Security Hub CSPM에서 AWS Config 활성화 및 구성
AWS Security Hub CSPM은 AWS Config 규칙을 사용하여 보안 검사를 실행하고 대부분의 제어에 대한 결과를 생성합니다. AWS Config는 AWS 계정의 AWS 리소스 구성에 대한 자세한 보기를 제공합니다. 규칙을 사용하여 리소스의 기준 구성을 설정하고 구성 레코더를 사용하여 특정 리소스가 규칙 조건을 위반하는지 여부를 탐지합니다.
AWS Config 관리형 규칙이라고 하는 일부 규칙은 AWS Config에서 사전 정의 및 개발됩니다. 다른 규칙은 Security Hub CSPM이 개발하는 사용자 지정 AWS Config 규칙입니다. Security Hub CSPM이 제어에 사용하는 AWS Config 규칙은 서비스 연결 규칙이라고 합니다. 서비스 연결 규칙을 사용하면 Security Hub CSPM과 같은 AWS 서비스가 계정에서 AWS Config 규칙을 생성할 수 있습니다.
Security Hub CSPM에서 제어 조사 결과를 수신하려면 계정에서 AWS Config를 활성화해야 합니다. 또한 활성화된 제어가 평가하는 리소스 유형에 대해 리소스 기록을 켜야 합니다. 그러면 Security Hub CSPM이 제어에 대한 적절한 AWS Config 규칙을 생성하고, 보안 검사를 실행하고, 제어에 대한 조사 결과를 생성할 수 있습니다.
주제
AWS Config 활성화 및 구성 전 고려 사항
Security Hub CSPM에서 제어 조사 결과를 수신하려면 Security Hub CSPM이 활성화된 각 AWS 리전 계정에서 AWS Config를 활성화해야 합니다. 다중 계정 환경에 Security Hub CSPM을 사용하는 경우, 각 리전에서 관리자 계정 및 모든 멤버 계정에 대해 AWS Config를 활성화해야 합니다.
Security Hub CSPM 표준 및 제어를 활성화하기 전에 AWS Config에서 리소스 기록을 켜는 것을 강력히 권장합니다. 이렇게 하면 제어 조사 결과가 정확한지 확인할 수 있습니다.
AWS Config에서 리소스 기록을 켜려면 구성 레코더에 연결된 AWS Identity and Access Management(IAM) 역할에 리소스를 기록할 수 있는 충분한 권한이 있어야 합니다. 또한 AWS Config가 리소스를 기록할 수 있는 권한을 금지하는 IAM 정책 또는 AWS Organizations 정책이 없어야 합니다. Security Hub CSPM 제어는 리소스 구성을 직접 평가하며 AWS Organizations 정책을 고려하지 않습니다. AWS Config 기록에 대한 자세한 내용은 AWS Config 개발자 안내서의 구성 레코더 작업을 참조하세요.
Security Hub CSPM에서 표준을 활성화했지만 AWS Config를 활성화하지 않은 경우, Security Hub CSPM은 다음 일정에 따라 서비스 연결 AWS Config 규칙을 생성하려고 시도합니다.
-
표준을 활성화한 당일.
-
표준을 활성화한 후 익일.
-
표준을 활성화한지 3일 후.
-
표준을 활성화한지 7일 후 및 이후 7일마다 계속.
중앙 구성을 사용하는 경우, Security Hub CSPM은 계정, 조직 단위(OU) 또는 루트에서 하나 이상의 표준을 활성화하는 구성 정책을 연결할 때마다 서비스 연결 AWS Config 규칙을 생성하려고 시도합니다.
AWS Config의 리소스 기록
AWS Config를 활성화할 때 AWS Config 구성 레코더가 기록할 AWS 리소스를 지정해야 합니다. 구성 레코더를 사용하면 Security Hub CSPM이 서비스 연결 규칙을 통해 리소스 구성의 변경 사항을 탐지할 수 있습니다.
Security Hub CSPM이 정확한 제어 조사 결과를 생성하려면 활성화된 제어에 해당하는 리소스 유형에 대해 AWS Config 기록을 켜야 합니다. 주로 변경 트리거 일정 유형의 활성화된 제어에 리소스 기록이 필요합니다. 일정 유형이 주기적인 일부 제어에도 리소스 기록이 필요합니다. 이러한 제어 및 관련 리소스의 목록은 제어 조사 결과에 필요한 AWS Config 리소스 섹션을 참조하세요.
주의
Security Hub CSPM 제어에 대한 AWS Config 기록을 올바르게 구성하지 않으면, 특히 다음 경우에 제어 결과가 부정확해질 수 있습니다.
