기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 구성 모범 사례
다음 모범 사례는 사용을 최대한 활용하는 데 도움이 될 수 있습니다. AWS Security Hub.
Security Hub 통합 및 AWS Organizations
AWS Organizations 를 가능하게 하는 글로벌 계정 관리 서비스입니다. AWS 관리자는 여러 개를 통합하고 중앙에서 관리할 수 있습니다. AWS 계정 및 조직 단위 ()OUs. 예산, 보안 및 규정 준수 요구 사항을 지원하도록 설계된 계정 관리 및 통합 결제 기능을 제공합니다. 추가 비용 없이 제공되며 여러 장치와 통합됩니다. AWS 서비스여기에는 Security Hub, Amazon GuardDuty, Amazon Macie가 포함됩니다.
계정 관리를 자동화하고 간소화하려면 Security Hub를 통합하는 것이 좋습니다. AWS Organizations. 조직이 두 개 이상인 경우 Organizations와 통합할 수 있습니다. AWS 계정 Security Hub를 사용하는
통합 활성화에 대한 지침은 Security Hub와 통합 AWS Organizations 섹션을 참조하세요.
중앙 구성 사용
Security Hub와 Organizations를 통합하면 중앙 구성이라는 기능을 사용하여 조직의 Security Hub를 설정하고 관리할 수 있습니다. 중앙 구성을 사용하면 관리자가 조직의 보안 적용 범위를 사용자 지정할 수 있으므로 중앙 구성 사용을 권장합니다. 적절한 경우 위임된 관리자는 구성원 계정이 자체 보안 범위 설정을 구성하도록 허용할 수 있습니다.
중앙 구성을 사용하면 위임된 관리자가 여러 계정에서 Security Hub를 구성할 수 있으며OUs, AWS 리전. 위임된 관리자는 구성 정책을 생성하여 Security Hub를 구성합니다. 구성 정책 내에서 다음 설정을 지정할 수 있습니다.
Security Hub의 활성화 또는 비활성화 여부
활성화 및 비활성화되는 보안 표준
활성화 및 비활성화되는 보안 제어
일부 제어의 파라미터를 사용자 지정할지 여부
위임된 관리자는 전체 조직에 대한 단일 구성 정책을 만들거나 다양한 계정 및 계정에 대해 서로 다른 구성 정책을 만들 수 있습니다. OUs 예를 들어 테스트 계정과 프로덕션 계정은 서로 다른 구성 정책을 사용할 수 있습니다.
구성 정책을 OUs 사용하는 구성원 계정은 중앙에서 관리되며 위임된 관리자만 구성할 수 있습니다. 위임된 관리자는 특정 구성원 계정을 지정하고 OUs 구성원이 지역별로 자체 설정을 구성할 수 있도록 자체 관리 계정으로 지정할 수 있습니다.
중앙 구성을 사용하지 않는 경우 대부분 각 계정 및 지역에서 Security Hub를 개별적으로 구성해야 합니다. 이를 로컬 구성이라고 합니다. 로컬 구성에서 위임된 관리자는 현재 지역의 새 조직 계정에서 Security Hub 및 제한된 보안 표준 세트를 자동으로 사용하도록 설정할 수 있습니다. 로컬 구성은 기존 조직 계정이나 현재 지역 이외의 지역에는 적용되지 않습니다. 또한 로컬 구성에서는 구성 정책 사용을 지원하지 않습니다.
중앙 구성에 대해 자세히 알아보려면 Security Hub의 중앙 구성에 대한 이해 섹션을 참조하세요.
구성 AWS Config Security Hub용
AWS Security Hub 서비스 연동 사용 AWS Config 규칙을 사용하여 보안 검사를 실행하고 대부분의 제어 항목에 대한 결과를 생성합니다. 따라서 제어 결과를 수신하려면 AWS Config 각 계정의 계정에서 활성화되어 있어야 합니다. AWS 리전 Security Hub가 활성화된 곳입니다. 계정이 조직의 일부인 경우 AWS Config 관리자 계정 및 모든 멤버 계정의 각 지역에서 활성화되어야 합니다. 또한 보안 표준을 활성화하면 AWS Config 표준의 일부인 활성화된 컨트롤에 필요한 리소스를 기록하도록 구성해야 합니다.
