기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 정책
AWS Security Hub 정책은 보안 팀에 보안 구성을 관리하는 중앙 집중식 접근 방식을 제공합니다 AWS Organizations. 이러한 정책을 활용하여 중앙 구성 메커니즘을 통해 일관된 보안 제어를 설정하고 유지할 수 있습니다. 이 통합을 통해 조직의 보안 요구 사항에 맞는 정책을 생성하고 계정 및 조직 단위(OUs.
Security Hub 정책은와 완전히 통합되어 관리 계정 또는 위임된 관리자가 보안 구성을 정의하고 적용할 수 AWS Organizations있습니다. 계정이 조직에 가입하면 조직 계층 구조의 위치에 따라 해당 정책을 자동으로 상속합니다. 이렇게 하면 조직이 성장함에 따라 보안 표준을 일관되게 적용할 수 있습니다. 정책은 기존 조직 구조를 존중하고 보안 구성이 배포되는 방식에 유연성을 제공하는 동시에 중요한 보안 설정에 대한 중앙 제어를 유지합니다.
주요 기능 및 이점
Security Hub 정책은 AWS 조직 전체에서 보안 구성을 관리하고 적용하는 데 도움이 되는 포괄적인 기능 세트를 제공합니다. 이러한 기능은 다중 계정 환경을 일관되게 제어하면서 보안 관리를 간소화합니다.
-
조직의 계정 및 리전에서 Security Hub를 중앙에서 활성화
-
계정 및 OUs에서 보안 구성을 정의하는 보안 정책 생성
-
조직에 가입할 때 새 계정에 보안 구성을 자동으로 적용
-
조직 전체에서 일관된 보안 설정 보장
-
멤버 계정이 조직 수준 보안 구성을 수정하지 못하도록 방지
Security Hub 정책이란 무엇입니까?
Security Hub 정책은 조직 계정 전반의 보안 구성을 중앙 집중식으로 제어하는 AWS Organizations 정책입니다. 이러한 정책은와 원활하게 연동 AWS Organizations 되므로 다중 계정 환경 전체에서 일관된 보안 표준을 설정하고 유지할 수 있습니다.
Security Hub 정책을 구현하면 조직 전체에 자동으로 전파되는 특정 보안 구성을 정의할 수 있습니다. 이렇게 하면 새로 생성된 계정을 포함한 모든 계정이 조직의 보안 요구 사항 및 모범 사례에 맞게 조정됩니다.
또한 이러한 정책은 일관된 보안 제어를 적용하고 개별 계정이 조직 수준 보안 설정을 수정하지 못하도록 하여 규정 준수를 유지하는 데 도움이 됩니다. 이 중앙 집중식 접근 방식은 크고 복잡한 AWS 환경에서 보안 구성을 관리하는 데 드는 관리 오버헤드를 크게 줄입니다.
Security Hub 정책 작동 방식
Security Hub 정책을 조직 또는 조직 단위에 연결하면 AWS Organizations 는 정책을 자동으로 평가하고 사용자가 정의한 범위에 따라 정책을 적용합니다. 정책 적용 프로세스는 특정 충돌 해결 규칙을 따릅니다.
활성화 및 비활성화 목록 모두에 리전이 표시되면 비활성화 구성이 우선합니다. 예를 들어 리전이 활성화 및 비활성화 구성 모두에 나열된 경우 해당 리전에서 Security Hub가 비활성화됩니다.
활성화를 위해 ALL_SUPPORTED
를 지정하면 명시적으로 비활성화되지 않는 한 Security Hub는 모든 현재 및 향후 리전에서 활성화됩니다. 이를 통해가 새 리전으로 AWS 확장됨에 따라 포괄적인 보안 범위를 유지할 수 있습니다.
하위 정책은 상속 연산자를 사용하여 상위 정책 설정을 수정하여 다양한 조직 수준에서 세부적으로 제어할 수 있습니다. 이 계층적 접근 방식을 사용하면 특정 조직 단위가 기준 제어를 유지하면서 보안 설정을 사용자 지정할 수 있습니다.
