보안 표준 활성화 - AWSSecurity Hub
여러 계정 및에서 표준 활성화AWS 리전단일 계정에서 표준 활성화 및AWS 리전표준의 상태 확인

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 표준 활성화

AWSSecurity Hub CSPM에서 보안 표준을 활성화하면 Security Hub CSPM은 표준에 적용되는 모든 제어를 자동으로 생성하고 활성화합니다. Security Hub CSPM은 또한 제어에 대한 보안 검사를 실행하고 조사 결과를 생성하기 시작합니다.

조사 결과의 적용 범위와 정확도를 최적화하려면 표준을 활성화AWS Config하기 전에에서 리소스 기록을 활성화하고 구성합니다. 리소스 기록을 구성할 때는 표준에 적용되는 제어에서 확인하는 모든 유형의 리소스에도 리소스 기록을 활성화해야 합니다. 그렇지 않으면 Security Hub CSPM이 적절한 리소스를 평가하고 표준에 적용되는 제어에 대한 정확한 조사 결과를 생성하지 못할 수 있습니다. 자세한 내용은 Security Hub CSPM에서 AWS Config 활성화 및 구성 단원을 참조하십시오.

표준을 활성화한 후 해당 표준에 적용되는 개별 제어를 비활성화하고 나중에 다시 활성화할 수 있습니다. 표준에서 제어를 사용하지 않도록 설정하면 Security Hub CSPM은 해당 제어에 대한 조사 결과 생성을 중지합니다. 또한 Security Hub CSPM은 표준에 대한 보안 점수를 계산할 때 해당 제어를 무시합니다. 보안 점수는 표준에 적용되고, 활성화되고, 평가 데이터가 있는 제어의 전체 수에 대한 평가를 통과한 제어의 백분율입니다.

표준을 활성화하면 Security Hub CSPM은 사용자가 Security Hub CSPM 콘솔의 요약 또는 보안 표준 페이지를 처음 방문한 후 30분 이내에 표준에 대한 예비 보안 점수를 계산합니다. 보안 점수는 콘솔에서 해당 페이지를 방문했을 때 활성화된 표준에 대해서만 생성됩니다. 또한 AWS Config점수가 표시되려면에서 리소스 기록을 구성해야 합니다. 중국 리전 및 에서는 Security Hub CSPMAWS GovCloud (US) Regions이 표준에 대한 예비 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다. Security Hub CSPM은 예비 보안 점수를 생성한 후 24시간마다 점수를 업데이트합니다. 보안 점수가 마지막으로 업데이트된 시점을 확인하려면 Security Hub CSPM이 점수에 대해 제공하는 타임스탬프를 참조할 수 있습니다. 자세한 내용은 보안 점수 계산 단원을 참조하십시오.

표준을 활성화하는 방법은 중앙 구성을 사용하여 여러 계정 및 AWS 리전에서 Security Hub CSPM을 관리하는지 여부에 따라 달라집니다. 다중 계정, 다중 리전 환경에서 표준을 활성화 또는 비활성화하려면 중앙 구성을 사용하는 것을 권장합니다. Security Hub CSPM을와 통합하는 경우 중앙 구성을 사용할 수 있습니다AWS Organizations. 중앙 구성을 사용하지 않는 경우, 각 계정 및 각 리전에서 별도로 각 표준을 활성화해야 합니다.

여러 계정 및에서 표준 활성화AWS 리전

여러 계정에서 보안 표준을 활성화하고 구성하려면 중앙 구성을 AWS 리전사용합니다. 중앙 구성을 사용하면 위임된 Security Hub CSPM 관리자는 하나 이상의 표준을 활성화하는 Security Hub CSPM 구성 정책을 만들 수 있습니다. 그런 다음 관리자는 이 구성 정책을 개별 계정, 조직 단위(OU) 또는 루트와 연결할 수 있습니다. 구성 정책은 집계 영역이라고도 하는 홈 리전과 모든 연결된 리전에 영향을 미칩니다.

구성 정책은 사용자 지정 옵션을 제공합니다. 예를 들어 한 OU에 대해 AWS기본 보안 모범 사례(FSBP) 표준만 활성화하도록 선택할 수 있습니다. 다른 OU의 경우 FSBP 표준과 Center for Internet Security(CIS)AWSFoundations Benchmark v1.4.0 표준을 모두 활성화하도록 선택할 수 있습니다. 지정한 특정 표준을 활성화하는 구성 정책을 생성하는 방법에 대한 자세한 내용은 구성 정책 생성 및 연결 섹션을 참조하세요.

