기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub CSPM에서 비활성화할 수 있는 권장 제어
결과 노이즈 및 사용 비용을 줄이려면 일부 AWS Security Hub Cloud Security Posture Management(CSPM) 제어를 비활성화하는 것이 좋습니다.
글로벌 리소스를 사용하는 제어
일부는 글로벌 리소스를 AWS 서비스 지원하므로 모든에서 리소스에 액세스할 수 있습니다 AWS 리전. 비용을 절감하기 위해 한 리전을 제외한 모든 리전에서 글로벌 리소스 기록을 비활성화 AWS Config할 수 있습니다. 그러나 이렇게 하면 Security Hub CSPM은 여전히 제어가 활성화된 모든 리전에서 보안 검사를 실행하고 리전별 계정당 검사 수를 기준으로 요금을 청구합니다. 따라서 결과 노이즈를 줄이고 Security Hub CSPM 비용을 절감하려면 글로벌 리소스를 기록하는 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어도 비활성화해야 합니다.
제어에 글로벌 리소스가 포함되어 있지만 한 리전에서만 사용할 수 있는 경우, 해당 리전에서 해당 제어를 비활성화하면 기본 리소스에 대한 조사 결과를 가져올 수 없습니다. 이 경우, 제어를 활성화 상태로 유지하는 것이 좋습니다. 교차 리전 집계를 사용하는 경우 제어를 사용할 수 있는 리전은 집계 리전 또는 연결된 리전 중 하나여야 합니다. 다음 제어는 글로벌 리소스를 포함하지만 단일 리전에서만 사용할 수 있습니다.
모든 CloudFront 제어 - 미국 동부(버지니아 북부) 리전에서만 사용 가능
GlobalAccelerator.1 - 미국 서부(오레곤) 리전에서만 사용 가능
Route53.2 - 미국 동부(버지니아 북부) 리전에서만 사용 가능
WAF.1, WAF.6, WAF.7, WAF.8 - 미국 동부(버지니아 북부) 리전에서만 사용 가능
참고
중앙 구성을 사용하는 경우 Security Hub CSPM은 홈 리전을 제외한 모든 리전의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 활성화하도록 선택한 다른 제어는 사용 가능한 모든 리전에서 활성화됩니다. 이러한 컨트롤에 대한 조사 결과를 한 리전으로만 제한하려면 홈 리전을 제외한 모든 리전에서 AWS Config 레코더 설정을 업데이트하고 글로벌 리소스 기록을 끌 수 있습니다.
홈 리전에서 글로벌 리소스와 관련된 활성화된 제어가 지원되지 않는 경우 Security Hub CSPM은 제어가 지원되는 하나의 연결된 리전에서 제어를 활성화하려고 시도합니다. 중앙 구성을 사용하면 홈 리전 또는 연결된 리전에서 사용할 수 없는 제어에 대한 적용 범위가 부족합니다.
중앙 구성에 대한 자세한 내용은 Security Hub CSPM의 중앙 구성 이해 섹션을 참조하세요.
주기적 일정 유형이 있는 제어의 경우 결제를 방지하려면 Security Hub CSPM에서 비활성화해야 합니다. AWS Config 파라미터를 includeGlobalResourceTypes로 설정false해도 주기적 Security Hub CSPM 제어에는 영향을 주지 않습니다.
다음 Security Hub CSPM 제어는 글로벌 리소스를 사용합니다.
-
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
-
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
-
[GlobalAccelerator.1] Global Accelerator 액셀러레이터에 태그를 지정해야 합니다.
-
[IAM.27] IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.
-
[WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.
CloudTrail 로깅 제어
이 제어는 AWS Key Management Service (AWS KMS)를 사용하여 AWS CloudTrail 추적 로그를 암호화하는 방법을 다룹니다. 중앙 집중식 로깅 계정에 이러한 추적을 로깅하는 경우 중앙 집중식 로깅이 수행되는 계정 및 리전에서만이 제어를 활성화해야 합니다.
참고
중앙 구성을 사용하는 경우, 제어의 활성화 상태를 홈 리전 및 연결된 리전 전체에 걸쳐 조정합니다. 일부 리전에서는 제어를 비활성화하고 다른 리전에서는 활성화할 수 없습니다. 이 경우, 다음 제어에서 조사 결과를 표시하지 않도록 하여 검색 노이즈를 줄이세요.
CloudWatch 경보 제어
Amazon CloudWatch 경보 대신 이상 탐지에 Amazon GuardDuty를 사용하려는 경우 CloudWatch 경보에 초점을 맞춘 다음 제어를 비활성화할 수 있습니다. Amazon CloudWatch
-
[CloudWatch.2] 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인
-
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.
-
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
-
[CloudWatch.14] VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다.
