기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# Security Hub CSPM의 보안 검사 및 점수 이해
활성화하는 각 컨트롤에 대해 AWS Security Hub CSPM은 보안 검사를 실행합니다. 보안 검사는 특정 AWS 리소스가 제어에 포함된 규칙을 준수하는지 여부를 알려주는 결과를 생성합니다.
일부 검사는 주기적 일정에 따라 실행됩니다. 리소스 상태가 변경될 때만 실행되는 검사도 있습니다. 자세한 내용은 [보안 검사 실행 예약](securityhub-standards-schedule.md) 단원을 참조하십시오.
많은 보안 검사는 AWS Config 관리형 또는 사용자 지정 규칙을 사용하여 규정 준수 요구 사항을 설정합니다. 이러한 검사를 실행하려면 필요한 리소스에 대한 리소스 기록을 설정하고 AWS Config 활성화해야 합니다. 설정에 대한 자세한 내용은 섹션을 AWS Config참조하세요[Security Hub CSPM AWS Config 에 대한 활성화 및 구성](securityhub-setup-prereqs.md). 각 표준에 대해 기록해야 하는 AWS Config 리소스 목록은 섹션을 참조하세요[제어 조사 결과에 필요한 AWS Config 리소스](controls-config-resources.md). 다른 제어는 Security Hub CSPM이 관리하고 사전 조건이 필요하지 않은 사용자 지정 Lambda 함수를 사용합니다.
Security Hub CSPM은 보안 검사를 실행할 때 조사 결과를 생성하고 규정 준수 상태를 할당합니다. 규정 준수 상태에 대한 자세한 내용은 [Security Hub CSPM 조사 결과의 규정 준수 상태 평가](controls-overall-status.md#controls-overall-status-compliance-status) 섹션을 참조하세요.
Security Hub CSPM은 제어 조사 결과의 규정 준수 상태를 사용하여 전체 제어 상태를 결정합니다. 또한 제어 상태에 따라, Security Hub CSPM은 활성화된 모든 제어와 특정 표준에 대한 보안 점수를 계산합니다. 자세한 내용은 [규정 준수 상태 및 제어 상태 평가](controls-overall-status.md) 및 [보안 점수 계산](standards-security-score.md) 섹션을 참조하세요.
통합 제어 조사 결과를 활성화한 경우, Security Hub CSPM은 제어가 둘 이상의 표준과 연결된 경우에도 단일 조사 결과를 생성합니다. 자세한 내용은 [통합 제어 조사 결과](controls-findings-create-update.md#consolidated-control-findings) 단원을 참조하십시오.
**Topics**
+ [제어 조사 결과에 필요한 AWS Config 리소스](controls-config-resources.md)
+ [보안 검사 실행 예약](securityhub-standards-schedule.md)
+ [제어 조사 결과 생성 및 업데이트](controls-findings-create-update.md)
+ [규정 준수 상태 및 제어 상태 평가](controls-overall-status.md)
+ [보안 점수 계산](standards-security-score.md)
# 제어 조사 결과에 필요한 AWS Config 리소스
AWS Security Hub CSPM에서 일부 제어는 AWS 리소스의 구성 변경을 감지하는 서비스 연결 AWS Config 규칙을 사용합니다. Security Hub CSPM이 이러한 제어에 대한 정확한 결과를 생성하려면 리소스 기록을 활성화 AWS Config 하고 활성화해야 합니다 AWS Config. Security Hub CSPM이 AWS Config 규칙을 사용하는 방법과 활성화 및 구성하는 방법에 대한 자세한 내용은 섹션을 AWS Config참조하세요[Security Hub CSPM AWS Config 에 대한 활성화 및 구성](securityhub-setup-prereqs.md). 리소스 기록에 대한 자세한 내용은 *AWS Config 개발자 안내서*의 [구성 레코더 작업](https://docs.aws.amazon.com/config/latest/developerguide/stop-start-recorder.html)을 참조하세요.
정확한 제어 조사 결과를 수신하려면 *변경 트리거*된 일정 유형을 사용하여 활성화된 제어에 대한 AWS Config 리소스 기록을 켜야 합니다. 일정 유형이 *주기적*인 일부 제어에도 리소스 기록이 필요합니다. 이 페이지에는 이러한 Security Hub CSPM 제어에 필요한 리소스가 나열되어 있습니다.
Security Hub CSPM 제어는 관리형 AWS Config 규칙 또는 사용자 지정 Security Hub CSPM 규칙에 의존할 수 있습니다. 가 리소스를 기록할 수 있는 권한을 AWS Config 갖지 못하게 하는 AWS Identity and Access Management (IAM) 정책 또는 AWS Organizations 관리형 정책이 없는지 확인합니다. Security Hub CSPM 제어는 리소스 구성을 직접 평가하고 AWS Organizations 정책을 고려하지 않습니다.
**참고**
제어를 사용할 수 없는 AWS 리전 에서는 해당 리소스를 사용할 수 없습니다 AWS Config. 이러한 한도의 목록은 [Security Hub CSPM 제어에 대한 리전별 제한](regions-controls.md) 섹션을 참조하세요.
**Topics**
+ [모든 Security Hub CSPM 제어에 필요한 리소스](#all-controls-config-resources)
+ [AWS 기본 보안 모범 사례 표준에 필요한 리소스](#securityhub-standards-fsbp-config-resources)
+ [CIS AWS 파운데이션 벤치마크에 필요한 리소스](#securityhub-standards-cis-config-resources)
+ [NIST SP 800-53 개정 5 표준에 필요한 리소스](#nist-config-resources)
+ [NIST SP 800-171 개정 2 표준에 필요한 리소스](#nist-800-171-config-resources)
+ [PCI DSS v3.2.1에 필요한 리소스](#securityhub-standards-pci-config-resources)
+ [리소스 태그 지정 표준에 필요한 AWS 리소스](#tagging-config-resources)
## 모든 Security Hub CSPM 제어에 필요한 리소스
Security Hub CSPM이 활성화된 변경 트리거 제어에 대한 결과를 생성하고 AWS Config 규칙을 사용하려면 다음 유형의 리소스를에 기록해야 합니다 AWS Config. 또한 이 테이블에는 특정 유형의 리소스를 제어하는 제어도 나와 있습니다. 단일 제어가 2개 이상의 리소스 유형을 평가할 수 있습니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/controls-config-resources.html)
## AWS 기본 보안 모범 사례 표준에 필요한 리소스
Security Hub CSPM이 AWS 기본 보안 모범 사례 표준(v.1.0.0)에 적용되고 활성화되며 AWS Config 규칙을 사용하는 변경 트리거 제어에 대한 조사 결과를 정확하게 보고하려면 다음 유형의 리소스를에 기록해야 합니다 AWS Config. 이 표준에 대한 자세한 내용은 [AWS Security Hub CSPM의 기본 보안 모범 사례 표준](fsbp-standard.md) 섹션을 참조하세요.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::ApiCache`, `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CodeBuild | `AWS::CodeBuild::Project`, `AWS::CodeBuild::ReportGroup` |
| Amazon Cognito | `AWS::Cognito::IdentityPool`, `AWS::Cognito::UserPool` |
| Amazon Connect | `AWS::Connect::Instance` |
| AWS DataSync | `AWS::DataSync::Task` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon EC2 Systems Manager(SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::SnapshotBlockPublicAccess`, `AWS::EC2::SpotFleet`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPCBlockPublicAccessOptions`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 오토 스케일링 | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry(Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service(Amazon ECS) | `AWS::ECS::CapacityProvider`, `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition`, `AWS::ECS::TaskSet` |
| Amazon Elastic File System(Amazon EFS) | `AWS::EFS::AccessPoint`, `AWS::EFS::FileSystem` |
| Amazon Elastic Kubernetes Service(Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| AWS Glue | `AWS::Glue::Job`, `AWS::Glue::MLTransform` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Key` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka(Amazon MSK) | `AWS::MSK::Cluster`, `AWS::KafkaConnect::Connector` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBProxy`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Redshift Serverless | `AWS::RedshiftServerless::Workgroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket`, `AWS::S3::MultiRegionAccessPoint`, `AWS::S3Express::DirectoryBucket` |
| Amazon SageMaker AI | `AWS::SageMaker::Model`, `AWS::SageMaker::NotebookInstance` |
| Amazon Simple Notification Service(Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service(Amazon SQS) | `AWS::SQS::Queue` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Step Functions | `AWS::StepFunctions::StateMachine` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
| Amazon WorkSpaces | `AWS::WorkSpaces::WorkSpace` |
## CIS AWS 파운데이션 벤치마크에 필요한 리소스
인터넷 보안 센터(CIS) AWS 기반 벤치마크에 적용되는 활성화된 제어에 대한 보안 검사를 실행하기 위해 Security Hub CSPM은 검사에 대해 규정된 정확한 감사 단계를 실행하거나 특정 AWS Config 관리형 규칙을 사용합니다. Security Hub CSPM의 이 표준에 대한 자세한 내용은 [Security Hub CSPM의 CIS AWS 파운데이션 벤치마크](cis-aws-foundations-benchmark.md) 섹션을 참조하세요.