중앙 구성을 사용하는 경우, Security Hub CSPM은 새로운 계정 또는 기존 계정의 표준을 자동으로 활성화하지 않습니다. 대신, Security Hub CSPM 관리자는 조직의 Security Hub CSPM 구성 정책을 생성할 때 각 계정에서 활성화할 표준을 지정합니다. Security Hub CSPM은 FSBP 표준만 활성화하는 권장 구성 정책을 제공합니다. 자세한 내용은 구성 정책 유형 단원을 참조하십시오.

참고

Security Hub CSPM 관리자는 구성 정책을 사용하여 AWS Control Tower 서비스 관리형 표준을 제외한 모든 표준을 활성화할 수 있습니다. 이 표준을 활성화하려면 관리자가를 AWS Control Tower직접 사용해야 합니다. 또한 AWS Control Tower를 사용하여 중앙 관리형 계정에 대해이 표준에서 개별 제어를 활성화하거나 비활성화해야 합니다.

일부 계정이 자기 계정에 대한 표준을 활성화하고 구성하도록 하려면 Security Hub CSPM 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 별도로 표준을 활성화하고 구성해야 합니다.

단일 계정에서 표준 활성화 및AWS 리전

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 중앙에서 구성 정책을 사용하여 여러 계정 또는 AWS 리전에서 표준을 활성화할 수 없습니다. 하지만 단일 계정 및 리전에서는 표준을 활성화할 수 있습니다. Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용하여 이 작업을 수행할 수 있습니다.

Security Hub CSPM console

Security Hub CSPM 콘솔을 사용하여 단일 계정 및 리전에서 표준을 활성화하려면 다음 단계를 따르세요.

한 계정과 리전에서 표준을 활성화하려면

  1. https://console.aws.amazon.com/securityhub/ AWSSecurity Hub CSPM 콘솔을 엽니다.

  2. 페이지 오른쪽 상단의 AWS 리전선택기를 사용하여 표준을 활성화하려는 리전을 선택합니다.

  3. 탐색 창에서 보안 표준을 선택합니다. 시작 페이지의 보안 표준에 Security Hub CSPM이 현재 지원하는 보안 표준이 나열됩니다. 표준을 이미 활성화한 경우 표준 섹션에는 표준의 현재 보안 점수 및 추가 세부 정보가 포함됩니다.

  4. 활성화하려는 표준의 섹션에서 표준 활성화를 선택합니다.

추가 리전에서 표준을 활성화하려면 각각의 추가 리전에서 앞의 단계를 반복합니다.

Security Hub CSPM API

단일 계정 및 리전에서 프로그래밍 방식으로 표준을 활성화하려면 BatchEnableStandards 작업을 사용합니다. 또는 AWS Command Line Interface(AWS CLI)를 사용하는 경우 batch-enable-standards 명령을 실행합니다.

요청에서 StandardsArn 파라미터를 사용하여 활성화하려는 표준의 Amazon 리소스 이름(ARN)을 지정합니다. 또한 요청이 적용되는 리전을 지정합니다. 예를 들어 다음 명령은 AWS기본 보안 모범 사례(FSBP) 표준을 활성화합니다.

$ aws securityhub batch-enable-standards \
--standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}' \
--region us-east-1

여기서 arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0은 미국 동부(버지니아 북부) 리전에서 FSBP 표준의 ARN이고 us-east-1은 이 표준을 활성화할 리전입니다.

표준의 ARN을 가져오려면 DescribeStandards 작업을 사용하거나를 사용하는 경우 describe-standards 명령을 AWS CLI실행합니다.

먼저 계정에서 현재 활성화된 표준의 목록을 검토하려면 GetEnabledStandards 작업을 사용할 수 있습니다. 를 사용하는 경우 get-enabled-standards 명령을 실행하여이 목록을 검색할 AWS CLI수 있습니다.

