보안 표준 활성화 및 비활성화 - AWS Security Hub
보안 표준 활성화보안 표준 비활성화

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 표준 활성화 및 비활성화

Security Hub에서 사용할 수 있는 각 보안 표준을 활성화하거나 비활성화할 수 있습니다.

보안 표준을 활성화하기 전에 리소스 기록을 AWS Config 활성화하고 구성했는지 확인하십시오. 그렇지 않으면 Security Hub가 표준에 적용되는 제어 항목에 대한 결과를 생성하지 못할 수 있습니다. 자세한 정보는 구성 AWS Config을 참조하세요.

참고

표준 활성화 및 비활성화 지침은 중앙 구성 사용 여부에 따라 달라집니다. 이 섹션에서는 차이점을 설명합니다. Security Hub 및 를 통합하는 사용자는 중앙 구성을 사용할 수 AWS Organizations있습니다. 다중 계정, 다중 리전 환경에서 표준을 활성화 또는 비활성화하는 프로세스를 단순화하려면 중앙 구성을 사용하는 것이 좋습니다.

보안 표준 활성화

보안 표준을 활성화하면 해당 표준에 대한 모든 제어가 자동으로 활성화됩니다. 또한 Security Hub는 표준에 적용되는 제어 기능에 대한 결과를 생성하기 시작합니다.

각 표준에서 비활성화 및 비활성화할 제어를 선택할 수 있습니다. 제어를 비활성화하면 해당 제어에 대한 조사 결과가 생성되지 않고 보안 점수를 계산할 때 제어가 무시됩니다.

Security Hub를 활성화하면 Security Hub는 사용자가 Security Hub 콘솔의 요약 페이지 또는 보안 표준 페이지를 처음 방문한 후 30분 이내에 표준에 대한 초기 보안 점수를 계산합니다. 중국 리전 및 AWS GovCloud (US) Region에 처음으로 보안 점수를 생성하는 데 최대 24시간이 걸릴 수 있습니다. 점수는 해당 페이지를 방문할 때 활성화된 표준에 대해서만 생성됩니다. 또한 점수가 표시되도록 AWS Config 리소스 기록을 구성해야 합니다. 처음으로 점수를 생성한 후 Security Hub는 24시간마다 보안 점수를 업데이트합니다. Security Hub는 보안 점수가 마지막으로 업데이트된 시기를 나타내는 타임스탬프를 표시합니다. 현재 활성화된 표준 목록을 보려면 GetEnabledStandards API를 호출하세요.

다중 계정 및 리전에 표준 활성화

여러 계정에서 보안 표준을 적용하려면 중앙 구성을 사용해야 합니다. AWS 리전

중앙 구성을 사용하는 경우 위임된 관리자는 하나 이상의 표준을 활성화하는 Security Hub 구성 정책을 만들 수 있습니다. 그런 다음 구성 정책을 특정 계정 및 OU(조직 단위) 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어 한 OU에서는 FSBP (기본 보안 모범 사례) 만 사용하도록 선택하고 다른 OU에서는 FSBP 및 CIS (인터넷 보안 센터) AWS 재단 벤치마크 v1.4.0을 사용하도록 선택할 수 있습니다. AWS 지정된 표준을 활성화하는 구성 정책을 만드는 방법에 대한 지침은 Security Hub 구성 정책 생성 및 연결 섹션을 참조하세요.

중앙 구성을 사용하는 경우 Security Hub는 새 계정이나 기존 계정의 표준을 자동으로 활성화하지 않습니다. 대신 구성 정책을 만들 때 위임된 관리자는 여러 계정에서 사용할 표준을 정의합니다. Security Hub는 FSBP만 활성화하는 권장 구성 정책을 제공합니다. 자세한 정보는 구성 정책 유형을 참조하세요.

참고

위임된 관리자는 구성 정책을 생성하여 서비스 관리 표준을 제외한 모든 표준을 활성화할 수 있습니다. AWS Control Tower 이 표준은 서비스에서만 활성화할 수 있습니다. AWS Control Tower 중앙 구성을 사용하는 경우 AWS Control Tower에서만 중앙에서 관리되는 계정에 대해 이 표준의 제어를 활성화 및 비활성화할 수 있습니다.

일부 계정에서 위임된 관리자가 아닌 자체 표준을 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 표준을 구성해야 합니다.

단일 계정 및 리전에서 표준 활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 표준을 중앙에서 활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 표준을 활성화할 수 있습니다.