-
지정된 제어에 대한 리소스를 전혀 기록하지 않았거나 해당 유형의 리소스를 생성하기 전에 리소스 기록을 비활성화했습니다. 이러한 경우, 기록을 비활성화한 후 제어 범위에서 리소스를 생성했더라도 해당 제어에 대한
WARNING조사 결과를 수신하게 됩니다. 이WARNING조사 결과는 리소스의 구성 상태를 실제로 평가하지 않는 기본 조사 결과입니다. -
특정 제어가 평가하는 리소스에 대한 기록을 비활성화합니다. 이 경우 Security Hub CSPM은 해당 제어가 새 리소스 또는 업데이트된 리소스를 평가하지 않더라도 기록을 비활성화하기 전에 생성된 제어 조사 결과를 유지합니다. 또한 Security Hub CSPM은 조사 결과의 규정 준수 상태를
WARNING으로 변경합니다. 이러한 보관된 조사 결과는 리소스의 현재 구성 상태를 정확하게 반영하지 않을 수 있습니다.
기본적으로 AWS Config는 실행 중인 AWS 리전에서 검색하는 모든 지원되는 유형의 리전 리소스의 구성 변경 사항을 기록합니다. 모든 Security Hub CSPM 제어 조사 결과를 수신하려면 글로벌 리소스도 기록하도록 AWS Config를 구성해야 합니다. 비용을 절약하려면 단일 리전에서만 글로벌 리소스를 기록하는 것이 좋습니다. 중앙 구성 또는 교차 리전 집계를 사용할 때는 이 리전이 홈 리전이어야 합니다.
AWS Config에서 리소스 상태의 변화에 대한 연속 기록과 일일 기록 중에서 선택할 수 있습니다. 일별 기록을 선택하면 리소스 상태가 변경될 경우, AWS Config는 24시간 기간이 완료될 때마다 리소스 구성 데이터를 제공합니다. 변경 사항이 없는 경우에는 데이터가 제공되지 않습니다. 이로 인해 24시간 기간이 완료될 때까지 변경 트리거 제어에 대한 Security Hub CSPM 조사 결과 생성이 지연될 수 있습니다.
AWS Config 기록에 대한 자세한 내용은 AWS Config 개발자 안내서의 AWS 리소스 기록을 참조하세요.
AWS Config를 활성화 및 구성하는 방법
다음 방법 중 하나를 사용하여 AWS Config를 활성화하고 리소스 기록을 켤 수 있습니다.
-
AWS Config 콘솔 - AWS Config 콘솔을 사용하여 계정에 대해 AWS Config를 활성화할 수 있습니다. 자세한 지침은 AWS Config 개발자 안내서의 콘솔을 사용하여 AWS Config 설정을 참조하세요.
-
AWS CLI 또는 SDK - AWS Command Line Interface(AWS CLI)를 사용하여 계정에 대해 AWS Config를 활성화할 수 있습니다. 자세한 지침은 AWS Config 개발자 안내서의 AWS CLI를 사용하여 AWS Config 설정을 참조하세요. AWS 소프트웨어 개발 키트(SDK)도 여러 프로그래밍 언어에서 사용할 수 있습니다.
-
CloudFormation 템플릿 - 여러 계정에 대해 AWS Config를 활성화하려면 AWS Config 활성화라는 AWS CloudFormation 템플릿을 사용하는 것이 좋습니다. 이 템플릿에 액세스하려면 AWS CloudFormation 사용 설명서의 AWS CloudFormation StackSet 샘플 템플릿을 참조하세요.
기본적으로 이 템플릿은 IAM 글로벌 리소스의 기록을 제외합니다. 기록 비용을 절약하려면 하나의 AWS 리전에서만 IAM 글로벌 리소스 기록을 켜야 합니다. 교차 리전 집계를 활성화한 경우에는 이 리전이 Security Hub CSPM 홈 리전이어야 합니다. 그렇지 않으면 IAM 글로벌 리소스 기록을 지원하는 Security Hub CSPM을 사용할 수 있는 모든 리전이 될 수 있습니다. StackSet 하나를 실행하여 홈 리전 또는 다른 선택한 리전에서 IAM 글로벌 리소스를 포함한 모든 리소스를 기록하는 것이 좋습니다. 그런 다음 두 번째 StackSet를 실행하여 다른 리전에서 글로벌 리소스를 제외한 모든 리소스를 기록합니다.
-
Github 스크립트 - Security Hub CSPM은 여러 리전의 여러 계정에 대해 Security Hub CSPM과 AWS Config를 활성화하는 GitHub 스크립트
를 제공합니다. 이 스크립트는 AWS Organizations와 통합하지 않은 경우 또는 조직에 속하지 않은 멤버 계정이 있는 경우에 유용합니다.
