보안 표준 비활성화 - AWS Security Hub
여러 계정 및 AWS 리전에서 표준 비활성화단일 계정 및 AWS 리전에서 표준 비활성화

보안 표준 비활성화

AWS Security Hub CSPM에서 보안 표준을 비활성화하면 다음과 같은 상황이 발생합니다.

  • 현재 활성화된 다른 표준과 연결되지 않은 한, 표준에 적용되는 모든 제어가 비활성화됩니다.

  • 비활성화된 제어에 대한 보안 검사는 더 이상 실행되지 않으며 비활성화된 제어에 대한 추가 조사 결과는 생성되지 않습니다.

  • 비활성화된 제어에 대한 기존 조사 결과는 약 3~5일 후에 자동으로 보관됩니다.

  • Security Hub CSPM이 비활성화된 제어에 대해 생성한 AWS Config 규칙이 삭제됩니다.

해당 AWS Config 규칙은 일반적으로 표준을 비활성화한 후 몇 분 이내에 삭제됩니다. 하지만 시간이 더 걸릴 수도 있습니다. 첫 번째 요청에서 규칙 삭제가 실패하면 Security Hub CSPM은 12시간마다 재시도합니다. 하지만 Security Hub CSPM을 비활성화했거나 활성화한 다른 표준이 없는 경우, Security Hub CSPM이 다시 시도할 수 없습니다. 즉, 규칙을 삭제할 수 없습니다. 이 문제가 발생하여 규칙을 제거해야 하는 경우, AWS Support에 문의하세요.

여러 계정 및 AWS 리전에서 표준 비활성화

여러 계정 및 AWS 리전에서 보안 표준을 비활성화하려면 중앙 구성을 사용합니다. 중앙 구성을 사용하면 위임된 Security Hub CSPM 관리자는 하나 이상의 표준을 비활성화하는 Security Hub CSPM 구성 정책을 만들 수 있습니다. 그런 다음 관리자는 이 구성 정책을 개별 계정, 조직 단위(OU) 또는 루트와 연결할 수 있습니다. 구성 정책은 집계 영역이라고도 하는 홈 리전과 모든 연결된 리전에 영향을 미칩니다.

구성 정책은 사용자 지정 옵션을 제공합니다. 예를 들어 한 OU에서 PCI DSS(지불 카드 산업 데이터 보안 표준)를 비활성화하도록 선택할 수 있습니다. 다른 OU에서는 PCI DSS 및 NIST(국립 표준 기술 연구소) SP 800-53 개정 5 표준을 모두 비활성화하도록 선택할 수 있습니다. 지정한 개별 표준을 활성화 또는 비활성화하는 구성 정책을 생성하는 방법에 대한 자세한 내용은 구성 정책 생성 및 연결 섹션을 참조하세요.

참고

Security Hub CSPM 관리자는 구성 정책을 사용하여 AWS Control Tower 서비스 관리형 표준을 제외한 모든 표준을 비활성화할 수 있습니다. 이 표준을 비활성화하려면 관리자가 AWS Control Tower를 직접 사용해야 합니다. 또한 AWS Control Tower를 사용하여 중앙 관리형 계정에서 이 표준의 개별 제어를 비활성화하거나 활성화해야 합니다.

일부 계정이 자기 계정에 대한 표준을 구성하거나 비활성화하도록 하려면 Security Hub CSPM 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 표준을 비활성화해야 합니다.

단일 계정 및 AWS 리전에서 표준 비활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우, 중앙에서 구성 정책을 사용하여 여러 계정 또는 AWS 리전에서 표준을 비활성화할 수 없습니다. 하지만 단일 계정 및 리전에서는 표준을 비활성화할 수 있습니다. Security Hub CSPM 콘솔 또는 Security Hub CSPM API를 사용하여 이 작업을 수행할 수 있습니다.

Security Hub CSPM console

Security Hub CSPM 콘솔을 사용하여 단일 계정 및 리전에서 표준을 비활성화하려면 다음 단계를 따르세요.

한 계정 및 리전에서 표준을 비활성화하려면

  1. https://console.aws.amazon.com/securityhub/에서 AWS Security Hub CSPM 콘솔을 엽니다.

  2. 페이지 오른쪽 상단의 AWS 리전 선택기를 사용하여 표준을 비활성화하려는 리전을 선택합니다.

  3. 탐색 창에서 보안 표준을 선택합니다.

  4. 비활성화하려는 표준의 섹션에서 표준 비활성화를 선택합니다.

추가 리전에서 표준을 비활성화하려면, 각 추가 리전에서 이전 단계를 반복합니다.

Security Hub CSPM API

단일 계정 및 리전에서 프로그래밍 방식으로 표준을 비활성화하려면 BatchDisableStandards 작업을 사용합니다. AWS Command Line Interface(AWS CLI)를 사용하는 경우 batch-disable-standards 명령을 실행합니다.

요청에서 StandardsSubscriptionArns 파라미터를 사용하여 비활성화하려는 표준의 Amazon 리소스 이름(ARN)을 지정합니다. AWS CLI를 사용하는 경우 standards-subscription-arns 파라미터를 사용하여 ARN을 지정합니다. 또한 요청이 적용되는 리전을 지정합니다. 예를 들어 다음 명령은 계정(123456789012)에 대한 AWS 기본 보안 모범 사례(FSBP) 표준을 비활성화합니다.

$ aws securityhub batch-disable-standards \
--standards-subscription-arns "arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0" \
--region us-east-1

여기서 arn:aws:securityhub:us-east-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0은 미국 동부(버지니아 북부) 리전에서 FSBP 표준의 ARN이고 us-east-1은 이 표준을 비활성화할 리전입니다.

표준의 ARN을 가져오려면 GetEnabledStandards 작업을 사용할 수 있습니다. 이 작업은 계정에서 현재 활성화된 표준에 대한 정보를 검색합니다. AWS CLI를 사용하는 경우 get-enabled-standards 명령을 실행하여 이 정보를 검색할 수 있습니다.

표준을 비활성화하면 Security Hub CSPM은 계정 및 지정된 리전에서 표준을 비활성화하는 태스크를 수행하기 시작합니다. 여기에는 표준에 적용되는 모든 제어를 비활성화하는 태스크가 포함됩니다. 이러한 태스크의 상태를 모니터링하려면 계정 및 리전의 표준 상태를 확인할 수 있습니다.