중앙 구성 작동 방식 - AWS Security Hub
중앙 구성의 이점중앙 구성을 사용해야 하는 사람중앙 구성 용어 및 개념

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

중앙 구성 작동 방식

중앙 구성은 여러 AWS 계정 및 AWS 리전에서 Security Hub를 설정하고 관리하는 데 도움이 되는 Security Hub 기능입니다. 중앙 구성을 사용하려면 먼저 Security Hub 및 를 통합해야 AWS Organizations합니다. 조직을 만들고 조직에 위임된 Security Hub 관리자 계정을 지정하여 서비스를 통합할 수 있습니다.

위임된 Security Hub 관리자 계정에서 Security Hub 서비스, 보안 표준 및 보안 제어를 여러 리전의 조직 계정 및 OU(조직 단위)에 구성하는 방법을 지정할 수 있습니다. 홈 리전이라고 하는 하나의 기본 리전에서 몇 단계만 거치면 이러한 설정을 구성할 수 있습니다. 중앙 구성을 사용하지 않는 경우 각 계정 및 리전에서 개별적으로 Security Hub를 구성해야 합니다.

중앙 구성을 사용하는 경우 위임된 관리자는 구성할 계정과 OU를 선택할 수 있습니다. 위임된 관리자가 구성원 계정 또는 OU를 자체 관리형으로 지정하는 경우 구성원은 각 리전에서 개별적으로 자체 설정을 구성할 수 있습니다. 위임된 관리자가 구성원 계정 또는 OU를 중앙 관리형형으로 지정하는 경우 위임된 관리자만 여러 리전에 걸쳐 구성원 계정 또는 OU를 구성할 수 있습니다. 조직의 모든 계정과 OU를 중앙 관리형, 자체 관리형 또는 이 둘의 조합으로 지정할 수 있습니다.

중앙 관리형 계정을 구성하기 위해 위임된 관리자는 Security Hub 구성 정책을 사용합니다. 구성 정책을 통해 위임된 관리자는 Security Hub의 활성화 또는 비활성화 여부와 활성화 및 비활성화되는 표준 및 제어를 지정할 수 있습니다. 구성 정책은 특정 제어의 파라미터를 사용자 지정하는 데에도 사용할 수 있습니다.

구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 위임된 관리자는 중앙 구성을 사용하기 전에 조직의 홈 리전과 연결된 리전을 지정합니다. 위임된 관리자는 전체 조직을 위한 단일 구성 정책을 만들거나 여러 구성 정책을 만들어 여러 계정 및 OU에 대한 변수 설정을 구성할 수 있습니다.

이 섹션에서는 중앙 구성의 개요를 다룹니다.

중앙 구성의 이점

중앙 구성의 이점은 다음과 같습니다.

Security Hub 서비스 및 기능의 구성 간소화

중앙 구성을 사용하는 경우 Security Hub는 조직의 보안 모범 사례를 구성하는 프로세스를 안내합니다. 또한 결과 구성 정책을 지정된 계정 및 OU에 자동으로 배포합니다. 새 보안 제어 자동 활성화와 같은 기존 Security Hub 설정이 있는 경우 해당 설정을 구성 정책의 시작점으로 사용할 수 있습니다. 또한 Security Hub 콘솔의 구성 페이지에는 구성 정책, 각 정책을 사용하는 계정 및 OU에 대한 실시간 요약이 표시됩니다.

계정 및 리전 전반에 걸쳐 구성

중앙 구성을 사용하여 여러 계정 및 리전에 걸쳐 Security Hub를 구성할 수 있습니다. 이렇게 하면 조직의 각 부분이 일관된 구성과 적절한 보안 범위를 유지할 수 있습니다.

계정과 OU마다 서로 다른 구성 수용

중앙 구성을 사용하면 조직의 계정과 OU를 다양한 방식으로 구성하도록 선택할 수 있습니다. 예를 들어 테스트 계정과 프로덕션 계정에는 서로 다른 구성이 필요할 수 있습니다. 새 계정이 조직에 가입할 때 적용되는 구성 정책을 만들 수도 있습니다.

구성 드리프트 방지

구성 드리프트는 사용자가 위임된 관리자의 선택 사항과 충돌하는 서비스나 기능을 변경할 때마다 발생합니다. 중앙 구성은 이러한 드리프트를 방지합니다. 계정이나 OU를 중앙 관리형으로 지정하면 조직의 위임된 관리자만 해당 계정이나 OU를 구성할 수 있습니다. 특정 계정이나 OU에서 자체 설정을 구성하도록 하려면 해당 계정이나 OU를 자체 관리형으로 지정할 수 있습니다.

