Security Hub 정책 사용 모범 사례

조직 전체에 Security Hub 정책을 구현할 때 확립된 모범 사례를 따르면 보안 구성을 성공적으로 배포하고 유지 관리하는 데 도움이 됩니다. 이러한 지침은 특히 Security Hub 정책 관리 및 적용의 고유한 측면을 다룹니다 AWS Organizations.

정책 설계 원칙

Security Hub 정책을 생성하기 전에 정책 구조에 대한 명확한 원칙을 설정합니다. 정책을 단순하게 유지하고 최종 결과를 결정하기 어렵게 만드는 복잡한 교차 속성 또는 중첩 규칙을 피합니다. 조직 루트 수준에서 광범위한 정책으로 시작하여 필요한 경우 하위 정책을 통해 정책을 구체화합니다.

빈 리전 목록을 전략적으로 사용하는 것이 좋습니다. 특정 리전에서만 Security Hub를 비활성화해야 하는 경우 enable_in_regions 비워 두거나 정책에 따라 리전을 관리하지 disable_in_regions 않도록 비워 둘 수 있습니다. 이러한 유연성을 통해 보안 모니터링 범위를 정확하게 제어할 수 있습니다.

리전 관리 전략

Security Hub 정책을 통해 리전을 관리할 때는 다음과 같은 검증된 접근 방식을 고려하세요. 보안 적용 범위에 향후 리전을 자동으로 포함하려는 ALL_SUPPORTED 경우를 사용합니다. 보다 세분화된 제어를 위해 ALL_SUPPORTED특히 리전마다 다른 보안 구성이 필요한 경우에 의존하지 않고 리전을 명시적으로 나열합니다.

특히 다음에 대한 리전별 요구 사항을 문서화합니다.

• 특정 구성이 필요한 규정 준수 필수 리전

• 개발 환경과 프로덕션 환경의 차이점

• 특별한 고려 사항이 있는 옵트인 리전

• Security Hub가 비활성화된 상태로 유지되어야 하는 리전

정책 상속 계획

정책 상속 구조를 신중하게 계획하여 필요한 유연성을 허용하면서 효과적인 보안 제어를 유지합니다. 상속된 정책을 수정할 수 있는 조직 단위와 허용되는 수정 사항을 문서화합니다. 엄격한 보안 제어를 적용해야 하는 경우 상위 수준에서 상속 연산자(@@assign, @@append, @@remove)를 제한하는 것이 좋습니다.

모니터링 및 검증

정책이 유효하도록 정기적인 모니터링 관행을 구현합니다. 특히 조직 변경 후 정책 첨부 파일을 정기적으로 검토합니다. 특히 ALL_SUPPORTED를 사용하거나 여러 리전 목록을 관리할 때 리전 구성이 의도한 보안 적용 범위와 일치하는지 확인합니다.

문제 해결 전략

Security Hub 정책의 문제를 해결할 때는 먼저 정책 우선 순위와 상속에 중점을 둡니다. 리전이 두 목록에 모두 나타나면 구성 비활성화가 활성화 구성보다 우선합니다. 정책 상속 체인을 확인하여 상위 정책과 하위 정책이 결합하여 각 계정에 대한 유효 정책을 생성하는 방법을 이해합니다.