### CIS v5.0.0에 필요한 리소스
Security Hub CSPM이 AWS Config 규칙을 사용하는 활성화된 CIS v5.0.0 변경 트리거 제어에 대한 결과를 정확하게 보고하려면에 다음 유형의 리소스를 기록해야 합니다 AWS Config.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| Amazon Elastic File System(Amazon EFS) | `AWS::EFS::FileSystem` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBInstance`, `AWS::RDS::DBCluster` |
| Amazon Simple Storage Service(S3) | `AWS::S3::Bucket` |
### CIS v3.0.0에 필요한 리소스
Security Hub CSPM이 AWS Config 규칙을 사용하는 활성화된 CIS v3.0.0 변경 트리거 제어에 대한 결과를 정확하게 보고하려면에 다음 유형의 리소스를 기록해야 합니다 AWS Config.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::Instance`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::User`, `AWS::IAM::Role` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service(S3) | `AWS::S3::Bucket` |
### CIS v1.4.0에 필요한 리소스
Security Hub CSPM이 AWS Config 규칙을 사용하는 활성화된 CIS v1.4.0 변경 트리거 제어에 대한 결과를 정확하게 보고하려면에 다음 유형의 리소스를 기록해야 합니다 AWS Config.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBInstance` |
| Amazon Simple Storage Service(S3) | `AWS::S3::Bucket` |
### CIS v1.2.0에 필요한 리소스
Security Hub CSPM이 AWS Config 규칙을 사용하는 활성화된 CIS v1.2.0 변경 트리거 제어에 대한 결과를 정확하게 보고하려면에 다음 유형의 리소스를 기록해야 합니다 AWS Config.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::SecurityGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
## NIST SP 800-53 개정 5 표준에 필요한 리소스
Security Hub CSPM이 NIST SP 800-53 개정 5 표준에 적용되고 활성화되며 AWS Config 규칙을 사용하는 변경 트리거 제어에 대한 결과를 정확하게 보고하려면 다음 유형의 리소스를에 기록해야 합니다 AWS Config. 이 표준에 대한 자세한 내용은 [Security Hub CSPM의 NIST SP 800-53 개정 5](standards-reference-nist-800-53.md) 섹션을 참조하세요.
| AWS 서비스 | 조건 키 |
| --- | --- |
| Amazon API Gateway | `AWS::ApiGateway::Stage`, `AWS::ApiGatewayV2::Stage` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| AWS Backup | `AWS::Backup::RecoveryPoint` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Endpoint`, `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationTask` |
| Amazon DynamoDB | `AWS::DynamoDB::Table` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TransitGateway`, `AWS::EC2::VPNConnection`, `AWS::EC2::Volume` |
| Amazon EC2 오토 스케일링 | `AWS::AutoScaling::AutoScalingGroup`, `AWS::AutoScaling::LaunchConfiguration` |
| Amazon Elastic Container Registry(Amazon ECR) | `AWS::ECR::Repository` |
| Amazon Elastic Container Service(Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System(Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service(Amazon EKS) | `AWS::EKS::Cluster` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer`, `AWS::ElasticLoadBalancingV2::Listener`, `AWS::ElasticLoadBalancingV2::LoadBalancer` |
| Amazon ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EMR | `AWS::EMR::SecurityConfiguration` |
| Amazon EventBridge | `AWS::Events::Endpoint`, `AWS::Events::EventBus` |
| AWS Glue | `AWS::Glue::Job` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Group`, `AWS::IAM::Policy`, `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon Managed Streaming for Apache Kafka(Amazon MSK) | `AWS::MSK::Cluster` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot`, `AWS::RDS::EventSubscription` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterSubnetGroup` |
| Amazon Route 53 | `AWS::Route53::HostedZone` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::AccessPoint`, `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| AWS Service Catalog | `AWS::ServiceCatalog::Portfolio` |
| Amazon Simple Notification Service(SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service(Amazon SQS) | `AWS::SQS::Queue` |
| Amazon EC2 Systems Manager(SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
| Amazon SageMaker AI | `AWS::SageMaker::NotebookInstance` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| AWS Transfer Family | `AWS::Transfer::Connector` |
| AWS WAF | `AWS::WAF::Rule`, `AWS::WAF::RuleGroup`, `AWS::WAF::WebACL`, `AWS::WAFRegional::Rule`, `AWS::WAFRegional::RuleGroup`, `AWS::WAFRegional::WebACL`, `AWS::WAFv2::RuleGroup`, `AWS::WAFv2::WebACL` |
## NIST SP 800-171 개정 2 표준에 필요한 리소스
Security Hub CSPM이 NIST SP 800-171 개정 2 표준에 적용되고 활성화되며 AWS Config 규칙을 사용하는 변경 트리거 제어에 대한 결과를 정확하게 보고하려면 다음 유형의 리소스를에 기록해야 합니다 AWS Config. 이 표준에 대한 자세한 내용은 [Security Hub CSPM의 NIST SP 800-171 개정 2](standards-reference-nist-800-171.md) 섹션을 참조하세요.
| AWS 서비스 | 조건 키 |
| --- | --- |
| AWS Certificate Manager(ACM) | `AWS::ACM::Certificate` |
| Amazon API Gateway | `AWS::ApiGateway::Stage` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| Amazon CloudWatch | `AWS::CloudWatch::Alarm` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::ClientVpnEndpoint`, `AWS::EC2::NetworkAcl`, `AWS::EC2::SecurityGroup`, `AWS::EC2::VPC`, `AWS::EC2::VPNConnection` |
| Elastic Load Balancing | `AWS::ElasticLoadBalancing::LoadBalancer` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Key Management Service (AWS KMS) | `AWS::KMS::Alias`, `AWS::KMS::Key` |
| AWS Network Firewall | `AWS::NetworkFirewall::FirewallPolicy`, `AWS::NetworkFirewall::RuleGroup` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::Bucket` |
| Amazon Simple Notification Service(Amazon SNS) | `AWS::SNS::Topic` |
| AWS Systems Manager(SSM) | `AWS::SSM::PatchCompliance` |
| AWS WAF | `AWS::WAFv2::RuleGroup` |
## PCI DSS v3.2.1에 필요한 리소스
Security Hub CSPM이 Payment Card Industry Data Security Standard(PCI DSS) v3.2.1에 적용되고 활성화되었으며 AWS Config 규칙을 사용하는 제어에 대한 조사 결과를 정확하게 보고하려면 다음 유형의 리소스를 AWS Config에 기록해야 합니다. 이 표준에 대한 자세한 내용은 [Security Hub CSPM의 PCI DSS](pci-standard.md) 섹션을 참조하세요.
| AWS 서비스 | 조건 키 |
| --- | --- |
| AWS CodeBuild | `AWS::CodeBuild::Project` |
| Amazon Elastic Compute Cloud(Amazon EC2) | `AWS::EC2::EIP`, `AWS::EC2::Instance`, `AWS::EC2::SecurityGroup` |
| Amazon EC2 오토 스케일링 | `AWS::AutoScaling::AutoScalingGroup` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Policy`, `AWS::IAM::User` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| Amazon Relational Database Service(Amazon RDS) | `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSnapshot` |
| Amazon Redshift | `AWS::Redshift::Cluster` |
| Amazon Simple Storage Service(Amazon S3) | `AWS::S3::AccountPublicAccessBlock`, `AWS::S3::Bucket` |
| Amazon EC2 Systems Manager(SSM) | `AWS::SSM::AssociationCompliance`, `AWS::SSM::ManagedInstanceInventory`, `AWS::SSM::PatchCompliance` |
## 리소스 태그 지정 표준에 필요한 AWS 리소스
AWS 리소스 태그 지정 표준에 적용되는 모든 제어는 변경이 트리거되고 AWS Config 규칙을 사용합니다. Security Hub CSPM이 이러한 제어에 대한 결과를 정확하게 보고하려면 다음 유형의 리소스를에 기록해야 합니다 AWS Config. 이 표준에 대한 자세한 내용은 [AWS Security Hub CSPM의 리소스 태그 지정 표준](standards-tagging.md) 섹션을 참조하세요.
