기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub에서 제어 매개변수 수정
일부 컨트롤은 컨트롤 평가 방식에 영향을 미치는 매개 변수를 AWS Security Hub 사용합니다. 일반적으로 이러한 제어는 Security Hub에서 정의하는 기본 파라미터 값을 기준으로 평가합니다. 하지만 이러한 컨트롤 중 일부에 대해서는 파라미터 값을 수정할 수 있습니다. 제어 매개 변수 값을 수정하면 Security Hub에서 지정한 값을 기준으로 제어를 평가하기 시작합니다. 제어의 기반이 되는 리소스가 사용자 지정 값을 만족하는 경우 Security Hub는 PASSED 결과를 생성합니다. 리소스가 사용자 지정 값을 만족하지 않으면 Security Hub는 FAILED 결과를 생성합니다.
제어 파라미터를 사용자 지정하면 Security Hub에서 권장하고 모니터링하는 보안 모범 사례를 비즈니스 요구 사항 및 보안 기대치에 맞게 조정할 수 있습니다. 제어에 대한 결과를 숨기는 대신 하나 이상의 파라미터를 사용자 지정하여 보안 요구 사항에 맞는 결과를 얻을 수 있습니다.
다음은 제어 매개변수를 수정하고 사용자 지정 값을 설정하는 몇 가지 샘플 사용 사례입니다.
[CloudWatch.16] — CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다.
보존 기간을 지정할 수 있습니다.
[IAM.7] - IAM 사용자를 위한 암호 정책은 강력한 구성을 가져야 합니다.
암호 강도와 관련된 파라미터를 지정할 수 있습니다.
-
[EC2.18] - 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.
수신 트래픽을 제한 없이 허용할 수 있는 포트를 지정할 수 있습니다.
-
[Lambda.5] — VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.
결과 통과를 생성하는 최소 가용 영역 수를 지정할 수 있습니다.
이 섹션에서는 제어 파라미터를 수정할 때 고려해야 할 사항을 다룹니다.
제어 파라미터 값 수정에 따른 영향
파라미터 값을 변경하면 새 값을 기반으로 제어를 평가하는 새 보안 검사도 트리거됩니다. 그런 다음 Security Hub는 새 값을 기반으로 새로운 제어 결과를 생성합니다. 제어 결과를 정기적으로 업데이트하는 동안 Security Hub는 새 파라미터 값도 사용합니다. 제어의 파라미터 값을 변경했지만 제어가 포함된 표준을 활성화하지 않은 경우 Security Hub는 새 값을 사용하여 보안 검사를 수행하지 않습니다. Security Hub가 새 파라미터 값을 기반으로 제어를 평가하려면 관련 표준을 하나 이상 활성화해야 합니다.
제어에는 하나 이상의 사용자 지정 파라미터 설정이 있을 수 있습니다. 각 제어 매개변수에 사용할 수 있는 데이터 유형은 다음과 같습니다.
Boolean
Double
Enum
EnumList
Integer
IntegerList
String
StringList
사용자 지정 파라미터 값은 활성화된 표준 전체에 적용됩니다. 현재 리전에서 지원되지 않는 제어의 파라미터는 사용자 지정할 수 없습니다. 개별 제어의 리전별 제한 목록은 제어 기능에 대한 리전별 제한 섹션을 참조하세요.
일부 컨트롤의 경우 허용되는 매개 변수 값이 지정된 범위에 속해야 유효합니다. 이러한 경우 Security Hub는 허용 가능한 범위를 제공합니다.
Security Hub는 기본 파라미터 값을 선택하고 때때로 이를 업데이트할 수 있습니다. 제어 파라미터를 사용자 지정한 후 해당 값은 변경하지 않는 한 파라미터에 대해 지정한 값이 계속 유지됩니다. 즉, 파라미터의 사용자 지정 값이 Security Hub에서 정의한 현재 기본값과 일치하더라도 파라미터는 기본 Security Hub 값에 대한 업데이트 추적을 중지합니다. 다음은 컨트롤 [ACM.1] 의 예입니다. 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.