중앙 구성을 사용해야 하는 사람

중앙 구성은 여러 Security Hub 계정을 포함하는 AWS 환경에 가장 유용합니다. 여러 계정의 Security Hub를 중앙에서 관리할 수 있도록 설계되었습니다.

중앙 구성을 사용하여 Security Hub 서비스, 보안 표준 및 보안 제어를 구성할 수 있습니다. 또한 이를 사용하여 특정 제어의 파라미터를 사용자 지정할 수 있습니다. 표준과 제어에 대한 자세한 내용은 Security Hub의 AWS 보안 제어 및 표준 섹션을 참조하세요.

중앙 구성 용어 및 개념

다음 주요 용어 및 개념을 이해하면 Security Hub 중앙 구성을 사용하는 데 도움이 될 수 있습니다.

중앙 구성

조직의 위임된 Security Hub 관리자 계정이 여러 계정 및 리전에 걸쳐 Security Hub 서비스, 보안 표준 및 보안 제어를 구성하는 데 도움이 되는 Security Hub 기능입니다. 이러한 설정을 구성하기 위해 위임된 관리자는 조직의 중앙 관리형 계정에 대한 Security Hub 구성 정책을 만들고 관리합니다. 자체 관리형 계정은 각 리전에서 개별적으로 자체 설정을 구성할 수 있습니다. 중앙 구성을 사용하려면 Security Hub 및 를 통합해야 AWS Organizations합니다.

홈 리전

위임된 관리자가 구성 정책을 만들고 관리하여 Security Hub를 AWS 리전 중앙에서 구성하는 방법입니다. 구성 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다.

홈 리전은 Security Hub 집계 영역 역할도 하며 연결된 리전으로부터 조사 결과, 인사이트 및 기타 데이터를 수신합니다.

2019년 3월 20일 또는 그 이후에 AWS 도입된 지역을 옵트인 지역이라고 합니다. 옵트인 리전은 홈 리전이 될 수 없고 연결된 리전일 수 있습니다. 옵트인 리전 목록은 AWS 계정 관리 참조 안내서리전 활성화 및 비활성화 전 고려 사항을 참조하세요.

연결된 리전

홈 지역에서 구성할 수 있습니다. AWS 리전 구성 정책은 홈 리전의 위임된 관리자가 생성합니다. 이 정책은 홈 리전 및 연결된 모든 리전에 적용됩니다. 중앙 구성을 사용하려면 연결된 리전을 최소한 하나 이상 지정해야 합니다.

또한 연결된 리전은 결과, 인사이트 및 기타 데이터를 홈 리전으로 보냅니다.

2019년 3월 20일 또는 그 이후에 AWS 도입된 지역을 옵트인 지역이라고 합니다. 구성 정책을 적용하려면 먼저 계정에 대해 해당 리전을 활성화해야 합니다. Organizations 관리 계정은 구성원 계정의 옵트인 리전을 활성화할 수 있습니다. 자세한 내용은 계정 관리 참조 가이드의 AWS 리전 계정에서 사용할 수 있는AWS 계정 지정을 참조하십시오.

Security Hub 구성 정책

위임된 관리자가 중앙 관리형 계정에 대해 구성할 수 있는 Security Hub 설정 모음입니다. 여기에는 다음이 포함됩니다.

  • Security Hub를 활성화 또는 비활성화할지 여부.

  • 하나 이상의 보안 표준을 사용할지 여부.

  • 활성화된 표준 전반에서 활성화할 보안 제어. 위임된 관리자가 활성화해야 하는 특정 제어 목록을 제공하여 이 작업을 수행할 수 있으며, Security Hub에서는 다른 모든 제어(새 제어가 릴리스된 경우 포함)을 비활성화합니다. 또는 위임된 관리자가 비활성화해야 하는 특정 제어 목록을 제공할 수 있으며, Security Hub에서는 다른 모든 제어(새 제어가 릴리스된 경우 포함)를 활성화합니다.

  • 사용 가능한 표준에서 사용할 수 있는 제어를 선택할 수 있도록 파라미터를 사용자 지정할 수도 있습니다.

구성 정책은 하나 이상의 계정, OU(조직 단위) 또는 루트와 연결된 후 홈 리전 및 연결된 모든 리전에 적용됩니다.

Security Hub 콘솔에서 위임된 관리자는 Security Hub 권장 구성 정책을 선택하거나 사용자 지정 구성 정책을 만들 수 있습니다. Security Hub API 및 를 사용하는 AWS CLI경우 위임된 관리자는 사용자 지정 구성 정책만 생성할 수 있습니다. 위임된 관리자는 최대 20개의 사용자 지정 구성 정책을 만들 수 있습니다.

