기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 정책 사용의 모범 사례
조직 전체에 Security Hub 정책을 구현할 때 확립된 모범 사례를 따르면 보안 구성을 성공적으로 배포하고 유지 관리하는 데 도움이 됩니다. 이러한 지침은 특히 Security Hub 정책 관리 및 적용의 고유한 측면을 다룹니다 AWS Organizations.
정책 설계 원칙
Security Hub 정책을 생성하기 전에 정책 구조에 대한 명확한 원칙을 설정합니다. 정책을 단순하게 유지하고 최종 결과를 결정하기 어렵게 만드는 복잡한 교차 속성 또는 중첩된 규칙을 피합니다. 조직 루트 수준에서 광범위한 정책으로 시작하여 필요한 경우 하위 정책을 통해 정책을 세부적으로 조정합니다.
빈 리전 목록을 전략적으로 사용하는 것이 좋습니다. 특정 리전에서만 Security Hub를 비활성화해야 하는 경우 enable_in_regions을(를) 비워 두거나 정책에 따라 관리하지 않고 두려면 disable_in_regions을(를) 비워 둘 수 있습니다. 이러한 유연성을 통해 보안 모니터링 범위를 정확하게 제어할 수 있습니다.
리전 관리 전략
Security Hub 정책을 통해 리전을 관리할 때는 다음과 같은 검증된 접근 방식을 고려하세요. 보안 범위에 향후 리전을 자동으로 포함하려는 경우 ALL_SUPPORTED을(를) 사용합니다. 보다 세분화된 제어를 위해, 특히 리전마다 다른 보안 구성이 필요한 경우에 ALL_SUPPORTED에 의존하지 않고 리전을 명시적으로 나열합니다.
특히 다음에 대한 리전별 요구 사항을 문서화합니다.
-
특정 구성이 필요한 규정 준수 필수 리전
-
개발 환경과 프로덕션 환경의 차이점
-
특별한 고려 사항이 있는 옵트인 리전
-
Security Hub가 비활성화된 상태로 유지되어야 하는 리전
정책 상속 계획
정책 상속 구조를 신중하게 계획하여 필요한 유연성을 허용하면서 효과적인 보안 제어를 유지합니다. 상속된 정책을 수정할 수 있는 조직 단위와 허용되는 수정 사항을 문서화합니다. 엄격한 보안 제어를 적용해야 하는 경우 상위 수준에서 상속 연산자(@@assign, @@append, @@remove)를 제한하는 것이 좋습니다.
모니터링 및 검증
정책이 유효하도록 정기적인 모니터링 관행을 구현합니다. 특히 조직 변경 후 정책 첨부 파일을 정기적으로 검토합니다. 특히 ALL_SUPPORTED를 사용하거나 여러 리전 목록을 관리할 때 리전 구성이 의도한 보안 적용 범위와 일치하는지 확인합니다.
문제 해결 전략
Security Hub 정책의 문제를 해결할 때는 먼저 정책 우선 순위와 상속에 중점을 둡니다. 리전이 두 목록에 모두 나타나면 비활성화 구성이 활성화 구성보다 우선합니다. 정책 상속 체인을 확인하여 상위 정책과 하위 정책이 어떻게 결합하여 각 계정에 대한 유효 정책을 생성하는지 이해합니다.