통합 제어 조사 결과 제어 조사 결과 생성, 업데이트 및 보관 제어 조사 결과 자동화 및 억제 제어 조사 결과에 대한 규정 준수 세부 정보 제어 조사 결과의 ProductFields 세부 정보 제어 조사 결과의 심각도 수준

제어 조사 결과 생성 및 업데이트

AWS Security Hub CSPM은 보안 제어에 대한 검사를 실행할 때 제어 조사 결과를 생성하고 업데이트합니다. 제어 조사 결과는 AWS Security Finding Format(ASFF)을 사용합니다.

Security Hub CSPM은 일반적으로 제어에 대한 각 보안 검사에 대해 요금을 부과합니다. 하지만 여러 제어에서 동일한 AWS Config 규칙을 사용하는 경우, Security Hub CSPM은 규칙을 검사할 때마다 요금을 한 번만 청구합니다. 예를 들어, CIS AWS Foundations Benchmark 표준 및 AWS 기본 보안 모범 사례 표준의 여러 제어 항목에서 AWS Config iam-password-policy 규칙을 사용합니다. Security Hub CSPM에서 해당 규칙에 대해 검사를 실행할 때마다 관련 제어 각각에 대해 별도의 제어 조사 결과가 생성되지만 검사 요금은 한 번만 청구됩니다.

제어 조사 결과의 크기가 최대 240KB를 초과하는 경우 Security Hub CSPM은 조사 결과에서 Resource.Details 객체를 제거합니다. AWS Config 리소스로 뒷받침되는 제어의 경우, AWS Config 콘솔을 사용하여 리소스 세부 정보를 검토할 수 있습니다.

통합 제어 조사 결과

계정에 통합 제어 조사 결과가 활성화되어 있는 경우 Security Hub CSPM은 제어가 활성화된 여러 표준에 적용되는 경우에도 제어의 각 보안 검사에 대해 하나의 새로운 조사 결과 또는 조사 결과 업데이트를 생성합니다. 제어 및 해당 제어가 적용되는 표준의 목록을 보려면 Security Hub CSPM 제어 참조 섹션을 참조하세요. 조사 결과 노이즈를 줄이려면 통합 제어 조사 결과를 활성화하는 것이 좋습니다.

2023년 2월 23일 이전에 AWS 계정에 대해 Security Hub CSPM을 활성화한 경우, 이 섹션 뒷부분의 지침에 따라 통합 제어 조사 결과를 활성화해야 합니다. 2023년 2월 23일 또는 그 이후에 Security Hub CSPM을 활성화하면 계정에서 통합 제어 조사 결과가 자동으로 활성화됩니다.

Security Hub CSPM과 AWS Organizations 통합을 사용하거나 수동 초대 프로세스를 통해 초대된 멤버 계정을 사용할 때는 관리자 계정에서 활성화된 경우에만 멤버 계정에서 통합 제어 조사 결과가 활성화됩니다. 관리자 계정에서 이 기능을 비활성화하면 멤버 계정에서도 해당 기능이 비활성화됩니다. 이 동작은 새로운 및 기존 구성원 계정에 적용됩니다. 또한 관리자가 중앙 구성을 사용하여 여러 계정에 대한 Security Hub CSPM을 관리하는 경우 중앙 구성 정책을 사용하여 계정의 통합 제어 조사 결과를 활성화하거나 비활성화할 수 없습니다.

계정에서 통합 제어 조사 결과를 비활성화하면 Security Hub CSPM은 제어를 포함하는 활성화된 표준 각각에 대해 별도의 제어 조사 결과를 생성하거나 업데이트합니다. 예를 들어, 제어를 공유하는 4개의 표준을 활성화하면 해당 제어에 대한 보안 검사 후 4개의 개별 조사 결과를 받게 됩니다. 통합 제어 조사 결과를 활성화하면 조사 결과가 하나만 수신됩니다.

