보안 점수 계산
AWS Security Hub CSPM 콘솔의 요약 페이지 및 제어 페이지에는 모든 활성화된 표준에 대한 요약 보안 점수가 표시됩니다. 또한 보안 표준 페이지에서 Security Hub CSPM은 활성화된 각 표준에 대해 0~100%의 보안 점수를 표시합니다.
Security Hub CSPM을 처음 활성화하면 Security Hub CSPM은 사용자가 콘솔의 요약 페이지 또는 보안 표준 페이지를 처음 방문한 후 30분 이내에 요약 보안 점수와 표준 보안 점수를 계산합니다. 점수는 콘솔에서 해당 페이지를 방문할 때 활성화된 표준에 대해서만 생성됩니다. 또한 점수가 표시되도록 AWS Config 리소스 기록을 구성해야 합니다. 요약 보안 점수는 표준 보안 점수의 평균입니다. 현재 활성화된 표준의 목록을 검토하려면 Security Hub CSPM API의 GetEnabledStandards 작업을 사용할 수 있습니다.
Security Hub CSPM은 점수를 처음 생성한 후 24시간마다 보안 점수를 업데이트합니다. Security Hub CSPM은 보안 점수가 마지막으로 업데이트된 시점을 나타내는 타임스탬프를 표시합니다. 참고로 중국 리전 및 AWS GovCloud (US) Regions에 처음으로 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
통합 제어 조사 결과를 켜면 보안 점수가 업데이트되는 데 최대 24시간이 걸릴 수 있습니다. 또한 새로운 집계 리전을 활성화하거나 연결된 리전을 업데이트하면 기존 보안 점수가 재설정됩니다. Security Hub CSPM이 업데이트된 리전의 데이터를 포함하는 새로운 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다.
보안 점수 계산 방법
보안 점수는 활성화된 제어에 대한 통과된 제어의 비율을 나타냅니다. 점수는 가장 가까운 정수로 반올림되거나 반내림된 백분율로 표시됩니다.
Security Hub CSPM은 활성화된 모든 표준에 대한 요약 보안 점수를 계산합니다. 또한 Security Hub CSPM은 활성화된 각 표준에 대한 보안 점수를 계산합니다. 점수 계산을 위해, 활성화된 제어에는 통과, 실패 및 알 수 없음 상태의 제어가 포함됩니다. 데이터 없음 상태인 제어는 점수 계산에서 제외됩니다.
Security Hub CSPM은 제어 상태를 계산할 때 보관된 조사 결과와 억제된 조사 결과를 무시합니다. 이는 보안 점수에 영향을 미칠 수 있습니다. 예를 들어, 제어에 대한 모든 실패 조사 결과를 숨기면 상태가 통과로 바뀌어 보안 점수를 높일 수 있습니다. 제어 상태에 대한 자세한 내용은 규정 준수 상태 및 제어 상태 평가 섹션을 참조하세요.
채점 예제:
| 표준 | 통과된 제어 | 실패한 제어 | 알 수 없는 제어 | 표준 점수 |
|---|---|---|---|---|
|
AWS 기본 보안 모범 사례 v1.0.0 |
168 |
22 |
0 |
88% |
|
CIS AWS Foundations Benchmark v1.4.0 |
8 |
29 |
0 |
22% |
|
CIS AWS Foundations Benchmark v1.2.0 |
6 |
35 |
0 |
15% |
|
NIST 특별 간행물 800-53 개정 5 |
159 |
56 |
0 |
74% |
|
PCI DSS v3.2.1 |
28 |
17 |
0 |
62% |
요약 보안 점수를 계산할 때 Security Hub CSPM은 표준 전체에서 각 제어를 한 번만 계산합니다. 예를 들어, 세 가지 활성화된 표준에 적용되는 제어를 활성화한 경우, 채점 목적상 하나의 활성화된 제어로만 계산됩니다.
이 예제에서는 활성화된 표준 전체에 걸쳐 활성화된 제어의 총 개수가 528개이지만 Security Hub CSPM은 채점 목적으로 각 고유 제어를 한 번만 계산합니다. 활성화된 고유한 제어의 수는 528개 미만일 수 있습니다. 활성화된 고유한 제어의 수가 515개이고 통과한 고유 제어의 수가 357개라고 가정할 경우, 요약 점수는 69% 입니다. 이 점수는 통과된 고유 제어의 수를 활성화된 고유 제어의 수로 나누어 계산합니다.
현재 리전의 계정에 하나의 표준만 활성화했더라도 요약 점수가 표준 보안 점수와 다를 수 있습니다. 관리자 계정에 로그인하고 멤버 계정에 추가 표준이나 다른 표준이 활성화되어 있는 경우, 이런 현상이 발생할 수 있습니다. 집계 영역의 점수를 보는 도중 연결된 리전에 추가 표준이나 다른 표준이 활성화되어 있는 경우에도 이런 현상이 발생할 수 있습니다.
관리자 계정의 보안 점수
관리자 계정에 로그인한 경우, 요약 보안 점수 및 표준 점수는 관리자 계정 및 모든 구성원 계정의 제어 상태를 반영합니다.
멤버 계정이 하나라도 제어 상태가 실패인 경우, 관리자 계정에서는 해당 제어의 상태가 실패로 표시되며 관리자 계정 점수에 영향을 줍니다.
관리자 계정으로 로그인하고 집계 리전에서 점수를 보는 경우, 보안 점수는 모든 구성원 계정 및 모든 연결된 리전의 제어 상태를 반영합니다.
집계 리전을 설정한 경우, 보안 점수
집계 AWS 리전를 설정한 경우, 요약 보안 점수와 표준 점수가 모든 연결된 영역에서의 제어 상태를 반영합니다.
하나의 연결된 리전에서라도 제어 상태가 실패인 경우, 집계 리전에서도 해당 제어의 상태가 실패로 표시되며 집계 리전 점수에 영향을 줍니다.
관리자 계정으로 로그인하고 집계 리전에서 점수를 보는 경우, 보안 점수는 모든 구성원 계정 및 모든 연결된 리전의 제어 상태를 반영합니다.
