Amazon Inspector 및 Security Hub를 사용하여 교차 계정 워크로드에 대한 AWS 보안 스캔 자동화 - AWS 권장 가이드
요약사전 조건 및 제한 사항아키텍처도구에픽관련 리소스첨부

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Inspector 및 Security Hub를 사용하여 교차 계정 워크로드에 대한 AWS 보안 스캔 자동화

작성자: Ramya Pulipaka(AWS) 및 Mikesh Khanal(AWS)

환경: 프로덕션

기술: 보안, 자격 증명, 규정 준수, 관리 및 거버넌스

AWS 서비스: Amazon Inspector , Amazon SNS, AWS Lambda, AWS Security Hub, Amazon CloudWatch

요약

이 패턴은 Amazon Web Services(AWS) 클라우드에서 교차 계정 워크로드의 취약성을 자동으로 스캔하는 방법을 설명합니다.

이 패턴은 태그별로 그룹화된 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 호스트 기반 스캔 또는 네트워크 기반 Amazon Inspector 스캔 일정을 생성하는 데 도움이 됩니다. AWS CloudFormation 스택은 필요한 모든 AWS 리소스와 서비스를 AWS 계정에 배포합니다.

Amazon Inspector 조사 결과는 AWS Security Hub로 내보내지고 계정, AWS 리전, 가상 프라이빗 클라우드(VPCs) 및 EC2 인스턴스의 취약성에 대한 인사이트를 제공합니다. 이러한 조사 결과를 이메일로 수신하거나 HTTP 엔드포인트를 사용하여 조사 결과를 티켓팅 도구, 보안 정보 및 이벤트 관리(SNS) 소프트웨어 또는 기타 타사 보안 솔루션으로 전송하는 Amazon Simple Notification Service(AmazonSIEM) 주제를 생성할 수 있습니다.

사전 조건 및 제한 사항

사전 조건 

  • Amazon 에서 이메일 알림을 수신할 기존 이메일 주소입니다SNS. 

  • 티켓팅 도구, SIEM 소프트웨어 또는 기타 타사 보안 솔루션에 사용되는 기존 HTTP 엔드포인트입니다.

  • 중앙 감사 AWS 계정을 포함하여 교차 계정 워크로드를 호스팅하는 활성 계정입니다. 

  • Security Hub, 활성화되고 및 구성됨. 이 패턴은 Security Hub 없이 사용할 수 있지만, Security Hub를 통해 생성되는 인사이트 때문에 Security Hub를 사용하는 것이 좋습니다. 자세한 내용은 Security Hub 설명서의 Security Hub 설정을 참조하세요. AWS

  • 스캔하려는 각 EC2 인스턴스에 Amazon Inspector 에이전트를 설치해야 합니다. AWS Systems Manager Run Command 를 사용하여 여러 EC2 인스턴스에 Amazon Inspector 에이전트를 설치할 수 있습니다. 

‬기술

  • 의 스택 세트에 대한 self-managedservice-managed 권한 사용 경험AWS CloudFormation. self-managed 권한을 사용하여 스택 인스턴스를 특정 리전의 특정 계정에 배포하려면 필요한 AWS 자격 증명 및 액세스 관리(IAM) 역할을 생성해야 합니다. service-managed 권한을 사용하여 특정 리전의 AWS 조직에서 관리하는 계정에 스택 인스턴스를 배포하려는 경우 필요한 IAM 역할을 생성할 필요가 없습니다. 자세한 내용은 AWS CloudFormation 설명서의 스택 세트 생성을 참조하세요. 

제한 사항

  • 계정의 EC2 인스턴스에 태그가 적용되지 않으면 Amazon Inspector는 해당 계정의 모든 EC2 인스턴스를 스캔합니다.

  • AWS CloudFormation 스택 세트와 onboard-audit-account.yaml 파일(첨부됨)은 동일한 리전에 배포되어야 합니다.

  • 기본적으로 Amazon Inspector Classic은 집계된 조사 결과를 지원하지 않습니다. Security Hub는 여러 계정 또는 AWS 리전에 대한 평가를 보는 데 권장되는 솔루션입니다.

  • 이 패턴의 접근 방식은 미국 동부(버지니아 북부TPS) 리전(us-east-1)의 SNS 주제에 대해 초당 30,000개 트랜잭션()의 게시 할당량에 따라 확장할 수 있지만 제한은 리전마다 다릅니다. 보다 효과적으로 확장하고 데이터 손실을 방지하려면 SNS 주제 앞에 Amazon Simple Queue Service(AmazonSQS)를 사용하는 것이 좋습니다.

아키텍처

다음 다이어그램은 EC2 인스턴스를 자동으로 스캔하기 위한 워크플로를 보여줍니다.

스캔을 실행하기 위한 AWS 계정과 알림을 보내기 위한 별도의 감사 계정입니다.

워크플로우는 다음 단계로 구성됩니다.

1. Amazon EventBridge 규칙은 cron 표현식을 사용하여 특정 일정에 따라 자체 시작하고 Amazon Inspector 를 시작합니다.  

2. Amazon Inspector는 계정에서 태그가 지정된 EC2 인스턴스를 스캔합니다. 

3. Amazon Inspector는 조사 결과를 Security Hub로 전송하고, Security Hub는 워크플로, 우선 순위 지정, 문제 해결에 대한 통찰력을 생성합니다.

4. Amazon Inspector는 또한 평가 상태를 감사 계정의 SNS 주제로 보냅니다. findings reported 이벤트에 SNS 주제가 게시되면 AWS Lambda 함수가 호출됩니다. 

5. Lambda 함수는 결과를 가져오고, 형식을 지정하고, 감사 계정의 다른 SNS 주제로 보냅니다.

6. 조사 결과는 SNS 주제를 구독하는 이메일 주소로 전송됩니다. 전체 세부 정보 및 권장 사항은 구독한 HTTP 엔드포인트로 JSON 형식으로 전송됩니다.