통합 제어 조사 결과를 활성화하면 Security Hub CSPM은 표준에 구애받지 않는 새로운 조사 결과를 생성하고 원래 표준 기반 조사 결과를 보관합니다. 일부 제어 조사 결과 필드 및 값이 변경되어 기존 워크플로에 영향을 미칠 수 있습니다. 이러한 변경에 대한 자세한 내용은 통합 제어 조사 결과 - ASFF 변경 섹션을 참조하세요. 통합 제어 조사 결과를 활성화하면 통합된 서드 파티 제품이 Security Hub CSPM에서 수신하는 조사 결과에도 영향을 미칠 수 있습니다. AWS v2.0.0의 자동 보안 대응 솔루션을 사용하는 경우 통합 제어 조사 결과를 지원한다는 점에 유의하세요.

통합 제어 조사 결과를 활성화하거나 비활성화하려면 관리자 계정 또는 독립형 계정으로 로그인해야 합니다.

참고

통합 제어 조사 결과를 활성화한 후 Security Hub CSPM이 새로운 통합 조사 결과를 생성하고 기존 표준 기반 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 통합 제어 조사 결과를 비활성화한 후 Security Hub CSPM에서 새로운 표준 기반 조사 결과를 생성하고 통합 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 이 기간 동안 계정에서 표준에 구애받지 않는 조사 결과와 표준 기반 조사 결과가 혼합되어 표시될 수 있습니다.

제어 조사 결과 생성, 업데이트 및 보관

Security Hub CSPM은 일정 따라 보안 검사를 실행합니다. Security Hub CSPM은 제어에 대한 보안 검사를 처음 실행할 때 제어가 확인하는 각 AWS 리소스에 대해 새 조사 결과를 생성합니다. Security Hub CSPM은 이후 제어에 대한 보안 검사를 실행할 때마다 기존 조사 결과를 업데이트하여 검사 결과를 보고합니다. 즉, 개별 조사 결과에서 제공하는 데이터를 사용하여 특정 리소스의 특정 제어에 대한 규정 준수 변경을 추적할 수 있습니다.

예를 들어, 특정 제어에서 리소스의 규정 준수 상태가 FAILED에서 PASSED로 변경되면 Security Hub CSPM은 새 조사 결과를 생성하지 않습니다. 대신, Security Hub CSPM은 제어 및 리소스에 대한 기존 조사 결과를 업데이트합니다. 조사 결과에서 Security Hub CSPM은 규정 준수 상태(Compliance.Status) 필드의 값을 PASSED로 변경합니다. 또한 Security Hub CSPM은 심각도 레이블, 워크플로 상태, Security Hub CSPM이 가장 최근에 검사를 실행하고 결과를 업데이트한 시점을 나타내는 타임스탬프와 같은 검사 결과를 반영하도록 추가 필드의 값을 업데이트합니다.

규정 준수 상태의 변경을 보고할 때 Security Hub CSPM은 제어 조사 결과에서 다음 필드를 업데이트할 수 있습니다.

Compliance.Status – 리소스의 지정된 제어에 대한 새 규정 준수 상태입니다.
FindingProviderFields.Severity.Label - 조사 결과의 심각도에 대한 새로운 정성적 표현입니다(예: LOW, MEDIUM 또는 HIGH).
FindingProviderFields.Severity.Original - 조사 결과의 심각도에 대한 새로운 정량적 표현입니다(예: 규정 준수 리소스의 0).
FirstObservedAt - 리소스의 규정 준수 상태가 가장 최근에 변경된 시점입니다.
LastObservedAt - Security Hub CSPM이 가장 최근에 지정된 제어 및 리소스에 대한 보안 검사를 실행한 시점입니다.
ProcessedAt - Security Hub CSPM이 가장 최근에 조사 결과를 처리하기 시작한 시점입니다.
ProductFields.PreviousComplianceStatus – 리소스의 지정된 제어에 대한 이전 규정 준수 상태(Compliance.Status)입니다.
UpdatedAt - Security Hub CSPM이 가장 최근에 조사 결과를 업데이트한 시점입니다.
Workflow.Status - 리소스의 지정된 제어에 대한 새 규정 준수 상태를 기반으로 한 조사 결과에 대한 조사 상태입니다.

