기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
표준 전반의 제어 구성
AWS Security Hub 활성화된 컨트롤에 대한 결과를 생성하고 보안 점수를 계산할 때 활성화된 모든 컨트롤을 고려합니다. 모든 보안 표준에서 제어를 활성화 및 비활성화하도록 선택하거나 표준마다 활성화 상태를 다르게 구성할 수 있습니다. 제어 활성화 및 비활성화를 선택하여 제어의 활성화 상태를 사용 가능한 모든 표준에 맞게 조정하는 것이 좋습니다. 이 섹션에서는 표준 전반에 걸쳐 제어를 활성화 및 비활성화하는 방법을 설명합니다. 하나 이상의 특정 표준에서 제어를 활성화 또는 비활성화하려면 특정 표준에 따른 제어 구성 섹션을 참조하세요.
집계 영역을 설정한 경우 Security Hub 콘솔에는 연결된 모든 리전의 제어가 표시됩니다. 연결된 리전에서는 제어를 사용할 수 있지만 집계 영역에서는 사용할 수 없는 경우, 집계 영역에서 해당 제어를 활성화하거나 비활성화할 수 없습니다.
참고
제어 활성화 및 비활성화 지침은 중앙 구성 사용 여부에 따라 달라집니다. 이 섹션에서는 차이점을 설명합니다. Security Hub를 통합하는 사용자는 중앙 구성을 사용할 수 있으며 AWS Organizations. 다중 계정, 다중 지역 환경에서 제어를 활성화 및 비활성화하는 프로세스를 단순화하려면 중앙 구성을 사용하는 것이 좋습니다.
제어 활성화
표준에서 제어를 활성화하면 Security Hub가 제어에 대한 보안 검사를 실행하고 제어 결과를 생성하기 시작합니다.
Security Hub는 전체 보안 점수 및 표준 보안 점수 계산에 제어 상태를 포함합니다. 통합 제어 결과를 켜면 여러 표준에서 제어를 활성화했더라도 보안 검사에 대한 단일 검색 결과를 받게 됩니다. 자세한 내용은 Consolidated control findings를 참조하세요.
다중 계정 및 리전에서 모든 표준의 제어 활성화
여러 계정에 대한 보안 제어를 활성화하려면 AWS 리전중앙 구성을 사용해야 합니다.
중앙 구성을 사용하는 경우 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 조직 단위 (OUs) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.
구성 정책은 사용자 지정을 제공합니다. 예를 들어 한 OU에서는 모든 컨트롤을 활성화하고 다른 OU에서는 Amazon Elastic Compute Cloud (EC2) 컨트롤만 활성화하도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 활성화하는 구성 정책을 만드는 방법에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요.
참고
위임된 관리자는 구성 정책을 생성하여 서비스 관리형 표준을 제외한 모든 표준의 제어를 관리할 수 있습니다. AWS Control Tower. 이 표준에 대한 컨트롤은 다음에서 구성해야 합니다. AWS Control Tower 서비스.
일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.
단일 계정 및 리전에서 모든 표준의 제어 활성화
중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 활성화할 수 있습니다.
활성화된 표준에서 자동으로 새 제어 활성화
Security Hub는 정기적으로 새 보안 제어를 릴리스하고 하나 이상의 표준에 추가합니다. 활성화된 표준에서 새 제어를 자동으로 활성화할 것인지를 선택할 수 있습니다.
참고
새 제어를 자동으로 활성화하려면 중앙 구성을 사용하는 것이 좋습니다. 구성 정책에 비활성화할 제어 목록이 포함된 경우(프로그래밍 방식으로 DisabledSecurityControlIdentifiers
파라미터가 반영됨), Security Hub는 새로 릴리스된 제어를 포함하여 표준 전반에 걸쳐 다른 모든 제어를 자동으로 활성화합니다. 정책에 활성화할 제어 목록(EnabledSecurityControlIdentifiers
파라미터가 반영됨)이 포함된 경우 Security Hub는 새로 릴리스된 제어를 포함하여 표준 전반에 걸쳐 다른 모든 제어를 자동으로 비활성화합니다. 자세한 내용은 Security Hub에서 구성 정책이 작동하는 방식 단원을 참조하십시오.
