View a markdown version of this page

Security Hub 개념 - AWS Security Hub

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Security Hub 개념

Security Hub에서는 일반적인 AWS 개념과 용어를 기반으로 이러한 추가 용어를 사용합니다.

Account

AWS 리소스가 포함된 표준 AWS 계정입니다. AWS AWS 계정으로에 로그인하여 Security Hub를 활성화합니다.

계정이에 등록된 경우 AWS Organizations조직에서 Security Hub 관리자 계정을 지정합니다. 이 계정은 다른 조직 계정을 멤버 계정으로 활성화할 수 있습니다.

조직은 관리자 계정을 1개만 보유할 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

Security Hub는 다음 계정을 지원합니다.

  • 조직 관리 계정 - AWS 조직을 관리하는 AWS 계정입니다.

  • 위임된 관리자 계정 - AWS 조직의 사용을 관리하는 AWS 계정 AWS 서비스 입니다.

  • 멤버 계정 - AWS 조직의 멤버인 AWS 계정입니다.

  • 독립 실행형 계정 - AWS Organizations 활성화되지 않은 AWS 계정

관리자 계정

이 유형의 AWS 계정은 연결된 멤버 계정에 대한 조사 결과를 볼 수 있습니다.

이 유형의 AWS 계정은 조직 관리 계정이 Security Hub 관리자 계정으로 지정한 경우 관리자 계정이 됩니다. Security Hub 관리자 계정은 모든 조직 계정을 멤버 계정으로 활성화할 수 있으며 다른 계정을 멤버 계정으로 초대할 수도 있습니다.

조직은 관리자 계정을 1개만 보유할 수 있습니다. 한 계정이 관리자 계정이면서 동시에 멤버 계정일 수 없습니다.

집계 리전

집계 리전을 사용하면 단일 창에서 여러의 보안 결과를 볼 AWS 리전 수 있습니다.

집계 리전은 조사 결과를 보고 관리하는 AWS 리전 입니다. 조사 결과는 연결된 리전에서 집계 영역으로 집계됩니다. 업데이트된 조사 결과는 리전 전체에 복제됩니다.

집계 영역의 대시보드 및 인벤토리 페이지에는 모든 연결된 리전의 데이터가 포함됩니다. 자동화 페이지는 집계 영역에서 자동화 규칙을 정의하는 데만 사용할 수 있습니다. 서드 파티 티켓팅 통합은 집계 영역에서만 구성할 수 있습니다.

보관된 결과

상태가 ARCHIVED인 조사 결과입니다. 이러한 조사 결과는 조사 결과를 조사하는 조사 결과 공급자 또는 고객이 해당 조사 결과가 더 이상 관련성이 없다고 판단한다는 것을 나타냅니다.

조사 결과 공급자는 자신이 생성한 조사 결과를 보관할 수 있습니다. 고객은 Security Hub API의 BatchUpdateFindingsV2 작업을 사용하거나 Security Hub 콘솔에서 상태를 업데이트하여 더 이상 관련이 없다고 생각되는 모든 결과를 보관할 수 있습니다.

Security Hub 콘솔의 기본 필터 설정은 조사 결과 목록 및 테이블에서 보관된 결과를 제외합니다. 보관된 조사 결과를 포함하도록 필터를 업데이트할 수 있습니다. GetFindingsV2 작업을 사용하여 조사 결과를 검색하면 작업은 보관된 조사 결과와 활성 조사 결과를 모두 검색합니다. 다음 예제에서는 결과에서 보관된 조사 결과를 제외하는 방법을 보여줍니다.

{
    "StringFilters":
    [
        {
            "FieldName": "status",
            "Filter":
            {
                "Value": "Archived",
                "Comparison": "EQUALS"
            }
        }
    ]
}
교차 리전 집계

조사 결과 및 리소스가 연결된 리전에서 집계 영역으로 집계됩니다. 집계 영역에서 모든 데이터를 보고 조사 결과를 업데이트할 수 있습니다.

위임된 관리자 계정

에서 서비스의 AWS Organizations위임된 관리자 계정은 조직의 서비스 사용을 관리할 수 있습니다.

Security Hub에서 Security Hub 관리자 계정은 Security Hub의 위임된 관리자 계정이기도 합니다. 조직 관리 계정이 Security Hub 관리자 계정을 처음 지정하면 Security Hub가 조직을 호출하여 해당 계정을 위임된 관리자 계정으로 설정합니다.

그런 다음에는 조직 관리 계정이 모든 리전에서 Security Hub 관리자 계정으로 위임된 관리자 계정을 선택해야 합니다.

노출

노출이란 보안 제어, 잘못된 구성 또는 활성 위협으로 악용될 수 있는 기타 영역의 광범위한 약점입니다.

노출의 예는 다음과 같습니다.

  • 리소스에 대해 잘못 구성된 컨트롤 플레인입니다.

  • 악용 가능성이 높은 소프트웨어 취약성이 있습니다.

  • 공개적으로 액세스할 수 있는 리소스(네트워크 또는 API).

노출 조사 결과

환경에 존재하는 노출을 설명하는 조사 결과의 유형입니다. 노출 조사 결과에는 특성과 신호가 포함됩니다. 신호에는 여러 유형의 노출 특성이 포함될 수 있습니다. AWS Security Hub는 AWS Security Hub CSPM, Amazon Inspector, Amazon GuardDuty, Amazon Macie 또는 기타 AWS 서비스의 신호가 노출 여부를 나타낼 때 노출 결과를 생성합니다. 리소스는 하나 이상의 노출 결과에 관여할 수 있습니다. 리소스에 노출 특성이 없거나 부족한 경우 Security Hub는 해당 리소스에 대한 노출 조사 결과를 생성하지 않습니다.