표준을 활성화하면 Security Hub CSPM은 계정 및 지정된 리전에서 표준을 활성화하는 태스크를 수행하기 시작합니다. 여기에는 표준에 적용되는 모든 제어를 생성하는 태스크가 포함됩니다. 이러한 태스크의 상태를 모니터링하려면 계정 및 리전의 표준 상태를 확인할 수 있습니다.

표준의 상태 확인

계정에 대해 보안 표준을 활성화하면 Security Hub CSPM은 계정의 표준에 적용되는 모든 제어를 생성하기 시작합니다. 또한 Security Hub CSPM은 표준의 예비 보안 점수 생성 등 계정의 표준을 활성화하는 추가 태스크를 수행합니다. Security Hub CSPM이 이러한 태스크를 수행하는 동안 계정에서 표준의 상태는 Pending입니다. 그런 다음 표준이 추가 상태를 통과하는데 이를 모니터링 및 확인할 수 있습니다.

참고

표준의 개별 제어에 대한 변경 사항은 표준의 전체 상태에 영향을 미치지 않습니다. 예를 들어 이전에 비활성화한 제어를 활성화해도 변경 사항은 표준의 상태에 영향을 미치지 않습니다. 마찬가지로, 활성화된 제어의 파라미터 값을 변경해도 변경 사항은 표준의 상태에 영향을 미치지 않습니다.

Security Hub CSPM 콘솔을 사용하여 표준의 상태를 확인하려면 탐색 창에서 보안 표준을 선택합니다. 시작 페이지의 보안 표준에 Security Hub CSPM이 현재 지원하는 보안 표준이 나열됩니다. Security Hub CSPM이 현재 표준을 활성화하는 태스크를 수행하고 있는 경우, 표준 섹션에는 Security Hub CSPM이 여전히 표준의 보안 점수를 생성하고 있는 것으로 나타납니다. 표준이 활성화된 경우 표준 섹션에 현재 점수가 포함됩니다. 결과 보기를 선택하여 표준에 적용되는 개별 제어의 상태를 포함한 추가 세부 정보를 검토합니다. 자세한 내용은 보안 검사 실행 예약 단원을 참조하십시오.

Security Hub CSPM API를 사용하여 프로그래밍 방식으로 표준의 상태를 확인하려면 GetEnabledStandards 작업을 사용합니다. 선택적으로, 요청에서 StandardsSubscriptionArns 파라미터를 사용하여 상태를 확인하려는 표준의 Amazon 리소스 이름(ARN)을 지정합니다. AWS Command Line Interface(AWS CLI)를 사용하는 경우 get-enabled-standards 명령을 실행하여 표준의 상태를 확인할 수 있습니다. 확인할 표준의 ARN을 지정하려면 standards-subscription-arns 파라미터를 사용합니다. 지정할 ARN을 확인하려면 DescribeStandards 작업을 사용하거나에 대해 describe-standards 명령을 AWS CLI실행할 수 있습니다.

요청이 성공하면 Security Hub CSPM은 StandardsSubscription 객체 배열로 응답합니다. 표준 구독은 계정에 표준이 활성화된 경우 Security Hub CSPM이 계정에 생성하는 AWS리소스입니다. 각 StandardsSubscription 객체는 계정에 대해 현재 활성화되었거나 활성화 또는 비활성화 중인 표준에 대한 세부 정보를 제공합니다. 각 객체에서 StandardsStatus 필드는 계정에서 표준의 현재 상태를 나타냅니다.

표준의 상태(StandardsStatus)는 다음 중 하나일 수 있습니다.

PENDING

Security Hub CSPM이 현재 계정에 대해 표준을 활성화하는 태스크를 수행하고 있습니다. 여기에는 표준에 적용되는 제어를 생성하는 태스크, 표준의 예비 보안 점수를 생성하는 태스크가 포함됩니다. Security Hub CSPM이 모든 태스크를 완료하는 데 몇 분 정도 걸릴 수 있습니다. 계정에 표준이 이미 활성화되어 있고 Security Hub CSPM이 표준에 새 제어를 추가하고 있는 경우에도 표준이 이 상태일 수 있습니다.

표준이 이 상태에 있는 경우 표준에 적용되는 개별 제어의 세부 정보를 검색하지 못할 수 있습니다. 또한 표준의 개별 제어를 구성하거나 비활성화하지 못할 수 있습니다. 예를 들어 UpdateStandardsControl 작업을 사용하여 제어를 비활성화하려고 하면 오류가 발생합니다.

