Security Hub에서 보안 표준 활성화 - AWS Security Hub
다중 계정 및 리전에 표준 활성화단일 계정 및 리전에서 표준 활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub에서 보안 표준 활성화

에서 보안 표준을 활성화하면 표준에 적용되는 AWS Security Hub모든 제어가 자동으로 활성화됩니다. Security Hub는 또한 보안 검사를 실행하고 표준에 적용되는 제어 기능에 대한 조사 결과를 생성하기 시작합니다.

보안 표준을 활성화하기 전에 표준에 적용되는 제어에서 사용하는 모든 리소스에 AWS Config 대해에서 리소스 기록을 켜야 합니다. 그렇지 않으면 Security Hub가 표준에 적용되는 제어 항목에 대한 조사 결과를 생성하지 못할 수 있습니다. 자세한 내용은 활성화 및 구성 전 고려 사항 AWS Config 섹션을 참조하세요.

각 표준에서 비활성화 및 비활성화할 제어를 선택할 수 있습니다. 제어를 비활성화하면 해당 제어에 대한 조사 결과가 생성되지 않고 보안 점수를 계산할 때 제어가 무시됩니다.

Security Hub를 활성화하면 Security Hub는 사용자가 Security Hub 콘솔의 요약 페이지 또는 보안 표준 페이지를 처음 방문한 후 30분 이내에 표준에 대한 초기 보안 점수를 계산합니다. 중국 리전 및 AWS GovCloud (US) Region에 처음으로 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다. 점수는 해당 페이지를 방문할 때 활성화된 표준에 대해서만 생성됩니다. 또한 점수가 표시되도록 AWS Config 리소스 레코딩을 구성해야 합니다. 처음으로 점수를 생성한 후 Security Hub는 24시간마다 보안 점수를 업데이트합니다. Security Hub는 보안 점수가 마지막으로 업데이트된 시기를 나타내는 타임스탬프를 표시합니다. 현재 활성화된 표준 목록을 보려면 GetEnabledStandards API를 호출하세요.

표준 활성화 지침은 중앙 구성 사용 여부에 따라 달라집니다. Security Hub와를 통합하는 경우 중앙 구성을 사용할 수 있습니다 AWS Organizations. 다중 계정, 다중 리전 환경에서 표준을 활성화 또는 비활성화하려면 중앙 구성을 사용하는 것을 권장합니다. 중앙 구성을 사용하지 않는 경우, 각 계정 및 각 리전에서 각 표준을 개별적으로 활성화해야 합니다.

다중 계정 및 리전에 표준 활성화

여러 계정에서 보안 표준을 활성화하려면 중앙 구성을 사용해야 AWS 리전합니다.

중앙 구성을 사용하는 경우, 위임된 관리자는 하나 이상의 표준을 활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 OU(조직 단위) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 리전이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어, 한 OU에서 AWS 기본 보안 모범 사례(FSBP)만 활성화하도록 선택할 수 있으며, 다른 OU에서 FSBP 및 인터넷 보안 센터(CIS) AWS 기반 벤치마크 v1.4.0을 활성화하도록 선택할 수 있습니다. 지정된 표준을 활성화하는 구성 정책을 만드는 방법에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요.

중앙 구성을 사용하는 경우, Security Hub는 새로운 계정 또는 기존 계정의 표준을 자동으로 활성화하지 않습니다. 대신 구성 정책을 만들 때 위임된 관리자는 여러 계정에서 사용할 표준을 정의합니다. Security Hub는 FSBP만 활성화하는 권장 구성 정책을 제공합니다. 자세한 내용은 구성 정책 유형 단원을 참조하십시오.

참고

위임된 관리자는 서비스 관리형 표준을 제외한 모든 표준을 활성화하는 구성 정책을 생성할 수 있습니다 AWS Control Tower. AWS Control Tower 서비스에서만이 표준을 활성화할 수 있습니다. 중앙 구성을 사용하는 경우, AWS Control Tower에서만 중앙에서 관리되는 계정에 대해 이 표준의 제어를 활성화 및 비활성화할 수 있습니다.

일부 계정에서 위임된 관리자가 아닌 자체 표준을 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 표준을 구성해야 합니다.

단일 계정 및 리전에서 표준 활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 구성 정책을 사용하여 다중 계정 및 리전에서 표준을 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 표준을 활성화할 수 있습니다.

Security Hub console
한 계정과 리전에서 표준을 활성화하려면

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub 콘솔을 엽니다.

  2. 표준을 활성화하려는 리전에서 Security Hub를 사용하고 있는지 확인합니다.

  3. Security Hub 탐색 창에서 보안 표준을 선택합니다.

  4. 활성화하려는 표준에 대해 활성화를 선택합니다. 이렇게 하면 해당 표준 내의 모든 제어도 활성화됩니다.

  5. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

Security Hub API
한 계정과 리전에서 표준을 활성화하려면

  1. BatchEnableStandards API를 호출합니다.

  2. 활성화하려는 표준의 Amazon 리소스 이름(ARN)을 입력합니다. 표준 ARN을 얻으려면 DescribeStandards API를 호출하세요.

  3. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

AWS CLI
한 계정과 리전에서 표준을 활성화하려면

  1. batch-enable-standards 명령을 실행합니다.

  2. 활성화하려는 표준의 Amazon 리소스 이름(ARN)을 입력합니다. 표준 ARN을 얻으려면 describe-standards 명령을 실행하세요.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    예제

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.