통합 제어 조사 결과 제어 조사 결과 생성, 업데이트 및 보관 제어 조사 결과의 자동화 및 억제 제어 조사 결과에 대한 규정 준수 세부 정보 제어 조사 결과에 대한 ProductFields 세부 정보 제어 조사 결과의 심각도 수준

제어 조사 결과 생성 및 업데이트

AWS Security Hub Cloud Security Posture Management(CSPM)는 보안 제어에 대한 검사를 실행할 때 제어 조사 결과를 생성하고 업데이트합니다. 제어 조사 결과는 AWS Security Finding Format(ASFF)을 사용합니다.

Security Hub CSPM은 일반적으로 제어에 대한 각 보안 검사에 대해 요금을 부과합니다. 그러나 여러 제어가 동일한 AWS Config 규칙을 사용하는 경우 Security Hub CSPM은 규칙에 대해 각 검사에 대해 한 번만 요금을 부과합니다. 예를 들어이 AWS Config iam-password-policy 규칙은 CIS AWS 파운데이션 벤치마크 표준 및 AWS 기본 보안 모범 사례 표준의 여러 제어에서 사용됩니다. Security Hub CSPM은 해당 규칙에 대해 검사를 실행할 때마다 각 관련 제어에 대해 별도의 제어 결과를 생성하지만 검사에 대해 한 번만 요금을 부과합니다.

제어 조사 결과의 크기가 최대 240KB를 초과하는 경우 Security Hub CSPM은 조사 결과에서 Resource.Details 객체를 제거합니다. 리소스가 AWS Config 지원하는 제어의 경우 AWS Config 콘솔을 사용하여 리소스 세부 정보를 검토할 수 있습니다.

통합 제어 조사 결과

계정에 통합 제어 조사 결과가 활성화된 경우 Security Hub CSPM은 제어가 여러 활성화된 표준에 적용되더라도 제어의 각 보안 검사에 대해 단일 조사 결과 또는 조사 결과 업데이트를 생성합니다. 제어 및 제어가 적용되는 표준 목록은 섹션을 참조하세요Security Hub CSPM에 대한 제어 참조. 조사 결과 노이즈를 줄이려면 통합 제어 조사 결과를 활성화하는 것이 좋습니다.

2023년 2월 23일 AWS 계정 이전에에 대해 Security Hub CSPM을 활성화한 경우이 섹션 뒷부분의 지침에 따라 통합 제어 조사 결과를 활성화할 수 있습니다. 2023년 2월 23일 또는 그 이후에 Security Hub CSPM을 활성화하면 계정에 통합 제어 조사 결과가 자동으로 활성화됩니다.

수동 초대 프로세스를 통해 또는 초대된 멤버 계정과 Security Hub CSPM 통합 AWS Organizations을 사용하는 경우 관리자 계정에 대해 활성화된 경우에만 멤버 계정에 대해 통합 제어 조사 결과가 활성화됩니다. 관리자 계정에 대해 기능이 비활성화된 경우 멤버 계정에 대해 기능이 비활성화됩니다. 이 동작은 새로운 및 기존 구성원 계정에 적용됩니다. 또한 관리자가 중앙 구성을 사용하여 여러 계정에 대한 Security Hub CSPM을 관리하는 경우 중앙 구성 정책을 사용하여 계정에 대한 통합 제어 조사 결과를 활성화하거나 비활성화할 수 없습니다.

계정에 대한 통합 제어 조사 결과를 비활성화하면 Security Hub CSPM은 제어가 포함된 활성화된 각 표준에 대해 별도의 제어 조사 결과를 생성하거나 업데이트합니다. 예를 들어 제어를 공유하는 4개의 표준을 활성화하면 제어에 대한 보안 검사 후 4개의 별도 조사 결과를 받게 됩니다. 통합 제어 조사 결과를 활성화하면 조사 결과가 하나만 수신됩니다.

통합 제어 조사 결과를 활성화하면 Security Hub CSPM은 표준에 구애받지 않는 새 조사 결과를 생성하고 원래 표준 기반 조사 결과를 보관합니다. 일부 제어 결과 필드와 값이 변경되어 기존 워크플로에 영향을 미칠 수 있습니다. 이러한 변경 사항에 대한 자세한 내용은 섹션을 참조하세요통합 제어 조사 결과 - ASFF 변경. 통합 제어 조사 결과를 활성화하면 통합 타사 제품이 Security Hub CSPM에서 수신하는 조사 결과에도 영향을 미칠 수 있습니다. AWS v2.0.0에서 자동 보안 대응 솔루션을 사용하는 경우 통합 제어 조사 결과를 지원한다는 점에 유의하세요.