자세한 내용은 AWS 보안 블로그: AWS Security Hub CSPM에 대한 AWS Config를 최적화하여 클라우드 보안 태세를 효과적으로 관리
Config.1 제어 이해
Security Hub CSPM에서 Config.1 제어는 AWS Config가 비활성화된 경우 계정에 FAILED 조사 결과를 생성합니다. 또한 AWS Config가 활성화되어 있지만 리소스 기록이 켜져 있지 않은 경우에도 계정에 FAILED 조사 결과를 생성합니다.
AWS Config이 활성화되어 있고 리소스 기록이 켜져 있지만 활성화된 제어가 확인하는 리소스 유형에 대해 리소스 기록이 켜져 있지 않은 경우에는 Security Hub CSPM이 Config.1 제어에 대해 FAILED 조사 결과를 생성합니다. 이 FAILED 조사 결과 외에도 Security Hub CSPM은 활성화된 제어 및 해당 제어가 확인하는 리소스 유형에 대해 WARNING 조사 결과를 생성합니다. 예를 들어 KMS.5 제어를 활성화하고 AWS KMS keys에 대해 리소스 기록이 켜져 있지 않은 경우 Security Hub CSPM은 Config.1 제어에 대해 FAILED 조사 결과를 생성합니다. Security Hub CSPM은 KMS.5 제어 및 KMS 키에 대해서도 WARNING 조사 결과를 생성합니다.
Config.1 제어에 대한 PASSED 조사 결과를 수신하려면 활성화된 제어에 해당하는 모든 리소스 유형에 대해 리소스 기록을 켭니다. 또한 조직에 필요하지 않은 제어를 비활성화합니다. 이렇게 하면 보안 제어 검사에서 구성 격차를 없앨 수 있습니다. 또한 잘못 구성된 리소스에 대한 정확한 조사 결과를 수신할 수 있습니다.
조직의 위임된 Security Hub CSPM 관리자인 경우 해당 계정 및 멤버 계정에 대해 AWS Config 기록이 올바르게 구성되어야 합니다. 교차 리전 집계를 사용하는 경우 홈 리전 및 연결된 모든 리전에서 AWS Config 기록을 올바르게 구성해야 합니다. 글로벌 리소스는 연결된 리전에서 기록할 필요가 없습니다.
서비스 연결 규칙 생성
서비스 연결 AWS Config 규칙을 사용하는 모든 제어에 대해 Security Hub CSPM은 AWS 환경에서 필요한 규칙의 인스턴스를 생성합니다.
이러한 서비스 연결 규칙은 Security Hub CSPM에 특정합니다. 동일한 규칙의 다른 인스턴스가 이미 존재하는 경우에도 Security Hub CSPM은 이러한 서비스 연결 규칙을 생성합니다. 서비스 연결 규칙은 원래 규칙 이름 앞에 securityhub를 추가하고 규칙 이름 뒤에 고유한 식별자를 추가합니다. 예를 들어, AWS Config 관리형 규칙 vpc-flow-logs-enabled의 경우, 서비스 연결 규칙 이름은 securityhub-vpc-flow-logs-enabled-12345와 같을 수 있습니다.
제어를 평가하는 데 사용할 수 있는 AWS Config 관리형 규칙의 수에는 할당량이 있습니다. Security Hub CSPM이 생성하는 AWS Config 규칙은 이 할당량에 포함되지 않습니다. 계정이 관리형 규칙에 대한 AWS Config 할당량에 이미 도달했더라도 보안 표준을 활성화할 수 있습니다. AWS Config 규칙 할당량에 대해 자세히 알아보려면 AWS Config 개발자 안내서의 AWS Config의 서비스 한도를 참조하세요.
비용 고려 사항
Security Hub CSPM은 AWS::Config::ResourceCompliance 구성 항목을 업데이트하여 AWS Config 구성 레코더 비용에 영향을 줄 수 있습니다. AWS Config 규칙과 관련된 Security Hub CSPM 제어가 규정 준수 상태를 변경하거나 활성화 또는 비활성화될 때마다 업데이트가 발생할 수 있습니다. AWS Config 구성 레코더를 Security Hub CSPM에만 사용하고 이 구성 항목을 다른 용도로는 사용하지 않는 경우, AWS Config에서 해당 레코더에 대한 기록을 끄는 것이 좋습니다. 이렇게 하면 AWS Config 비용을 줄일 수 있습니다. Security Hub CSPM에서 보안 검사를 실행하기 위해 AWS::Config::ResourceCompliance를 기록할 필요는 없습니다.
리소스 기록과 관련된 비용에 대한 자세한 내용은 AWS Security Hub CSPM 요금
