Security Hub AWS Config 에 대해 활성화 및 구성 - AWS Security Hub
활성화 및 구성 전 고려 사항 AWS Config에서 리소스 기록 AWS Config활성화 및 구성 방법 AWS ConfigConfig.1 제어서비스 연결 규칙 생성비용 고려 사항

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub AWS Config 에 대해 활성화 및 구성

AWS Security Hub 는 AWS Config 규칙을 사용하여 보안 검사를 실행하고 대부분의 컨트롤에 대한 조사 결과를 생성합니다.는의 AWS 리소스 구성에 대한 자세한 보기를 AWS Config 제공합니다 AWS 계정. 규칙을 사용하여 리소스에 대한 기준 구성을 설정하고 구성 레코더를 사용하여 특정 리소스가 규칙 조건을 위반하는지 감지합니다. AWS Config 관리형 규칙이라고 하는 일부 규칙은에서 사전 정의 및 개발합니다 AWS Config. 다른 규칙은 Security Hub가 개발하는 AWS Config 사용자 지정 규칙입니다.

AWS Config Security Hub가 제어에 사용하는 규칙을 서비스 연결 규칙이라고 합니다. Security Hub AWS 서비스 와 같은 서비스 연결 규칙을 사용하면 계정에서 AWS Config 규칙을 생성할 수 있습니다.

Security Hub에서 제어 결과를 수신하려면 계정 AWS Config 에서를 활성화하고 활성화된 제어가 평가하는 리소스에 대한 레코딩을 켜야 합니다.

이 페이지에서는 Security Hub에 AWS Config 대해를 활성화하고 리소스 기록을 켜는 방법을 설명합니다.

활성화 및 구성 전 고려 사항 AWS Config

Security Hub에서 제어 결과를 수신하려면 Security AWS 리전 Hub가 AWS Config 활성화된 각에서 계정이 활성화되어 있어야 합니다. 다중 계정 환경에 Security Hub를 사용하는 경우 관리자 계정의 각 리전과 모든 멤버 계정에서를 활성화해야 AWS Config 합니다.

Security Hub 표준 및 제어를 활성화하기 AWS Config 전에 리소스 기록을 켜는 것이 좋습니다. 이렇게 하면 제어 조사 결과가 정확한지 확인할 수 있습니다.

에서 리소스 레코딩을 켜려면 구성 레코더에 연결된 AWS Identity and Access Management (IAM) 역할에 리소스를 기록할 수 있는 충분한 권한이 AWS Config있어야 합니다. 또한가 리소스를 기록할 수 있는 권한을 AWS Config 갖지 못하도록 하는 IAM 정책 또는에서 관리 AWS Organizations 되는 정책이 없는지 확인합니다. Security Hub 제어 검사는 리소스의 구성을 직접 평가하고 Organizations 정책을 고려하지 않습니다. AWS Config 녹음에 대한 자세한 내용은 AWS Config 개발자 안내서의 AWS Config 관리형 규칙 목록 - 고려 사항을 참조하세요.

Security Hub에서 표준을 활성화했지만 활성화하지 않은 경우 AWS Config Security Hub는 다음 일정에 따라 AWS Config 규칙을 생성하려고 시도합니다.

  • 표준을 활성화한 당일

  • 표준을 활성화한 다음 날

  • 표준을 활성화한 지 3일 후

  • 표준을 활성화한 지 7일 후(및 이후 7일마다 계속)

중앙 구성을 사용하는 경우 Security Hub는 하나 이상의 표준을 계정, 조직 단위(OUs) 또는 루트와 연결하는 구성 정책을 연결할 때마다 AWS Config 서비스 연결 규칙을 생성하려고 시도합니다.

에서 리소스 기록 AWS Config

활성화 AWS Config할 때 AWS Config 구성 레코더가 기록할 AWS 리소스를 지정해야 합니다. 서비스 연결 규칙을 통해 구성 레코더를 통해 Security Hub는 리소스 구성의 변경 사항을 감지할 수 있습니다.

Security Hub가 정확한 제어 결과를 생성하려면 활성화된 제어에 해당하는 리소스에 AWS Config 대해의 레코딩을 켜야 합니다. 주로 리소스 기록이 필요한 변경 트리거 일정 유형을 사용하여 제어가 활성화됩니다. 제어 및 관련 AWS Config 리소스 목록은 섹션을 참조하세요Security Hub 제어 조사 결과에 필요한 AWS Config 리소스.