통합 제어 조사 결과를 활성화하거나 비활성화하려면 관리자 계정 또는 독립형 계정으로 로그인해야 합니다.

참고

통합 제어 조사 결과를 활성화한 후 Security Hub CSPM이 새로운 통합 조사 결과를 생성하고 기존 표준 기반 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 마찬가지로 통합 제어 조사 결과를 비활성화한 후 Security Hub CSPM에서 새 표준 기반 조사 결과를 생성하고 기존 통합 조사 결과를 보관하는 데 최대 24시간이 걸릴 수 있습니다. 이 기간 동안 계정에 표준과 무관한 조사 결과와 표준 기반 조사 결과가 혼합되어 표시될 수 있습니다.

제어 조사 결과 생성, 업데이트 및 보관

Security Hub CSPM은 일정에 따라 보안 검사를 실행합니다. Security Hub CSPM은 제어에 대한 보안 검사를 처음 실행할 때 제어가 확인하는 각 AWS 리소스에 대해 새 결과를 생성합니다. Security Hub CSPM은 이후 제어에 대한 보안 검사를 실행할 때마다 기존 조사 결과를 업데이트하여 검사 결과를 보고합니다. 즉, 개별 조사 결과에서 제공하는 데이터를 사용하여 특정 제어에 대한 특정 리소스의 규정 준수 변경을 추적할 수 있습니다.

예를 들어 특정 제어에 FAILED PASSED 대해 리소스의 규정 준수 상태가에서 로 변경되면 Security Hub CSPM은 새 결과를 생성하지 않습니다. 대신 Security Hub CSPM은 제어 및 리소스에 대한 기존 결과를 업데이트합니다. 조사 결과에서 Security Hub CSPM은 규정 준수 상태(Compliance.Status) 필드의 값을 로 변경합니다PASSED. 또한 Security Hub CSPM은 Security Hub CSPM이 가장 최근에 검사를 실행하고 결과를 업데이트한 시기를 나타내는 심각도 레이블, 워크플로 상태 및 타임스탬프와 같은 검사 결과를 반영하도록 추가 필드의 값을 업데이트합니다.

규정 준수 상태에 대한 변경 사항을 보고할 때 Security Hub CSPM은 제어 조사 결과에서 다음 필드를 업데이트할 수 있습니다.

Compliance.Status - 지정된 컨트롤에 대한 리소스의 새 규정 준수 상태입니다.
FindingProviderFields.Severity.Label - , LOW MEDIUM또는와 같은 결과의 심각도에 대한 새로운 정성적 표현입니다HIGH.
FindingProviderFields.Severity.Original - 규정 준수 리소스와 같은 조사 결과의 심각도에 0 대한 새로운 정량적 표현입니다.
FirstObservedAt - 리소스의 규정 준수 상태가 가장 최근에 변경된 경우입니다.
LastObservedAt - Security Hub CSPM이 가장 최근에 지정된 제어 및 리소스에 대한 보안 검사를 실행한 경우.
ProcessedAt - Security Hub CSPM이 가장 최근에 조사 결과를 처리하기 시작한 시점입니다.
ProductFields.PreviousComplianceStatus - 지정된 컨트롤에 대한 리소스의 이전 규정 준수 상태(Compliance.Status)입니다.
UpdatedAt - Security Hub CSPM이 가장 최근에 조사 결과를 업데이트한 시점입니다.
Workflow.Status - 지정된 컨트롤에 대한 리소스의 새 규정 준수 상태를 기반으로 조사 결과에 대한 조사 상태입니다.

Security Hub CSPM이 필드를 업데이트하는지 여부는 주로 해당 제어 및 리소스에 대한 최신 보안 검사 결과에 따라 달라집니다. 예를 들어 특정 제어에 FAILED 대해 리소스의 규정 준수 상태가에서 PASSED로 변경되면 Security Hub CSPM은 결과의 워크플로 상태를 로 변경합니다NEW. 개별 결과에 대한 업데이트를 추적하려면 결과 기록을 참조할 수 있습니다. 조사 결과의 개별 필드에 대한 자세한 내용은 AWS Security Finding Format(ASFF)을 참조하세요.

