서비스 관리형 표준:AWS Control Tower - AWSSecurity Hub
서비스 관리형 표준이란 무엇입니까AWS Control Tower?표준 생성표준의 제어 활성화 및 비활성화활성화 상태 및 제어 상태 보기표준 삭제서비스 관리형 표준의 결과 필드 형식:AWS Control Tower서비스 관리형 표준에 적용되는 제어:AWS Control Tower

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

서비스 관리형 표준:AWS Control Tower

이 섹션에서는 서비스 관리형 표준에 대한 정보를 제공합니다AWS Control Tower.

서비스 관리형 표준이란 무엇입니까AWS Control Tower?

서비스 관리형 표준: Security Hub 제어의 하위 집합을 지원하는를 AWS Control Tower관리하는 서비스 관리형 표준AWS Control Tower입니다. 이 표준은 AWSSecurity Hub CSPM 및 사용자를 위해 설계되었습니다AWS Control Tower. 이를 통해 AWS Control Tower서비스에서 Security Hub CSPM의 탐지 제어를 구성할 수 있습니다.

탐지 제어 기능은 AWS 계정 내의 리소스 비준수(예제: 잘못된 구성)를 감지합니다.

작은 정보

서비스 관리형 표준은 AWSSecurity Hub CSPM이 관리하는 표준과 다릅니다. 예를 들어, 관리 서비스에서 서비스 관리형 표준을 만들고 삭제해야 합니다. 자세한 내용은 Security Hub CSPM의 서비스 관리형 표준 단원을 참조하십시오.

를 통해 Security Hub CSPM 제어를 활성화하면 AWS Control TowerControl Tower는 아직 활성화되지 않은 경우 해당 특정 계정 및 리전에서 Security Hub CSPM도 활성화합니다. Security Hub CSPM 콘솔 및 API에서 표준이 활성화된 후 다른 Security Hub CSPM 표준과 AWS Control Tower함께 서비스 관리형 표준:을 볼 수 있습니다AWS Control Tower.

이 표준에 대한 자세한 내용은 AWS Control Tower 사용 설명서Security Hub CSPM 제어를 참조하세요.

표준 생성

이 표준은 Security Hub CSPM 제어를 활성화한 경우에만 Security Hub CSPM에서 사용할 수 있습니다AWS Control Tower.AWS Control Tower는 다음 방법 중 하나를 사용하여 적용 가능한 제어를 처음 활성화할 때 표준을 생성합니다.

를 통해 Security Hub CSPM 제어를 활성화할 때 Security Hub CSPM을 아직 활성화하지 않은 AWS Control Tower경우는 해당 특정 계정 및 리전에서 Security Hub CSPMAWS Control Tower도 활성화합니다.

Control Catalog의 제어 ID로 Security Hub CSPM 제어를 식별하려면의 필드를 사용할 수 Implementation.Identifier 있습니다AWS Control Tower. 이 필드는 Security Hub CSPM 제어 ID에 매핑되며 특정 제어 ID를 필터링하는 데 사용할 수 있습니다. 에서 특정 Security Hub CSPM 제어(예: "CodeBuild.1")에 대한 제어 메타데이터를 검색하려면 ListControls API를 사용할 AWS Control Tower수 있습니다.

aws controlcatalog list-controls --filter '{"Implementations":{"Identifiers":["CodeBuild.1"],"Types":["AWS::SecurityHub::SecurityControl"]}}'

Security Hub CSPM 콘솔, Security Hub CSPM API에서 또는 먼저 위의 방법 중 하나를 AWS Control Tower사용하여 Security Hub CSPM 제어를 설정하고AWS Control Tower 활성화하지 AWS CLI않으면이 표준을 보거나 액세스할 수 없습니다.

이 표준은를 사용할 수 AWS 리전있는 에서만 사용할 수 AWS Control Tower있습니다.

표준의 제어 활성화 및 비활성화

를 통해 Security Hub CSPM 제어를 활성화AWS Control Tower하고 서비스 관리형 표준:AWS Control Tower표준이 생성된 후 Security Hub CSPM에서 표준 및 사용 가능한 제어를 볼 수 있습니다.

Security Hub CSPM이 서비스 관리형 표준:AWS Control Tower표준에 새 제어를 추가하면 표준이 활성화된 고객에게 자동으로 활성화되지 않습니다. 다음 방법 중 하나를 AWS Control Tower사용하여에서 표준에 대한 제어를 활성화 및 비활성화해야 합니다.

에서 제어의 활성화 상태를 변경하면 변경 AWS Control Tower사항이 Security Hub CSPM에도 반영됩니다.

그러나 Security Hub CSPM에서 제어를 비활성화하면 제어 드리프트가 AWS Control Tower발생합니다. 의 제어 상태는 로 AWS Control Tower표시됩니다Drifted. ResetEnabledControl API를 사용하여 드리프트에 있는 컨트롤을 재설정하거나 AWS Control Tower콘솔에서 OU 재등록을 선택하거나 위의 방법 중 하나를 AWS Control Tower사용하여에서 컨트롤을 비활성화하고 다시 활성화하여이 드리프트를 해결할 수 있습니다.

에서 활성화 및 비활성화 작업을 완료하면 제어 드리프트를 방지하는 AWS Control Tower데 도움이 됩니다.

에서 제어를 활성화하거나 비활성화하면 AWS Control Tower작업이 관리되는 계정 및 리전에 적용됩니다AWS Control Tower. Security Hub CSPM에서 제어를 활성화 및 비활성화하는 경우(이 표준에서는 권장되지 않음) 작업은 현재 계정 및 리전에만 적용됩니다.