Security Hub CSPM이 필드를 업데이트하는지 여부는 주로 해당 제어 및 리소스에 대한 최신 보안 검사 결과에 따라 달라집니다. 예를 들어, 특정 제어에서 리소스의 규정 준수 상태가 PASSED에서 FAILED로 변경되면 Security Hub CSPM은 조사 결과의 워크플로 상태를 NEW로 변경합니다. 개별 조사 결과에 대한 업데이트를 추적하려면 조사 결과 기록을 참조할 수 있습니다. 조사 결과의 개별 필드에 대한 자세한 내용은 AWS Security Finding Format(ASFF)을 참조하세요.

경우에 따라 Security Hub CSPM은 기존 조사 결과를 업데이트하는 대신 제어의 후속 검사에 대해 새 조사 결과를 생성합니다. 이러한 경우는 제어를 지원하는 AWS Config 규칙에 문제가 있는 경우 발생할 수 있습니다. 그러면 Security Hub CSPM은 기존 조사 결과를 보관하고 각 검사에 대해 새 조사 결과를 생성합니다. 새 조사 결과에서 규정 준수 상태는 NOT_AVAILABLE이고 레코드 상태는 ARCHIVED입니다. AWS Config 규칙의 문제를 해결한 후 Security Hub CSPM은 새 조사 결과를 생성하고 업데이트를 시작하여 개별 리소스의 규정 준수 상태에 대한 후속 변경 사항을 추적합니다.

Security Hub CSPM은 제어 조사 결과를 생성하고 업데이트하는 것 외에도 특정 기준을 충족하는 제어 조사 결과를 자동으로 보관합니다. Security Hub CSPM은 제어가 비활성화되거나, 지정된 리소스가 삭제되거나, 지정된 리소스가 더 이상 존재하지 않는 경우 조사 결과를 보관합니다. 연결된 서비스가 현재 사용되지 않기 때문에 리소스가 더 이상 존재하지 않을 수 있습니다. 구체적으로, Security Hub CSPM은 조사 결과가 다음 기준 중 하나를 충족하는 경우 제어 조사 결과를 자동으로 보관합니다.

조사 결과가 3~5일 동안 업데이트되지 않은 경우. 이 기간을 기반으로 한 보관은 BEB(best-effort basis) 방식이며 보장되지 않습니다.
연결된 AWS Config 평가가 지정된 리소스의 규정 준수 상태로 NOT_APPLICABLE을 반환한 경우.

조사 결과가 보관되었는지 확인하려면 조사 결과의 레코드 상태(RecordState) 필드를 참조할 수 있습니다. 조사 결과가 보관된 경우 이 필드의 값은 ARCHIVED입니다.

Security Hub CSPM은 보관된 제어 조사 결과를 30일 동안 저장합니다. 30일이 경과하면 조사 결과가 만료되고 Security Hub CSPM이 조사 결과를 영구적으로 삭제합니다. 보관된 제어 조사 결과가 만료되었는지 확인하기 위해 Security Hub CSPM은 조사 결과의 UpdatedAt 필드 값을 기반으로 계산합니다.

보관된 제어 조사 결과를 30일 이상 저장하려면 조사 결과를 S3 버킷으로 내보낼 수 있습니다. 이 작업은 Amazon EventBridge 규칙과 함께 사용자 지정 작업을 사용하여 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 섹션을 참조하세요.

참고

2025년 7월 3일 이전에 Security Hub CSPM은 리소스의 제어 규정 준수 상태가 변경될 때 제어 조사 결과를 다르게 생성하고 업데이트했습니다. 이전에는 Security Hub CSPM이 리소스에 대해 새 제어 조사 결과를 생성하고 기존 조사 결과를 보관했습니다. 따라서 조사 결과가 만료될 때까지(30일 후) 특정 제어 및 리소스에 대해 보관된 조사 결과가 여러 개 있을 수 있습니다.

제어 조사 결과 자동화 및 억제

Security Hub CSPM 자동화 규칙을 사용하여 특정 제어 조사 결과를 업데이트하거나 억제할 수 있습니다. 조사 결과를 억제하는 경우에도 해당 조사 결과에 계속 액세스할 수 있습니다. 그러나 억제는 조사 결과를 해결하는 데 조치가 필요하지 않다는 확신을 나타냅니다.