경우에 따라 Security Hub CSPM은 기존 결과를 업데이트하는 대신 제어에 의한 후속 검사에 대한 새 결과를 생성합니다. 이는 제어를 지원하는 AWS Config 규칙에 문제가 있는 경우 발생할 수 있습니다. 이 경우 Security Hub CSPM은 기존 결과를 아카이브하고 각 검사에 대해 새 결과를 생성합니다. 새 조사 결과에서 규정 준수 상태는 NOT_AVAILABLE이고 레코드 상태는 입니다ARCHIVED. AWS Config 규칙 문제를 해결한 후 Security Hub CSPM은 새 결과를 생성하고 업데이트를 시작하여 개별 리소스의 규정 준수 상태에 대한 후속 변경 사항을 추적합니다.

Security Hub CSPM은 제어 조사 결과를 생성하고 업데이트하는 것 외에도 특정 기준을 충족하는 제어 조사 결과를 자동으로 보관합니다. Security Hub CSPM은 제어가 비활성화되거나, 지정된 리소스가 삭제되거나, 지정된 리소스가 더 이상 존재하지 않는 경우 결과를 보관합니다. 연결된 서비스가 더 이상 사용되지 않기 때문에 리소스가 더 이상 존재하지 않을 수 있습니다. 보다 구체적으로, Security Hub CSPM은 조사 결과가 다음 기준 중 하나를 충족하는 경우 제어 조사 결과를 자동으로 보관합니다.

결과가 3~5일 동안 업데이트되지 않았습니다. 이 기간을 기반으로 한 보관은 최선의 노력을 기반으로 하며 보장되지 않습니다.
지정된 리소스의 규정 준수 상태에 NOT_APPLICABLE 대해 반환된 관련 AWS Config 평가입니다.

결과가 아카이브되었는지 확인하려면 결과의 레코드 상태(RecordState) 필드를 참조할 수 있습니다. 결과가 아카이브된 경우이 필드의 값은 입니다ARCHIVED.

Security Hub CSPM은 보관된 제어 조사 결과를 30일 동안 저장합니다. 30일이 지나면 조사 결과가 만료되고 Security Hub CSPM이 조사 결과를 영구적으로 삭제합니다. 아카이브된 제어 조사 결과가 만료되었는지 확인하기 위해 Security Hub CSPM은 조사 결과의 UpdatedAt 필드 값을 기반으로 계산합니다.

보관된 컨트롤 조사 결과를 30일 이상 저장하려면 조사 결과를 S3 버킷으로 내보낼 수 있습니다. Amazon EventBridge 규칙과 함께 사용자 지정 작업을 사용하여이 작업을 수행할 수 있습니다. 자세한 내용은 자동 응답 및 문제 해결을 위해 EventBridge 사용 단원을 참조하십시오.

참고

2025년 7월 3일 이전에 Security Hub CSPM은 제어에 대한 리소스의 규정 준수 상태가 변경될 때 제어 조사 결과를 다르게 생성하고 업데이트했습니다. 이전에는 Security Hub CSPM에서 새 제어 조사 결과를 생성하고 리소스에 대한 기존 조사 결과를 보관했습니다. 따라서 조사 결과가 만료될 때까지(30일 후) 특정 컨트롤 및 리소스에 대해 보관된 조사 결과가 여러 개 있을 수 있습니다.

제어 조사 결과의 자동화 및 억제

Security Hub CSPM 자동화 규칙을 사용하여 특정 제어 조사 결과를 업데이트하거나 억제할 수 있습니다. 조사 결과를 숨기면 계속 액세스할 수 있습니다. 그러나 억제는 조사 결과를 해결하는 데 조치가 필요하지 않다는 확신을 나타냅니다.

조사 결과를 숨기면 조사 결과 노이즈를 줄일 수 있습니다. 예를 들어 테스트 계정에서 생성된 제어 조사 결과를 억제할 수 있습니다. 또는 특정 리소스와 관련된 조사 결과를 억제할 수 있습니다. 조사 결과를 자동으로 업데이트하거나 억제하는 방법에 대한 자세한 내용은 섹션을 참조하세요Security Hub CSPM의 자동화 규칙 이해.

