비활성화할 수 있는 Security Hub 제어

노이즈 감지를 줄이고 비용을 제한하려면 일부 AWS Security Hub 컨트롤을 비활성화하는 것이 좋습니다.

글로벌 리소스를 처리하는 제어

일부는 글로벌 리소스를 AWS 서비스 지원하므로 어느 곳에서나 AWS 리전리소스에 액세스할 수 있습니다. 비용을 절약하기 위해 한 지역을 제외한 모든 지역의 글로벌 리소스 기록을 비활성화할 수 있습니다. AWS Config이렇게 한 후에도 Security Hub는 제어가 활성화된 모든 리전에서 보안 검사를 계속 실행하고 리전별 계정당 검사 횟수에 따라 요금을 부과합니다. 따라서 노이즈 탐지를 줄이고 Security Hub 비용을 절약하려면 글로벌 리소스를 기록하는 지역을 제외한 모든 지역의 글로벌 리소스를 포함하는 컨트롤도 비활성화해야 합니다.

컨트롤에 글로벌 리소스가 포함되지만 한 지역에서만 사용할 수 있는 경우 해당 지역에서 컨트롤을 사용하지 않도록 설정하면 기본 리소스에 대한 검색 결과를 얻을 수 없습니다. 이 경우 컨트롤을 활성화된 상태로 유지하는 것이 좋습니다. 지역 간 집계를 사용하는 경우 컨트롤을 사용할 수 있는 지역은 집계 지역 또는 연결된 지역 중 하나여야 합니다. 다음 컨트롤에는 글로벌 리소스가 포함되지만 단일 지역에서만 사용할 수 있습니다.

• 모든 CloudFront 제어 — 미국 동부 (버지니아 북부) 에서만 사용 가능

• GlobalAccelerator.1 — 미국 서부 (오레곤) 에서만 사용 가능

• Route53.2 — 미국 동부 (버지니아 북부) 에서만 이용 가능

• WAF.1, WAF.6, WAF.7 및 WAF.8 — 미국 동부 (버지니아 북부) 에서만 사용 가능

참고

중앙 구성을 사용하는 경우 Security Hub는 홈 지역을 제외한 모든 지역의 글로벌 리소스와 관련된 제어를 자동으로 비활성화합니다. 구성 정책을 통해 사용하도록 선택한 기타 제어 기능은 사용 가능한 모든 지역에서 사용할 수 있습니다. 이러한 컨트롤에 대한 검색 결과를 한 지역으로만 제한하려면 AWS Config 레코더 설정을 업데이트하고 홈 지역을 제외한 모든 지역에서 글로벌 리소스 기록을 끄면 됩니다. 중앙 구성을 사용하면 홈 지역 및 연결된 지역에서 사용할 수 없는 컨트롤에 대한 적용 범위가 부족해집니다. 중앙 구성에 대한 자세한 내용은 중앙 구성 작동 방식 섹션을 참조하세요.

주기적 일정 유형의 제어의 경우 청구를 방지하려면 Security Hub에서 이를 비활성화해야 합니다. AWS Config 매개변수를 includeGlobalResourceTypes 로 설정해도 주기적인 Security Hub 제어에는 영향을 false 주지 않습니다.

다음은 글로벌 리소스와 관련된 Security Hub 컨트롤 목록입니다.

• [계정.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

• [Account.2] 는 조직의 AWS 계정 일부여야 합니다. AWS Organizations

• [CloudFront.1] CloudFront 배포판에는 기본 루트 개체가 구성되어 있어야 합니다.

• [CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.

• [CloudFront.4] CloudFront 배포에는 원본 장애 조치가 구성되어 있어야 합니다.

• [CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.

• [CloudFront.6] CloudFront 배포에는 WAF가 활성화되어 있어야 합니다.

• [CloudFront.7] CloudFront 배포에는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다.

• [CloudFront.8] CloudFront 배포는 SNI를 사용하여 HTTPS 요청을 처리해야 합니다.

• [CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.

• [CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.

• [CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.

• [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.

• [EventBridge.4] EventBridge 글로벌 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다.

• [GlobalAccelerator.1] 글로벌 액셀러레이터 액셀러레이터에는 태그를 지정해야 합니다.

• [IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.

• [IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.

• [IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.

• [IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.

• [IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.

• [IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.

• [IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.

• [IAM.10] IAM 사용자를 위한 암호 정책은 엄격한 기준을 적용해야 합니다. AWS Config

• [IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.

• [IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.

• [IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.

• [IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.

• [IAM.15] IAM 암호 정책에서 14자 이상을 요구하는지 여부를 확인합니다.

• [IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.

• [IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.

• [IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support

• [IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 보안 인증 정보는 제거해야 합니다.

• [IAM.24] IAM 역할에는 태그를 지정해야 합니다.

• [IAM.25] IAM 사용자에게는 태그를 지정해야 합니다.

• [IAM.26] IAM에서 관리되는 만료된 SSL/TLS 인증서는 제거해야 합니다.

• [IAM.27] IAM ID에는 정책이 연결되어 있지 않아야 합니다. AWSCloudShellFullAccess

• [KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대한 암호 해독 작업을 허용해서는 안 됩니다.

• [KMS.2] IAM 보안 주체에는 모든 KMS 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.

• [Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.

• [WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.

• [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.8] AWS WAF 클래식 글로벌 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.

• [WAF.10] AWS WAF 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다.

• [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.

CloudTrail 로깅을 처리하는 컨트롤

이 컨트롤은 AWS Key Management Service (AWS KMS) 를 사용하여 AWS CloudTrail 트레일 로그를 암호화하는 작업을 처리합니다. 중앙 집중식 로깅 계정에 이러한 추적을 기록하는 경우 중앙 집중식 로깅이 수행되는 계정 및 리전에서만 이 제어를 활성화하면 됩니다.

참고

중앙 구성을 사용하는 경우 제어의 활성화 상태를 홈 리전 및 연결된 리전 전체에 걸쳐 조정합니다. 일부 리전에서는 제어를 비활성화하고 다른 리전에서는 활성화할 수 없습니다. 이 경우 다음 제어에서 결과를 표시하지 않도록 하여 검색 노이즈를 줄이세요.

• [CloudTrail.2] 저장 중 암호화가 CloudTrail 활성화되어 있어야 합니다.

경보를 처리하는 CloudWatch 컨트롤

예외 항목 탐지에 Amazon GuardDuty CloudWatch 경보 대신 Amazon을 사용하려는 경우 경보에 초점을 맞춘 이러한 제어를 비활성화할 수 있습니다. CloudWatch

• [CloudWatch.1] “root” 사용자가 사용하려면 로그 메트릭 필터 및 경보가 있어야 합니다.

• [CloudWatch.2] 승인되지 않은 API 호출에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.3] MFA를 사용하지 않는 관리 콘솔 로그인에 대한 로그 메트릭 필터 및 경보가 있는지 확인

• [CloudWatch.4] IAM 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.5] 기간 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오 CloudTrail AWS Config.

• [CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제를 위한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.8] S3 버킷 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.9] AWS Config 구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.10] 보안 그룹 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.11] 네트워크 액세스 제어 목록 (NACL) 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.12] 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.13] 라우팅 테이블 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.

• [CloudWatch.14] VPC 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인