에서 리소스 기록을 켜는 것이 좋습니다. AWS Config Security Hub 표준을 활성화하기 전에 리소스 기록이 꺼져 있을 때 Security Hub에서 보안 검사를 실행하려고 하면 활성화할 때까지 검사 결과 오류가 반환됩니다. AWS Config 그리고 리소스 기록을 켜십시오.
Security Hub는 관리하지 않습니다. AWS Config 당신을 위해. 이미 가지고 있다면 AWS Config 활성화된 경우 다음을 통해 설정을 구성할 수 있습니다. AWS Config 콘솔 또는APIs.
표준을 활성화했지만 활성화하지 않은 경우 AWS Config, Security Hub는 다음을 생성하려고 합니다. AWS Config 다음 일정에 따른 규칙:
-
표준을 활성화한 당일
-
표준을 활성화한 다음 날
-
표준을 활성화한 지 3일 후
-
표준을 활성화한 지 7일 후 (그리고 그 이후로는 7일마다 계속)
중앙 구성을 사용하는 경우 Security Hub는 또한 다음을 생성하려고 시도합니다. AWS Config 규칙은 계정, 조직 단위 (OUs) 또는 루트와 함께 하나 이상의 표준을 사용하도록 설정하는 구성 정책을 적용할 때마다 적용됩니다.
활성화 AWS Config
활성화하지 않은 경우 AWS Config 이미 다음 방법 중 하나로 활성화할 수 있습니다.
-
콘솔 또는 AWS CLI— 수동으로 활성화할 수 있습니다. AWS Config 를 사용하여 AWS Config 콘솔 또는 AWS CLI. 시작하기를 참조하십시오. AWS Config의 AWS Config 개발자 가이드.
-
AWS CloudFormation 템플릿 — 활성화하려는 경우 AWS Config 많은 계정에서 활성화할 수 있습니다. AWS Config CloudFormation 템플릿 사용: 활성화 AWS Config. 이 템플릿에 액세스하려면 을 참조하십시오. AWS CloudFormation StackSets 의 샘플 템플릿 AWS CloudFormation 사용자 가이드.
-
Github 스크립트 — Security Hub는 여러 지역의 여러 계정에 대해 Security Hub를 활성화하는 GitHub 스크립트를
제공합니다. 이 스크립트는 Organizations와 통합하지 않았거나 조직에 속하지 않은 계정이 있는 경우에 유용합니다. 이 스크립트를 사용하여 Security Hub를 활성화하면 자동으로 활성화됩니다. AWS Config 이러한 계정의 경우
활성화에 대한 자세한 내용은 AWS Config Security Hub 보안 검사를 실행하는 데 도움이 되도록 하려면 최적화를 참조하십시오. AWS Config for AWS Security Hub 클라우드 보안 태세를 효과적으로 관리하기
에서 리소스 기록 켜기 AWS Config
기본 설정으로 리소스 녹화를 켜면 AWS Config 에서 발견한 지원되는 모든 유형의 지역 리소스를 기록합니다. AWS 리전 실행 중인 위치. 구성할 수도 있습니다. AWS Config 지원되는 유형의 글로벌 리소스를 기록합니다. 단일 지역의 글로벌 리소스만 기록하면 됩니다 (중앙 구성을 사용하는 경우 이 지역을 홈 지역으로 사용하는 것이 좋습니다).
를 사용하여 CloudFormation StackSets 활성화하는 경우 AWS Config두 개를 다르게 실행하는 것이 좋습니다 StackSets. 하나를 StackSet 실행하여 글로벌 리소스를 포함한 모든 리소스를 단일 지역에 기록하세요. 두 번째 명령을 StackSet 실행하여 다른 지역의 글로벌 리소스를 제외한 모든 리소스를 기록하세요.