조사 결과를 억제하면 조사 결과 노이즈를 줄일 수 있습니다. 예를 들어 테스트 계정에서 생성된 제어 조사 결과를 억제할 수 있습니다. 또는 특정 리소스와 관련된 조사 결과를 억제할 수 있습니다. 조사 결과를 자동으로 업데이트하거나 억제하는 방법에 대한 자세한 내용은 Security Hub CSPM의 자동화 규칙 이해 섹션을 참조하세요.

자동화 규칙은 특정 제어 조사 결과를 업데이트하거나 억제하려는 경우에 적합합니다. 그러나 조직 또는 사용 사례와 관련이 없는 제어가 있는 경우 제어를 비활성화하는 것이 좋습니다. 제어를 비활성화하면 Security Hub CSPM이 해당 제어에 대한 보안 검사를 실행하지 않으며 요금이 부과되지 않습니다.

제어 조사 결과에 대한 규정 준수 세부 정보

제어에 대한 보안 검사가 생성한 조사 결과에서 AWS Security Finding Format(ASFF)의 규정 준수 객체 및 필드는 제어가 확인한 개별 리소스의 규정 준수 세부 정보를 제공합니다. 여기에는 다음 정보가 포함되어 있습니다.

AssociatedStandards - 제어가 활성화되는 활성화된 표준입니다.
RelatedRequirements - 사용 가능한 모든 표준의 제어 관련 요구 사항의 목록입니다. 이러한 요구 사항은 PCI DSS(지불 카드 산업 데이터 보안 표준) 또는 NIST SP 800-171 개정 2와 같은 제어를 위한 서드 파티 보안 프레임워크에서 나온 것입니다.
SecurityControlId - Security Hub CSPM이 지원하는 보안 표준 전반의 제어를 위한 식별자입니다.
Status - 특정 제어에 대해 Security Hub CSPM이 가장 최근에 실행한 검사의 결과입니다. 이전 검사 결과는 조사 결과 기록에 유지됩니다.
StatusReasons - Status 필드에 지정된 값의 사유를 나열하는 배열입니다. 각 사유에는 사유 코드 및 설명이 포함됩니다.

다음 표에는 조사 결과가 StatusReasons 배열에 포함할 수 있는 사유 코드 및 설명이 나열되어 있습니다. 문제 해결 단계는 지정된 사유 코드로 조사 결과를 생성한 제어에 따라 달라집니다. 제어에 대한 문제 해결 지침을 검토하려면 Security Hub CSPM 제어 참조 섹션을 참조하세요.