원하는 액세스 방법을 선택하고 단계에 따라 활성화된 표준에서 새 제어를 자동으로 활성화하는 단계를 따릅니다. 다음 지침은 중앙 구성을 사용하지 않는 경우에만 적용됩니다.
제어 비활성화
모든 표준에서 제어를 비활성화하면 다음과 같은 상황이 발생합니다.
-
해당 제어에 대한 보안 검사가 더 이상 수행되지 않습니다.
-
해당 제어에 대해 추가 조사 결과가 생성되지 않습니다.
-
기존 결과는 3~5일 후에 자동으로 보관됩니다(이는 최선의 노력임).
-
관련된 모든 것 AWS Config Security Hub에서 생성한 규칙은 제거됩니다.
모든 표준에서 제어를 비활성화하는 대신 하나 이상의 특정 표준에서만 제어를 비활성화할 수 있습니다. 이렇게 하면 Security Hub는 비활성화한 표준의 제어에 대한 보안 검사를 실행하지 않으므로 해당 표준에 대한 보안 점수에 영향을 미치지 않습니다. 하지만 Security Hub는 다음을 유지합니다. AWS Config 다른 표준에서 활성화된 경우 해당 제어에 대한 보안 검사를 규칙을 적용하고 계속 실행합니다. 이는 요약 보안 점수에 영향을 미칠 수 있습니다. 특정 표준으로 제어를 구성하는 방법에 대한 지침은 특정 표준에 따른 제어 구성 섹션을 참조하세요.
결과 노이즈를 줄이려면 환경과 관련이 없는 제어를 비활성화하는 것이 유용할 수 있습니다. 비활성화할 제어에 대한 자세한 내용은 비활성화하면 좋을 Security Hub 제어를 참조하세요.
표준을 비활성화하면 표준에 적용되는 모든 제어가 비활성화됩니다. 그러나 다른 표준에서는 해당 제어가 활성화되어 있을 수 있습니다. 표준 비활성화에 대한 자세한 내용은 Security Hub에서 표준 구성하기 섹션을 참조하세요.
표준을 비활성화하면 Security Hub는 해당하는 컨트롤 중 어떤 것이 비활성화되었는지 추적하지 않습니다. 이후에 동일한 표준을 다시 활성화하면 해당 표준에 적용되는 모든 컨트롤이 자동으로 활성화됩니다. 또한 컨트롤을 비활성화해도 영구적인 조치는 아닙니다. 제어를 비활성화한 다음 이전에 비활성화했던 표준을 활성화한다고 가정해 보겠습니다. 표준에 해당 제어가 포함되어 있는 경우 해당 표준에서도 해당 제어가 활성화됩니다. Security Hub에서 표준을 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다. 특정 컨트롤을 비활성화하도록 선택할 수 있습니다.
다중 계정 및 리전에서 모든 표준의 제어 비활성화
여러 계정에 대한 보안 제어를 비활성화하려면 AWS 리전중앙 구성을 사용해야 합니다.
중앙 구성을 사용하는 경우 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 비활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 또는 루트와 연결할 수 있습니다. OUs 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.
구성 정책은 사용자 지정을 제공합니다. 예를 들어 모두 사용하지 않도록 선택할 수 있습니다. AWS CloudTrail 한 OU에서는 컨트롤을 사용하고 다른 OU에서는 모든 IAM 컨트롤을 사용하지 않도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 비활성화하는 구성 정책을 만드는 방법에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요.
참고
위임된 관리자는 구성 정책을 만들어 서비스 관리 표준을 제외한 모든 표준의 제어를 관리할 수 있습니다. AWS Control Tower. 이 표준에 대한 컨트롤은 다음에서 구성해야 합니다. AWS Control Tower 서비스.
일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.
단일 계정 및 리전에서 모든 표준의 제어 비활성화
중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 비활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 비활성화할 수 있습니다.