주의

Security Hub 제어에 대한 AWS Config 기록을 올바르게 구성하지 않으면 특히 다음 인스턴스에서 제어 결과가 부정확해질 수 있습니다.

  • 지정된 컨트롤에 대한 리소스를 기록하거나, 해당 리소스 유형을 생성하기 전에 리소스 기록을 비활성화하거나, 리소스를 기록할 권한을 제공하지 않은 IAM 역할을 구성 레코더에 연결하지 않았습니다. 이러한 경우 레코딩을 비활성화한 후 제어 범위에 리소스를 생성했을 수 있지만 문제가 되는 제어에 대한 PASSED 조사 결과를 받게 됩니다. 이 PASSED 결과는 리소스의 구성 상태를 실제로 평가하지 않는 기본 결과입니다.

  • 특정 컨트롤에 의해 평가되는 리소스의 기록을 비활성화합니다. 이 경우 Security Hub는 제어가 새롭거나 업데이트된 리소스를 평가하지 않더라도 레코딩을 비활성화하기 전에 생성된 제어 결과를 유지합니다. 이러한 보관된 결과는 리소스의 현재 구성 상태를 정확하게 반영하지 않을 수 있습니다.

기본적으로는 실행 중인에서 AWS 리전 검색하는 지원되는 모든 리전 리소스를 AWS Config 기록합니다. 모든 Security Hub 제어 조사 결과를 수신하려면 글로벌 리소스를 기록 AWS Config 하도록 도 구성해야 합니다. 비용을 절약하려면 단일 리전에서만 글로벌 리소스를 기록하는 것이 좋습니다. 중앙 구성 또는 교차 리전 집계를 사용하는 경우이 리전은 홈 리전이어야 합니다.

에서 리소스 상태의 변화에 대한 연속 기록일일 기록 중에서 선택할 AWS Config수 있습니다. 일별 기록을 선택하면 리소스 상태가 변경될 경우, AWS Config 은(는) 24시간이 끝날 때마다 리소스 구성 데이터를 제공합니다. 변경 사항이 없는 경우에는 데이터가 제공되지 않습니다. 이렇게 하면 24시간이 완료될 때까지 변경 트리거된 제어에 대한 Security Hub 조사 결과의 생성이 지연될 수 있습니다.

AWS Config 레코딩에 대한 자세한 내용은 AWS Config 개발자 안내서AWS 리소스 레코딩을 참조하세요.

활성화 및 구성 방법 AWS Config

다음 방법 중 하나로 리소스 기록을 활성화 AWS Config 하고 켤 수 있습니다.

  • AWS Config 콘솔 - AWS Config 콘솔을 사용하여 계정에 AWS Config 대해를 활성화할 수 있습니다. 자세한 내용은 AWS Config 개발자 안내서의 콘솔 AWS Config 로 설정을 참조하세요.

  • AWS CLI 또는 SDKs - AWS Command Line Interface ()를 사용하여 계정에 AWS Config 대해를 활성화할 수 있습니다AWS CLI. 자세한 내용은 AWS Config 개발자 안내서의 AWS Config 로 설정을 AWS CLI 참조하세요. AWS 소프트웨어 개발 키트(SDKs)는 여러 프로그래밍 언어에서도 사용할 수 있습니다.

  • CloudFormation 템플릿 - 많은 수의 계정에 AWS Config 대해를 활성화하려면 활성화 AWS Config라는 AWS CloudFormation 템플릿을 사용하는 것이 좋습니다. 이 템플릿에 액세스하려면 AWS CloudFormation 사용 설명서AWS CloudFormation StackSets 샘플 템플릿을 참조하세요.

    기본적으로이 템플릿은 IAM 글로벌 리소스에 대한 레코딩을 제외합니다. 레코딩 비용을 절약하려면 한 리전의 IAM 글로벌 리소스에 대해서만 레코딩을 켜야 합니다. 교차 리전 집계가 활성화된 경우 이는 Security Hub 홈 리전이어야 합니다. 그렇지 않으면 IAM 글로벌 리소스 기록을 지원하는에서 AWS 리전 Security Hub를 사용할 수 있습니다. 홈 리전 또는 기타 선택한 리전에서 IAM 글로벌 리소스를 포함한 모든 리소스를 기록 StackSet 하려면 하나를 실행하는 것이 좋습니다. 그런 다음 1초를 실행 StackSet 하여 다른 리전의 IAM 글로벌 리소스를 제외한 모든 리소스를 기록합니다.