사유 코드	규정 준수 상태	설명
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	다중 리전 CloudTrail 추적에 유효한 메트릭 필터가 없습니다.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	다중 리전 CloudTrail 추적에 메트릭 필터가 없습니다.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	필요한 구성의 다중 리전 CloudTrail 추적이 계정에 없습니다.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	다중 리전 CloudTrail 추적이 현재 리전에 없습니다.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	유효한 경보 작업이 없습니다.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch 경보가 계정에 존재하지 않습니다.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config 상태는 `ConfigError`	AWS Config 액세스가 거부되었습니다. AWS Config이(가) 활성화되어 있고 충분한 권한이 부여되었는지 확인합니다.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config이(가) 규칙에 따라 리소스를 평가했습니다. 해당 규칙이 범위 내의 AWS 리소스에 적용되지 않았습니다. 지정한 리소스가 삭제되었거나 평가 결과가 삭제되었습니다.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED`(Config.1의 경우)	AWS Config 레코더가 AWS Config 서비스 연결 역할 대신 사용자 지정 IAM 역할을 사용하며 Config.1의 `includeConfigServiceLinkedRoleCheck` 사용자 지정 파라미터가 `false`로 설정되지 않았습니다.
`CONFIG_RECORDER_DISABLED`	`FAILED`(Config.1의 경우)	AWS Config가 구성 레코더가 켜진 상태로 활성화되어 있지 않습니다.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED`(Config.1의 경우)	AWS Config가 활성화된 Security Hub CSPM 제어에 해당하는 모든 리소스 유형을 기록하지 않습니다. 다음 리소스에 대한 기록을 켜세요. `기록되지 않는 리소스`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	규정 준수 상태는 `NOT_AVAILABLE`이며 AWS Config에서 해당 없음 상태를 반환했기 때문입니다. AWS Config은(는) 상태에 대한 이유를 제공하지 않습니다. 해당 없음 상태가 될 수 있는 몇 가지 이유는 다음과 같습니다. 리소스가 AWS Config 규칙 범위에서 제거되었습니다. AWS Config 규칙이 삭제되었습니다. 리소스가 삭제되었습니다. AWS Config 규칙 로직은 해당 없음 상태를 생성할 수 있습니다.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config 상태는 `ConfigError`	이 사유 코드는 여러 가지 유형의 평가 오류에 사용됩니다. 설명에 구체적인 사유 정보가 나와 있습니다. 오류 유형은 다음 중 하나일 수 있습니다. 권한 부족으로 인해 평가를 수행할 수 없습니다. 설명에 누락된 특정 권한이 나와 있습니다. 파라미터의 값이 누락되었거나 잘못되었습니다. 설명에 파라미터 및 파라미터 값 요구 사항이 나와 있습니다. S3 버킷에서 읽는 중 오류가 발생했습니다. 설명에 해당 버킷이 식별되어 있고 구체적인 오류가 나와 있습니다. AWS 구독이 누락되었습니다. 평가에 대한 전체 시간이 초과되었습니다. 일시 중지된 계정입니다.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config 상태는 `ConfigError`	AWS Config 규칙이 생성되는 중입니다.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	알 수 없는 오류가 발생했습니다.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	`FAILED`	Security Hub CSPM은 사용자 지정 Lambda 런타임에 대해 검사를 수행할 수 없습니다.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 S3 버킷이 다른 리전 또는 계정에 있기 때문에 조사 결과가 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	CloudWatch Logs 메트릭 필터에 유효한 Amazon SNS 구독이 없습니다.
`SNS_TOPIC_CROSS_ACCOUNT`	`WARNING`	검색 조사 결과가 `WARNING` 상태에 있습니다. 이 규칙과 관련된 SNS 주제는 다른 계정에서 소유하고 있습니다. 현재 계정으로는 구독 정보를 얻을 수 없습니다. SNS 주제를 소유한 계정은 현재 계정에 해당 SNS 주제에 대한 `sns:ListSubscriptionsByTopic` 권한을 부여해야 합니다.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 SNS 주제가 다른 리전 또는 계정에 있기 때문에 조사 결과가 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_TOPIC_INVALID`	`FAILED`	이 규칙과 관련된 SNS 주제는 유효하지 않습니다.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	관련 API 작업이 허용된 속도를 초과했습니다.

제어 조사 결과의 ProductFields 세부 정보

제어에 대한 보안 검사가 생성한 조사 결과에서 AWS Security Finding Format(ASFF)의 ProductFields 속성에는 다음 필드가 포함될 수 있습니다.

ArchivalReasons:0/Description

Security Hub CSPM이 조사 결과를 보관하는 이유를 설명합니다.

예를 들어, 제어 또는 표준을 비활성화하거나 통합 제어 조사 결과를 활성화/비활성화하면 Security Hub CSPM은 기존 조사 결과를 보관합니다.

ArchivalReasons:0/ReasonCode

Security Hub CSPM이 조사 결과를 보관한 이유를 표시합니다.

예를 들어, 제어 또는 표준을 비활성화하거나 통합 제어 조사 결과를 활성화/비활성화하면 Security Hub CSPM은 기존 조사 결과를 보관합니다.

PreviousComplianceStatus

조사 결과에 대한 가장 최근의 업데이트를 기준으로, 리소스의 지정된 제어에 대한 이전 규정 준수 상태(Compliance.Status)입니다. 가장 최근의 업데이트 중에 리소스의 규정 준수 상태가 변경되지 않은 경우 이 값은 조사 결과의 Compliance.Status 필드의 값과 동일합니다. 가능한 값 목록은 규정 준수 상태 및 제어 상태 평가 단원을 참조하세요.