노출 조사 결과의 예로는 인터넷에서 연결할 수 있고 악용 가능성이 높은 소프트웨어 취약성이 있는 EC2 인스턴스가 있습니다.

결과

보안 점검 또는 보안 관련 감지의 관찰 가능한 기록입니다. Security Hub는 다른 보안 조사 결과의 상관관계를 통해 조사 결과를 생성하고 업데이트합니다. 이를 노출 조사 결과라고 합니다. 조사 결과는 다른 AWS 서비스 및 타사 제품과의 통합에서도 얻을 수 있습니다.

수집 찾기

조사 결과를 Security Hub로 가져오는 것입니다. 조사 결과 수집 이벤트에는 새로운 조사 결과와 기존의 조사 결과에 대한 업데이트가 모두 포함됩니다.

연결된 리전

교차 리전 집계를 활성화하면 연결된 리전은 조사 결과 및 리소스 인벤토리를 집계 영역으로 집계하는 리전입니다.

연결된 리전에서 대시보드 및 인벤토리 페이지에는 이에 대한 조사 결과만 포함됩니다 AWS 리전.

개방형 사이버 보안 스키마 프레임워크(OCSF)

Open Cybersecurity Schema Framework(OCSF)는 사이버 보안 업계의 AWS 및 주요 파트너가 공동으로 수행하는 오픈 소스 작업입니다. OCSF는 일반적인 보안 이벤트에 대한 표준 스키마를 제공하고, 스키마 진화를 촉진하기 위한 버전 관리 기준을 정의하며, 보안 로그 생성자와 소비자를 위한 자체 거버넌스 프로세스를 포함합니다. 자세한 내용은 Security Hub의 OCSF 조사 결과를 참조하세요.

멤버 계정

관리자 계정에 조사 결과를 보고 조치를 취할 수 AWS 계정 있는 권한을 부여한 입니다. 이러한 종류의 AWS 계정 는 Security Hub 관리자 계정이 멤버 계정으로 활성화할 때 멤버 계정이 됩니다.

신호

노출 조사 결과에 기여하는 조사 결과입니다. 신호를 기여 조사 결과라고 할 수 있습니다. 신호는 Security Hub CSPM AWS Config또는 Amazon Inspector AWS 서비스와 같은 기타에서 발생할 수 있습니다.

서비스 연결 구성 레코더

서비스별 리소스에 대한 구성 데이터를 기록하는 데 사용되는 AWS Config 레코더 유형입니다. Security Hub는 이벤트 기반 접근 방식으로 이러한 레코더를 사용하여 노출 분석 적용 범위, 리소스 인벤토리 보고 및 태세 관리 제어 평가를 위한 리소스 구성 항목을 가져옵니다. 이 기능은 Essential 플랜 요금의 일부로 모든 Security Hub 고객에게 제공됩니다. Security Hub를 활성화하면 계정에 다음과 같은 서비스 연결 구성 레코더가 생성됩니다.

  • 각 AWS 계정 및 에는 이름이 AWS 리전인 서비스 연결 구성 레코더AWSConfigurationRecorderForSecurityHubAssets가 생성됩니다.

  • 글로벌 리소스 유형의 경우 이름이 인 추가 서비스 연결 구성 레코더AWSConfigurationRecorderForSecurityHubAssetsGlobal가 us-east-1에 생성됩니다 AWS 리전.

서비스 연결 분석기

Security Hub가 사용자를 대신하여 생성하고 관리하는 IAM Access Analyzer입니다. Security Hub를 활성화하면 서비스 연결 미사용 액세스 분석기가 자동으로 생성되어 90일 룩백 기간 내에 사용되지 않은 IAM 역할, 사용자, 액세스 키 및 권한을 식별합니다. IAM은 글로벌 서비스이므로 분석기는 미국 동부(버지니아 북부)에서 실행됩니다. Security Hub는 Security Hub를 활성화한 모든 리전에 미사용 액세스 조사 결과를 복제합니다. IAM Access Analyzer를 별도로 활성화하거나 추가 조치를 취할 필요가 없습니다. 이 기능은 Essential 플랜 요금의 일부로 모든 Security Hub 고객에게 제공됩니다. 서비스 연결 분석기는 IAM Access Analyzer 콘솔에서 볼 수 있지만 Security Hub가 활성화된 동안에는 수정하거나 삭제할 수 없습니다. Security Hub는의 모든 리전에서 서비스를 비활성화하면 분석기를 삭제합니다 AWS 계정. 자세한 내용은 Security Hub의 미사용 액세스 조사 결과 이해 단원을 참조하십시오.

특성

노출 조사 결과를 초래하는 보안 편차입니다. 특성 유형에는 수임 가능성, 잘못된 구성, 연결성, 민감한 데이터취약성이 포함됩니다. 특성은 하나의 신호와 연결되며 각 신호에는 여러 특성이 포함될 수 있습니다. 예를 들어 Security Hub CSPM 제어는 고객 관리형 정책이 관리 액세스 제어를 허용함을 나타냅니다. 이 신호에는 잘못된 구성 특성이 포함되어 있습니다.

미사용 액세스 조사 결과

90일 룩백 기간 내에 사용되지 않은 IAM 역할, 사용자, 액세스 키 또는 권한 세트를 식별하는 결과입니다. Security Hub는 서비스 연결 IAM Access Analyzer를 사용하여 미사용 액세스 조사 결과를 생성합니다. 미사용 액세스 조사 결과에는 미사용 IAM 역할, 미사용 IAM 사용자 액세스 키, 미사용 IAM 사용자 암호, 미사용 권한의 네 가지 유형이 있습니다.