용어
이 주제에서는 Security Hub 정책을 설명할 때 다음 용어를 사용합니다.
용어 | 정의 |
---|---|
유효 정책 | 모든 상속된 정책을 결합한 후 계정에 적용되는 최종 정책입니다. |
정책 상속 | 계정이 상위 조직 단위에서 정책을 상속하는 프로세스입니다. |
위임된 관리자 | 조직을 대신하여 Security Hub 정책을 관리하도록 지정된 계정입니다. |
서비스 연결 역할 | Security Hub가 다른 AWS 서비스와 상호 작용할 수 있도록 허용하는 IAM 역할입니다. |
Security Hub 정책의 사용 사례
Security Hub 정책은 다중 계정 환경의 일반적인 보안 관리 문제를 해결합니다. 다음 사용 사례는 조직이 일반적으로 이러한 정책을 구현하여 보안 태세를 강화하는 방법을 보여줍니다.
사용 사례 예: 리전별 규정 준수 요구 사항
다국적 기업은 서로 다른 지리적 리전에 대해 서로 다른 Security Hub 구성이 필요합니다. 를 사용하여 모든 리전에서 Security Hub를 활성화하는 상위 정책을 생성한 ALL_SUPPORTED
다음 하위 정책을 사용하여 서로 다른 보안 제어가 필요한 특정 리전을 비활성화합니다. 이를 통해 포괄적인 보안 적용 범위를 보장하는 동시에 리전 규정을 준수할 수 있습니다.
사용 사례 예: 개발 팀 보안 표준
소프트웨어 개발 조직은 개발 리전을 관리되지 않은 상태로 유지하면서 프로덕션 리전에서 모니터링을 활성화하는 Security Hub 정책을 구현합니다. 보안 모니터링 적용 범위를 정확하게 제어ALL_SUPPORTED
하기 위해 정책에서 명시적 리전 목록을 사용합니다. 이 접근 방식을 사용하면 개발 영역에서 유연성을 유지하면서 프로덕션 환경에서 더 엄격한 보안 제어를 적용할 수 있습니다.
정책 상속 및 적용
정책을 상속하고 적용하는 방법을 이해하는 것은 조직 전체의 효과적인 보안 관리에 매우 중요합니다. 상속 모델은 계층 구조를 AWS Organizations 따르므로 예측 가능하고 일관된 정책 애플리케이션을 보장합니다.
-
루트 수준에서 연결된 정책은 모든 계정에 적용됩니다.
-
계정은 상위 조직 단위에서 정책을 상속합니다.
-
단일 계정에 여러 정책을 적용할 수 있습니다.
-
보다 구체적인 정책(계층 구조의 계정에 더 가까움)이 우선합니다.
정책 검증
Security Hub 정책을 생성할 때 다음과 같은 검증이 수행됩니다.
-
리전 이름은 유효한 AWS 리전 식별자여야 합니다.
-
리전은 Security Hub에서 지원해야 합니다.
-
정책 구조는 AWS Organizations 정책 구문 규칙을 따라야 합니다.
-
enable_in_regions
및disable_in_regions
목록이 모두 있어야 하지만 비어 있을 수 있습니다.
리전별 고려 사항 및 지원되는 리전
Security Hub 정책은 여러 리전에서 운영되므로 글로벌 보안 요구 사항을 신중하게 고려해야 합니다. 리전별 동작을 이해하면 조직의 글로벌 입지 전반에 걸쳐 효과적인 보안 제어를 구현하는 데 도움이 됩니다.
-
정책 적용은 각 리전에서 독립적으로 수행됩니다.
-
정책에 포함하거나 제외할 리전을 지정할 수 있습니다.
-
ALL_SUPPORTED
옵션을 사용하면 새 리전이 자동으로 포함됩니다. -
정책은 Security Hub를 사용할 수 있는 리전에만 적용됩니다.
다음 단계
Security Hub 정책을 시작하려면:
-
Security Hub 정책 시작하기의 사전 조건 검토
-
모범 사례 가이드를 사용하여 정책 전략 계획
-
정책 구문에 대해 알아보고 예제 정책 보기