| AWS 서비스 | 조건 키 |
| --- | --- |
| AWS Amplify | `AWS::Amplify::App`, `AWS::Amplify::Branch` |
| Amazon AppFlow | `AWS::AppFlow::Flow` |
| AWS App Runner | `AWS::AppRunner::Service`, `AWS::AppRunner::VpcConnector` |
| AWS AppConfig | `AWS::AppConfig::Application`, `AWS::AppConfig::ConfigurationProfile`, `AWS::AppConfig::Environment`, `AWS::AppConfig::ExtensionAssociation` |
| AWS AppSync | `AWS::AppSync::GraphQLApi` |
| Amazon Athena | `AWS::Athena::DataCatalog`, `AWS::Athena::WorkGroup` |
| AWS Backup | `AWS::Backup::BackupPlan`, `AWS::Backup::BackupVault`, `AWS::Backup::RecoveryPlan`, `AWS::Backup::ReportPlan` |
| AWS Batch | `AWS::Batch::ComputeEnvironment`, `AWS::Batch::JobQueue`, `AWS::Batch::SchedulingPolicy` |
| AWS Certificate Manager (ACM) | `AWS::ACM::Certificate` |
| AWS CloudFormation | `AWS::CloudFormation::Stack` |
| Amazon CloudFront | `AWS::CloudFront::Distribution` |
| AWS CloudTrail | `AWS::CloudTrail::Trail` |
| AWS CodeArtifact | `AWS::CodeArtifact::Repository` |
| Amazon CodeGuru | `AWS::CodeGuruProfiler::ProfilingGroup`, `AWS::CodeGuruReviewer::RepositoryAssociation` |
| Amazon Connect | `AWS::CustomerProfiles::ObjectType` |
| AWS Database Migration Service (AWS DMS) | `AWS::DMS::Certificate`, `AWS::DMS::EventSubscription` `AWS::DMS::ReplicationInstance`, `AWS::DMS::ReplicationSubnetGroup` |
| AWS DataSync | `AWS::DataSync::Task` |
| Amazon Detective | `AWS::Detective::Graph` |
| Amazon DynamoDB | `AWS::DynamoDB::Trail` |
| Amazon Elastic Compute Cloud(EC2) | `AWS::EC2::CustomerGateway`, `AWS::EC2::DHCPOptions`, `AWS::EC2::EIP`, `AWS::EC2::FlowLog`, `AWS::EC2::Instance`, `AWS::EC2::InternetGateway`, `AWS::EC2::LaunchTemplate`, `AWS::EC2::NatGateway`, `AWS::EC2::NetworkAcl`, `AWS::EC2::NetworkInterface`, `AWS::EC2::PrefixList`, `AWS::EC2::RouteTable`, `AWS::EC2::SecurityGroup`, `AWS::EC2::Subnet`, `AWS::EC2::TrafficMirrorFilter`, `AWS::EC2::TrafficMirrorSession`, `AWS::EC2::TrafficMirrorTarget`, `AWS::EC2::TransitGateway`, `AWS::EC2::TransitGatewayAttachment`, `AWS::EC2::TransitGatewayRouteTable`, `AWS::EC2::Volume`, `AWS::EC2::VPC`, `AWS::EC2::VPCEndpointService`, `AWS::EC2::VPCPeeringConnection`, `AWS::EC2::VPNGateway` |
| Amazon EC2 오토 스케일링 | `AWS::AutoScaling::AutoScalingGroup` |
| Amazon Elastic Container Registry(Amazon ECR) | `AWS::ECR::PublicRepository` |
| Amazon Elastic Container Service(Amazon ECS) | `AWS::ECS::Cluster`, `AWS::ECS::Service`, `AWS::ECS::TaskDefinition` |
| Amazon Elastic File System(Amazon EFS) | `AWS::EFS::AccessPoint` |
| Amazon Elastic Kubernetes Service(Amazon EKS) | `AWS::EKS::Cluster`, `AWS::EKS::IdentityProviderConfig` |
| AWS Elastic Beanstalk | `AWS::ElasticBeanstalk::Environment` |
| ElasticSearch | `AWS::Elasticsearch::Domain` |
| Amazon EventBridge | `AWS::Events::EventBus` |
| Amazon Fraud Detector | `AWS::FraudDetector::EntityType`, `AWS::FraudDetector::Label` `AWS::FraudDetector::Outcome`, `AWS::FraudDetector::Variable` |
| AWS Global Accelerator | `AWS::GlobalAccelerator::Accelerator` |
| AWS Glue | `AWS::Glue::Job` |
| Amazon GuardDuty | `AWS::GuardDuty::Detector`, `AWS::GuardDuty::Filter`, `AWS::GuardDuty::IPSet` |
| AWS Identity and Access Management (IAM) | `AWS::IAM::Role`, `AWS::IAM::User` |
| AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) | `AWS::AccessAnalyzer::Analyzer` |
| AWS IoT | `AWS::IoT::Authorizer`, `AWS::IoT::Dimension`, `AWS::IoT::MitigationAction`, `AWS::IoT::Policy`, `AWS::IoT::RoleAlias`, `AWS::IoT::SecurityProfile` |
| AWS IoT 이벤트 | `AWS::IoTEvents::AlarmModel`, `AWS::IoTEvents::DetectorModel`, `AWS::IoTEvents::Input` |
| AWS IoT SiteWise | `AWS::IoTSiteWise::Dashboard`, `AWS::IoTSiteWise::Gateway`, `AWS::IoTSiteWise::Portal`, `AWS::IoTSiteWise::Project` |
| AWS IoT TwinMaker | `AWS::IoTTwinMaker::Entity`, `AWS::IoTTwinMaker::Scene`, `AWS::IoTTwinMaker::SyncJob`, `AWS::IoTTwinMaker::Workspace` |
| AWS IoT 무선 | `AWS::IoTWireless::FuotaTask`, `AWS::IoTWireless::MulticastGroup`, `AWS::IoTWireless::ServiceProfile` |
| Amazon Interactive Video Service(Amazon IVS) | `AWS::IVS::Channel`, `AWS::IVS::PlaybackKeyPair`, `AWS::IVS::RecordingConfiguration` |
| Amazon Keyspaces(Apache Cassandra용) | `AWS::Cassandra::Keyspace` |
| Amazon Kinesis | `AWS::Kinesis::Stream` |
| AWS Lambda | `AWS::Lambda::Function` |
| Amazon MQ | `AWS::AmazonMQ::Broker` |
| AWS Network Firewall | `AWS::NetworkFirewall::Firewall`, `AWS::NetworkFirewall::FirewallPolicy` |
| Amazon OpenSearch Service | `AWS::OpenSearch::Domain` |
| AWS Private Certificate Authority | `AWS::ACMPCA::CertificateAuthority` |
| Amazon Relational Database Service | `AWS::RDS::DBCluster`, `AWS::RDS::DBClusterSnapshot`, `AWS::RDS::DBInstance`, `AWS::RDS::DBSecurityGroup`, `AWS::RDS::DBSnapshot`, `AWS::RDS::DBSubnetGroup` |
| Amazon Redshift | `AWS::Redshift::Cluster`, `AWS::Redshift::ClusterParameterGroup`, `AWS::Redshift::ClusterSnapshot`, `AWS::Redshift::ClusterSubnetGroup`, `AWS::Redshift::EventSubscription` |
| Amazon Route 53 | `AWS::Route53::HealthCheck` |
| Amazon SageMaker AI | `AWS::SageMaker::AppImageConfig`, `AWS::SageMaker::Image` |
| AWS Secrets Manager | `AWS::SecretsManager::Secret` |
| Amazon Simple Email Service(Amazon SES) | `AWS::SES::ConfigurationSet`, `AWS::SES::ContactList` |
| Amazon Simple Notification Service(Amazon SNS) | `AWS::SNS::Topic` |
| Amazon Simple Queue Service(Amazon SQS) | `AWS::SQS::Queue` |
| AWS Step Functions | `AWS::StepFunctions::Activity` |
| AWS Systems Manager (SSM) | `AWS::SSM::Document` |
| AWS Transfer Family | `AWS::Transfer::Agreement`, `AWS::Transfer::Certificate`, `AWS::Transfer::Connector`, `AWS::Transfer::Profile`, `AWS::Transfer::Workflow` |
# 보안 검사 실행 예약
보안 표준을 활성화하면 AWS Security Hub CSPM은 2시간 이내에 모든 검사를 실행하기 시작합니다. 대부분의 검사는 25분 이내에 실행되기 시작합니다. Security Hub CSPM은 제어의 기반이 되는 규칙을 평가하여 검사를 실행합니다. 제어가 첫 번째 검사 실행을 완료할 때까지 상태는 **데이터 없음**입니다.
새 표준을 활성화하면 Security Hub CSPM이 활성화된 다른 표준에서 활성화된 제어와 동일한 기본 AWS Config 서비스 연결 규칙을 사용하는 제어에 대한 조사 결과를 생성하는 데 최대 24시간이 걸릴 수 있습니다. 예를 들어 AWS 기본 보안 모범 사례(FSBP) 표준에서 [Lambda.1](lambda-controls.md#lambda-1) 제어를 활성화하면 Security Hub CSPM은 서비스 연결 규칙을 생성하고 일반적으로 몇 분 내에 결과를 생성합니다. 이후 PCI DSS(지불 카드 산업 데이터 보안 표준)에서 Lambda.1 제어를 활성화하면, Security Hub CSPM은 동일한 서비스 연결 규칙을 사용하기 때문에 이 제어에 대한 조사 결과를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
초기 검사 후 각 제어에 대한 일정은 주기적이거나 변경으로 트리거될 수 있습니다. 관리형 AWS Config 규칙을 기반으로 하는 제어의 경우 제어 설명에는 *AWS Config 개발자 안내서*의 규칙 설명에 대한 링크가 포함됩니다. 이 설명은 규칙이 변경으로 트리거되는지 또는 주기적인지 여부를 표시합니다.
## 정기 보안 검사
정기적인 검사는 가장 최근 실행 후 12\$124시간 이내에 자동으로 실행됩니다. Security Hub CSPM은 주기를 결정하며 사용자는 이를 변경할 수 없습니다. 주기적 제어에는 검사가 실행되는 시점의 평가가 반영됩니다.
