표준 전반의 제어 구성 - AWS Security Hub
제어 활성화제어 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

표준 전반의 제어 구성

AWS Security Hub 활성화된 컨트롤에 대한 결과를 생성하고 보안 점수를 계산할 때 활성화된 모든 컨트롤을 고려합니다. 모든 보안 표준에서 제어를 활성화 및 비활성화하도록 선택하거나 표준마다 활성화 상태를 다르게 구성할 수 있습니다. 제어 활성화 및 비활성화를 선택하여 제어의 활성화 상태를 사용 가능한 모든 표준에 맞게 조정하는 것이 좋습니다. 이 섹션에서는 표준 전반에 걸쳐 제어를 활성화 및 비활성화하는 방법을 설명합니다. 하나 이상의 특정 표준에서 제어를 활성화 또는 비활성화하려면 특정 표준에 따른 제어 구성 섹션을 참조하세요.

집계 영역을 설정한 경우 Security Hub 콘솔에는 연결된 모든 리전의 제어가 표시됩니다. 연결된 리전에서는 제어를 사용할 수 있지만 집계 영역에서는 사용할 수 없는 경우, 집계 영역에서 해당 제어를 활성화하거나 비활성화할 수 없습니다.

참고

제어 활성화 및 비활성화 지침은 중앙 구성 사용 여부에 따라 달라집니다. 이 섹션에서는 차이점을 설명합니다. Security Hub를 통합하는 사용자는 중앙 구성을 사용할 수 있으며 AWS Organizations. 다중 계정, 다중 지역 환경에서 제어를 활성화 및 비활성화하는 프로세스를 단순화하려면 중앙 구성을 사용하는 것이 좋습니다.

제어 활성화

표준에서 제어를 활성화하면 Security Hub가 제어에 대한 보안 검사를 실행하고 제어 결과를 생성하기 시작합니다.

Security Hub는 전체 보안 점수 및 표준 보안 점수 계산에 제어 상태를 포함합니다. 통합 제어 결과를 켜면 여러 표준에서 제어를 활성화했더라도 보안 검사에 대한 단일 검색 결과를 받게 됩니다. 자세한 내용은 Consolidated control findings를 참조하세요.

다중 계정 및 리전에서 모든 표준의 제어 활성화

여러 계정에 대한 보안 제어를 활성화하려면 AWS 리전중앙 구성을 사용해야 합니다.

중앙 구성을 사용하는 경우 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 조직 단위 (OUs) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어 한 OU에서는 모든 컨트롤을 활성화하고 다른 OU에서는 Amazon Elastic Compute Cloud (EC2) 컨트롤만 활성화하도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 활성화하는 구성 정책을 만드는 방법에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요.

참고

위임된 관리자는 구성 정책을 생성하여 서비스 관리형 표준을 제외한 모든 표준의 제어를 관리할 수 있습니다. AWS Control Tower. 이 표준에 대한 컨트롤은 다음에서 구성해야 합니다. AWS Control Tower 서비스.

일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.

단일 계정 및 리전에서 모든 표준의 제어 활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 활성화할 수 있습니다.

Security Hub console
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면

  1. 열어보세요. AWS Security Hub 에서 콘솔 https://console.aws.amazon.com/securityhub/.

  2. 탐색 창에서 제어를 선택합니다.

  3. 비활성화 탭을 선택합니다.

  4. 제어 옆에 있는 옵션을 선택합니다.

  5. 제어 활성화를 선택합니다(이 옵션은 이미 활성화된 제어에는 표시되지 않습니다).

  6. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

Security Hub API
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면

  1. 를 호출하십시오. ListStandardsControlAssociationsAPI. 보안 제어 ID를 제공합니다.

    요청 예:

    {
    "SecurityControlId": "IAM.1"
}

  2. 호출하기 BatchUpdateStandardsControlAssociationsAPI. 컨트롤이 활성화되지 않은 모든 표준의 Amazon 리소스 이름 (ARN) 을 제공하십시오. 표준을 ARNs 구하려면 를 실행하십시오 DescribeStandards.

  3. AssociationStatus 파라미터를 ENABLED와 동일하게 설정합니다. 이미 활성화된 컨트롤에 대해 다음 단계를 수행하면 에서 HTTP 상태 코드 200 응답이 API 반환됩니다.

    요청 예:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "ENABLED"}]
}

  4. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

AWS CLI
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 활성화하려면

  1. 다음을 실행합니다. list-standards-control-associations명령. 보안 제어 ID를 제공합니다.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 를 실행합니다. batch-update-standards-control-associations명령. 컨트롤이 활성화되지 않은 모든 표준의 Amazon 리소스 이름 (ARN) 을 제공하십시오. 표준을 ARNs 가져오려면 describe-standards 명령을 실행하십시오.