  • Github 스크립트 - Security Hub는 리전 간 여러 계정에 AWS Config 대해 Security Hub 및를 활성화하는 GitHub 스크립트를 제공합니다. 이 스크립트는 Organizations와 통합하지 않았거나 조직의 일부가 아닌 일부 멤버 계정이 있는 경우에 유용합니다.

자세한 내용은 클라우드 보안 태세를 효과적으로 관리하기 AWS Security Hub 위해 AWS Config 에 최적화를 참조하세요.

Config.1 제어

Security Hub 제어 Config.1은 AWS Config 가 비활성화되었거나 활성화된 제어에 대해 리소스 레코딩이 활성화되지 않은 경우 계정에 FAILED 조사 결과를 생성합니다. 조직의 위임된 Security Hub 관리자인 경우 계정 및 멤버 계정에서 AWS Config 레코딩을 올바르게 구성해야 합니다. 리전 간 집계를 사용하는 경우 홈 리전과 연결된 모든 리전에서 AWS Config 레코딩을 올바르게 구성해야 합니다(글로벌 리소스를 연결된 리전에 기록할 필요는 없음).

Config.1에 대한 PASSED 결과를 수신하려면 활성화된 Security Hub 제어에 해당하는 모든 리소스에 대해 리소스 기록을 켜고 조직에 필요하지 않은 제어를 비활성화합니다. 이렇게 하면 보안 제어 검사에 구성 격차가 없고 잘못 구성된 리소스에 대한 정확한 조사 결과를 받을 수 있습니다.

서비스 연결 규칙 생성

Security Hub는 AWS Config 서비스 연결 규칙을 사용하는 모든 제어에 대해 AWS 환경에 필요한 규칙의 인스턴스를 생성합니다.

이러한 서비스 연결 규칙은 Security Hub에 특정합니다. Security Hub는 동일한 규칙의 다른 인스턴스가 이미 있더라도 이러한 서비스 연결 규칙을 생성합니다. 서비스 연결 규칙은 원래 규칙 이름 securityhub앞에를 추가하고 규칙 이름 뒤에 고유 식별자를 추가합니다. 예를 들어 AWS Config 관리형 규칙 vpc-flow-logs-enabled의 경우 서비스 연결 규칙 이름은와 같습니다securityhub-vpc-flow-logs-enabled-12345.

제어를 평가하는 데 사용할 수 있는 AWS Config 관리형 규칙 수에는 제한이 있습니다. Security Hub에서 생성하는 사용자 지정 AWS Config 규칙은 해당 제한에 포함되지 않습니다. 계정의 관리형 규칙 AWS Config 한도에 이미 도달한 경우에도 보안 표준을 활성화할 수 있습니다. AWS Config 규칙 제한에 대한 자세한 내용은 AWS Config 개발자 안내서의에 대한 서비스 제한을 AWS Config 참조하세요.

비용 고려 사항

Security Hub는 AWS Config 구성 항목을 업데이트하여 AWS::Config::ResourceCompliance 구성 레코더 비용에 영향을 미칠 수 있습니다. AWS Config 규칙과 연결된 Security Hub 제어가 규정 준수 상태를 변경하거나, 활성화 또는 비활성화되거나, 파라미터 업데이트가 있을 때마다 업데이트가 발생할 수 있습니다. AWS Config 구성 레코더를 Security Hub에만 사용하고 다른 목적으로이 구성 항목을 사용하지 않는 경우 해당 구성 레코더에 대한 레코딩을 끄는 것이 좋습니다 AWS Config. 이렇게 하면 AWS Config 비용을 줄일 수 있습니다. Security Hub에서 보안 검사를 하기 위해 AWS::Config::ResourceCompliance을(를) 기록할 필요는 없습니다.

리소스 레코딩과 관련된 비용에 대한 자세한 내용은 AWS Security Hub 가격AWS Config 가격을 참조하세요.