Security Hub console
한 계정과 리전에서 표준을 활성화하려면

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

  2. 표준을 활성화하려는 리전에서 Security Hub를 사용하고 있는지 확인합니다.

  3. Security Hub 탐색 창에서 보안 표준을 선택합니다.

  4. 활성화하려는 표준에 대해 활성화를 선택합니다. 이렇게 하면 해당 표준 내의 모든 제어도 활성화됩니다.

  5. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

Security Hub API
한 계정과 리전에서 표준을 활성화하려면

  1. BatchEnableStandards API를 호출합니다.

  2. 활성화하려는 표준의 Amazon 리소스 이름(ARN)을 입력합니다. 표준 ARN을 얻으려면 DescribeStandards API를 호출하세요.

  3. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

AWS CLI
한 계정과 리전에서 표준을 활성화하려면

  1. batch-enable-standards 명령을 실행합니다.

  2. 활성화하려는 표준의 Amazon 리소스 이름(ARN)을 입력합니다. 표준 ARN을 얻으려면 describe-standards 명령을 실행하세요.

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn": "standard ARN"}'

    aws securityhub batch-enable-standards --standards-subscription-requests '{"StandardsArn":"arn:aws:securityhub:us-east-1::standards/aws-foundational-security-best-practices/v/1.0.0"}'

  3. 표준을 활성화하려는 각 리전에 대해 이 단계를 반복합니다.

기본 보안 표준 자동 활성화

중앙 구성을 사용하지 않는 경우 Security Hub는 새 계정이 조직에 가입할 때 기본 보안 표준을 자동으로 활성화합니다. 기본 표준의 일부인 모든 제어도 자동으로 활성화됩니다. 현재 자동으로 활성화되는 기본 보안 표준은 기본 보안 모범 사례 (FSBP) 및 CIS (인터넷 보안 센터) AWS 재단 벤치마크 v1.2.0입니다. AWS 새 계정에서 표준을 수동으로 활성화하려는 경우 자동으로 활성화된 표준을 끌 수 있습니다.

중앙 구성을 사용하는 경우 기본 표준을 활성화하는 구성 정책을 만들고 이 정책을 루트에 연결할 수 있습니다. 다른 정책과 연결하거나 자체 관리하지 않는 한 모든 조직 계정 및 OU는 이 구성 정책을 상속합니다.

자동 활성화된 표준 끄기

다음 단계는 중앙 구성과 통합하지만 중앙 구성을 사용하지 않는 경우에만 적용됩니다. AWS Organizations Organizations를 사용하지 않는 경우 Security Hub를 처음 활성화할 때 기본 표준을 끄거나 표준을 비활성화하는 단계를 따를 수 있습니다.

Security Hub console
자동 활성화된 표준을 끄려면

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

    관리자 계정의 보안 인증을 사용하여 로그인합니다.

  2. Security Hub 탐색 창의 설정에서 구성를 선택합니다.

  3. 계정 탭에서 기본 표준 자동 활성화를 끕니다.

Security Hub API
자동 활성화된 표준을 끄려면

  1. Security Hub 관리자 계정에서 UpdateOrganizationConfiguration API를 호출합니다.

  2. 새 구성원 계정에서 자동 활성화 표준을 끄려면 AutoEnableStandardsNONE과 같도록 설정합니다.

AWS CLI
자동 활성화된 표준을 끄려면

  1. update-organization-configuration 명령을 실행합니다.

  2. 새 구성원 계정에서 자동 활성화된 표준을 끄기 위한 auto-enable-standards 파라미터를 포함시킵니다.

    aws securityhub update-organization-configuration --auto-enable-standards

보안 표준 비활성화

Security Hub에서 보안 표준을 비활성화하면 다음과 같은 상황이 발생합니다.

  • 표준에 적용되는 모든 제어도 다른 표준과 연관되지 않는 한 비활성화됩니다.

  • 비활성화된 제어에 대한 확인은 더 이상 수행되지 않으며 비활성화된 제어에 대한 추가 조사 결과는 생성되지 않습니다.

  • 비활성화된 제어에 대한 기존 결과는 약 3~5일 후에 자동으로 보관됩니다.

  • Security Hub에서 비활성화된 컨트롤에 대해 만든 AWS Config 규칙이 제거됩니다.