자동화 규칙은 특정 제어 조사 결과를 업데이트하거나 억제하려는 경우에 적합합니다. 그러나 컨트롤이 조직 또는 사용 사례와 관련이 없는 경우 컨트롤을 비활성화하는 것이 좋습니다. 제어를 비활성화하면 Security Hub CSPM은 해당 제어에 대한 보안 검사를 실행하지 않으며 요금이 부과되지 않습니다.

제어 조사 결과에 대한 규정 준수 세부 정보

제어에 대한 보안 검사에서 생성된 조사 결과에서 AWS Security Finding Format(ASFF)의 규정 준수 객체 및 필드는 제어가 확인한 개별 리소스에 대한 규정 준수 세부 정보를 제공합니다. 여기에는 다음 정보가 포함됩니다.

AssociatedStandards - 제어가 활성화된 표준입니다.
RelatedRequirements - 활성화된 모든 표준의 제어 관련 요구 사항입니다. 이러한 요구 사항은 결제 카드 산업 데이터 보안 표준(PCI DSS) 또는 NIST SP 800-171 개정 2 표준과 같은 제어를 위한 타사 보안 프레임워크에서 파생됩니다.
SecurityControlId - Security Hub CSPM이 지원하는 표준 전반의 제어 식별자입니다.
Status - Security Hub CSPM이 제어를 위해 실행한 가장 최근 점검의 결과입니다. 이전 검사 결과는 조사 결과 기록에 유지됩니다.
StatusReasons - Status 필드에 지정된 값의 이유를 나열하는 배열입니다. 각 이유에 대해 여기에는 이유 코드와 설명이 포함됩니다.

다음 표에는 조사 결과가 StatusReasons 배열에 포함할 수 있는 이유 코드와 설명이 나와 있습니다. 문제 해결 단계는 컨트롤이 지정된 사유 코드로 조사 결과를 생성했는지에 따라 달라집니다. 컨트롤에 대한 수정 지침을 검토하려면 섹션을 참조하세요Security Hub CSPM에 대한 제어 참조.

