AWS Security Hub와 IAM Access Analyzer의 통합
AWS Security Hub에서는 AWS 전반의 보안 상태에 대한 포괄적인 보기가 제공됩니다. 이를 통해 고객 환경에서 보안 업계 표준 및 모범 사례를 준수하는지 확인할 수도 있습니다. Security Hub는 AWS 계정, 서비스 및 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집합니다. 또한 보안 추세를 분석하고 우선 순위가 가장 높은 보안 문제를 식별합니다.
IAM Access Analyzer를 Security Hub와 통합하면 IAM Access Analyzer의 조사 결과를 Security Hub로 보낼 수 있습니다. 그러면 Security Hub의 전반적인 보안 태세 분석에 이러한 조사 결과가 포함됩니다.
목차
IAM Access Analyzer가 조사 결과를 Security Hub로 보내는 방법
Security Hub의 경우 보안 문제를 조사 결과와 같이 추적합니다. 일부 결과는 다른 AWS 서비스 또는 서드 파티에서 감지한 문제에서 비롯됩니다. Security Hub에는 보안 문제를 감지하고 조사 결과를 생성하는 데 사용하는 규칙 집합도 있습니다.
Security Hub는 이러한 모든 출처를 총망라하여 조사 결과를 관리할 도구를 제공합니다. 사용자는 조사 결과 목록을 조회하고 필터링할 수 있으며 각 조사 결과의 세부 정보를 조회할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Viewing findings를 참조하세요. 또한 조사 결과에 대한 조사 상태를 추적할 수도 있습니다. 자세한 내용은 AWS Security Hub User Guide의 Taking action on findings를 참조하세요.
Security Hub의 모든 결과는 표준 JSON 형식을 사용합니다. 이를 AWS Security Finding Format(ASFF)이라고 합니다. ASFF에는 문제의 출처, 영향을 받은 리소스와 결과의 현재 상태 등에 관한 세부 정보가 포함됩니다. 자세한 내용은 AWS Security Hub User Guide의 AWS Security Finding Format (ASFF)을 참조하세요.
AWS Identity and Access Management Access Analyzer는 Security Hub에 조사 결과를 전송하는 AWS 서비스 중 하나입니다. 미사용 액세스의 경우 IAM Access Analyser는 IAM 사용자 또는 역할에 부여된 미사용 액세스를 감지하고 각각에 대한 조사 결과를 생성합니다. 그런 다음 조사 결과를 Security Hub로 전송합니다.
외부 액세스의 경우 IAM Access Analyser는 조직 또는 계정에서 지원되는 리소스에 대한 외부 보안 주체의 퍼블릭 액세스 또는 크로스 계정 액세스를 허용하는 정책문을 감지합니다. IAM Access Analyser는 퍼블릭 액세스에 대한 조사 결과를 생성하여 Security Hub로 보냅니다. 크로스 계정 액세스의 경우 IAM Access Analyzer는 한 번에 하나의 외부 보안 주체에 대한 단일 조사 결과를 Security Hub로 보냅니다. IAM Access Analyzer에 여러 크로스 계정 조사 결과가 있는 경우 IAM Access Analyzer가 다음 크로스 계정 조사 결과를 제공하기 전에 단일 외부 보안 주체에 대한 Security Hub 조사 결과를 해결해야 합니다. 분석기에 대한 신뢰 영역 외부에서 크로스 계정 액세스 권한이 있는 외부 보안 주체의 전체 목록을 보려면 IAM Access Analyser에서 조사 결과를 확인해야 합니다.
IAM Access Analyzer가 보내는 조사 결과의 유형
IAM Access Analyzer는 AWS Security 분석 결과 형식(ASFF)을 사용하여 해당 조사 결과를 Security Hub로 보냅니다. ASFF의 경우, Types
필드가 결과 유형을 제공합니다. IAM Access Analyzer의 조사 결과는 Types
의 값이 다음과 같을 수 있습니다.
-
외부 액세스 조사 결과 - 효과, 데이터 노출, 외부 액세스 허용
-
외부 액세스 조사 결과 – 소프트웨어 및 구성 검사/AWS 보안 모범 사례/외부 액세스 허용
-
미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 권한
-
미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 역할
-
미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 암호
-
미사용 액세스 조사 결과 - 소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 액세스 키
조사 결과 전송 지연 시간
IAM Access Analyzer가 새 조사 결과를 생성하면 일반적으로 30분 안에 Security Hub로 전송됩니다. 하지만 IAM Access Analyzer에 정책 변경에 대한 알림이 전송되지 않는 경우가 드물게 있습니다. 예:
-
Amazon S3 계정 수준 블록 퍼블릭 액세스 설정 변경 사항이 IAM Access Analyzer에 적용되는 데 최대 12시간이 걸릴 수 있습니다.