StandardsGuideArn‘or’StandardsArn

제어와 관련된 표준의 ARN입니다.

CIS AWS Foundations Benchmark 표준의 경우, 필드는 StandardsGuideArn입니다. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우, 필드는 StandardsArn입니다.

통합 제어 조사 결과를 활성화하면 이러한 필드는 Compliance.AssociatedStandards에 맞게 제거됩니다.

StandardsGuideSubscriptionArn‘or’StandardsSubscriptionArn

표준에 대한 계정 구독의 ARN입니다.

CIS AWS Foundations Benchmark 표준의 경우, 필드는 StandardsGuideSubscriptionArn입니다. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우, 필드는 StandardsSubscriptionArn입니다.

통합 제어 조사 결과를 활성화하면 이러한 필드는 제거됩니다.

RuleId 또는 ControlId

제어의 식별자입니다.

CIS AWS Foundations Benchmark 표준의 버전 1.2.0의 경우, 이 필드는 RuleId입니다. CIS AWS Foundations Benchmark 표준의 후속 버전을 포함한 다른 표준의 경우 필드는 ControlId입니다.

통합 제어 조사 결과를 활성화하면 이러한 필드는 Compliance.SecurityControlId에 맞게 제거됩니다.

RecommendationUrl

제어에 대한 문제 해결 정보의 URL입니다. 통합 제어 조사 결과를 켜면 이러한 필드는 Remediation.Recommendation.Url에 맞게 제거됩니다.

RelatedAWSResources:0/name

조사 결과와 연결된 리소스의 이름입니다.

RelatedAWSResource:0/type

제어에 연결된 리소스 유형입니다.

StandardsControlArn

제어의 ARN입니다. 통합 제어 조사 결과를 활성화하면 이러한 필드는 제거됩니다.

aws/securityhub/ProductName

제어 조사 결과의 경우, 제품 이름은 Security Hub입니다.

aws/securityhub/CompanyName

제어 조사 결과의 경우, 회사 이름은 AWS입니다.

aws/securityhub/annotation

제어를 통해 발견된 문제에 대한 설명입니다.

aws/securityhub/FindingId

조사 결과의 식별자입니다.

통합 제어 조사 결과를 활성화하면 이 필드는 표준을 참조하지 않습니다.

제어 조사 결과의 심각도 수준

Security Hub CSPM 제어에 할당된 심각도는 해당 제어의 중요성을 나타냅니다. 제어의 심각도에 따라 제어 조사 결과에 할당되는 심각도 레이블이 결정됩니다.

심각도 기준

제어의 심각도는 다음 기준에 대한 평가를 기반으로 결정됩니다.

위협 행위자가 제어와 관련된 구성 약점을 악용하는 것은 얼마나 어려운가요? 난이도는 취약점을 이용해 위협 시나리오를 수행하는 데 필요한 정교함이나 복잡성의 정도에 따라 결정됩니다.
취약점으로 인해 사용자의 AWS 계정 또는 리소스가 손상될 가능성은 얼마나 됩니까? 사용자의 AWS 계정 또는 리소스가 손상된다는 것은 사용자의 데이터 또는 AWS 인프라의 기밀성, 무결성 또는 가용성이 어떤 방식으로든 손상되었음을 의미합니다. 침해 가능성은 위협 시나리오로 인해 AWS 서비스 또는 리소스가 중단되거나 침해될 가능성을 나타냅니다.

예를 들어, 다음 구성 약점을 고려해 보세요.

사용자 액세스 키는 90일마다 교체되지 않습니다.
IAM 루트 사용자 키가 존재합니다.

두 약점 모두 공격자가 악용하기 어렵습니다. 두 경우 모두 공격자는 보안 인증 도용이나 다른 방법을 사용하여 사용자 키를 획득할 수 있습니다. 그런 다음 이를 사용하여 무단으로 리소스에 액세스할 수 있습니다.

