Security Hub CSPM 활성화 - AWS Security Hub
필요한 권한 확인Organizations 통합을 통해 Security Hub CSPM 활성화Security Hub CSPM 수동 활성화다음 단계: 태세 관리 및 통합

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub CSPM 활성화

와 통합 AWS Organizations 하거나 수동으로 통합하여 AWS Security Hub Cloud Security Posture Management(CSPM)를 활성화하는 방법에는 두 가지가 있습니다.

다중 계정 및 다중 리전 환경을 위해 Organizations과의 통합을 권장합니다. 독립 실행형 계정이 있는 경우 Security Hub CSPM을 수동으로 설정해야 합니다.

필요한 권한 확인

Amazon Web Services(AWS)에 가입한 후에는 Security Hub CSPM이 해당 기능과 기능을 사용하도록 설정해야 합니다. Security Hub CSPM을 활성화하려면 먼저 Security Hub CSPM 콘솔 및 API 작업에 액세스할 수 있는 권한을 설정해야 합니다. 사용자 또는 AWS 관리자는 AWS Identity and Access Management (IAM)을 사용하여 라는 관리형 정책을 IAM 자격 증명AWSSecurityHubFullAccess에 연결하여 AWS 이 작업을 수행할 수 있습니다.

Organizations 통합을 통해 Security Hub CSPM을 활성화하고 관리하려면 라는 AWS 관리형 정책도 연결해야 합니다AWSSecurityHubOrganizationsAccess.

자세한 내용은 AWS Security Hub에 대한 관리형 정책 단원을 참조하십시오.

Organizations 통합을 통해 Security Hub CSPM 활성화

에서 Security Hub CSPM 사용을 시작하려면 조직의 AWS Organizations AWS Organizations 관리 계정이 계정을 조직의 위임된 Security Hub CSPM 관리자 계정으로 지정합니다. Security Hub CSPM은 현재 리전의 위임된 관리자 계정에서 자동으로 활성화됩니다.

원하는 방법을 선택하고 단계에 따라 위임된 관리자를 지정합니다.

Security Hub CSPM console
온보딩 시 위임된 Security Hub CSPM 관리자를 지정하려면

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub Cloud Security Posture Management(CSPM) 콘솔을 엽니다.

  2. Security Hub CSPM으로 이동을 선택합니다. Organizations 관리 계정에 로그인하라는 메시지가 표시됩니다.

  3. 위임된 관리자 지정 페이지의 위임된 관리자 계정 섹션에서 위임된 관리자 계정을 지정합니다. 다른 AWS 보안 및 규정 준수 서비스에 설정한 것과 동일한 위임된 관리자를 선택하는 것이 좋습니다.

  4. 위임된 관리자 설정을 선택합니다.

Security Hub CSPM API

Organizations 관리 계정에서 EnableOrganizationAdminAccount API를 호출합니다. Security Hub CSPM 위임된 관리자 계정의 AWS 계정 ID를 입력합니다.

AWS CLI

조직 관리 계정에서 enable-organization-admin-account 명령을 실행합니다. Security Hub CSPM 위임된 관리자 계정의 AWS 계정 ID를 입력합니다.

명령 예제:

aws securityhub enable-organization-admin-account --admin-account-id 777788889999

Organizations와의 통합에 대한 자세한 내용은 Security Hub CSPM과 통합 AWS Organizations 섹션을 참조하세요.

중앙 구성

Security Hub CSPM과 Organizations를 통합하면 중앙 구성이라는 기능을 사용하여 조직의 Security Hub CSPM을 설정하고 관리할 수 있습니다. 중앙 구성을 사용하면 관리자가 조직의 보안 적용 범위를 사용자 지정할 수 있으므로 중앙 구성 사용을 권장합니다. 적절한 경우, 위임된 관리자는 구성원 계정이 자체 보안 범위 설정을 구성하도록 허용할 수 있습니다.

중앙 구성을 사용하면 위임된 관리자가 계정, OUs AWS 리전. 위임된 관리자는 구성 정책을 생성하여 Security Hub CSPM을 구성합니다. 구성 정책 내에서 다음 설정을 지정할 수 있습니다.

  • Security Hub CSPM의 활성화 또는 비활성화 여부

  • 활성화 및 비활성화되는 보안 표준

  • 활성화 및 비활성화되는 보안 제어

  • 일부 제어의 파라미터를 사용자 지정할지 여부

위임된 관리자는 전체 조직에 대한 단일 구성 정책을 만들거나 다양한 계정 및 OU에 대해 서로 다른 구성 정책을 만들 수 있습니다. 예를 들어, 테스트 계정과 프로덕션 계정은 서로 다른 구성 정책을 사용할 수 있습니다.

구성 정책을 사용하는 구성원 계정 및 OU는 중앙 관리형이며 위임된 관리자만 구성할 수 있습니다. 위임된 관리자는 특정 구성원 계정과 OU를 자체 관리형으로 지정하여 구성원이 리전별로 자체 설정을 구성할 수 있도록 할 수 있습니다.

중앙 구성을 사용하지 않는 경우 각 계정 및 리전에서 Security Hub CSPM을 별도로 구성해야 합니다. 이를 로컬 구성이라고 합니다. 로컬 구성에서 위임된 관리자는 현재 리전의 새 조직 계정에서 Security Hub CSPM 및 제한된 보안 표준 세트를 자동으로 활성화할 수 있습니다. 로컬 구성은 기존 조직 계정 또는 현재 리전 이외의 리전에는 적용되지 않습니다. 또한 로컬 구성에서는 구성 정책 사용을 지원하지 않습니다.