  3. AssociationStatus 파라미터를 ENABLED와 동일하게 설정합니다. 이미 활성화된 컨트롤에 대해 다음 단계를 수행하면 명령이 HTTP 상태 코드 200 응답을 반환합니다.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "ENABLED"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "ENABLED"}]'

  4. 제어를 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

활성화된 표준에서 자동으로 새 제어 활성화

Security Hub는 정기적으로 새 보안 제어를 릴리스하고 하나 이상의 표준에 추가합니다. 활성화된 표준에서 새 제어를 자동으로 활성화할 것인지를 선택할 수 있습니다.

참고

새 제어를 자동으로 활성화하려면 중앙 구성을 사용하는 것이 좋습니다. 구성 정책에 비활성화할 제어 목록이 포함된 경우(프로그래밍 방식으로 DisabledSecurityControlIdentifiers 파라미터가 반영됨), Security Hub는 새로 릴리스된 제어를 포함하여 표준 전반에 걸쳐 다른 모든 제어를 자동으로 활성화합니다. 정책에 활성화할 제어 목록(EnabledSecurityControlIdentifiers 파라미터가 반영됨)이 포함된 경우 Security Hub는 새로 릴리스된 제어를 포함하여 표준 전반에 걸쳐 다른 모든 제어를 자동으로 비활성화합니다. 자세한 내용은 Security Hub에서 구성 정책이 작동하는 방식 단원을 참조하십시오.

원하는 액세스 방법을 선택하고 단계에 따라 활성화된 표준에서 새 제어를 자동으로 활성화하는 단계를 따릅니다. 다음 지침은 중앙 구성을 사용하지 않는 경우에만 적용됩니다.

Security Hub console
새 제어를 자동으로 활성화하려면

  1. 를 엽니다. AWS Security Hub 에서 콘솔 https://console.aws.amazon.com/securityhub/.

  2. 탐색 창에서 설정을 선택한 다음 일반 탭을 선택합니다.

  3. 제어에서 편집을 선택합니다.

  4. 활성화된 표준에서 새 제어 자동 활성화를 켜십시오.

  5. 저장(Save)을 선택합니다.

Security Hub API
새 제어를 자동으로 활성화하려면

  1. 를 호출하십시오. UpdateSecurityHubConfiguration API.

  2. 활성화된 표준에 대해 새 제어를 자동으로 활성화하려면 AutoEnableControlstrue로 설정합니다. 새 제어를 자동으로 활성화하지 않으려면 AutoEnableControls를 false로 설정합니다.

AWS CLI
새 제어를 자동으로 활성화하려면

  1. 실행: update-security-hub-configuration명령.

  2. 활성화된 표준에 대해 새 제어를 자동으로 활성화하려면 --auto-enable-controls을 지정합니다. 새 제어를 자동으로 활성화하지 않으려면 --no-auto-enable-controls을 지정합니다.

    aws securityhub update-security-hub-configuration --auto-enable-controls | --no-auto-enable-controls

    명령 예:

    aws securityhub update-security-hub-configuration --auto-enable-controls

제어 비활성화

모든 표준에서 제어를 비활성화하면 다음과 같은 상황이 발생합니다.

  • 해당 제어에 대한 보안 검사가 더 이상 수행되지 않습니다.

  • 해당 제어에 대해 추가 조사 결과가 생성되지 않습니다.

  • 기존 결과는 3~5일 후에 자동으로 보관됩니다(이는 최선의 노력임).

  • 관련된 모든 것 AWS Config Security Hub에서 생성한 규칙은 제거됩니다.

모든 표준에서 제어를 비활성화하는 대신 하나 이상의 특정 표준에서만 제어를 비활성화할 수 있습니다. 이렇게 하면 Security Hub는 비활성화한 표준의 제어에 대한 보안 검사를 실행하지 않으므로 해당 표준에 대한 보안 점수에 영향을 미치지 않습니다. 하지만 Security Hub는 다음을 유지합니다. AWS Config 다른 표준에서 활성화된 경우 해당 제어에 대한 보안 검사를 규칙을 적용하고 계속 실행합니다. 이는 요약 보안 점수에 영향을 미칠 수 있습니다. 특정 표준으로 제어를 구성하는 방법에 대한 지침은 특정 표준에 따른 제어 구성 섹션을 참조하세요.

결과 노이즈를 줄이려면 환경과 관련이 없는 제어를 비활성화하는 것이 유용할 수 있습니다. 비활성화할 제어에 대한 자세한 내용은 비활성화하면 좋을 Security Hub 제어를 참조하세요.

표준을 비활성화하면 표준에 적용되는 모든 제어가 비활성화됩니다. 그러나 다른 표준에서는 해당 제어가 활성화되어 있을 수 있습니다. 표준 비활성화에 대한 자세한 내용은 Security Hub에서 표준 구성하기 섹션을 참조하세요.

