자 지정 파라미터 설정이 있을 수 있습니다. 개별 제어 파라미터에 가능한 데이터 유형은 다음과 같습니다.

  • Boolean

  • 배정밀도 실수

  • Enum

  • EnumList

  • Integer

  • IntegerList

  • String

  • StringList

사용자 지정 파라미터 값은 활성화된 표준 전체에 적용됩니다. 현재 리전에서 지원되지 않는 제어의 파라미터는 사용자 지정할 수 없습니다. 개별 제어의 리전별 제한 목록은 Security Hub 제어 기능에 대한 리전별 제한 섹션을 참조하세요.

일부 제어의 경우, 허용되는 파라미터 값도 지정된 범위에 속해야 유효합니다. 이러한 경우, Security Hub는 허용 가능한 범위를 제공합니다.

Security Hub는 기본 파라미터 값을 선택하고 때때로 이를 업데이트할 수 있습니다. 제어 파라미터를 사용자 지정한 후 해당 값은 변경하지 않는 한 파라미터에 대해 지정한 값이 계속 유지됩니다. 즉, 파라미터의 사용자 지정 값이 Security Hub에서 정의한 현재 기본값과 일치하더라도 파라미터는 기본 Security Hub 값에 대한 업데이트 추적을 중지합니다. 다음은 컨트롤 [ACM.1]의 예입니다. 가져온 인증서와 ACM발급된 인증서는 지정된 기간 후에 갱신해야 합니다.

{
    "SecurityControlId": "ACM.1",
    "Parameters": {
        "daysToExpiration": {
            "ValueType": "CUSTOM",
            "Value": {
                "Integer": 30
            }
        }
    }
}

위 예제에서 daysToExpiration 파라미터의 사용자 지정 값은 30입니다. 이 파라미터의 현재 기본값 또한 30입니다. Security Hub에서 기본값을 14(으)로 변경하는 경우, 이 예제의 파라미터는 해당 변경 내용을 추적하지 않습니다. 값은 30(으)로 유지됩니다.

파라미터의 기본 Security Hub 값에 대한 업데이트를 추적하려면 ValueType 필드를 CUSTOM 대신 DEFAULT(으)로 설정하세요. 자세한 내용은 단일 계정 및 리전에서 기본 파라미터 값으로 되돌리기 섹션을 참조하세요.

사용자 지정 파라미터를 지원하는 제어

사용자 지정 파라미터를 지원하는 보안 제어 목록을 보려면 Security Hub 콘솔의 제어 페이지 또는 Security Hub 제어 참조 섹션을 참조하세요. 이 목록을 프로그래밍 방식으로 검색하려면 ListSecurityControlDefinitions 작업. 응답에서 CustomizableProperties 객체는 사용자 지정 가능한 파라미터를 지원하는 제어를 나타냅니다.