주기적 제어 조사 결과의 워크플로 상태를 업데이트하고 다음 검사에서 조사 결과의 규정 준수 상태가 동일하게 유지되는 경우, 워크플로 상태는 수정된 상태로 유지됩니다. 예를 들어 [KMS.4](kms-controls.md#kms-4) 컨트롤에 대해 실패한 결과가 있는 경우(*AWS KMS key 회전을 활성화해야 함*) 결과를 수정하면 Security Hub CSPM은 워크플로 상태를에서 `NEW`로 변경합니다`RESOLVED`. 다음 정기 검사 전에 KMS 키 교체를 비활성화해도 검색 조사 결과의 워크플로 상태는 `RESOLVED`(으)로 유지됩니다.
Security Hub CSPM 사용자 지정 Lambda 함수를 사용하는 점검은 주기적입니다.
## 변경 트리거 보안 검사
변경 트리거 보안 검사는 연결된 리소스가 상태를 변경할 때 실행 AWS Config 됩니다. 리소스 상태의 변경 사항에 대한 *지속적인 기록*과 *일일 기록* 중에서 선택할 수 있습니다. 일일 기록을 선택하면 리소스 상태가 변경될 경우 각 24시간이 끝날 때 리소스 구성 데이터를 AWS Config 전달합니다. 변경 사항이 없는 경우에는 데이터가 제공되지 않습니다. 이로 인해 24시간이 완료될 때까지 Security Hub CSPM 조사 결과 생성이 지연될 수 있습니다. 선택한 기록 기간에 관계없이 Security Hub CSPM AWS Config 은에서 누락된 리소스 업데이트가 없는지 18시간마다 확인합니다.
일반적으로 Security Hub CSPM은 가능한 경우, 항상 변경으로 트리거되는 규칙을 사용합니다. 리소스가 변경 트리거 규칙을 사용하려면 AWS Config 구성 항목을 지원해야 합니다.
# 제어 조사 결과 생성 및 업데이트
AWS Security Hub CSPM은 보안 제어에 대한 검사를 실행할 때 제어 조사 결과를 생성하고 업데이트합니다. 제어 조사 결과는 [AWS Security Finding Format(ASFF)](securityhub-findings-format.md)을 사용합니다.
Security Hub CSPM은 일반적으로 제어에 대한 각 보안 검사에 대해 요금을 부과합니다. 그러나 여러 제어가 동일한 AWS Config 규칙을 사용하는 경우 Security Hub CSPM은 규칙에 대해 각 검사에 대해 한 번만 요금을 부과합니다. 예를 들어이 AWS Config `iam-password-policy` 규칙은 CIS AWS 파운데이션 벤치마크 표준 및 AWS 기본 보안 모범 사례 표준의 여러 제어에서 사용됩니다. Security Hub CSPM에서 해당 규칙에 대해 검사를 실행할 때마다 관련 제어 각각에 대해 별도의 제어 조사 결과가 생성되지만 검사 요금은 한 번만 청구됩니다.
제어 조사 결과의 크기가 최대 240KB를 초과하는 경우 Security Hub CSPM은 조사 결과에서 `Resource.Details` 객체를 제거합니다. 리소스가 AWS Config 지원하는 제어의 경우 AWS Config 콘솔을 사용하여 리소스 세부 정보를 검토할 수 있습니다.
**Topics**
+ [통합 제어 조사 결과](#consolidated-control-findings)
+ [제어 조사 결과 생성, 업데이트 및 보관](#securityhub-standards-results-updating)
+ [제어 조사 결과 자동화 및 억제](#automation-control-findings)
+ [제어 조사 결과에 대한 규정 준수 세부 정보](#control-findings-asff-compliance)
+ [제어 조사 결과의 ProductFields 세부 정보](#control-findings-asff-productfields)
+ [제어 조사 결과의 심각도 수준](#control-findings-severity)
## 통합 제어 조사 결과
계정에 통합 제어 조사 결과가 활성화되어 있는 경우 Security Hub CSPM은 제어가 활성화된 여러 표준에 적용되는 경우에도 제어의 각 보안 검사에 대해 하나의 새로운 조사 결과 또는 조사 결과 업데이트를 생성합니다. 제어 및 해당 제어가 적용되는 표준의 목록을 보려면 [Security Hub CSPM 제어 참조](securityhub-controls-reference.md) 섹션을 참조하세요. 조사 결과 노이즈를 줄이려면 통합 제어 조사 결과를 활성화하는 것이 좋습니다.
2023년 2월 23일 AWS 계정 이전에에 대해 Security Hub CSPM을 활성화한 경우이 섹션 뒷부분의 지침에 따라 통합 제어 조사 결과를 활성화할 수 있습니다. 2023년 2월 23일 또는 그 이후에 Security Hub CSPM을 활성화하면 계정에서 통합 제어 조사 결과가 자동으로 활성화됩니다.
[Security Hub CSPM과 AWS Organizations통합](securityhub-accounts-orgs.md)을 사용하거나 [수동 초대 프로세스](account-management-manual.md)를 통해 초대된 멤버 계정을 사용할 때는 관리자 계정에서 활성화된 경우에만 멤버 계정에서 통합 제어 조사 결과가 활성화됩니다. 관리자 계정에서 이 기능을 비활성화하면 멤버 계정에서도 해당 기능이 비활성화됩니다. 이 동작은 새로운 및 기존 구성원 계정에 적용됩니다. 또한 관리자가 [중앙 구성](central-configuration-intro.md)을 사용하여 여러 계정에 대한 Security Hub CSPM을 관리하는 경우 중앙 구성 정책을 사용하여 계정의 통합 제어 조사 결과를 활성화하거나 비활성화할 수 없습니다.
계정에서 통합 제어 조사 결과를 비활성화하면 Security Hub CSPM은 제어를 포함하는 활성화된 표준 각각에 대해 별도의 제어 조사 결과를 생성하거나 업데이트합니다. 예를 들어, 제어를 공유하는 4개의 표준을 활성화하면 해당 제어에 대한 보안 검사 후 4개의 개별 조사 결과를 받게 됩니다. 통합 제어 조사 결과를 활성화하면 조사 결과가 하나만 수신됩니다.
통합 제어 조사 결과를 활성화하면 Security Hub CSPM은 표준에 구애받지 않는 새로운 조사 결과를 생성하고 원래 표준 기반 조사 결과를 보관합니다. 일부 제어 조사 결과 필드 및 값이 변경되어 기존 워크플로에 영향을 미칠 수 있습니다. 이러한 변경에 대한 자세한 내용은 [통합 제어 조사 결과 - ASFF 변경](asff-changes-consolidation.md#securityhub-findings-format-consolidated-control-findings) 섹션을 참조하세요. 통합 제어 조사 결과를 활성화하면 통합된 서드 파티 제품이 Security Hub CSPM에서 수신하는 조사 결과에도 영향을 미칠 수 있습니다. [AWS v2.0.0에서 자동 보안 대응](https://aws.amazon.com/solutions/implementations/aws-security-hub-automated-response-and-remediation/) 솔루션을 사용하는 경우 통합 제어 조사 결과를 지원한다는 점에 유의하세요.
통합 제어 조사 결과를 활성화하거나 비활성화하려면 관리자 계정 또는 독립형 계정으로 로그인해야 합니다.
**참고**
통합 제어 조사 결과를 활성화한 후 Security Hub CSPM이 새로운 통합 조사 결과를 생성하고 기존 표준 기반 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 통합 제어 조사 결과를 비활성화한 후 Security Hub CSPM에서 새로운 표준 기반 조사 결과를 생성하고 통합 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 이 기간 동안 계정에서 표준에 구애받지 않는 조사 결과와 표준 기반 조사 결과가 혼합되어 표시될 수 있습니다.
------
#### [ Security Hub CSPM console ]
**통합 제어 조사 결과를 활성화 또는 비활성화하려면**
1. [https://console.aws.amazon.com/securityhub/](https://console.aws.amazon.com/securityhub/) AWS Security Hub CSPM 콘솔을 엽니다.
1. 탐색 창의 **설정** 아래에서 **일반**을 선택합니다.
1. **제어** 섹션에서 **편집**을 선택합니다.
1. **통합 제어 조사 결과** 스위치를 사용하여 통합 제어 조사 결과를 활성화하거나 비활성화합니다.
1. **저장**을 선택합니다.
------
#### [ Security Hub CSPM API ]
통합 제어 조사 결과를 프로그래밍 방식으로 활성화하거나 비활성화하려면 Security Hub CSPM API의 [https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html](https://docs.aws.amazon.com/securityhub/1.0/APIReference/API_UpdateSecurityHubConfiguration.html) 작업을 사용합니다. 또는를 사용하는 경우 [https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html](https://docs.aws.amazon.com/cli/latest/reference/securityhub/update-security-hub-configuration.html) 명령을 AWS CLI실행합니다.
`control-finding-generator` 파라미터의 경우 `SECURITY_CONTROL`을 지정하여 통합 제어 조사 결과를 활성화합니다. 통합 제어 조사 결과를 비활성화하려면 `STANDARD_CONTROL`을 지정합니다.
예를 들어 다음 AWS CLI 명령은 통합 제어 조사 결과를 활성화합니다.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator SECURITY_CONTROL
```
다음 AWS CLI 명령은 통합 제어 조사 결과를 비활성화합니다.
```
$ aws securityhub --region us-east-1 update-security-hub-configuration --control-finding-generator STANDARD_CONTROL
```
------
## 제어 조사 결과 생성, 업데이트 및 보관
Security Hub CSPM은 [일정](securityhub-standards-schedule.md) 따라 보안 검사를 실행합니다. Security Hub CSPM은 제어에 대한 보안 검사를 처음 실행할 때 제어가 확인하는 각 AWS 리소스에 대해 새 결과를 생성합니다. Security Hub CSPM은 이후 제어에 대한 보안 검사를 실행할 때마다 기존 조사 결과를 업데이트하여 검사 결과를 보고합니다. 즉, 개별 조사 결과에서 제공하는 데이터를 사용하여 특정 리소스의 특정 제어에 대한 규정 준수 변경을 추적할 수 있습니다.
예를 들어, 특정 제어에서 리소스의 규정 준수 상태가 `FAILED`에서 `PASSED`로 변경되면 Security Hub CSPM은 새 조사 결과를 생성하지 않습니다. 대신, Security Hub CSPM은 제어 및 리소스에 대한 기존 조사 결과를 업데이트합니다. 조사 결과에서 Security Hub CSPM은 규정 준수 상태(`Compliance.Status`) 필드의 값을 `PASSED`로 변경합니다. 또한 Security Hub CSPM은 심각도 레이블, 워크플로 상태, Security Hub CSPM이 가장 최근에 검사를 실행하고 결과를 업데이트한 시점을 나타내는 타임스탬프와 같은 검사 결과를 반영하도록 추가 필드의 값을 업데이트합니다.
규정 준수 상태의 변경을 보고할 때 Security Hub CSPM은 제어 조사 결과에서 다음 필드를 업데이트할 수 있습니다.
+ `Compliance.Status` – 리소스의 지정된 제어에 대한 새 규정 준수 상태입니다.
+ `FindingProviderFields.Severity.Label` - 조사 결과의 심각도에 대한 새로운 정성적 표현입니다(예: `LOW`, `MEDIUM` 또는 `HIGH`).
+ `FindingProviderFields.Severity.Original` - 조사 결과의 심각도에 대한 새로운 정량적 표현입니다(예: 규정 준수 리소스의 `0`).
+ `FirstObservedAt` - 리소스의 규정 준수 상태가 가장 최근에 변경된 시점입니다.
+ `LastObservedAt` - Security Hub CSPM이 가장 최근에 지정된 제어 및 리소스에 대한 보안 검사를 실행한 시점입니다.
+ `ProcessedAt` - Security Hub CSPM이 가장 최근에 조사 결과를 처리하기 시작한 시점입니다.
+ `ProductFields.PreviousComplianceStatus` – 리소스의 지정된 제어에 대한 이전 규정 준수 상태(`Compliance.Status`)입니다.
+ `UpdatedAt` - Security Hub CSPM이 가장 최근에 조사 결과를 업데이트한 시점입니다.
+ `Workflow.Status` - 리소스의 지정된 제어에 대한 새 규정 준수 상태를 기반으로 한 조사 결과에 대한 조사 상태입니다.
Security Hub CSPM이 필드를 업데이트하는지 여부는 주로 해당 제어 및 리소스에 대한 최신 보안 검사 결과에 따라 달라집니다. 예를 들어, 특정 제어에서 리소스의 규정 준수 상태가 `PASSED`에서 `FAILED`로 변경되면 Security Hub CSPM은 조사 결과의 워크플로 상태를 `NEW`로 변경합니다. 개별 조사 결과에 대한 업데이트를 추적하려면 조사 결과 기록을 참조할 수 있습니다. 조사 결과의 개별 필드에 대한 자세한 내용은 [AWS Security Finding Format(ASFF)](securityhub-findings-format.md)을 참조하세요.
경우에 따라 Security Hub CSPM은 기존 조사 결과를 업데이트하는 대신 제어의 후속 검사에 대해 새 조사 결과를 생성합니다. 이는 제어를 지원하는 AWS Config 규칙에 문제가 있는 경우 발생할 수 있습니다. 그러면 Security Hub CSPM은 기존 조사 결과를 보관하고 각 검사에 대해 새 조사 결과를 생성합니다. 새 조사 결과에서 규정 준수 상태는 `NOT_AVAILABLE`이고 레코드 상태는 `ARCHIVED`입니다. AWS Config 규칙 문제를 해결한 후 Security Hub CSPM은 새 결과를 생성하고 업데이트를 시작하여 개별 리소스의 규정 준수 상태에 대한 후속 변경 사항을 추적합니다.
Security Hub CSPM은 제어 조사 결과를 생성하고 업데이트하는 것 외에도 특정 기준을 충족하는 제어 조사 결과를 자동으로 보관합니다. Security Hub CSPM은 제어가 비활성화되거나, 지정된 리소스가 삭제되거나, 지정된 리소스가 더 이상 존재하지 않는 경우 조사 결과를 보관합니다. 연결된 서비스가 현재 사용되지 않기 때문에 리소스가 더 이상 존재하지 않을 수 있습니다. 구체적으로, Security Hub CSPM은 조사 결과가 다음 기준 중 하나를 충족하는 경우 제어 조사 결과를 자동으로 보관합니다.
+ 조사 결과가 3\$15일 동안 업데이트되지 않은 경우. 이 기간을 기반으로 한 보관은 BEB(best-effort basis) 방식이며 보장되지 않습니다.
+ 지정된 리소스의 규정 준수 상태에 `NOT_APPLICABLE` 대해 반환된 관련 AWS Config 평가입니다.
조사 결과가 보관되었는지 확인하려면 조사 결과의 레코드 상태(`RecordState`) 필드를 참조할 수 있습니다. 조사 결과가 보관된 경우 이 필드의 값은 `ARCHIVED`입니다.
Security Hub CSPM은 보관된 제어 조사 결과를 30일 동안 저장합니다. 30일이 경과하면 조사 결과가 만료되고 Security Hub CSPM이 조사 결과를 영구적으로 삭제합니다. 보관된 제어 조사 결과가 만료되었는지 확인하기 위해 Security Hub CSPM은 조사 결과의 `UpdatedAt` 필드 값을 기반으로 계산합니다.
보관된 제어 조사 결과를 30일 이상 저장하려면 조사 결과를 S3 버킷으로 내보낼 수 있습니다. 이 작업은 Amazon EventBridge 규칙과 함께 사용자 지정 작업을 사용하여 수행할 수 있습니다. 자세한 내용은 [자동 응답 및 문제 해결을 위해 EventBridge 사용](securityhub-cloudwatch-events.md) 단원을 참조하십시오.
**참고**
2025년 7월 3일 이전에 Security Hub CSPM은 리소스의 제어 규정 준수 상태가 변경될 때 제어 조사 결과를 다르게 생성하고 업데이트했습니다. 이전에는 Security Hub CSPM이 리소스에 대해 새 제어 조사 결과를 생성하고 기존 조사 결과를 보관했습니다. 따라서 조사 결과가 만료될 때까지(30일 후) 특정 제어 및 리소스에 대해 보관된 조사 결과가 여러 개 있을 수 있습니다.
## 제어 조사 결과 자동화 및 억제
Security Hub CSPM 자동화 규칙을 사용하여 특정 제어 조사 결과를 업데이트하거나 억제할 수 있습니다. 조사 결과를 억제하는 경우에도 해당 조사 결과에 계속 액세스할 수 있습니다. 그러나 억제는 조사 결과를 해결하는 데 조치가 필요하지 않다는 확신을 나타냅니다.
조사 결과를 억제하면 조사 결과 노이즈를 줄일 수 있습니다. 예를 들어 테스트 계정에서 생성된 제어 조사 결과를 억제할 수 있습니다. 또는 특정 리소스와 관련된 조사 결과를 억제할 수 있습니다. 조사 결과를 자동으로 업데이트하거나 억제하는 방법에 대한 자세한 내용은 [Security Hub CSPM의 자동화 규칙 이해](automation-rules.md) 섹션을 참조하세요.
자동화 규칙은 특정 제어 조사 결과를 업데이트하거나 억제하려는 경우에 적합합니다. 그러나 조직 또는 사용 사례와 관련이 없는 제어가 있는 경우 [제어를 비활성화](disable-controls-overview.md)하는 것이 좋습니다. 제어를 비활성화하면 Security Hub CSPM이 해당 제어에 대한 보안 검사를 실행하지 않으며 요금이 부과되지 않습니다.
## 제어 조사 결과에 대한 규정 준수 세부 정보
제어에 대한 보안 검사에서 생성된 조사 결과에서 AWS Security Finding Format(ASFF)의 [규정](asff-top-level-attributes.md#asff-compliance) 준수 객체 및 필드는 제어가 확인한 개별 리소스에 대한 규정 준수 세부 정보를 제공합니다. 여기에는 다음 정보가 포함되어 있습니다.
+ `AssociatedStandards` - 제어가 활성화되는 활성화된 표준입니다.
+ `RelatedRequirements` - 사용 가능한 모든 표준의 제어 관련 요구 사항의 목록입니다. 이러한 요구 사항은 PCI DSS(지불 카드 산업 데이터 보안 표준) 또는 NIST SP 800-171 개정 2와 같은 제어를 위한 서드 파티 보안 프레임워크에서 나온 것입니다.
