AWS Security Hub와의 통합 - AWS Identity and Access Management

AWS Security Hub와의 통합

AWS Security Hub에서는 AWS에서 보안 상태를 포괄적으로 파악할 수 있으며 보안 업계 표준 및 모범 사례와 비교하여 환경을 확인할 수 있습니다. Security Hub는 여러 AWS 계정, 서비스 및 지원되는 타사 파트너 제품에서 보안 데이터를 수집하여 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 파악하는 데 도움을 줍니다.

Security Hub와 AWS Identity and Access Management Access Analyzer 통합을 통해 IAM Access Analyzer에서 Security Hub로 조사 결과를 전송할 수 있습니다. 그러면 Security Hub의 보안 태세 분석에 이러한 결과가 포함됩니다.

IAM Access Analyzer가 조사 결과를 Security Hub로 보내는 방법

Security Hub의 경우 보안 문제를 조사 결과와 같이 추적합니다. 일부 결과는 다른 AWS 서비스 또는 서드 파티에서 감지한 문제에서 비롯됩니다. Security Hub에는 보안 문제를 감지하고 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.

Security Hub는 이러한 모든 출처를 총망라하여 결과를 관리할 도구를 제공합니다. 사용자는 결과 목록을 조회하고 필터링할 수 있으며 주어진 결과의 세부 정보를 조회할 수도 있습니다. AWS Security Hub 사용 설명서에서 결과 보기를 참조하세요. 또한 주어진 결과에 대한 조사 상태를 추적할 수도 있습니다. AWS Security Hub 사용 설명서에서 결과에 대한 작업 수행을 참조하세요.

Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. AWS Security Hub 사용 설명서에서 AWS Security Finding 형식(ASFF)을 참조하세요.

AWS Identity and Access Management Access Analyzer는 Security Hub에 결과를 전송하는 AWS 서비스 중 하나입니다. 외부 액세스의 경우, IAM Access Analyzer는 외부 보안 주체가 사용자 조직 또는 계정의 지원되는 리소스에 액세스할 수 있도록 허용하는 정책문을 감지하면 조사 결과를 생성합니다. IAM Access Analyzer는 리소스에 대한 모든 조사 결과를 그룹화하여 Security Hub에 단일 조사 결과를 보냅니다. 미사용 액세스의 경우 IAM Access Analyzer에서 IAM 사용자 또는 역할에 부여된 미사용 액세스 권한을 감지하면 조사 결과를 생성합니다. 그 다음 IAM Access Analyzer가 조사 결과를 Security Hub로 전송합니다

IAM Access Analyzer가 보내는 조사 결과의 유형

IAM Access Analyzer는 AWS Security 분석 결과 형식(ASFF)을 사용하여 해당 조사 결과를 Security Hub로 보냅니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. IAM Access Analyzer의 조사 결과는 Types의 값이 다음과 같을 수 있습니다.

  • 외부 액세스 조사 결과 - 효과, 데이터 노출, 외부 액세스 허용

  • 외부 액세스 조사 결과 – 소프트웨어 및 구성 검사/AWS 보안 모범 사례/외부 액세스 허용

  • 미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 권한

  • 미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 역할

  • 미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 암호

  • 미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 액세스 키

결과 전송 지연 시간

IAM Access Analyzer가 새 조사 결과를 생성하면 일반적으로 30분 안에 Security Hub로 전송됩니다. 드문 일이지만, 특정 조건이 성립하면 정책이 추가 또는 업데이트되었다는 사실이 IAM Access Analyzer에서 확인되지 않기도 합니다. 예를 들어 Amazon S3 계정 수준 퍼블릭 액세스 차단 설정을 변경하는 데 최대 12시간이 걸릴 수 있습니다. 또한 AWS CloudTrail 로그 전달에 전송 문제가 있는 경우, 정책을 변경해도 결과에 보고된 리소스의 다시 검색을 트리거하지 않습니다. 이런 경우 IAM Access Analyzer는 다음 정기 검색 중에 새 정책 또는 업데이트된 정책을 분석합니다.

Security Hub를 사용할 수 없을 때 다시 시도

Security Hub를 사용할 수 없는 경우, IAM Access Analyzer가 정기적으로 조사 결과 전송을 다시 시도합니다.

Security Hub에서 기존 결과 업데이트

조사 결과를 Security Hub로 보낸 다음 AWS Identity and Access Management Access Analyzer는 조사 결과 활동에 대한 추가적인 관찰 결과를 반영하는 업데이트를 Security Hub로 전송합니다. 업데이터는 같은 결과 내에서 반영됩니다.

