서비스 관리형 표준: AWS Control Tower

이 섹션에서는 서비스 관리형 표준에 대한 정보를 제공합니다 AWS Control Tower.

서비스 관리형 표준이란 무엇입니까 AWS Control Tower?

이 표준은 AWS Security Hub 및 사용자를 위해 설계되었습니다 AWS Control Tower. 이를 통해 AWS Control Tower 서비스에서 Security Hub의 탐지 제어 AWS Control Tower 와 함께의 사전 예방적 제어를 구성할 수 있습니다.

사전 예방적 제어는 정책 위반 또는 잘못된 구성으로 이어질 수 있는 작업에 플래그를 지정하므로 규정 준수를 AWS 계정 유지하는 데 도움이 됩니다. 탐지 제어 기능은 AWS 계정내의 리소스 비준수(예제: 잘못된 구성)를 감지합니다. AWS 환경에 대한 사전 예방 및 탐지 제어를 활성화하면 다양한 개발 단계에서 보안 태세를 강화할 수 있습니다.

Security Hub 콘솔 및에서 다른 Security Hub 표준과 함께 서비스 관리형 표준: AWS Control Tower 을 볼 API수 있습니다.

표준 생성

이 표준은에서 표준을 생성하는 경우에만 사용할 수 있습니다 AWS Control Tower. AWS Control Tower 는 다음 방법 중 하나를 사용하여 적용 가능한 제어를 처음 활성화할 때 표준을 생성합니다.

Security Hub 제어는 AWS Control Tower 콘솔에서 SHControlID로 식별됩니다(예: SH.CodeBuild.1).

표준을 생성할 때 Security Hub를 아직 활성화하지 않은 경우는 Security Hub AWS Control Tower 도 활성화합니다.

를 설정하지 않은 경우 Security Hub 콘솔 AWS Control Tower, Security Hub API또는에서이 표준을 보거나 액세스할 수 없습니다 AWS CLI. 를 설정했더라도 먼저 위의 방법 중 하나를 AWS Control Tower 사용하여에서 표준을 생성하지 않으면 Security Hub에서이 표준을 보거나 액세스할 AWS Control Tower수 없습니다.

이 표준은를 포함하여를 사용할 수 있는 에서만 사용할 AWS 리전 수 AWS Control Tower 있습니다 AWS GovCloud (US).

표준의 제어 활성화 및 비활성화

AWS Control Tower 콘솔에서 표준을 생성한 후 두 서비스 모두에서 표준 및 사용 가능한 제어를 볼 수 있습니다.

표준을 처음 만든 후에는 자동으로 활성화되는 제어가 없습니다. 또한 Security Hub가 새 컨트롤을 추가하면 서비스 관리형 표준에 대해 자동으로 활성화되지 않습니다 AWS Control Tower. 다음 방법 중 하나를 AWS Control Tower 사용하여에서 표준에 대한 제어를 활성화 및 비활성화해야 합니다.

에서 제어의 활성화 상태를 변경하면 변경 AWS Control Tower내용이 Security Hub에도 반영됩니다.

그러나 Security Hub에서 제어를 비활성화하면 제어 드리프트가 AWS Control Tower 발생합니다. 의 제어 상태는 로 AWS Control Tower 표시됩니다Drifted. AWS Control Tower 콘솔에서 OU 다시 등록을 선택하거나 위의 방법 중 하나를 AWS Control Tower 사용하여에서 제어를 비활성화하고 다시 활성화하여이 드리프트를 해결할 수 있습니다.

에서 활성화 및 비활성화 작업을 완료하면 제어 드리프트를 방지하는 AWS Control Tower 데 도움이 됩니다.

에서 제어를 활성화 또는 비활성화하면 AWS Control Tower작업은 계정 및 리전에 적용됩니다. Security Hub에서 제어를 사용하거나 사용하지 않도록 설정하는 경우(이 표준에서는 권장되지 않음), 작업은 현재 계정 및 리전에만 적용됩니다.

활성화 상태 및 제어 상태 보기

다음 방법 중 하나를 사용하여 제어의 활성화 상태를 볼 수 있습니다.

Security Hub에서 해당 제어를 명시적으로 활성화하지 않는 한 Disabled에서 비활성화한 제어 AWS Control Tower 는 Security Hub에서 활성화 상태가 입니다.

Security Hub는 제어 조사 결과의 워크플로 상태 및 규정 준수 상태를 기반으로 제어 상태를 계산합니다. 활성화 상태 및 제어 상태에 대한 자세한 내용은 제어에 대한 세부 정보 보기 섹션을 참조하세요.

Security Hub는 제어 상태에 따라 서비스 관리형 표준의 보안 점수를 계산합니다 AWS Control Tower. 이 점수는 Security Hub에서만 사용할 수 있습니다. 또한 Security Hub에서는 제어 조사 결과만 볼 수 있습니다. 표준 보안 점수 및 제어 조사 결과는에서 사용할 수 없습니다 AWS Control Tower.

표준 삭제

다음 방법 중 하나를 사용하여 적용 가능한 모든 제어를 비활성화 AWS Control Tower 하여에서이 표준을 삭제할 수 있습니다.

모든 제어를 비활성화하면 AWS Control Tower의 모든 관리 계정 및 관리되는 리전의 표준이 삭제됩니다. 에서 표준을 삭제하면 Security Hub 콘솔의 표준 페이지에서 AWS Control Tower 제거되며 Security Hub API 또는를 사용하여 더 이상 액세스할 수 없습니다 AWS CLI.

Security Hub 서비스를 비활성화하면 서비스 관리형 표준 AWS Control Tower 및 활성화한 기타 표준이 제거됩니다.

서비스 관리형 표준의 필드 형식 찾기: AWS Control Tower

Service-Managed Standard: AWS Control Tower 를 생성하고 이에 대한 제어를 활성화하면 Security Hub에서 제어 조사 결과를 수신하기 시작합니다. Security Hub는 제어 조사 결과를 AWS 보안 조사 결과 형식(ASFF)(으)로 보고합니다. 다음은이 표준의 Amazon 리소스 이름(ARN) 및의 ASFF 값입니다GeneratorId.

서비스 관리형 표준:에 대한 샘플 결과는 섹션을 AWS Control Tower참조하세요Security Hub의 샘플 제어 조사 결과.

서비스 관리형 표준에 적용되는 제어: AWS Control Tower

서비스 관리형 표준: AWS 기본 보안 모범 사례(FSBP) 표준의 일부인 제어 하위 집합을 AWS Control Tower 지원합니다. 실패한 조사 결과에 대한 수정 단계를 포함하여 이에 대한 정보를 보려면 다음 테이블에서 제어를 선택하세요.

다음 목록에는 서비스 관리형 표준에 사용할 수 있는 제어가 나와 있습니다 AWS Control Tower. 제어에 대한 리전별 제한은 FSBP 표준의 콜롤러리 제어에 대한 리전별 제한과 일치합니다. 이 목록에는 표준 비의존적 보안 제어가 표시됩니다IDs. AWS Control Tower 콘솔에서 제어는 SHControlID로 형식이 지정IDs됩니다(예: SH.CodeBuild.1). Security Hub에서 계정에서 통합 제어 조사 결과가 꺼져 있는 경우, ProductFields.ControlId 필드는 표준 기반 제어 ID를 사용합니다. 표준 기반 제어 ID는 CTControlId(예: CT.CodeBuild.1) 형식입니다.

이 표준에 대한 자세한 내용은 AWS Control Tower 사용 설명서의 Security Hub 제어를 참조하세요.