하지만 위협 행위자가 루트 사용자 액세스 키를 획득하면 액세스 권한이 더 커지므로 보안 침해 가능성이 훨씬 높아집니다. 따라서 루트 사용자 키 취약점의 심각도가 더 높습니다.

심각도는 기본 리소스의 중요도를 고려하지 않습니다. 중요도는 조사 결과와 관련된 리소스의 중요도 수준입니다. 예를 들어, 미션 크리티컬 애플리케이션과 관련된 리소스와 비프로덕션 테스트와 관련된 리소스보다 더 중요합니다. 리소스 중요도 정보를 캡처하려면 AWS Security Finding 형식(ASFF)의 Criticality 필드를 사용합니다.

다음 표에는 보안 레이블에 대한 악용 난이도과 손상 가능성이 나와 있습니다.

	침해 가능성이 매우 높음	침해 가능성이 있음	침해 가능성이 낮음	침해 가능성이 매우 낮음
악용하기 매우 쉬움	심각	심각	높음	중간
악용하기 다소 쉬움	심각	높음	중간	중간
악용하기가 다소 어려움	높음	중간	중간	낮음
악용하기가 매우 어려움	중간	중간	낮음	낮음

심각도 정의

심각도 레이블은 다음과 같이 정의됩니다.

심각 – 문제가 확대되는 것을 방지하려면 문제를 즉시 해결해야 합니다.

예를 들어, 개방형 S3 버킷은 심각한 조사 결과로 간주됩니다. 개방형 S3 버킷은 수많은 위협 행위자가 검색하기 때문에 노출된 S3 버킷의 데이터를 다른 사용자가 검색하고 액세스할 가능성이 있습니다.

일반적으로 공개적으로 액세스할 수 있는 리소스는 중요한 보안 문제로 간주됩니다. 중요한 발견은 최대한 긴급하게 처리해야 합니다. 리소스의 중요도도 고려해야 합니다.

높음 – 우선적으로 해결해야 할 문제입니다.

예를 들어, 기본 VPC 보안 그룹이 인바운드 및 아웃바운드 트래픽에 개방되어 있는 경우, 심각도가 높은 것으로 간주됩니다. 위협 행위자가 이 방법을 사용하면 VPC를 손상시키기가 다소 쉽습니다. 또한 위협 행위자가 VPC에 침투한 후에는 리소스를 방해하거나 외부로 유출할 수 있습니다.

Security Hub CSPM에서는 심각도가 높은 조사 결과를 단기 우선순위로 처리할 것을 권장합니다. 즉각적인 개선 조치를 취해야 합니다. 리소스의 중요도도 고려해야 합니다.

중간 - 이 문제는 중기 우선 순위로 다루어야 합니다.

예를 들어, 전송 중인 데이터에 대한 암호화가 이루어지지 않으면 심각도가 보통인 것으로 간주됩니다. 이 약점을 이용하려면 정교한 중간자 공격이 필요합니다. 바꿔 말하면 다소 어렵습니다. 위협 시나리오가 성공하면 일부 데이터가 손상될 수 있습니다.

Security Hub CSPM에서는 최대한 빨리 관련 리소스를 조사할 것을 권장합니다. 리소스의 중요도도 고려해야 합니다.

낮음 - 자체적으로 조치가 필요하지 않은 문제입니다.

예를 들어, 포렌식 정보를 수집하지 못하면 심각도가 낮은 것으로 간주됩니다. 이러한 제어는 향후 손상을 방지하는 데 도움이 될 수 있지만 포렌식이 없다고 해서 손상으로 직접 이어지지는 않습니다.

심각도가 낮은 조사 결과에 대해 즉각적인 조치를 취할 필요는 없지만, 다른 문제와 연관시킬 때 컨텍스트를 제공할 수 있습니다.

정보 - 구성 약점은 발견되지 않았습니다.

즉, PASSED, WARNING 또는 NOT AVAILABLE 상태입니다.

권장되는 조치는 없습니다. 정보 조사 결과는 고객이 규정 준수 상태에 있음을 입증하는 데 도움이 됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안 검사 실행 예약

규정 준수 상태 및 제어 상태