Security Hub CSPM 수동 활성화

독립 실행형 계정이 있거나와 통합되지 않은 경우 Security Hub CSPM을 수동으로 활성화해야 합니다 AWS Organizations. 독립 실행형 계정은 AWS Organizations 와 통합할 수 없으며 수동 활성화를 사용해야 합니다.

Security Hub CSPM을 수동으로 활성화하면 Security Hub CSPM 관리자 계정을 지정하고 다른 계정을 멤버 계정으로 초대합니다. 예비 구성원 계정이 관리자 계정의 초대를 수락하면 Security Hub 관리자-구성원 관계가 성립됩니다.

원하는 방법을 선택하고 단계에 따라 Security Hub CSPM을 활성화합니다. 콘솔에서 Security Hub CSPM을 활성화하면 지원되는 보안 표준을 활성화할 수도 있습니다.

Security Hub CSPM console

  1. https://console.aws.amazon.com/securityhub/ AWS Security Hub Cloud Security Posture Management(CSPM) 콘솔을 엽니다.

  2. Security Hub CSPM 콘솔을 처음 열 때 Security Hub CSPM으로 이동을 선택합니다.

  3. 시작 페이지의 보안 표준 섹션에는 Security Hub CSPM이 지원하는 보안 표준이 나열되어 있습니다.

    표준을 활성화하려면 확인란을 선택하고, 비활성화하려면 확인란의 선택을 취소합니다.

    언제든지 표준 또는 해당 개별 제어를 활성화하거나 비활성화할 수 있습니다. 관리형 보안 표준에 대한 자세한 정보는 Security Hub CSPM의 보안 표준 이해 섹션을 참조하세요.

  4. Security Hub 활성화를 선택합니다.

Security Hub CSPM API

EnableSecurityHub API를 호출합니다. API에서 Security Hub CSPM을 활성화하면 다음과 같은 기본 보안 표준이 자동으로 활성화됩니다.

  • AWS 기본 보안 모범 사례

  • Center for Internet Security(CIS) AWS Foundations Benchmark v1.2.0

이러한 표준을 사용하지 않으려면 EnableDefaultStandardsfalse로 설정합니다.

Tags 파라미터를 사용하여 허브 리소스에 태그 값을 할당할 수도 있습니다.

AWS CLI

enable-security-hub 명령을 실행합니다. 기본 표준을 활성화하려면 --enable-default-standards을 포함하세요. 기본 표준을 활성화하지 않으려면 --no-enable-default-standards을 포함하세요. 기본 보안 표준은 다음과 같습니다.

  • AWS 기본 보안 모범 사례

  • Center for Internet Security(CIS) AWS Foundations Benchmark v1.2.0

aws securityhub enable-security-hub [--tags <tag values>] [--enable-default-standards | --no-enable-default-standards]

예제

aws securityhub enable-security-hub --enable-default-standards --tags '{"Department": "Security"}'

다중 계정 활성화 스크립트

참고

이 스크립트 대신 중앙 구성을 사용하여 여러 계정 및 리전에서 Security Hub CSPM을 활성화하고 구성하는 것이 좋습니다.

GitHub의 Security Hub CSPM 다중 계정 활성화 스크립트를 사용하면 계정 및 리전에서 Security Hub CSPM을 활성화할 수 있습니다. 또한 이 스크립트는 구성원 계정에 초대를 보내고 AWS Config을 활성화하는 프로세스를 자동화합니다.

스크립트는 모든 리전에서 글로벌 AWS Config 리소스를 포함한 모든 리소스에 대한 리소스 기록을 자동으로 활성화합니다. 글로벌 리소스 기록을 단일 리전으로 제한하지 않습니다. 비용을 절약하려면 단일 리전에만 글로벌 리소스를 기록하는 것이 좋습니다. 중앙 구성 또는 교차 리전 집계를 사용하는 경우 홈 리전이어야 합니다. 자세한 내용은 에서 리소스 기록 AWS Config 단원을 참조하십시오.

계정 및 리전 간에 Security Hub CSPM을 비활성화하는 해당 스크립트가 있습니다.

다음 단계: 태세 관리 및 통합

Security Hub CSPM을 활성화한 후 보안 표준 및 제어를 활성화하여 보안 태세를 모니터링하는 것이 좋습니다. 제어를 활성화하면 Security Hub CSPM은 보안 검사를 실행하고 AWS 환경에서 잘못된 구성을 감지하는 데 도움이 되는 제어 조사 결과를 생성하기 시작합니다. 제어 조사 결과를 수신하려면 Security Hub CSPM AWS Config 에 대해를 활성화하고 구성해야 합니다. 자세한 내용은 Security Hub CSPM AWS Config 에 대한 활성화 및 구성 단원을 참조하십시오.

Security Hub CSPM을 활성화한 후 Security Hub CSPM과 기타 AWS 서비스 및 타사 솔루션 간의 통합을 활용하여 Security Hub CSPM에서 결과를 확인할 수도 있습니다. Security Hub CSPM은 다양한 소스의 결과를 집계하고 일관된 형식으로 수집합니다. 자세한 내용은 Security Hub CSPM의 통합 이해 단원을 참조하십시오.