SEC04-BP04 규정 미준수 리소스 관련 문제 해결 시작 - 보안 요소
구현 지침리소스

SEC04-BP04 규정 미준수 리소스 관련 문제 해결 시작

탐지 제어를 통해 구성 요구 사항을 준수하지 않는 리소스에 대해 알림을 보낼 수 있습니다. 프로그래밍 방식으로 정의된 수정을 수동 또는 자동으로 시작하여 이러한 리소스를 수정하고 잠재적 영향을 최소화할 수 있습니다. 수정을 프로그래밍 방식으로 정의하면 신속하고 일관된 조치를 취할 수 있습니다.

자동화는 보안 운영을 개선할 수 있지만, 자동화를 신중하게 구현하고 관리해야 합니다.  적절한 감독 및 제어 메커니즘을 마련하여 자동 대응이 효과적이고 정확하며 조직의 정책과 위험을 바라보는 관점에 부합하는지 확인하세요.

원하는 성과: 리소스가 규정을 준수하지 않는 것으로 탐지될 때 이를 수정하기 위한 단계와 함께 리소스 구성 표준을 정의합니다. 가능하면 수동으로 또는 자동화를 통해 시작할 수 있도록 프로그래밍 방식으로 수정을 정의했습니다. 규정 미준수 리소스를 식별하고 보안 담당자가 모니터링하는 중앙 집중식 도구에 알림을 게시할 수 있는 탐지 시스템이 마련되어 있습니다. 이러한 도구는 수동 또는 자동으로 프로그래밍 방식의 수정 실행을 지원합니다. 자동 수정에 사용을 관리하기 위한 적절한 감독 및 제어 메커니즘이 마련되어 있습니다.

일반적인 안티 패턴:

  • 자동화를 구현했지만, 수정 조치를 철저하게 테스트하고 검증하지 못했습니다. 이로 인해 정상적인 비즈니스 운영이 중단되거나 시스템이 불안정해지는 등 의도하지 않은 결과가 발생할 수 있습니다.

  • 자동화를 통해 대응 시간과 절차를 개선할 수 있지만, 필요한 경우 사람이 개입하고 판단할 수 있는 적절한 모니터링 기능과 메커니즘이 없습니다.

  • 보다 광범위한 인시던트 대응 및 복구 프로그램의 일부로서 수정이 아닌 일반적인 수정에만 의존합니다.

이 모범 사례 확립의 이점: 자동 수정은 수동 프로세스를 사용할 때보다 잘못된 구성에 더 빠르게 대응할 수 있으므로, 비즈니스에 미칠 수 있는 영향을 최소화하고 의도하지 않은 사용에 투입된 잠재적인 기간을 줄일 수 있습니다. 수정을 프로그래밍 방식으로 정의하면 일관되게 적용되어 인적 오류 위험이 줄어듭니다. 자동화는 또한 많은 양의 알림을 동시에 처리할 수 있는데, 이는 대규모로 운영되는 환경에서 특히 중요합니다. 

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 중간

구현 가이드

SEC01-BP03 제어 목표 파악 및 검증에서 설명한 대로, AWS Config와 같은 서비스를 사용하면 요구 사항을 준수하는지 계정의 리소스 구성을 모니터링할 수 있습니다.  규정을 준수하지 않는 리소스가 탐지되면 수정을 도울 수 있도록 AWS Security Hub와 같은 클라우드 보안 상태 관리(CSPM) 솔루션에 알림을 보내도록 구성하는 것이 좋습니다. 이러한 솔루션은 보안 조사관이 문제를 모니터링하고 시정 조치를 취할 수 있는 중앙 장소를 제공합니다.

일부 리소스가 규정을 준수하지 않는 고유한 문제가 발생하여 수정하려면 사람의 판단이 필요한 경우도 있지만, 프로그래밍 방식으로 정의할 수 있는 표준 대응이 효과가 있는 상황도 있습니다. 예를 들어, 잘못 구성된 VPC 보안 그룹에 대한 표준 대응은 허용되지 않는 규칙을 제거하고 소유자에게 알리는 것일 수 있습니다. 응답은 AWS Lambda 함수, AWS Systems Manager Automation 문서에서 정의하거나 원하는 다른 코드 환경을 통해 정의할 수 있습니다. 수정 조치에 필요한 최소한의 권한으로 IAM 역할을 사용하여 환경이 AWS에 인증할 수 있는지 확인하세요.

원하는 수정 조치를 정의한 후에는 이를 시작하는 데 원하는 방법을 결정할 수 있습니다. AWS Config에서는 자동으로 수정을 시작할 수 있습니다. Security Hub를 사용하는 경우 사용자 지정 작업을 통해 이 작업을 수행할 수 있습니다. 그러면 조사 결과 정보를 Amazon EventBridge에 게시합니다. 그러면 EventBridge 규칙에 따라 수정이 시작될 수 있습니다. Security Hub에서 사용자 지정 작업을 자동 또는 수동으로 실행하도록 구성할 수 있습니다. 

프로그래밍 방식의 수정을 위해서는 수행된 조치와 결과에 대해 포괄적인 로그와 감사를 수행하는 것이 좋습니다. 이러한 로그를 검토 및 분석하여 자동화된 프로세스의 효과를 평가하고 개선 영역을 식별합니다. Amazon CloudWatch Logs에서 로그를 캡처하고 Security Hub에서 조사 결과 노트로 결과를 캡처합니다.

시작점으로 Automated Security Response on AWS를 고려하세요. 여기에는 일반적인 보안 구성 오류를 해결하기 위한 수정 방법이 미리 구축되어 있습니다.

구현 단계

  1. 알림을 분석하고 우선순위를 지정합니다.

    1. 다양한 AWS 서비스의 보안 알림을 Security Hub에 통합하여 중앙 집중식 가시성, 우선순위 지정 및 문제 해결을 제공합니다.

  2. 수정 방안을 개발합니다.

    1. Systems Manager 및 AWS Lambda 등의 서비스를 사용하여 프로그래밍 방식의 수정을 실행할 수 있습니다.

  3. 수정 시작 방법을 구성합니다.

    1. Systems Manager를 사용하여 조사 결과를 EventBridge에 게시할 사용자 지정 작업을 정의합니다. 이러한 작업이 수동 또는 자동으로 시작되도록 구성합니다.

    2. 또한 필요한 경우 Amazon Simple Notification Service(SNS)를 사용하여 관련 이해관계자(예: 보안 팀 또는 인시던트 대응 팀)를 대상으로 수동 개입 또는 에스컬레이션에 대한 알림 및 경보를 보낼 수도 있습니다.

  4. 수정 로그를 검토 및 분석하여 효과와 개선 사항을 확인합니다.

    1. CloudWatch Logs로 로그 출력을 전송합니다. Security Hub에서 조사 결과를 결과로 캡처합니다.

리소스

관련 모범 사례:

관련 문서:

관련 예제:

관련 도구: