Security Hub 정책 - AWS Organizations
주요 기능 및 이점Security Hub 정책이란 무엇입니까?Security Hub 정책의 작동 방식용어Security Hub 정책의 사용 사례정책 상속 및 적용정책 검증리전별 고려 사항 및 지원되는 리전다음 단계

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub 정책

AWS Security Hub CSPM 정책은 보안 팀에 AWS Organizations 전반의 보안 구성을 관리하는 중앙 집중식 접근 방식을 제공합니다. 이러한 정책을 활용하여 중앙 구성 메커니즘을 통해 일관된 보안 제어를 설정하고 유지할 수 있습니다. 이 통합을 통해 조직의 보안 요구 사항에 부합하는 정책을 생성하고 계정 및 조직 단위(OU) 전반에 이를 중앙에서 적용함으로써 보안 적용 범위 격차를 해소할 수 있습니다.

Security Hub 정책은 AWS Organizations와 완전히 통합되어 관리 계정 또는 위임된 관리자가 보안 구성을 정의하고 적용할 수 있습니다. 계정이 조직에 가입하면 조직 계층 구조 내 위치에 따라 해당 정책을 자동으로 상속합니다. 이렇게 하면 조직이 성장함에 따라 보안 표준이 일관되게 적용됩니다. 정책은 기존 조직 구조를 존중하고 보안 구성이 배포되는 방식에 유연성을 제공하는 동시에 중요한 보안 설정에 대한 중앙 집중식 제어를 유지합니다.

주요 기능 및 이점

Security Hub 정책은 AWS 조직 전체에서 보안 구성을 관리하고 적용하는 데 도움이 되는 포괄적인 기능 세트를 제공합니다. 이러한 기능은 다중 계정 환경을 일관되게 제어하면서 보안 관리를 간소화합니다.

  • 조직의 계정 및 리전 전반에 걸쳐 중앙에서 Security Hub 활성화

  • 계정 및 OU에서 보안 구성을 정의하는 보안 정책 생성

  • 조직에 가입할 때 새 계정에 보안 구성을 자동으로 적용

  • 조직 전체에서 일관된 보안 설정 보장

  • 멤버 계정이 조직 수준 보안 구성을 수정하지 못하도록 방지

Security Hub 정책이란 무엇입니까?

Security Hub 정책은 조직 계정 전반의 보안 구성을 중앙 집중식으로 제어하는 AWS Organizations 정책입니다. 이러한 정책은 AWS Organizations와 원활하게 연동되므로 다중 계정 환경 전체에서 일관된 보안 표준을 설정하고 유지할 수 있습니다.

Security Hub 정책을 구현하면 조직 전체에 자동으로 적용되는 특정 보안 구성을 정의할 수 있는 능력을 갖게 됩니다. 이렇게 하면 새로 생성된 계정을 포함한 모든 계정이 조직의 보안 요구 사항 및 모범 사례에 맞게 조정됩니다.

또한 이러한 정책은 일관된 보안 제어를 적용하고 개별 계정이 조직 수준 보안 설정을 수정하지 못하도록 하여 규정 준수를 유지하는 데 도움이 됩니다. 이 중앙 집중식 접근 방식은 크고 복잡한 AWS 환경에서 보안 구성을 관리하는 데 드는 관리 오버헤드를 크게 줄입니다.

Security Hub 정책의 작동 방식

Security Hub 정책을 조직 또는 조직 단위에 연결하면 AWS Organizations이(가) 해당 정책을 자동으로 평가하고 사용자가 정의한 범위에 따라 정책을 적용합니다. 이 정책 적용 프로세스는 다음과 같은 특정 충돌 해결 규칙을 따릅니다.

활성화 및 비활성화 목록 모두에 리전이 표시되면 비활성화 구성이 우선합니다. 예를 들어 리전이 활성화 및 비활성화 구성 모두에 나열된 경우 해당 리전에서 Security Hub가 비활성화됩니다.

활성화를 위해 ALL_SUPPORTED를 지정하면 명시적으로 비활성화되지 않는 한 모든 현재 및 향후 리전에서 Security Hub가 활성화됩니다. 이를 통해 AWS이(가) 새 리전으로 확장됨에 따라 포괄적인 보안 범위를 유지할 수 있습니다.

하위 정책은 상속 연산자를 사용하여 상위 정책 설정을 수정할 수 있으므로, 조직의 다양한 수준에서 세분화된 제어가 가능합니다. 이 계층적 접근 방식을 사용하면 특정 조직 단위가 기준 제어를 유지하면서 보안 설정을 사용자 지정할 수 있습니다.

용어

이 주제에서는 Security Hub 정책을 설명할 때 다음 용어를 사용합니다.

Security Hub 정책 용어
용어 정의
유효 정책 모든 상속된 정책을 결합한 후 계정에 적용되는 최종 정책입니다.
정책 상속 계정이 상위 조직 단위로부터 정책을 상속하는 프로세스입니다.
위임된 관리자 조직을 대신하여 Security Hub 정책을 관리하도록 지정된 계정입니다.
서비스 연결 역할 Security Hub가 다른 AWS 서비스와 상호 작용할 수 있도록 허용하는 IAM 역할입니다.

Security Hub 정책의 사용 사례

Security Hub 정책은 다중 계정 환경의 일반적인 보안 관리 문제를 해결합니다. 다음 사용 사례는 조직이 일반적으로 이러한 정책을 구현하여 보안 태세를 강화하는 방법을 보여줍니다.

사용 사례 예: 리전별 규정 준수 요구 사항

다국적 기업의 경우 다양한 지리적 리전에 서로 다른 Security Hub 구성이 필요합니다. ALL_SUPPORTED을(를) 사용하여 모든 리전에서 Security Hub를 활성화하는 상위 정책을 생성한 다음 하위 정책을 사용하여 다른 보안 제어가 필요한 특정 리전을 비활성화합니다. 이를 통해 포괄적인 보안 적용 범위를 보장하는 동시에 리전별 규정을 준수할 수 있습니다.

사용 사례 예: 개발 팀 보안 표준

소프트웨어 개발 조직은 개발 리전을 관리하지 않고 유지하면서 프로덕션 리전에서 모니터링할 수 있는 Security Hub 정책을 구현합니다. 보안 모니터링 범위에 대한 정확한 제어를 유지하기 위해 ALL_SUPPORTED보다는 정책에서 명시적 리전 목록을 사용합니다. 이 접근 방식을 사용하면 개발 영역에서 유연성을 유지하면서 프로덕션 환경에서 더 엄격한 보안 제어를 적용할 수 있습니다.

정책 상속 및 적용

정책을 상속하고 적용하는 방법을 이해하는 것은 조직 전체의 효과적인 보안 관리에 매우 중요합니다. 상속 모델은 AWS Organizations 계층 구조를 따르므로 예측 가능하고 일관된 정책 적용을 보장합니다.

  • 루트 수준에서 연결된 정책은 모든 계정에 적용됩니다.

  • 계정은 상위 조직 단위로부터 정책을 상속합니다.

  • 단일 계정에 여러 정책을 적용할 수 있습니다.

  • 보다 구체적인 정책(계층 구조상 해당 계정에 더 가까움)이 우선합니다.

정책 검증

Security Hub 정책을 생성할 때 다음과 같은 검증이 수행됩니다.

  • 리전 이름은 유효한 AWS 리전 식별자여야 합니다.

  • Security Hub에서 리전을 지원해야 합니다.

  • 정책 구조는 AWS Organizations 정책 구문 규칙을 따라야 합니다.

  • enable_in_regionsdisable_in_regions 목록이 모두 있어야 하지만 비어 있을 수 있습니다.

리전별 고려 사항 및 지원되는 리전

Security Hub 정책은 여러 리전에서 운영되므로 글로벌 보안 요구 사항을 신중하게 고려해야 합니다. 리전별 행동을 이해하면 조직의 글로벌 사업 영역 전반에 걸쳐 효과적인 보안 제어를 구현하는 데 도움이 됩니다.

  • 정책 적용은 각 리전에서 독립적으로 수행됩니다.

  • 정책에 포함하거나 제외할 리전을 지정할 수 있습니다.

  • ALL_SUPPORTED 옵션을 사용하면 새 리전이 자동으로 포함됩니다.

  • 정책은 Security Hub를 사용할 수 있는 리전에만 적용됩니다.

다음 단계

Security Hub 정책 시작하기:

  1. Security Hub 정책 시작하기의 사전 조건 검토

  2. 모범 사례 가이드를 사용하여 정책 전략 계획

  3. 정책 구문 알아보기 및 정책 예제 보기