권장 구성 정책에서는 Security Hub, AWS 기본 보안 모범 사례(FSBP) 표준, 모든 기존 및 신규 FSBP 제어가 활성화됩니다. 파라미터를 허용하는 제어는 기본값을 사용합니다. 권장 구성 정책은 전체 조직에 적용됩니다.

조직에 다른 설정을 적용하거나 다른 계정 및 OU에 다른 구성 정책을 적용하려면 사용자 지정 구성 정책을 만드세요.

로컬 구성

Security Hub를 통합한 후의 조직 기본 구성 유형 및 AWS Organizations. 로컬 구성을 사용하면 위임된 관리자가 현재 리전의 조직 계정에서 Security Hub 및 기본 보안 표준을 자동으로 활성화하도록 선택할 수 있습니다. 위임된 관리자가 자동으로 기본 표준을 활성화하면 이러한 표준의 일부인 모든 제어도 새 조직 계정의 기본 파라미터와 함께 자동으로 활성화됩니다. 이러한 설정은 기존 계정에는 적용되지 않으므로 계정이 조직에 가입한 후에 구성 드리프트가 발생할 수 있습니다. 기본 표준의 일부인 특정 제어를 비활성화하고 추가 표준 및 제어를 구성하는 작업은 각 계정 및 리전에서 개별적으로 수행해야 합니다.

로컬 구성에서는 구성 정책 사용을 지원하지 않습니다. 구성 정책을 사용하려면 중앙 구성으로 전환해야 합니다.

수동 계정 관리

Security Hub를 통합하지 AWS Organizations 않거나 독립 실행형 계정이 있는 경우 각 지역의 각 계정에 대한 설정을 개별적으로 지정해야 합니다. 수동 계정 관리는 구성 정책 사용을 지원하지 않습니다.

중앙 구성 API

Security Hub 위임된 관리자만 홈 리전에서 중앙 관리형 계정의 구성 정책을 관리하는 데 사용할 수 있는 Security Hub 작업입니다. 작업에는 다음이 포함됩니다.

  • CreateConfigurationPolicy

  • DeleteConfigurationPolicy

  • GetConfigurationPolicy

  • ListConfigurationPolicies

  • UpdateConfigurationPolicy

  • StartConfigurationPolicyAssociation

  • StartConfigurationPolicyDisassociation

  • GetConfigurationPolicyAssociation

  • BatchGetConfigurationPolicyAssociations

  • ListConfigurationPolicyAssociations

계정별 API

Security Hub 작업: Security Hub, 표준 및 제어를 account-by-account 기반으로 활성화하거나 비활성화하는 데 사용할 수 있습니다. 이러한 작업은 각 개별 리전에서 사용됩니다.

자체 관리형 계정은 계정별 작업을 사용하여 자체 설정을 구성할 수 있습니다. 중앙 관리형 계정은 홈 리전 및 연결된 리전에서 다음과 같은 계정별 작업을 사용할 수 없습니다. 해당 리전에서는 위임된 관리자만 중앙 구성 작업과 구성 정책을 통해 중앙 관리형 계정을 구성할 수 있습니다.

  • BatchDisableStandards

  • BatchEnableStandards

  • BatchUpdateStandardsControlAssociations

  • DisableSecurityHub

  • EnableSecurityHub

  • UpdateStandardsControl

중앙 관리 계정의 소유자는 Security Hub API의 일부 Get 또는 Describe 작업을 사용하여 계정 상태를 확인할 수 있습니다.

중앙 구성 대신 로컬 구성 또는 수동 계정 관리를 사용하는 경우 이러한 계정별 작업을 사용할 수 있습니다.

자체 관리 계정도 사용 *Invitations*Members 운영할 수 있습니다. 하지만 자체 관리 계정에서는 이러한 작업을 사용하지 않는 것이 좋습니다. 위임된 관리자와 다른 조직에 속한 자체 구성원이 구성원 계정에 있는 경우 정책 연결이 실패할 수 있습니다.

조직 단위(OU)

AWS Organizations In 및 Security Hub는 그룹을 위한 AWS 계정컨테이너입니다. 또한 조직 단위(OU)는 다른 OU를 포함할 수 있기 때문에 사용자는 위쪽에는 상위 OU가, 아래쪽에는 OU 가지가, 맨 끝에는 나뭇잎에 해당하는 계정이 있는 거꾸로 된 나무 형태의 계층 구조를 만들 수 있습니다. 각 OU는 정확히 하나의 상위 항목을 가질 수 있으며, 각 계정은 한 OU의 구성원만 될 수 있습니다.

AWS Organizations 또는 에서 OU를 관리할 수 AWS Control Tower있습니다. 자세한 내용은 AWS Organizations 사용 설명서조직 단위 관리 또는 AWS Control Tower 사용 설명서AWS Control Tower로 조직 및 계정 관리를 참조하세요.