다음과 같은 기능인 빠른 설정을 사용할 수도 있습니다. AWS Systems Manager, 에서 리소스 기록을 빠르게 구성하려면 AWS Config 계정 및 지역 전반에 걸쳐. 빠른 설정 프로세스 중에 글로벌 리소스를 기록할 리전을 선택할 수 있습니다. 자세한 내용은 단원을 참조하세요.AWS Config내 구성 레코더 AWS Systems Manager 사용 설명서.
보안 제어 Config.1은 해당 지역이 기록하지 않는 경우 애그리게이터에서 연결된 지역 (검색 결과 집계자에 전혀 포함되지 않은 홈 지역 및 지역) 이외의 지역에 대해 실패한 결과를 생성합니다. AWS Identity and Access Management (IAM) 글로벌 리소스 및 글로벌 리소스를 기록해야 하는 제어 기능을 활성화했습니다. IAM 연결된 지역에서 Config.1은 IAM 글로벌 리소스가 기록되는지 여부를 확인하지 않습니다. 각 컨트롤에 필요한 리소스 목록은 을 참조하십시오. Security Hub 제어 결과에 필요한 AWS Config 리소스
다중 계정 스크립트를 사용하여 Security Hub를 활성화하면 모든 리전에서 전역 리소스를 포함한 모든 리소스에 대한 리소스 기록이 자동으로 활성화됩니다. 그런 다음 단일 리전에만 전역 리소스를 기록하도록 구성을 업데이트할 수 있습니다. 자세한 내용은 리소스 선택을 참조하십시오. AWS Config에 있는 레코드 AWS Config 개발자 가이드.
Security Hub가 다음을 기반으로 하는 제어 기능에 대한 결과를 정확하게 보고하도록 하려면 AWS Config 규칙에 따라 관련 리소스에 대한 기록을 활성화해야 합니다. 컨트롤 목록 및 관련 항목 보기 AWS Config 리소스는 을 참조하십시오Security Hub 제어 결과에 필요한 AWS Config 리소스.AWS Config 리소스 상태 변경에 대한 연속 기록과 일일 기록 중에서 선택할 수 있습니다. 일별 녹화를 선택하는 경우 AWS Config 리소스 상태가 변경될 경우 각 24시간 기간이 끝날 때 리소스 구성 데이터를 제공합니다. 변경 사항이 없는 경우에는 데이터가 제공되지 않습니다. 이로 인해 24시간이 완료될 때까지 변경 트리거 제어에 대한 Security Hub 결과 생성이 지연될 수 있습니다.
참고
보안 검사 후 새 결과를 생성하고 잘못된 결과를 방지하려면 구성 레코더에 연결된 IAM 역할에 대한 충분한 권한이 있어야 기본 리소스를 평가할 수 있습니다.
비용 고려 사항
리소스 기록과 관련된 비용에 대한 자세한 내용은 을 참조하십시오. AWS Security Hub 가격
Security Hub는 다음과 같은 문제에 영향을 미칠 수 있습니다. AWS Config 구성 항목 업데이트로 인한 AWS::Config::ResourceCompliance
구성 레코더 비용 Security Hub 컨트롤이 다음과 연결될 때마다 업데이트가 발생할 수 있습니다. AWS Config 규칙은 규정 준수 상태를 변경하거나, 활성화 또는 비활성화하거나, 파라미터를 업데이트합니다. 를 사용하는 경우 AWS Config 구성 레코더는 Security Hub 전용이며 이 구성 항목을 다른 용도로는 사용하지 마십시오. 이 구성 항목에 대한 녹화를 해제하는 것이 좋습니다. AWS Config 콘솔 또는 AWS CLI. 이렇게 하면 체중을 줄일 수 있습니다. AWS Config
비용. Security Hub에서 보안 검사를 하기 위해 AWS::Config::ResourceCompliance
을 기록할 필요는 없습니다.