+ `SecurityControlId` - Security Hub CSPM이 지원하는 보안 표준 전반의 제어를 위한 식별자입니다.
+ `Status` - 특정 제어에 대해 Security Hub CSPM이 가장 최근에 실행한 검사의 결과입니다. 이전 검사 결과는 조사 결과 기록에 유지됩니다.
+ `StatusReasons` - `Status` 필드에 지정된 값의 사유를 나열하는 배열입니다. 각 사유에는 사유 코드 및 설명이 포함됩니다.
다음 표에는 조사 결과가 `StatusReasons` 배열에 포함할 수 있는 사유 코드 및 설명이 나열되어 있습니다. 문제 해결 단계는 지정된 사유 코드로 조사 결과를 생성한 제어에 따라 달라집니다. 제어에 대한 문제 해결 지침을 검토하려면 [Security Hub CSPM 제어 참조](securityhub-controls-reference.md) 섹션을 참조하세요.
| 사유 코드 | 규정 준수 상태 | 설명 |
| --- | --- | --- |
| `CLOUDTRAIL_METRIC_FILTER_NOT_VALID` | `FAILED` | 다중 리전 CloudTrail 추적에 유효한 메트릭 필터가 없습니다. |
| `CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT` | `FAILED` | 다중 리전 CloudTrail 추적에 메트릭 필터가 없습니다. |
| `CLOUDTRAIL_MULTI_REGION_NOT_PRESENT` | `FAILED` | 필요한 구성의 다중 리전 CloudTrail 추적이 계정에 없습니다. |
| `CLOUDTRAIL_REGION_INVAILD` | `WARNING` | 다중 리전 CloudTrail 추적이 현재 리전에 없습니다. |
| `CLOUDWATCH_ALARM_ACTIONS_NOT_VALID` | `FAILED` | 유효한 경보 작업이 없습니다. |
| `CLOUDWATCH_ALARMS_NOT_PRESENT` | `FAILED` | CloudWatch 경보가 계정에 존재하지 않습니다. |
| `CONFIG_ACCESS_DENIED` | `NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError` | AWS Config 액세스가 거부되었습니다. AWS Config 이 활성화되어 있고 충분한 권한이 부여되었는지 확인합니다. |
| `CONFIG_EVALUATIONS_EMPTY` | `PASSED` | AWS Config 는 규칙을 기반으로 리소스를 평가했습니다. 규칙이 해당 범위의 AWS 리소스에 적용되지 않았거나, 지정된 리소스가 삭제되었거나, 평가 결과가 삭제되었습니다. |
| `CONFIG_RECORDER_CUSTOM_ROLE` | `FAILED`(Config.1의 경우) | AWS Config 레코더는 AWS Config 서비스 연결 역할 대신 사용자 지정 IAM 역할을 사용하며 Config.1의 `includeConfigServiceLinkedRoleCheck` 사용자 지정 파라미터는 로 설정되지 않습니다`false`. |
| `CONFIG_RECORDER_DISABLED` | `FAILED`(Config.1의 경우) | AWS Config 구성 레코더가 켜져 있으면가 활성화되지 않습니다. |
| `CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES` | `FAILED`(Config.1의 경우) | AWS Config 는 활성화된 Security Hub CSPM 제어에 해당하는 모든 리소스 유형을 기록하지 않습니다. 다음 리소스에 대한 기록을 켜세요. *기록되지 않는 리소스*. |
| `CONFIG_RETURNS_NOT_APPLICABLE` | `NOT_AVAILABLE` | 가 **해당 없음** 상태를 AWS Config 반환`NOT_AVAILABLE`했기 때문에 규정 준수 상태는 입니다. AWS Config 는 상태의 이유를 제공하지 않습니다. **해당 없음** 상태가 될 수 있는 몇 가지 이유는 다음과 같습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_EVALUATION_ERROR` | `NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError` | 이 사유 코드는 여러 가지 유형의 평가 오류에 사용됩니다. 설명에 구체적인 사유 정보가 나와 있습니다. 오류 유형은 다음 중 하나일 수 있습니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/securityhub/latest/userguide/controls-findings-create-update.html) |
| `CONFIG_RULE_NOT_FOUND` | `NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError` | AWS Config 규칙이 생성 중입니다. |
| `INTERNAL_SERVICE_ERROR` | `NOT_AVAILABLE` | 알 수 없는 오류가 발생했습니다. |
| `LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE` | `FAILED` | Security Hub CSPM은 사용자 지정 Lambda 런타임에 대해 검사를 수행할 수 없습니다. |
| `S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | 이 규칙과 연결된 S3 버킷이 다른 리전 또는 계정에 있기 때문에 조사 결과가 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요. |
| `SNS_SUBSCRIPTION_NOT_PRESENT` | `FAILED` | CloudWatch Logs 메트릭 필터에 유효한 Amazon SNS 구독이 없습니다. |
| `SNS_TOPIC_CROSS_ACCOUNT` | `WARNING` | 검색 조사 결과가 `WARNING` 상태에 있습니다. 이 규칙과 관련된 SNS 주제는 다른 계정에서 소유하고 있습니다. 현재 계정으로는 구독 정보를 얻을 수 없습니다. SNS 주제를 소유한 계정은 현재 계정에 해당 SNS 주제에 대한 `sns:ListSubscriptionsByTopic` 권한을 부여해야 합니다. |
| `SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION` | `WARNING` | 이 규칙과 연결된 SNS 주제가 다른 리전 또는 계정에 있기 때문에 조사 결과가 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요. |
| `SNS_TOPIC_INVALID` | `FAILED` | 이 규칙과 관련된 SNS 주제는 유효하지 않습니다. |
| `THROTTLING_ERROR` | `NOT_AVAILABLE` | 관련 API 작업이 허용된 속도를 초과했습니다. |
## 제어 조사 결과의 ProductFields 세부 정보
제어에 대한 보안 검사에서 생성된 조사 결과에서 AWS Security Finding Format(ASFF)의 [ProductFields](asff-top-level-attributes.md#asff-productfields) 속성에는 다음 필드가 포함될 수 있습니다.
`ArchivalReasons:0/Description`
Security Hub CSPM이 조사 결과를 보관하는 이유를 설명합니다.
예를 들어, 제어 또는 표준을 비활성화하거나 [통합 제어 조사 결과](#consolidated-control-findings)를 활성화/비활성화하면 Security Hub CSPM은 기존 조사 결과를 보관합니다.
`ArchivalReasons:0/ReasonCode`
Security Hub CSPM이 조사 결과를 보관한 이유를 표시합니다.
예를 들어, 제어 또는 표준을 비활성화하거나 [통합 제어 조사 결과](#consolidated-control-findings)를 활성화/비활성화하면 Security Hub CSPM은 기존 조사 결과를 보관합니다.
`PreviousComplianceStatus`
조사 결과에 대한 가장 최근의 업데이트를 기준으로, 리소스의 지정된 제어에 대한 이전 규정 준수 상태(`Compliance.Status`)입니다. 가장 최근의 업데이트 중에 리소스의 규정 준수 상태가 변경되지 않은 경우 이 값은 조사 결과의 `Compliance.Status` 필드의 값과 동일합니다. 가능한 값 목록은 [규정 준수 상태 및 제어 상태 평가](controls-overall-status.md) 단원을 참조하세요.
`StandardsGuideArn` 또는 `StandardsArn`
제어와 관련된 표준의 ARN입니다.
CIS AWS 파운데이션 벤치마크 표준의 경우 필드는 입니다`StandardsGuideArn`. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 입니다`StandardsArn`.
[통합 제어 조사 결과](#consolidated-control-findings)를 활성화하면 이러한 필드는 `Compliance.AssociatedStandards`에 맞게 제거됩니다.
`StandardsGuideSubscriptionArn` 또는 `StandardsSubscriptionArn`
표준에 대한 계정 구독의 ARN입니다.
CIS AWS 파운데이션 벤치마크 표준의 경우 필드는 입니다`StandardsGuideSubscriptionArn`. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 입니다`StandardsSubscriptionArn`.
[통합 제어 조사 결과](#consolidated-control-findings)를 활성화하면 이러한 필드는 제거됩니다.
`RuleId` 또는 `ControlId`
제어의 식별자입니다.
CIS AWS 파운데이션 벤치마크 표준 버전 1.2.0의 경우 필드는 입니다`RuleId`. CIS AWS Foundations Benchmark 표준의 후속 버전을 포함한 다른 표준의 경우 필드는 `ControlId`입니다.
[통합 제어 조사 결과](#consolidated-control-findings)를 활성화하면 이러한 필드는 `Compliance.SecurityControlId`에 맞게 제거됩니다.
`RecommendationUrl`
제어에 대한 문제 해결 정보의 URL입니다. [통합 제어 조사 결과](#consolidated-control-findings)를 켜면 이러한 필드는 `Remediation.Recommendation.Url`에 맞게 제거됩니다.
`RelatedAWSResources:0/name`
조사 결과와 연결된 리소스의 이름입니다.
`RelatedAWSResource:0/type`
제어에 연결된 리소스 유형입니다.
`StandardsControlArn`
제어의 ARN입니다. [통합 제어 조사 결과](#consolidated-control-findings)를 활성화하면 이러한 필드는 제거됩니다.