-
AWS CloudTrail 로그 전달에 전송 문제가 있는 경우 정책을 변경해도 조사 결과에 보고된 리소스의 다시 검색을 트리거하지 않을 소ㅜ 이습니다.
이런 경우 IAM Access Analyzer는 다음 정기 검색 중에 새 정책 또는 업데이트된 정책을 분석합니다.
Security Hub를 사용할 수 없을 때 다시 시도
Security Hub를 사용할 수 없는 경우, IAM Access Analyzer가 정기적으로 조사 결과 전송을 다시 시도합니다.
Security Hub에서 기존 조사 결과 업데이트
IAM Access Analyzer는 조사 결과를 Security Hub로 보낸 다음 업데이트를 계속 전송하여 Security Hub에 대한 결과 활동의 추가적인 관찰 결과를 반영합니다. 이러한 업데이트는 같은 조사 결과 내에서 반영됩니다.
외부 액세스 조사 결과의 경우 IAM Access Analyzer는 이를 리소스별로 그룹화합니다. IAM Access Analyzer에서 리소스에 대한 조사 결과가 적어도 하나 이상 활성 상태인 경우, Security Hub에서도 해당 리소스에 대한 조사 결과가 활성 상태룰 유지합니다. 주어진 리소스에 대한 IAM Access Analyzer의 모든 조사 결과가 보관되거나 확인된 경우, Security Hub 조사 결과도 보관됩니다. Security Hub 조사 결과는 퍼블릭 액세스 및 크로스 계정 액세스 간 정책이 변경되면 업데이트됩니다. 이 업데이트에 결과의 유형, 제목, 설명 및 심각도 변경 사항을 포함할 수 있습니다.
미사용 액세스 조사 결과의 경우 IAM Access Analyzer는 이를 리소스별로 그룹화하지 않습니다. 대신, IAM Access Analyzer에서 미사용 액세스 조사 결과가 해결되면 해당 Security Hub 조사 결과도 해결됩니다. 미사용 액세스 조사 결과를 생성한 IAM 사용자 또는 역할을 업데이트하면 Security Hub 조사 결과가 업데이트됩니다.
Security Hub에서 IAM Access Analyzer 조사 결과 보기
Security Hub의 IAM Access Analyzer 조사 결과를 조회하려면 요약 페이지의 AWS: IAM Access Analyzer 섹션에서 조사 결과 보기를 선택합니다. 아니면 탐색 창에서 [Findings]를 선택해도 됩니다. 그런 다음 결과를 필터링하여 값이 IAM Access Analyzer
인 Product name: 필드를 선택하면 AWS Identity and Access Management Access Analyzer 결과만 표시하도록 할 수 있습니다.
Security Hub에서 IAM Access Analyzer 조사 결과 이름 해석
AWS Identity and Access Management Access Analyzer는 AWS Security Finding Format(ASFF)을 사용하여 조사 결과를 Security Hub로 보냅니다. ASFF의 경우, Types 필드가 결과 유형을 제공합니다. ASFF 유형은 AWS Identity and Access Management Access Analyzer과(와)는 다른 명명 체계를 사용합니다. 다음 테이블에 Security Hub에 표시되는 대로 AWS Identity and Access Management Access Analyzer 조사 결과와 연관된 모든 ASFF 유형에 관한 세부 정보를 포함하였습니다.