기술 스택

  • AWS Control Tower

  • EventBridge 

  • IAM

  • Amazon Inspector

  • Lambda

  • Security Hub

  • Amazon SNS

도구

  • AWS CloudFormation – AWS CloudFormation 는 AWS 리소스를 모델링하고 설정하여 리소스를 관리하는 데 소요되는 시간을 줄이고 애플리케이션에 더 많은 시간을 집중할 수 있도록 지원합니다.

  • AWS CloudFormation StackSets - 는 단일 작업으로 여러 계정 및 리전에서 스택을 생성, 업데이트 또는 삭제할 수 있도록 하여 스택의 기능을 AWS CloudFormation StackSets 확장합니다.

  • AWS Control Tower - AWS Control Tower는 AWS Organizations를 비롯한 여러 다른 AWS 서비스의 기능을 결합하고 통합하는 추상화 또는 오케스트레이션 계층을 생성합니다.

  • Amazon EventBridge – 애플리케이션을 다양한 소스의 데이터와 쉽게 연결할 수 있는 서버리스 이벤트 버스 서비스 EventBridge 입니다.

  • AWS Lambda – Lambda는 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행하는 데 도움이 되는 컴퓨팅 서비스입니다.

  • AWS Security Hub – Security Hub는 에서 보안 상태를 포괄적으로 볼 수 있도록 AWS 하고 보안 업계 표준 및 모범 사례를 기준으로 환경을 확인하는 데 도움이 됩니다.

  • Amazon SNS – Amazon Simple Notification Service(Amazon SNS)는 게시자가 구독자에게 메시지를 전달하는 관리형 서비스입니다.

에픽

작업설명필요한 기술

템플릿을 감사 계정에 배포AWS CloudFormation 합니다.

onboard-audit-account.yaml 파일(첨부됨)을 다운로드하여 컴퓨터의 로컬 경로에 저장합니다. 

감사 계정의 AWS 관리 콘솔에 로그인하고 AWS CloudFormation 콘솔을 연 다음 스택 생성을 선택합니다. 

사전 조건섹션에서 템플릿 준비를 선택하고, 템플릿이 준비 완료을 선택합니다. 템플릿 지정 섹션에서 템플릿 소스를 선택하고 템플릿 준비 완료를 선택하십시오. onboard-audit-account.yaml 파일을 업로드한 다음 요구 사항에 따라 나머지 옵션을 구성합니다. 

중요: 다음 입력 파라미터를 구성해야 합니다.

  • DestinationEmailAddress - 조사 결과를 받을 이메일 주소를 입력합니다.

  • HTTPEndpoint - 티켓팅 또는 SIEM 도구에 대한 HTTP 엔드포인트를 제공합니다.

AWS 명령줄 인터페이스(AWS )를 사용하여 AWS CloudFormation 템플릿을 배포할 수도 있습니다CLI. 이에 대한 자세한 내용은 AWS CloudFormation 설명서의 스택 생성을 참조하세요.

개발자, 보안 엔지니어

Amazon SNS 구독을 확인합니다.

이메일 받은 편지함을 열고 Amazon 에서 받은 이메일에서 구독 확인을 선택합니다SNS. 그러면 웹 브라우저 창이 열리고 구독 확인이 표시됩니다.

개발자, 보안 엔지니어
작업설명필요한 기술

감사 계정에서 스택 세트를 생성합니다.

vulnerability-management-program.yaml 파일(첨부됨)을 컴퓨터의 로컬 경로에 다운로드합니다.

AWS CloudFormation 콘솔에서 스택 세트 보기를 선택한 다음 생성을 StackSet 선택합니다. Choose 템플릿 준비 완료를 선택하고, 템플릿 파일 업로드를 선택한 후,  vulnerability-management-program.yaml 파일을 업로딩합니다. 

self-managed 권한을 사용하려면 AWS CloudFormation 설명서의 자체 관리형 권한을 사용하여 스택 세트 생성의 지침을 따르세요. 이렇게 하면 개별 계정에 스택 세트가 생성됩니다. 

service-managed권한을 사용하려면 AWS CloudFormation 설명서의 서비스 관리형 권한으로 스택 세트 생성의 지침을 따르세요. 이렇게 하면 전체 조직 또는 지정된 조직 단위()에 스택 세트가 생성됩니다OUs.

중요: 다음 입력 파라미터가 구성되었는지 확인합니다.

  • AssessmentSchedule - cron 표현식을 EventBridge 사용하기 위한 일정입니다. 

  • Duration - Amazon Inspector 평가 실행 기간은 초 단위입니다.

  • CentralSNSTopicArn – 중앙 SNS 주제의 Amazon 리소스 이름(ARN)입니다.

  • Tagkey - 리소스 그룹과 연결된 태그 키입니다. 

  • Tagvalue - 리소스 그룹과 연결된 태그 값입니다. 

감사 계정의 EC2 인스턴스를 스캔하려면 vulnerability-management-program.yaml 파일을 감사 계정의 AWS CloudFormation 스택으로 실행해야 합니다.

개발자, 보안 엔지니어

솔루션을 검증합니다.

Amazon Inspector 에 대해 지정한 일정에 따라 이메일 또는 HTTP 엔드포인트로 조사 결과를 수신하는지 확인합니다.

개발자, 보안 엔지니어

관련 리소스

첨부

이 문서와 관련된 추가 콘텐츠에 액세스하려면 attachment.zip 파일의 압축을 풉니다.