`aws/securityhub/ProductName`
제어 조사 결과의 경우, 제품 이름은 `Security Hub`입니다.
`aws/securityhub/CompanyName`
제어 조사 결과의 경우, 회사 이름은 `AWS`입니다.
`aws/securityhub/annotation`
제어를 통해 발견된 문제에 대한 설명입니다.
`aws/securityhub/FindingId`
조사 결과의 식별자입니다.
[통합 제어 조사 결과](#consolidated-control-findings)를 활성화하면 이 필드는 표준을 참조하지 않습니다.
## 제어 조사 결과의 심각도 수준
Security Hub CSPM 제어에 할당된 심각도는 해당 제어의 중요성을 나타냅니다. 제어의 심각도에 따라 제어 조사 결과에 할당되는 심각도 레이블이 결정됩니다.
### 심각도 기준
제어의 심각도는 다음 기준에 대한 평가를 기반으로 결정됩니다.
+ **위협 행위자가 제어와 관련된 구성 약점을 악용하는 것은 얼마나 어려운가요?** 난이도는 취약점을 이용해 위협 시나리오를 수행하는 데 필요한 정교함이나 복잡성의 정도에 따라 결정됩니다.
+ **약점으로 인해 AWS 계정 또는 리소스가 손상될 가능성은 얼마나 됩니까?** AWS 계정 또는 리소스가 손상되면 데이터 또는 AWS 인프라의 기밀성, 무결성 또는 가용성이 어떤 식으로든 손상됩니다. 손상 가능성은 위협 시나리오로 인해 AWS 서비스 또는 리소스가 중단되거나 침해될 가능성을 나타냅니다.
예를 들어, 다음 구성 약점을 고려해 보세요.
+ 사용자 액세스 키는 90일마다 교체되지 않습니다.
+ IAM 루트 사용자 키가 존재합니다.
두 약점 모두 공격자가 악용하기 어렵습니다. 두 경우 모두 공격자는 보안 인증 도용이나 다른 방법을 사용하여 사용자 키를 획득할 수 있습니다. 그런 다음 이를 사용하여 무단으로 리소스에 액세스할 수 있습니다.
하지만 위협 행위자가 루트 사용자 액세스 키를 획득하면 액세스 권한이 더 커지므로 보안 침해 가능성이 훨씬 높아집니다. 따라서 루트 사용자 키 취약점의 심각도가 더 높습니다.
심각도는 기본 리소스의 중요도를 고려하지 않습니다. 중요도는 조사 결과와 관련된 리소스의 중요도 수준입니다. 예를 들어, 미션 크리티컬 애플리케이션과 관련된 리소스와 비프로덕션 테스트와 관련된 리소스보다 더 중요합니다. 리소스 중요도 정보를 캡처하려면 AWS Security Finding Format(ASFF)의 `Criticality` 필드를 사용합니다.
다음 표에는 보안 레이블에 대한 악용 난이도과 손상 가능성이 나와 있습니다.
| | | | | |
| --- |--- |--- |--- |--- |
| | **침해 가능성이 매우 높음** | **침해 가능성이 있음** | **침해 가능성이 낮음** | **침해 가능성이 매우 낮음** |
| **악용하기 매우 쉬움** | 심각 | 심각 | 높음 | 중간 |
| **악용하기 다소 쉬움** | 심각 | 높음 | 중간 | 중간 |
| **악용하기가 다소 어려움** | 높음 | 중간 | 중간 | 낮음 |
| **악용하기가 매우 어려움** | 중간 | 중간 | 낮음 | 낮음 |
### 심각도 정의
심각도 레이블은 다음과 같이 정의됩니다.
**심각 – 문제가 확대되는 것을 방지하려면 문제를 즉시 해결해야 합니다.**
예를 들어, 개방형 S3 버킷은 심각한 조사 결과로 간주됩니다. 개방형 S3 버킷은 수많은 위협 행위자가 검색하기 때문에 노출된 S3 버킷의 데이터를 다른 사용자가 검색하고 액세스할 가능성이 있습니다.
일반적으로 공개적으로 액세스할 수 있는 리소스는 중요한 보안 문제로 간주됩니다. 중요한 발견은 최대한 긴급하게 처리해야 합니다. 리소스의 중요도도 고려해야 합니다.
**높음 – 우선적으로 해결해야 할 문제입니다.**
예를 들어, 기본 VPC 보안 그룹이 인바운드 및 아웃바운드 트래픽에 개방되어 있는 경우, 심각도가 높은 것으로 간주됩니다. 위협 행위자가 이 방법을 사용하면 VPC를 손상시키기가 다소 쉽습니다. 또한 위협 행위자가 VPC에 침투한 후에는 리소스를 방해하거나 외부로 유출할 수 있습니다.
Security Hub CSPM에서는 심각도가 높은 조사 결과를 단기 우선순위로 처리할 것을 권장합니다. 즉각적인 개선 조치를 취해야 합니다. 리소스의 중요도도 고려해야 합니다.
**중간 - 이 문제는 중기 우선 순위로 다루어야 합니다.**
예를 들어, 전송 중인 데이터에 대한 암호화가 이루어지지 않으면 심각도가 보통인 것으로 간주됩니다. 이 약점을 이용하려면 정교한 중간자 공격이 필요합니다. 바꿔 말하면 다소 어렵습니다. 위협 시나리오가 성공하면 일부 데이터가 손상될 수 있습니다.
Security Hub CSPM에서는 최대한 빨리 관련 리소스를 조사할 것을 권장합니다. 리소스의 중요도도 고려해야 합니다.
**낮음 - 자체적으로 조치가 필요하지 않은 문제입니다.**
예를 들어, 포렌식 정보를 수집하지 못하면 심각도가 낮은 것으로 간주됩니다. 이러한 제어는 향후 손상을 방지하는 데 도움이 될 수 있지만 포렌식이 없다고 해서 손상으로 직접 이어지지는 않습니다.
심각도가 낮은 조사 결과에 대해 즉각적인 조치를 취할 필요는 없지만, 다른 문제와 연관시킬 때 컨텍스트를 제공할 수 있습니다.
**정보 - 구성 약점은 발견되지 않았습니다.**
즉, `PASSED`, `WARNING` 또는 `NOT AVAILABLE` 상태입니다.
권장되는 조치는 없습니다. 정보 조사 결과는 고객이 규정 준수 상태에 있음을 입증하는 데 도움이 됩니다.
# 규정 준수 상태 및 제어 상태 평가
AWS Security Finding 형식의 `Compliance.Status` 필드는 제어 조사 결과의 결과를 설명합니다. AWS Security Hub CSPM은 제어 조사 결과의 규정 준수 상태를 사용하여 전체 제어 상태를 결정합니다. 제어 상태는 Security Hub CSPM 콘솔의 제어 세부 정보 페이지에 표시됩니다.
## Security Hub CSPM 조사 결과의 규정 준수 상태 평가
각 결과의 규정 준수 상태는 다음 값 중 하나가 할당됩니다.
+ `PASSED` - 제어가 조사 결과에 대한 보안 검사를 통과했음을 나타냅니다. 그러면 자동으로 Security Hub CSPM `Workflow.Status`가 `RESOLVED`로 설정됩니다.
+ `FAILED` - 제어가 조사 결과에 대한 보안 검사를 통과하지 못했음을 나타냅니다.
+ `WARNING` - Security Hub CSPM이 리소스가 `PASSED` 또는 `FAILED` 상태인지 확인할 수 없음을 나타냅니다. 예를 들어 해당 리소스 유형에 대해 [AWS Config 리소스 기록](securityhub-setup-prereqs.md#config-resource-recording)이 켜져 있지 않습니다.
+ `NOT_AVAILABLE` - 서버가 실패했거나 리소스가 삭제되었거나 AWS Config 평가 결과가 였기 때문에 검사를 완료할 수 없음을 나타냅니다`NOT_APPLICABLE`. AWS Config 평가 결과가 인 경우 `NOT_APPLICABLE`Security Hub CSPM은 자동으로 결과를 보관합니다.
조사 결과의 규정 준수 상태가 `PASSED`에서 `FAILED`, `WARNING` 또는 `NOT_AVAILABLE`로 변경되고 `Workflow.Status`가 `NOTIFIED` 또는 `RESOLVED`인 경우, Security Hub CSPM은 자동으로 `Workflow.Status`를 `NEW`로 변경합니다.
제어에 해당하는 리소스가 없는 경우, Security Hub CSPM은 계정 수준에서 `PASSED` 조사 결과를 생성합니다. 제어에 해당하는 리소스가 있지만 리소스를 삭제한 경우, Security Hub CSPM은 `NOT_AVAILABLE` 조사 결과를 생성하고 즉시 보관합니다. 18시간 후에는 제어에 해당하는 리소스가 더 이상 없기 때문에 `PASSED` 조사 결과를 수신하게 됩니다.
## 규정 준수 상태에서 제어 상태 도출
Security Hub CSPM은 제어 조사 결과의 규정 준수 상태를 사용하여 전체 제어 상태를 결정합니다. 제어 상태를 결정할 때 Security Hub CSPM은 `ARCHIVED`가 `RecordState`인 조사 결과와 `Workflow.Status`이 `SUPPRESSED`인 조사 결과를 무시합니다.