사유 코드	규정 준수 상태	설명
`CLOUDTRAIL_METRIC_FILTER_NOT_VALID`	`FAILED`	다중 리전 CloudTrail 추적에 유효한 메트릭 필터가 없습니다.
`CLOUDTRAIL_METRIC_FILTERS_NOT_PRESENT`	`FAILED`	다중 리전 CloudTrail 추적에 메트릭 필터가 없습니다.
`CLOUDTRAIL_MULTI_REGION_NOT_PRESENT`	`FAILED`	필요한 구성의 다중 리전 CloudTrail 추적이 계정에 없습니다.
`CLOUDTRAIL_REGION_INVAILD`	`WARNING`	다중 리전 CloudTrail 추적이 현재 리전에 없습니다.
`CLOUDWATCH_ALARM_ACTIONS_NOT_VALID`	`FAILED`	유효한 경보 작업이 없습니다.
`CLOUDWATCH_ALARMS_NOT_PRESENT`	`FAILED`	CloudWatch 경보가 계정에 존재하지 않습니다.
`CONFIG_ACCESS_DENIED`	`NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError`	AWS Config 액세스가 거부되었습니다. AWS Config 이 활성화되어 있고 충분한 권한이 부여되었는지 확인합니다.
`CONFIG_EVALUATIONS_EMPTY`	`PASSED`	AWS Config 는 규칙을 기반으로 리소스를 평가했습니다. 규칙이 해당 범위의 AWS 리소스에 적용되지 않았거나, 지정된 리소스가 삭제되었거나, 평가 결과가 삭제되었습니다.
`CONFIG_RECORDER_CUSTOM_ROLE`	`FAILED` (Config.1의 경우)	AWS Config 레코더는 AWS Config 서비스 연결 역할 대신 사용자 지정 IAM 역할을 사용하며, Config.1의 `includeConfigServiceLinkedRoleCheck` 사용자 지정 파라미터는 로 설정되지 않습니다`false`.
`CONFIG_RECORDER_DISABLED`	`FAILED` (Config.1의 경우)	AWS Config 구성 레코더가 켜져 있으면가 활성화되지 않습니다.
`CONFIG_RECORDER_MISSING_REQUIRED_RESOURCE_TYPES`	`FAILED` (Config.1의 경우)	AWS Config 는 활성화된 Security Hub CSPM 제어에 해당하는 모든 리소스 유형을 기록하지 않습니다. 기록`되지 않는 리소스에 대해 기록을 켭니다`.
`CONFIG_RETURNS_NOT_APPLICABLE`	`NOT_AVAILABLE`	가 해당 없음 상태를 AWS Config 반환`NOT_AVAILABLE`했기 때문에 규정 준수 상태는 입니다. AWS Config 는 상태의 이유를 제공하지 않습니다. 해당 없음 상태가 될 수 있는 몇 가지 이유는 다음과 같습니다. AWS Config 규칙 범위에서 리소스가 제거되었습니다. AWS Config 규칙이 삭제되었습니다. 리소스가 삭제되었습니다. AWS Config 규칙 로직은 해당 없음 상태를 생성할 수 있습니다.
`CONFIG_RULE_EVALUATION_ERROR`	`NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError`	이 사유 코드는 여러 가지 유형의 평가 오류에 사용됩니다. 설명에 구체적인 사유 정보가 나와 있습니다. 오류 유형은 다음 중 하나일 수 있습니다. 권한 부족으로 인해 평가를 수행할 수 없습니다. 설명에 누락된 특정 권한이 나와 있습니다. 파라미터의 값이 누락되었거나 잘못되었습니다. 설명에 파라미터 및 파라미터 값 요구 사항이 나와 있습니다. S3 버킷에서 읽는 중 오류가 발생했습니다. 설명에 해당 버킷이 식별되어 있고 구체적인 오류가 나와 있습니다. 누락된 AWS 구독. 평가에 대한 전체 시간이 초과되었습니다. 일시 중지된 계정입니다.
`CONFIG_RULE_NOT_FOUND`	`NOT_AVAILABLE` AWS Config 상태는 입니다. `ConfigError`	AWS Config 규칙이 생성 중입니다.
`INTERNAL_SERVICE_ERROR`	`NOT_AVAILABLE`	알 수 없는 오류가 발생했습니다.
`LAMBDA_CUSTOM_RUNTIME_DETAILS_NOT_AVAILABLE`	`FAILED`	Security Hub CSPM이 사용자 지정 Lambda 런타임에 대해 검사를 수행할 수 없습니다.
`S3_BUCKET_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 S3 버킷이 다른 리전 또는 계정에 있기 때문에 결과는 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_SUBSCRIPTION_NOT_PRESENT`	`FAILED`	CloudWatch Logs 메트릭 필터에 유효한 Amazon SNS 구독이 없습니다.
`SNS_TOPIC_CROSS_ACCOUNT`	`WARNING`	검색 조사 결과가 `WARNING` 상태에 있습니다. 이 규칙과 관련된 SNS 주제는 다른 계정에서 소유하고 있습니다. 현재 계정으로는 구독 정보를 얻을 수 없습니다. SNS 주제를 소유한 계정은 현재 계정에 해당 SNS 주제에 대한 `sns:ListSubscriptionsByTopic` 권한을 부여해야 합니다.
`SNS_TOPIC_CROSS_ACCOUNT_CROSS_REGION`	`WARNING`	이 규칙과 연결된 SNS 주제가 다른 리전 또는 계정에 있기 때문에 조사 결과가 `WARNING` 상태입니다. 이 규칙은 교차 리전 또는 교차 계정 확인을 지원하지 않습니다. 이 리전 또는 계정에서 이 제어를 비활성화하는 것이 좋습니다. 리소스가 있는 리전 또는 계정에서만 실행하세요.
`SNS_TOPIC_INVALID`	`FAILED`	이 규칙과 관련된 SNS 주제는 유효하지 않습니다.
`THROTTLING_ERROR`	`NOT_AVAILABLE`	관련 API 작업이 허용된 속도를 초과했습니다.

제어 조사 결과에 대한 ProductFields 세부 정보

제어에 대한 보안 검사에서 생성된 조사 결과에서 AWS Security Finding Format(ASFF)의 ProductFields 속성에는 다음 필드가 포함될 수 있습니다.

ArchivalReasons:0/Description

Security Hub CSPM이 조사 결과를 보관한 이유를 설명합니다.

예를 들어 Security Hub CSPM은 컨트롤 또는 표준을 비활성화하거나 통합 컨트롤 조사 결과를 활성화 또는 비활성화할 때 기존 조사 결과를 보관합니다.