표준의 개별 제어를 구성하거나 관리할 수 있는지 확인하려면 StandardsControlsUpdatable 필드의 값을 참조하세요. 이 필드의 값이 READY_FOR_UPDATES인 경우 표준의 개별 제어를 관리하기 시작할 수 있습니다. 그렇지 않으면 Security Hub CSPM이 표준을 활성화하기 위한 추가 처리 태스크를 완료할 때까지 기다려야 합니다.

READY

표준이 현재 계정에 대해 활성화되어 있습니다. Security Hub CSPM은 보안 검사를 실행하고, 표준에 적용되고 현재 활성화된 모든 제어에 대한 조사 결과를 생성할 수 있습니다. 또한 Security Hub CSPM은 각 표준에 대한 보안 점수를 계산합니다.

표준이 이 상태에 있는 경우 표준에 적용되는 개별 제어의 세부 정보를 검색할 수 있습니다. 또한 제어를 구성, 비활성화 또는 다시 활성화할 수 있습니다. 표준을 비활성화할 수도 있습니다.

INCOMPLETE

Security Hub CSPM이 계정에 대해 표준을 완전히 활성화할 수 없었습니다. Security Hub CSPM이 보안 검사를 실행할 수 없고 표준에 적용되고 현재 활성화된 모든 제어에 대한 조사 결과를 생성할 수 없습니다. 또한 Security Hub CSPM은 표준에 대한 보안 점수를 계산할 수 없습니다.

표준이 완전히 활성화되지 않은 이유를 확인하려면 StandardsStatusReason 배열의 정보를 참조하세요. 이 배열은 Security Hub CSPM이 표준을 활성화하지 못하게 한 문제를 표시합니다. 내부 오류가 발생한 경우 다시 계정에 대해 표준을 활성화해 보세요. 다른 유형의 문제는 AWS Config설정을 확인하세요. 확인하지 않으려는 개별 제어를 비활성화하거나 표준을 완전히 비활성화할 수도 있습니다.

DELETING

Security Hub CSPM이 현재 계정에서 표준을 비활성화하는 요청을 처리하고 있습니다. 여기에는 표준에 적용되는 제어를 비활성화하는 태스크, 관련 보안 점수를 제거하는 태스크가 포함됩니다. Security Hub CSPM이 요청 처리를 완료하는 데 몇 분 정도 걸릴 수 있습니다.

표준이 이 상태에 있는 경우 계정에 대해 표준을 다시 활성화할 수도 없고 비활성화를 다시 시도할 수도 없습니다. Security Hub CSPM이 먼저 현재 요청의 처리를 완료해야 합니다. 또한 표준에 적용되는 개별 제어의 세부 정보를 검색하거나 제어를 관리할 수 없습니다.

FAILED

Security Hub CSPM이 계정에서 표준을 비활성화할 수 없었습니다. Security Hub CSPM이 표준을 비활성화하려고 할 때 하나 이상의 오류가 발생했습니다. 또한 Security Hub CSPM은 표준에 대한 보안 점수를 계산할 수 없습니다.

표준이 완전히 비활성화되지 않은 이유를 확인하려면 StandardsStatusReason 배열의 정보를 참조하세요. 이 배열은 Security Hub CSPM이 표준을 비활성화하지 못하게 한 문제를 표시합니다.

표준이 이 상태에 있는 경우 표준에 적용되는 개별 제어의 세부 정보를 검색하거나 제어를 관리할 수 있습니다. 그러나 계정에 대해 표준을 다시 활성화할 수 있습니다. Security Hub CSPM이 표준을 비활성화하지 못하게 한 문제를 해결하는 경우 표준을 다시 비활성화할 수도 있습니다.

표준의 상태가 READY인 경우 Security Hub CSPM은 보안 검사를 실행하고, 표준에 적용되고 현재 활성화된 모든 제어에 대한 조사 결과를 생성합니다. 다른 상태인 경우 Security Hub CSPM은 검사를 실행하고 활성화된 제어의 전부는 아니지만 일부에 대한 조사 결과를 생성할 수 있습니다. 제어 조사 결과를 생성하거나 업데이트하는 데 최대 24시간이 걸릴 수 있습니다. 자세한 내용은 보안 검사 실행 예약 단원을 참조하십시오.