위임된 관리자는 구성 정책을 특정 계정 또는 OU에 연결하거나 조직의 모든 계정 및 OU를 포괄하는 루트와 연결할 수 있습니다.

중앙 관리형

위임된 관리자만 구성 정책을 사용하여 여러 리전에 걸쳐 구성할 수 있는 계정, OU 또는 루트입니다.

위임된 관리자 계정은 계정을 중앙에서 관리할지 여부를 지정합니다. 위임된 관리자는 계정 상태를 중앙 관리형에서 자체 관리형으로 또는 그 반대로 변경할 수도 있습니다.

자체 관리형

자체 Security Hub 설정을 관리하는 계정, OU 또는 루트입니다. 자체 관리형 계정은 계정별 작업을 사용하여 각 리전에서 개별적으로 Security Hub를 구성합니다. 이는 중앙 관리형 계정과 대조가 됩니다. 중앙 관리형 계정은 구성 정책을 통해 여러 리전의 위임된 관리자만 구성할 수 있습니다.

위임된 관리자 계정은 계정을 자체 관리할지 여부를 지정합니다. 위임된 관리자 계정은 계정의 상태를 자체 관리형에서 중앙 관리형로 또는 그 반대로 변경할 수도 있습니다.

위임된 관리자는 계정이나 OU에 자체 관리형 동작을 적용할 수 있습니다. 또는 계정 또는 OU가 상위 항목으로부터 자체 관리형 동작을 상속받을 수도 있습니다. 위임된 관리자 계정 자체가 자체 관리형 계정일 수 있습니다.

구성 정책 연결

구성 정책과 계정, 조직 단위(OU) 또는 루트 간의 링크입니다. 정책 연결이 존재하는 경우 계정, OU 또는 루트는 구성 정책에 정의된 설정을 사용합니다. 연결은 다음 두 경우 중 하나에 존재합니다.

  • 위임된 관리자가 계정, OU 또는 루트에 구성 정책을 직접 적용하는 경우

  • 계정 또는 OU가 상위 OU 또는 루트로부터 구성 정책을 상속하는 경우

연결은 다른 구성이 적용되거나 상속될 때까지 존재합니다.

적용된 구성 정책

위임된 관리자가 대상 계정, OU 또는 루트에 구성 정책을 직접 적용하는 구성 정책 연결의 한 유형입니다. 대상은 구성 정책에서 정의하는 방식으로 구성되며 위임된 관리자만 구성을 변경할 수 있습니다. 루트에 적용할 경우 구성 정책은 적용 또는 가장 가까운 상위 항목으로부터의 상속을 통해 다른 구성을 사용하지 않는 조직 내 모든 계정과 OU에 영향을 미칩니다.

위임된 관리자는 자체 관리형 구성을 특정 계정, OU 또는 루트에 적용할 수도 있습니다.

상속된 구성 정책

계정이나 OU가 가장 가까운 상위 OU 또는 루트의 구성을 채택하는 구성 정책 연결의 한 유형입니다. 구성 정책은 계정이나 OU에 직접 적용되지 않는 경우 가장 가까운 상위 항목의 구성을 상속합니다. 정책의 모든 요소가 상속됩니다. 즉, 계정이나 OU는 정책의 일부만 선택적으로 상속하도록 선택할 수 없습니다. 가장 가까운 상위 항목이 자체 관리형인 경우 하위 계정 또는 OU는 상위 항목의 자체 관리형 동작을 상속합니다.

상속은 적용된 구성을 무시할 수 없습니다. 즉, 구성 정책 또는 자체 관리형 구성이 계정이나 OU에 직접 적용되는 경우 해당 구성을 사용하며 상위 항목의 구성을 상속하지 않습니다.

루트

내부 AWS Organizations 및 Security Hub는 조직의 최상위 상위 노드입니다. 위임된 관리자가 루트에 구성 정책을 적용하면 해당 정책이 적용 또는 상속을 통해 다른 정책을 사용하거나 자체 관리형로 지정되지 않는 한 조직의 모든 계정 및 OU와 정책이 연결됩니다. 관리자가 루트를 자체 관리형으로 지정하면 적용 또는 상속을 통한 구성 정책을 사용하지 않는 한 조직의 모든 계정과 OU가 자체 관리형입니다. 루트가 자체 관리형이고 현재 구성 정책이 없는 경우 조직의 모든 새 계정은 현재 설정을 유지합니다.

조직에 가입하는 새 계정은 특정 OU에 할당되기 전까지는 루트에 속합니다. 새 계정이 OU에 할당되지 않은 경우 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정하지 않는 한 루트 구성을 상속합니다.