제어 상태에는 다음 값 중 하나가 할당됩니다.
+ **통과** - 모든 조사 결과가 `PASSED`의 준수 상태임을 나타냅니다.
+ **실패** - 하나 이상의 결과 `FAILED`의 준수 상태임을 나타냅니다.
+ **알 수 없음** - 하나 이상의 결과가 `WARNING` 또는 `NOT_AVAILABLE`의 준수 상태임을 나타냅니다. 규정 준수 상태가 `FAILED`인 조사 결과가 없습니다.
+ **데이터 없음** - 제어에 대한 조사 결과가 없음을 나타냅니다. 예를 들어, 새롭게 활성화된 제어는 Security Hub CSPM이 이에 대한 조사 결과를 생성하기 시작할 때까지 이 상태를 유지합니다. 또한 모든 조사 결과가 `SUPPRESSED`이거나 현재 AWS 리전에서 사용할 수 없는 경우에도 제어가 이 상태에 있습니다.
+ **비활성화** - 현재 계정 및 리전에서 제어가 비활성화되었음을 나타냅니다. 현재 이 계정과 리전의 이 제어에 대해 보안 검사가 수행되고 있지 않습니다. 그러나 비활성화된 제어의 조사 결과는 비활성화 후 최대 24시간 동안 준수 상태의 값을 가질 수 있습니다.
관리자 계정의 경우, 제어 상태는 관리자 계정 및 멤버 계정의 제어 상태를 반영합니다. 특히 제어의 전체 상태는 제어에 관리자 계정 또는 멤버 계정에서 하나 이상의 실패 조사 결과가 있는 경우, **실패**로 표시됩니다. 집계 리전을 설정한 경우, 집계 리전의 제어 상태는 집계 리전 및 연결된 리전의 제어 상태를 반영합니다. 특히, 제어에 하나 이상의 계정과 하나의 연결된 리전에서 하나 이상의 실패한 조사 결과가 있는 경우, 제어의 전체 상태는 **실패** 표시됩니다.
Security Hub CSPM은 일반적으로 Security Hub CSPM 콘솔의 **요약** 페이지 또는 **보안 표준** 페이지를 처음 방문한 후 30분 이내에 초기 제어 상태를 생성합니다. 또한 제어 상태가 표시되려면 [AWS Config 리소스 기록](controls-config-resources.md)이 구성되어 있어야 합니다. 제어 상태가 처음으로 생성된 후 Security Hub CSPM은 이전 24시간 동안의 조사 결과를 기반으로 24시간마다 제어 상태를 업데이트합니다. 제어 세부 정보 페이지의 타임스탬프는 제어 상태가 마지막으로 업데이트된 시간을 나타냅니다.
**참고**
제어를 처음 활성화하면, 중국 리전 및 AWS GovCloud (US) Region에서 제어 상태가 생성되려면 최대 24시간이 소요될 수 있습니다.
# 보안 점수 계산
AWS Security Hub CSPM 콘솔의 **요약** 페이지와 **제어** 페이지에는 활성화된 모든 표준에 대한 요약 보안 점수가 표시됩니다. 또한 **보안 표준** 페이지에서 Security Hub CSPM은 활성화된 각 표준에 대해 0\$1100%의 보안 점수를 표시합니다.
Security Hub CSPM을 처음 활성화하면 Security Hub CSPM은 사용자가 콘솔의 **요약** 페이지 또는 **보안 표준** 페이지를 처음 방문한 후 30분 이내에 요약 보안 점수와 표준 보안 점수를 계산합니다. 점수는 콘솔에서 해당 페이지를 방문할 때 활성화된 표준에 대해서만 생성됩니다. 또한 점수가 표시되도록 AWS Config 리소스 기록을 구성해야 합니다. 요약 보안 점수는 표준 보안 점수의 평균입니다. 현재 활성화된 표준의 목록을 검토하려면 Security Hub CSPM API의 [GetEnabledStandards](https://docs.aws.amazon.com//securityhub/1.0/APIReference/API_GetEnabledStandards.html) 작업을 사용할 수 있습니다.
Security Hub CSPM은 점수를 처음 생성한 후 24시간마다 보안 점수를 업데이트합니다. Security Hub CSPM은 보안 점수가 마지막으로 업데이트된 시점을 나타내는 타임스탬프를 표시합니다. 참고로 중국 리전 및 AWS GovCloud (US) Regions에 처음으로 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
[통합 제어 조사 결과](controls-findings-create-update.md#consolidated-control-findings)를 켜면 보안 점수가 업데이트되는 데 최대 24시간이 걸릴 수 있습니다. 또한 새로운 집계 리전을 활성화하거나 연결된 리전을 업데이트하면 기존 보안 점수가 재설정됩니다. Security Hub CSPM이 업데이트된 리전의 데이터를 포함하는 새로운 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
## 보안 점수 계산 방법
보안 점수는 활성화된 제어에 대한 **통과된** 제어의 비율을 나타냅니다. 점수는 가장 가까운 정수로 반올림되거나 반내림된 백분율로 표시됩니다.
Security Hub CSPM은 활성화된 모든 표준에 대한 요약 보안 점수를 계산합니다. 또한 Security Hub CSPM은 활성화된 각 표준에 대한 보안 점수를 계산합니다. 점수 계산을 위해, 활성화된 제어에는 **통과**, **실패** 및 **알 수 없음** 상태의 제어가 포함됩니다. **데이터 없음** 상태인 제어는 점수 계산에서 제외됩니다.
Security Hub CSPM은 제어 상태를 계산할 때 보관된 조사 결과와 억제된 조사 결과를 무시합니다. 이는 보안 점수에 영향을 미칠 수 있습니다. 예를 들어, 제어에 대한 모든 실패 조사 결과를 숨기면 상태가 **통과**로 바뀌어 보안 점수를 높일 수 있습니다. 제어 상태에 대한 자세한 내용은 [규정 준수 상태 및 제어 상태 평가](controls-overall-status.md) 섹션을 참조하세요.
**채점 예제:**
| 표준 | 통과된 제어 | 실패한 제어 | 알 수 없는 제어 | 표준 점수 |
| --- | --- | --- | --- | --- |
| AWS 기본 보안 모범 사례 v1.0.0 | 168 | 22 | 0 | 88% |
| CIS AWS 파운데이션 벤치마크 v1.4.0 | 8 | 29 | 0 | 22% |
| CIS AWS 파운데이션 벤치마크 v1.2.0 | 6 | 35 | 0 | 15% |
| NIST 특별 간행물 800-53 개정 5 | 159 | 56 | 0 | 74% |
| PCI DSS v3.2.1 | 28 | 17 | 0 | 62% |
요약 보안 점수를 계산할 때 Security Hub CSPM은 표준 전체에서 각 제어를 한 번만 계산합니다. 예를 들어, 세 가지 활성화된 표준에 적용되는 제어를 활성화한 경우, 채점 목적상 하나의 활성화된 제어로만 계산됩니다.
이 예제에서는 활성화된 표준 전체에 걸쳐 활성화된 제어의 총 개수가 528개이지만 Security Hub CSPM은 채점 목적으로 각 고유 제어를 한 번만 계산합니다. 활성화된 고유한 제어의 수는 528개 미만일 수 있습니다. 활성화된 고유한 제어의 수가 515개이고 통과한 고유 제어의 수가 357개라고 가정할 경우, 요약 점수는 69% 입니다. 이 점수는 통과된 고유 제어의 수를 활성화된 고유 제어의 수로 나누어 계산합니다.
현재 리전의 계정에 하나의 표준만 활성화했더라도 요약 점수가 표준 보안 점수와 다를 수 있습니다. 관리자 계정에 로그인하고 멤버 계정에 추가 표준이나 다른 표준이 활성화되어 있는 경우, 이런 현상이 발생할 수 있습니다. 집계 영역의 점수를 보는 도중 연결된 리전에 추가 표준이나 다른 표준이 활성화되어 있는 경우에도 이런 현상이 발생할 수 있습니다.
## 관리자 계정의 보안 점수
관리자 계정에 로그인한 경우, 요약 보안 점수 및 표준 점수는 관리자 계정 및 모든 구성원 계정의 제어 상태를 반영합니다.
멤버 계정이 하나라도 제어 상태가 **실패인** 경우, 관리자 계정에서는 해당 제어의 상태가 **실패**로 표시되며 관리자 계정 점수에 영향을 줍니다.
관리자 계정으로 로그인하고 집계 리전에서 점수를 보는 경우, 보안 점수는 모든 구성원 계정 *및* 모든 연결된 리전의 제어 상태를 반영합니다.
## 집계 리전을 설정한 경우, 보안 점수
집계를 설정한 경우 AWS 리전요약 보안 점수 및 표준 점수는 모든의 제어 상태를 고려합니다.
연결된 리전.
하나의 연결된 리전에서라도 제어 상태가 **실패**인 경우, 집계 리전에서도 해당 제어의 상태가 **실패**로 표시되며 집계 리전 점수에 영향을 줍니다.
관리자 계정으로 로그인하고 집계 리전에서 점수를 보는 경우, 보안 점수는 모든 구성원 계정 *및* 모든 연결된 리전의 제어 상태를 반영합니다.