{ "SecurityControlId": "ACM.1", "Parameters": { "daysToExpiration": { "ValueType": "CUSTOM", "Value": { "Integer": 30 } } } }
위 예제에서 daysToExpiration 파라미터의 사용자 지정 값은 30입니다. 이 파라미터의 현재 기본값 또한 30입니다. Security Hub에서 기본값을 14로 변경하는 경우 이 예제의 파라미터는 해당 변경 내용을 추적하지 않습니다. 값은 30으로 유지됩니다.
파라미터의 기본 Security Hub 값에 대한 업데이트를 추적하려면 ValueType 필드를 CUSTOM 대신 DEFAULT로 설정하세요. 자세한 내용은 단일 계정 및 지역의 기본 제어 매개 변수로 되돌리기 단원을 참조하십시오.
사용자 지정 파라미터를 지원하는 제어
사용자 지정 매개 변수를 지원하는 보안 컨트롤 목록은 Security Hub 콘솔 또는 의 컨트롤 페이지를 참조하십시오Security Hub 제어 참조. 프로그래밍 방식으로 이 목록을 검색하려면 ListSecurityControlDefinitions 작업을 사용하면 됩니다. 응답에서 CustomizableProperties 객체는 사용자 지정 가능한 파라미터를 지원하는 제어를 나타냅니다.
현재 제어 매개변수 값 검토
계정에서 개별 제어 파라미터의 현재 값을 검토할 수 있습니다. 중앙 구성을 사용하는 경우 위임된 Security Hub 관리자가 구성 정책에 지정된 파라미터 값을 검토할 수도 있습니다.
원하는 방법을 선택하고 단계에 따라 현재 제어 파라미터 값을 검토하세요.
중앙 구성 정책에서 현재 파라미터 값을 보려면 원하는 방법을 선택하세요.
제어 결과에는 현재 파라미터 값도 표시됩니다. AWS 보안 검색 형식 (ASFF)에서는 이러한 값이 Compliance 객체의 Parameters 필드에 표시됩니다. Security Hub 콘솔에서 결과를 검토하려면 탐색 창에서 조사 결과를 선택합니다. 결과를 프로그래밍 방식으로 검토하려면 GetFindings 작업을 사용하세요.
참고
사용자 지정 제어 매개 변수 기능이 릴리스된 후 Security Hub는 Parameters ASFF 필드를 포함하도록 기존 제어 결과를 업데이트합니다. 이 작업은 최대 24시간까지 걸릴 수 있습니다.
매개변수 변경 상태 확인
제어 파라미터의 변경 상태를 검증하고 확인하는 것이 중요합니다. 이렇게 하면 제어가 예상대로 작동하고 의도한 보안 가치를 제공할 수 있습니다. 파라미터 업데이트가 성공했는지 확인하려면 Security Hub 콘솔에서 제어의 세부 정보를 검토할 수 있습니다. 콘솔에서 세부 정보를 표시할 제어를 선택합니다. 파라미터 탭은 파라미터의 변경 상태를 보여줍니다.
프로그래밍 방식으로, 파라미터 업데이트 요청이 유효한 경우, BatchGetSecurityControls 작업에 대한 응답으로 UpdateStatus 필드 값은 UPDATING입니다. 즉, 업데이트는 유효했지만 업데이트된 파라미터 값이 아직 결과에 포함되어 있지 않을 수 있습니다. UpdateState 값이 READY로 변경되면 업데이트된 파라미터 값이 결과에 포함되기 시작합니다.
이 UpdateSecurityControl 작업은 잘못된 파라미터 값에 대한 InvalidInputException 응답을 반환합니다. 응답은 실패 이유에 대한 추가 세부 정보를 제공합니다. 예를 들어, 파라미터의 유효 범위를 벗어나는 값을 지정했을 수 있습니다. 또는 올바른 데이터 유형을 사용하지 않는 값을 지정했을 수 있습니다. 올바른 입력과 함께 요청을 다시 제출하세요. 파라미터 업데이트가 실패하는 경우 Security Hub는 파라미터의 현재 값을 유지합니다.
매개 변수 값을 업데이트하려고 할 때 내부 오류가 발생하는 경우 Security Hub는 AWS Config 활성화한 경우 자동으로 재시도합니다. 자세한 내용은 Security AWS Config Hub를 위한 구성 단원을 참조하십시오.