IAM Access Analyzer가 외부 액세스 조사 결과를 리소스별로 그룹화하므로, IAM Access Analyzer의 리소스에 대한 조사 결과가 적어도 하나 이상 활성 상태인 경우, Security Hub의 리소스에 대한 조사 결과가 활성 상태입니다. 주어진 리소스에 대한 IAM Access Analyzer의 모든 조사 결과가 보관되거나 확인된 경우, Security Hub 조사 결과가 보관됩니다. Security Hub 결과는 퍼블릭 액세스 및 교차 계정 액세스 간 정책을 변경하면 업데이트됩니다. 이 업데이트에 결과의 유형, 제목, 설명 및 심각도 변경 사항을 포함할 수 있습니다.

IAM Access Analyzer는 미사용 액세스 조사 결과를 리소스별로 그룹화하지 않으므로, IAM Access Analyzer에서 미사용 액세스 조사 결과가 확인되면 Security Hub 조사 결과도 확인됩니다. 미사용 액세스 조사 결과를 생성한 IAM 사용자 또는 역할을 업데이트하면 Security Hub 조사 결과가 업데이트됩니다.

Security Hub에서 IAM Access Analyzer 조사 결과 보기

Security Hub의 IAM Access Analyzer 조사 결과를 조회하려면 요약 페이지의 AWS: IAM Access Analyzer 섹션에서 조사 결과 보기를 선택합니다. 아니면 탐색 창에서 [Findings]를 선택해도 됩니다. 그런 다음 결과를 필터링하여 값이 IAM Access AnalyzerProduct name: 필드를 선택하면 AWS Identity and Access Management Access Analyzer 결과만 표시하도록 할 수 있습니다.

Security Hub에서 IAM Access Analyzer 조사 결과 이름 해석

AWS Identity and Access Management Access Analyzer는 AWS Security Finding Format(ASFF)을 사용하여 조사 결과를 Security Hub로 보냅니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. ASFF 유형은 AWS Identity and Access Management Access Analyzer과(와)는 다른 명명 체계를 사용합니다. 다음 테이블에 Security Hub에 표시되는 대로 AWS Identity and Access Management Access Analyzer 조사 결과와 연관된 모든 ASFF 유형에 관한 세부 정보를 포함하였습니다.

ASFF 결과 유형 Security Hub 설명
효과/데이터 노출/외부 액세스 허용 <resource ARN>이 퍼블릭 액세스 허용 리소스에 연결된 리소스 기반 정책이 모든 외부 보안 주체에 해당 리소스에 대한 퍼블릭 액세스를 허용합니다.
소프트웨어 및 구성 점검/AWS 보안 모범 사례/외부 액세스 허용 <resource ARN>이 교차 계정 액세스 허용 리소스에 연결된 리소스 기반 정책이 해당 분석기의 신뢰 영역에서 벗어나는 외부 보안 주체에 교차 계정 액세스를 허용합니다.
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 권한 <resource ARN>미사용 권한 포함 사용자 또는 역할에 미사용 서비스 및 작업 권한이 포함되어 있습니다.
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 역할 <resource ARN>미사용 IAM 역할 포함 사용자 또는 역할에 미사용 IAM 역할이 포함되어 있습니다.
소프트웨어 및 구성 점검/AWS 보안 모범 사례/미사용 IAM 사용자 암호 <resource ARN>미사용 IAM 사용자 암호 포함 사용자 또는 역할에 미사용 IAM 사용자 암호가 포함되어 있습니다.
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 액세스 키 <resource ARN>미사용 IAM 사용자 액세스 키 포함 사용자 또는 역할에 미사용 IAM 사용자 액세스 키가 포함되어 있습니다.

IAM Access Analyzer의 일반적인 조사 결과

IAM Access Analyzer는 AWS Security 분석 결과 형식(ASFF)을 사용하여 조사 결과를 Security Hub로 보냅니다.

다음은 외부 액세스 조사 결과에 대한 IAM Access Analyzer의 일반적인 조사 결과를 예시로 나타낸 것입니다.

{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::my-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::my-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::my-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::my-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }

다음은 미사용 액세스 조사 결과에 대한 IAM Access Analyzer의 일반적인 조사 결과를 예시로 나타낸 것입니다.

{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }

통합 활성화 및 구성

Security Hub와의 통합을 사용하려면 Security Hub를 활성화해야 합니다. Security Hub를 활성화하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서Security Hub 설정을 참조하세요.

IAM Access Analyzer와 Security Hub를 둘 다 활성화하면 통합이 자동으로 활성화됩니다. IAM Access Analyzer는 즉시 Security Hub로 조사 결과를 전송하기 시작합니다.

결과 전송을 중지하는 방법

Security Hub로 결과를 전송하는 작업을 중지하려면 Security Hub 콘솔 또는 API를 사용하면 됩니다.

AWS Security Hub 사용 설명서에서 통합에서 결과 흐름 활성화 및 비활성화(콘솔) 또는 통합에서 결과 흐름 비활성화(Security Hub API, AWS CLI)를 참조하세요.