ArchivalReasons:0/ReasonCode

Security Hub CSPM이 조사 결과를 보관한 이유를 지정합니다.

예를 들어 Security Hub CSPM은 제어 또는 표준을 비활성화하거나 통합 제어 조사 결과를 활성화 또는 비활성화할 때 기존 조사 결과를 보관합니다.

PreviousComplianceStatus

결과에 대한 최신 업데이트를 기준으로 지정된 컨트롤에 대한 리소스의 이전 규정 준수 상태(Compliance.Status)입니다. 가장 최근 업데이트 중에 리소스의 규정 준수 상태가 변경되지 않은 경우이 값은 결과의 Compliance.Status 필드 값과 동일합니다. 가능한 값 목록은 규정 준수 상태 및 제어 상태 평가 단원을 참조하세요.

StandardsGuideArn 또는 StandardsArn

제어와 관련된 표준의 ARN입니다.

CIS AWS 파운데이션 벤치마크 표준의 경우 필드는 입니다StandardsGuideArn. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 입니다StandardsArn.

통합 제어 조사 결과를 활성화하면 이러한 필드는 Compliance.AssociatedStandards에 맞게 제거됩니다.

StandardsGuideSubscriptionArn 또는 StandardsSubscriptionArn

표준에 대한 계정 구독의 ARN입니다.

CIS AWS 파운데이션 벤치마크 표준의 경우 필드는 입니다StandardsGuideSubscriptionArn. PCI DSS 및 AWS 기본 보안 모범 사례 표준의 경우 필드는 입니다StandardsSubscriptionArn.

통합 제어 조사 결과를 활성화하면 이러한 필드는 제거됩니다.

RuleId 또는 ControlId

컨트롤의 식별자입니다.

CIS AWS 파운데이션 벤치마크 표준의 경우 필드는 입니다RuleId. 기타 표준의 경우, 필드는 ControlId입니다.

통합 제어 조사 결과를 활성화하면 이러한 필드는 Compliance.SecurityControlId에 맞게 제거됩니다.

RecommendationUrl

제어에 대한 문제 해결 정보의 URL입니다. 통합 제어 조사 결과를 켜면 이러한 필드는 Remediation.Recommendation.Url에 맞게 제거됩니다.

RelatedAWSResources:0/name

조사 결과와 연결된 리소스의 이름입니다.

RelatedAWSResource:0/type

제어에 연결된 리소스 유형입니다.

StandardsControlArn

제어의 ARN입니다. 통합 제어 조사 결과를 활성화하면 이러한 필드는 제거됩니다.

aws/securityhub/ProductName

제어 조사 결과의 경우 제품 이름은 입니다Security Hub.

aws/securityhub/CompanyName

제어 조사 결과의 경우 회사 이름은 입니다AWS.

aws/securityhub/annotation

제어를 통해 발견된 문제에 대한 설명입니다.

aws/securityhub/FindingId

결과의 식별자입니다.

통합 제어 조사 결과를 활성화하면 이 필드는 표준을 참조하지 않습니다.

제어 조사 결과의 심각도 수준

Security Hub CSPM 컨트롤에 할당된 심각도는 컨트롤의 중요도를 나타냅니다. 제어의 심각도에 따라 제어 조사 결과에 할당되는 심각도 레이블이 결정됩니다.

심각도 기준

제어의 심각도는 다음 기준에 대한 평가를 기반으로 결정됩니다.

위협 행위자가 제어와 관련된 구성 약점을 악용하는 것은 얼마나 어려운가요? 난이도는 취약점을 이용해 위협 시나리오를 수행하는 데 필요한 정교함이나 복잡성의 정도에 따라 결정됩니다.
약점으로 인해 AWS 계정 또는 리소스가 손상될 가능성은 얼마나 됩니까? AWS 계정 또는 리소스가 손상되면 데이터 또는 AWS 인프라의 기밀성, 무결성 또는 가용성이 어떤 식으로든 손상됩니다. 침해 가능성은 위협 시나리오로 인해 AWS 서비스 또는 리소스가 중단되거나 침해될 가능성을 나타냅니다.

예를 들어, 다음 구성 약점을 고려해 보세요.

사용자 액세스 키는 90일마다 교체되지 않습니다.
IAM 루트 사용자 키가 존재합니다.