ASFF 결과 유형 | Security Hub | 설명 |
---|---|---|
효과/데이터 노출/외부 액세스 허용 | <resource ARN>이 퍼블릭 액세스 허용 | 리소스에 연결된 리소스 기반 정책이 모든 외부 보안 주체에 해당 리소스에 대한 퍼블릭 액세스를 허용합니다. |
소프트웨어 및 구성 점검/AWS 보안 모범 사례/외부 액세스 허용 | <resource ARN>이 교차 계정 액세스 허용 | 리소스에 연결된 리소스 기반 정책이 해당 분석기의 신뢰 영역에서 벗어나는 외부 보안 주체에 교차 계정 액세스를 허용합니다. |
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 권한 | <resource ARN>미사용 권한 포함 | 사용자 또는 역할에 미사용 서비스 및 작업 권한이 포함되어 있습니다. |
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 역할 | <resource ARN>미사용 IAM 역할 포함 | 사용자 또는 역할에 미사용 IAM 역할이 포함되어 있습니다. |
소프트웨어 및 구성 점검/AWS 보안 모범 사례/미사용 IAM 사용자 암호 | <resource ARN>미사용 IAM 사용자 암호 포함 | 사용자 또는 역할에 미사용 IAM 사용자 암호가 포함되어 있습니다. |
소프트웨어 및 구성 검사/AWS 보안 모범 사례/미사용 IAM 사용자 액세스 키 | <resource ARN>미사용 IAM 사용자 액세스 키 포함 | 사용자 또는 역할에 미사용 IAM 사용자 액세스 키가 포함되어 있습니다. |
IAM Access Analyzer의 일반적인 조사 결과
IAM Access Analyzer는 AWS Security 분석 결과 형식(ASFF)을 사용하여 조사 결과를 Security Hub로 보냅니다.
다음은 외부 액세스 조사 결과에 대한 IAM Access Analyzer의 일반적인 조사 결과를 예시로 나타낸 것입니다.
{ "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"], "CreatedAt": "2020-11-10T16:17:47Z", "UpdatedAt": "2020-11-10T16:43:49Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access", "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666", "Remediation": { "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."} }, "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798", "Resources": [ { "Type": "AwsS3Bucket", "Id": "arn:aws:s3:::amzn-s3-demo-bucket", "Details": { "Other": { "External Principal Type": "AWS", "Condition": "none", "Action Granted": "s3:GetObject,s3:GetObjectVersion", "External Principal": "444455556666" } } } ], "WorkflowState": "NEW", "Workflow": {"Status": "NEW"}, "RecordState": "ACTIVE" }
다음은 미사용 액세스 조사 결과에 대한 IAM Access Analyzer의 일반적인 조사 결과를 예시로 나타낸 것입니다.
{ "Findings": [ { "SchemaVersion": "2018-10-08", "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer", "ProductName": "IAM Access Analyzer", "CompanyName": "AWS", "Region": "us-west-2", "GeneratorId": "aws/access-analyzer", "AwsAccountId": "111122223333", "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ], "CreatedAt": "2023-09-18T16:29:09.657Z", "UpdatedAt": "2023-09-21T20:39:16.651Z", "Severity": { "Product": 1, "Label": "LOW", "Normalized": 1 }, "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions", "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions", "Remediation": { "Recommendation": { "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved." } }, "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole", "ProductFields": { "numberOfUnusedActions": "256", "numberOfUnusedServices": "15", "resourceOwnerAccount": "111122223333", "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7", "findingType": "UnusedPermission", "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions", "aws/securityhub/ProductName": "AM Access Analyzer", "aws/securityhub/CompanyName": "AWS" }, "Resources": [ { "Type": "AwsIamRole", "Id": "arn:aws:iam::111122223333:role/TestRole" } ], "WorkflowState": "NEW", "Workflow": { "Status": "NEW" }, "RecordState": "ARCHIVED", "FindingProviderFields": { "Severity": { "Label": "LOW" }, "Types": [ "Software and Configuration Checks/AWS Security Best Practices/Unused Permission" ] } } ] }
통합 활성화 및 구성
Security Hub와의 통합을 사용하려면 Security Hub를 활성화해야 합니다. Security Hub를 활성화하는 방법에 대한 자세한 내용은 AWS Security Hub 사용 설명서의 Security Hub 설정을 참조하세요.
IAM Access Analyzer와 Security Hub를 둘 다 활성화하면 통합이 자동으로 활성화됩니다. IAM Access Analyzer는 즉시 Security Hub로 조사 결과를 전송하기 시작합니다.
결과 전송을 중지하는 방법
Security Hub로 결과를 전송하는 작업을 중지하려면 Security Hub 콘솔 또는 API를 사용하면 됩니다.
AWS Security Hub 사용 설명서에서 통합에서 결과 흐름 활성화 및 비활성화(콘솔) 또는 통합에서 결과 흐름 비활성화(Security Hub API, AWS CLI)를 참조하세요.