    이 문제는 일반적으로 표준을 비활성화한 후 몇 분 내에 발생하지만 시간이 더 걸릴 수 있습니다. AWS Config 규칙을 삭제하기 위한 첫 번째 요청이 실패하면 Security Hub는 12시간마다 재시도합니다. 하지만 Security Hub를 비활성화했거나 다른 표준을 활성화하지 않은 경우 Security Hub는 요청을 재시도할 수 없습니다. 즉, AWS Config 규칙을 삭제할 수 없습니다. 이 문제가 발생하여 AWS Config 규칙을 삭제해야 하는 경우 문의하세요 AWS Support.

다중 계정 및 리전에서 표준 비활성화

다중 계정 및 리전에서 보안 표준을 비활성화하려면 중앙 구성을 사용해야 합니다.

중앙 구성을 사용하는 경우 위임된 관리자는 하나 이상의 표준을 비활성화하는 구성 정책을 만들 수 있습니다. 구성 정책을 특정 계정 및 OU 또는 루트와 연결할 수 있습니다. 구성 정책은 홈 리전(집계 영역이라고도 함) 및 연결된 모든 리전에 적용됩니다.

구성 정책은 사용자 지정을 제공합니다. 예를 들어 한 OU에서는 PCI DSS(지불 카드 산업 데이터 보안 표준)를 비활성화하는 것을 선택하고 다른 OU에서는 PCI DSS와 NIST(국립 표준 기술 연구소) SP 800-53 개정 5를 모두 비활성화하는 것을 선택할 수 있습니다. 지정된 표준을 비활성화하는 구성 정책을 만드는 방법에 대한 지침은 Security Hub 구성 정책 생성 및 연결 섹션을 참조하세요.

참고

위임된 관리자는 구성 정책을 생성하여 서비스 관리 표준:을 제외한 모든 표준을 사용하지 않도록 설정할 수 있습니다. AWS Control Tower서비스에서만 이 표준을 사용하지 않도록 설정할 수 있습니다. AWS Control Tower 중앙 구성을 사용하는 경우 AWS Control Tower에서만 중앙에서 관리되는 계정에 대해 이 표준의 제어를 활성화 및 비활성화할 수 있습니다.

일부 계정에서 위임된 관리자가 아닌 자체 표준을 구성하도록 하려면 위임된 관리자가 해당 계정을 자체 관리형 계정으로 지정할 수 있습니다. 자체 관리형 계정은 각 리전에서 개별적으로 표준을 구성해야 합니다.

단일 계정 및 리전에서 표준 비활성화

중앙 구성을 사용하지 않거나 자체 관리형 계정인 경우 구성 정책을 사용하여 다중 계정 및 리전에서 표준을 중앙에서 비활성화할 수 없습니다. 하지만 다음 단계를 사용하여 단일 계정 및 리전에서 표준을 비활성화할 수 있습니다.

Security Hub console
한 계정 및 리전에서 표준을 비활성화하려면

  1. https://console.aws.amazon.com/securityhub/ 에서 AWS Security Hub 콘솔을 엽니다.

  2. 표준을 비활성화하려는 리전에서 Security Hub를 사용하고 있는지 확인합니다.

  3. Security Hub 탐색 창에서 보안 표준을 선택합니다.

  4. 비활성화하려는 표준에 대해 비활성화를 선택합니다.

  5. 표준을 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

Security Hub API
한 계정 및 리전에서 표준을 비활성화하려면

  1. BatchDisableStandards API를 호출합니다.

  2. 비활성화하려는 각 표준에 대해 표준 구독 ARN을 입력합니다. 활성화된 표준에 맞는 구독 ARN을 가져오려면 GetEnabledStandards API를 호출하세요.

  3. 표준을 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.

AWS CLI
한 계정 및 리전에서 표준을 비활성화하려면

  1. batch-disable-standards 명령을 실행합니다.

  2. 비활성화하려는 각 표준에 대해 표준 구독 ARN을 입력합니다. 활성화된 표준에 맞는 구독 ARN을 가져오려면 get-enabled-standards 명령을 실행하세요.

    aws securityhub batch-disable-standards --standards-subscription-arns "standard subscription ARN"

    aws securityhub batch-disable-standards --standards-subscription-arns "arn:aws:securityhub:us-west-1:123456789012:subscription/aws-foundational-security-best-practices/v/1.0.0"

  3. 표준을 비활성화하려는 각 리전에 대해 이 단계를 반복합니다.