두 약점 모두 공격자가 악용하기 어렵습니다. 두 경우 모두 공격자는 보안 인증 도용이나 다른 방법을 사용하여 사용자 키를 획득할 수 있습니다. 그런 다음 이를 사용하여 무단으로 리소스에 액세스할 수 있습니다.

하지만 위협 행위자가 루트 사용자 액세스 키를 획득하면 액세스 권한이 더 커지므로 보안 침해 가능성이 훨씬 높아집니다. 따라서 루트 사용자 키 취약점의 심각도가 더 높습니다.

심각도는 기본 리소스의 중요도를 고려하지 않습니다. 중요도는 조사 결과와 관련된 리소스의 중요도 수준입니다. 예를 들어 미션 크리티컬 애플리케이션과 연결된 리소스는 비프로덕션 테스트와 연결된 리소스보다 더 중요합니다. 리소스 중요도 정보를 캡처하려면 AWS Security Finding Format(ASFF)의 Criticality 필드를 사용합니다.

다음 표에는 보안 레이블에 대한 악용 난이도과 손상 가능성이 나와 있습니다.

	침해 가능성이 매우 높음	침해 가능성이 있음	침해 가능성이 낮음	침해 가능성이 매우 낮음
악용하기 매우 쉬움	심각	심각	높음	중간
악용하기 다소 쉬움	심각	높음	중간	중간
악용하기가 다소 어려움	높음	중간	중간	낮음
악용하기가 매우 어려움	중간	중간	낮음	낮음

심각도 정의

심각도 레이블은 다음과 같이 정의됩니다.

심각 – 문제가 확대되는 것을 방지하려면 문제를 즉시 해결해야 합니다.

예를 들어, 개방형 S3 버킷은 심각한 조사 결과로 간주됩니다. 개방형 S3 버킷은 수많은 위협 행위자가 검색하기 때문에 노출된 S3 버킷의 데이터를 다른 사용자가 검색하고 액세스할 가능성이 있습니다.

일반적으로 공개적으로 액세스할 수 있는 리소스는 중요한 보안 문제로 간주됩니다. 중요한 발견은 최대한 긴급하게 처리해야 합니다. 리소스의 중요도도 고려해야 합니다.

높음 – 우선적으로 해결해야 할 문제입니다.

예를 들어, 기본 VPC 보안 그룹이 인바운드 및 아웃바운드 트래픽에 개방되어 있는 경우, 심각도가 높은 것으로 간주됩니다. 위협 행위자가 이 방법을 사용하면 VPC를 손상시키기가 다소 쉽습니다. 또한 위협 행위자가 VPC에 침투한 후에는 리소스를 방해하거나 외부로 유출할 수 있습니다.

Security Hub CSPM은 심각도가 높은 조사 결과를 단기 우선 순위로 취급할 것을 권장합니다. 즉각적인 개선 조치를 취해야 합니다. 리소스의 중요도도 고려해야 합니다.

중간 - 이 문제는 중기 우선 순위로 다루어야 합니다.

예를 들어, 전송 중인 데이터에 대한 암호화가 이루어지지 않으면 심각도가 보통인 것으로 간주됩니다. 이 약점을 이용하려면 정교한 중간자 공격이 필요합니다. 바꿔 말하면 다소 어렵습니다. 위협 시나리오가 성공하면 일부 데이터가 손상될 수 있습니다.

Security Hub CSPM은 가능한 한 빨리 관련 리소스를 조사할 것을 권장합니다. 리소스의 중요도도 고려해야 합니다.

낮음 - 자체적으로 조치가 필요하지 않은 문제입니다.

예를 들어, 포렌식 정보를 수집하지 못하면 심각도가 낮은 것으로 간주됩니다. 이러한 제어는 향후 손상을 방지하는 데 도움이 될 수 있지만 포렌식이 없다고 해서 손상으로 직접 이어지지는 않습니다.

심각도가 낮은 조사 결과에 대해 즉각적인 조치를 취할 필요는 없지만, 다른 문제와 연관시킬 때 컨텍스트를 제공할 수 있습니다.

정보 - 구성 약점은 발견되지 않았습니다.

즉, PASSED, WARNING 또는 NOT AVAILABLE 상태입니다.

권장되는 조치는 없습니다. 정보 조사 결과는 고객이 규정 준수 상태에 있음을 입증하는 데 도움이 됩니다.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

보안 검사 실행 예약

규정 준수 상태 및 제어 상태