표준을 비활성화하면 Security Hub는 해당하는 컨트롤 중 어떤 것이 비활성화되었는지 추적하지 않습니다. 이후에 동일한 표준을 다시 활성화하면 해당 표준에 적용되는 모든 컨트롤이 자동으로 활성화됩니다. 또한 컨트롤을 비활성화해도 영구적인 조치는 아닙니다. 제어를 비활성화한 다음 이전에 비활성화했던 표준을 활성화한다고 가정해 보겠습니다. 표준에 해당 제어가 포함되어 있는 경우 해당 표준에서도 해당 제어가 활성화됩니다. Security Hub에서 표준을 활성화하면 해당 표준에 적용되는 모든 제어가 자동으로 활성화됩니다. 특정 컨트롤을 비활성화하도록 선택할 수 있습니다.

다중 계정 및 리전에서 모든 표준의 제어 비활성화

여러 계정에 대한 보안 제어를 비활성화하려면 AWS 리전중앙 구성을 사용해야 합니다.

중앙 구성을 사용하는 경우 위임된 관리자는 사용 가능한 표준에 대해 지정된 제어를 비활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 또는 루트와 연결할 수 있습니다. OUs 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어 모두 사용하지 않도록 선택할 수 있습니다. AWS CloudTrail 한 OU에서는 컨트롤을 사용하고 다른 OU에서는 모든 IAM 컨트롤을 사용하지 않도록 선택할 수 있습니다. 세분화 수준은 조직의 보안 범위에 대한 의도한 목표에 따라 달라집니다. 표준 전반에 걸쳐 지정된 제어를 비활성화하는 구성 정책을 만드는 방법에 대한 지침은 구성 정책 생성 및 연결 섹션을 참조하세요.

참고

위임된 관리자는 구성 정책을 만들어 서비스 관리 표준을 제외한 모든 표준의 제어를 관리할 수 있습니다. AWS Control Tower. 이 표준에 대한 컨트롤은 다음에서 구성해야 합니다. AWS Control Tower 서비스.

일부 계정에서 위임된 관리자가 아닌 자체 제어를 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 제어를 구성해야 합니다.

단일 계정 및 리전에서 모든 표준의 제어 비활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 제어를 중앙에서 비활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 제어를 비활성화할 수 있습니다.

Security Hub console
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면

  1. 열어보세요. AWS Security Hub 에서 콘솔 https://console.aws.amazon.com/securityhub/.

  2. 탐색 창에서 제어를 선택합니다.

  3. 제어 옆에 있는 옵션을 선택합니다.

  4. 제어 비활성화를 선택합니다. 이 옵션은 이미 비활성화된 제어에는 나타나지 않습니다.

  5. 제어를 비활성화하는 이유를 선택하고 비활성화를 선택하여 확인합니다.

  6. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

Security Hub API
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면

  1. 를 호출하십시오. ListStandardsControlAssociationsAPI. 보안 제어 ID를 제공합니다.

    요청 예:

    {
    "SecurityControlId": "IAM.1"
}

  2. 호출하기 BatchUpdateStandardsControlAssociationsAPI. 컨트롤이 ARN 활성화된 모든 표준을 제공하십시오. 표준을 ARNs 구하려면 를 실행하십시오 DescribeStandards.

  3. AssociationStatus 파라미터를 DISABLED와 동일하게 설정합니다. 이미 비활성화된 컨트롤에 대해 다음 단계를 수행하면 에서 HTTP 상태 코드 200 응답이 API 반환됩니다.

    요청 예:

    {
    "StandardsControlAssociationUpdates": [{"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "IAM.1", "StandardsArn": "arn:aws:securityhub:::standards/aws-foundational-security-best-practices/v/1.0.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}}]
}

  4. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

AWS CLI
한 계정 및 리전에서 표준 전반에 걸쳐 제어를 비활성화하려면

  1. 다음을 실행합니다. list-standards-control-associations명령. 보안 제어 ID를 제공합니다.

    aws securityhub  --region us-east-1 list-standards-control-associations --security-control-id CloudTrail.1

  2. 를 실행합니다. batch-update-standards-control-associations명령. 컨트롤이 ARN 활성화된 모든 표준을 제공하십시오. 표준을 ARNs 가져오려면 describe-standards 명령을 실행합니다.

  3. AssociationStatus 파라미터를 DISABLED와 동일하게 설정합니다. 이미 비활성화된 컨트롤에 대해 다음 단계를 수행하면 명령이 HTTP 상태 코드 200 응답을 반환합니다.

    aws securityhub  --region us-east-1 batch-update-standards-control-associations --standards-control-association-updates '[{"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}, {"SecurityControlId": "CloudTrail.1", "StandardsArn": "arn:aws:securityhub:::standards/cis-aws-foundations-benchmark/v/1.4.0", "AssociationStatus": "DISABLED", "UpdatedReason": "Not applicable to environment"}]'

  4. 제어를 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.