참고

중앙 구성은 서비스 관리형 표준을 관리하는 데 사용할 수 없습니다AWS Control Tower. 이 표준에서는 AWS Control Tower서비스 사용하여 제어를 활성화 및 비활성화할 수 있습니다.

활성화 상태 및 제어 상태 보기

다음 방법 중 하나를 사용하여 제어의 활성화 상태를 볼 수 있습니다.

  • Security Hub CSPM 콘솔, Security Hub CSPM API 또는AWS CLI

  • AWS Control Tower콘솔

  • AWS Control Tower활성화된 제어 목록을 볼 수 있는 API(ListEnabledControlsAPI 호출)

  • AWS CLI활성화된 제어 목록을 보려면(list-enabled-controls명령 실행)

Security Hub CSPM에서 제어를 명시적으로 활성화하지 않는 한 Disabled에서 비활성화한 제어AWS Control Tower는 Security Hub CSPM에서 활성화 상태가 입니다.

Security Hub CSPM은 제어 조사 결과의 워크플로 상태 및 규정 준수 상태를 기반으로 제어 상태를 계산합니다. 활성화 상태 및 제어 상태에 대한 자세한 내용은 Security Hub CSPM에서 제어 세부 정보 검토 섹션을 참조하세요.

Security Hub CSPM은 제어 상태를 기반으로 서비스 관리형 표준의 보안 점수를 계산합니다AWS Control Tower. 이 점수는 Security Hub CSPM에서만 사용할 수 있습니다. 또한 Security Hub CSPM에서는 제어 조사 결과만 볼 수 있습니다. 표준 보안 점수 및 제어 조사 결과는에서 사용할 수 없습니다AWS Control Tower.

참고

서비스 관리형 표준:에 대한 제어를 활성화하면 AWS Control TowerSecurity Hub CSPM이 기존 AWS Config서비스 연결 규칙을 사용하는 제어에 대한 조사 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. Security Hub CSPM에서 다른 표준 및 제어를 활성화한 경우, 기존 서비스 연결 규칙이 있을 수 있습니다. 자세한 내용은 보안 검사 실행 예약 단원을 참조하십시오.

표준 삭제

다음 방법 중 하나를 사용하여 적용 가능한 모든 제어를 비활성화AWS Control Tower하여에서이 서비스 관리형 표준을 삭제할 수 있습니다.

모든 제어를 비활성화하면 AWS Control Tower의 모든 관리 계정 및 관리되는 리전의 표준이 삭제됩니다. 에서 표준을 삭제하면 Security Hub CSPM 콘솔의 표준 페이지에서 AWS Control Tower제거되며 Security Hub CSPM API 또는를 사용하여 더 이상 액세스할 수 없습니다AWS CLI.

참고

Security Hub CSPM의 표준에서 모든 제어를 비활성화해도 표준이 비활성화되거나 삭제되지는 않습니다.

Security Hub CSPM 서비스를 비활성화하면 서비스 관리형 표준 AWS Control Tower및 활성화한 기타 표준이 제거됩니다.

서비스 관리형 표준의 결과 필드 형식:AWS Control Tower

서비스 관리형 표준을 생성하고 이에 대한 제어를 AWS Control Tower활성화하면 Security Hub CSPM에서 제어 조사 결과를 수신하기 시작합니다. Security Hub CSPM은 제어 조사 결과를 AWSSecurity Finding 형식(ASFF)으로 보고합니다. 다음은 이 표준의 Amazon 리소스 이름(ARN) 및 GeneratorId에 대한 ASFF 값입니다.

  • 표준 ARNarn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

  • GeneratorIdservice-managed-aws-control-tower/v/1.0.0/CodeBuild.1

서비스 관리형 표준:에 대한 샘플 결과는 섹션을 AWS Control Tower참조하세요제어 조사 결과 샘플.

서비스 관리형 표준에 적용되는 제어:AWS Control Tower

서비스 관리형 표준: AWS기본 보안 모범 사례(FSBP) 표준의 일부인 제어의 하위 집합을 AWS Control Tower지원합니다. 실패 조사 결과에 대한 문제 해결 단계를 포함하여 이에 대한 정보를 보려면 제어를 선택하세요.

어떤 Security Hub CSPM 제어가 지원되는AWS Control Tower지 확인하려면 다음 방법 중 하나를 사용할 수 있습니다.

  • AWS필터링할 수 있는 Control Catalog 콘솔 “Control owner =AWSSecurity Hub”

  • AWS에서 Implementations 확인할 필터가 있는 Control Catalog API(ListControlsAPI 호출)는 Types입니다. AWS::SecurityHub::SecurityControl

  • AWS CLI용 필터를 사용하여 (list-controls명령 실행) Implementations CLI 명령 예제:

    aws controlcatalog list-controls --filter '{"Implementations":{"Types":["AWS::SecurityHub::SecurityControl"]}}'

Control Tower 표준을 통해 활성화된 경우 Security Hub CSPM 제어에 대한 리전별 제한은 기본 제어에 대한 리전별 제한과 일치하지 않을 수 있습니다.

Security Hub CSPM에서 계정에서 통합 제어 조사 결과가 꺼져 있는 경우 생성된 조사 결과의 ProductFields.ControlId 필드는 표준 기반 제어 ID를 사용합니다. 표준 기반 제어 ID는 CT.ControlId(예제: CT.CodeBuild.1)로 형식이 지정됩니다.

이 표준에 대한 자세한 내용은 AWS Control Tower 사용 설명서Security Hub CSPM 제어를 참조하세요.