기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
서비스 관리 표준: AWS Control Tower
이 섹션에서는 서비스 관리 표준에 대한 정보를 제공합니다. AWS Control Tower.
서비스 관리형 표준이란 무엇입니까? AWS Control Tower?
이 표준은 다음 사용자를 위해 설계되었습니다. AWS Security Hub 및 AWS Control Tower. 이를 통해 다음과 같은 사전 제어를 구성할 수 있습니다. AWS Control Tower Security Hub의 탐정 제어 장치와 함께 AWS Control Tower 서비스.
사전 예방적 제어를 통해 다음을 보장할 수 있습니다. AWS 계정 정책 위반 또는 구성 오류로 이어질 수 있는 작업에 플래그를 지정하므로 규정 준수를 유지할 수 있습니다. Detective Controls는 기업 내 리소스 비준수 (예: 구성 오류) 를 감지합니다. AWS 계정. 사전 예방적이고 탐지적인 제어를 가능하게 함으로써 AWS 환경을 통해 다양한 개발 단계에서 보안 태세를 강화할 수 있습니다.
작은 정보
서비스 관리 표준은 다음과 같은 표준과 다릅니다. AWS Security Hub가 관리합니다. 예를 들어, 관리 서비스에서 서비스 관리형 표준을 만들고 삭제해야 합니다. 자세한 내용은 Security Hub의 서비스 관리 표준 단원을 참조하십시오.
Security Hub 콘솔에서 서비스 관리 표준을 볼 수 있습니다. API AWS Control Tower 다른 Security Hub 표준과 함께
표준 생성
이 표준은 에서 표준을 생성한 경우에만 사용할 수 있습니다. AWS Control Tower. AWS Control Tower 다음 방법 중 하나를 사용하여 해당 컨트롤을 처음 활성화할 때 표준을 만듭니다.
-
AWS Control Tower 콘솔
-
AWS Control Tower API(호출
EnableControl
API) -
AWS CLI (
enable-control
명령 실행)
Security Hub 컨트롤은 다음에서 식별됩니다. AWS Control Tower 콘솔은 SH로 되어 있습니다.ControlID
(예: SH. CodeBuild.1).
표준을 만들 때 Security Hub를 아직 활성화하지 않았다면 AWS Control Tower 또한 Security Hub를 자동으로 활성화합니다.
아직 설정하지 않은 경우 AWS Control Tower, Security Hub 콘솔, Security Hub에서 이 표준을 보거나 액세스할 수 없습니다. API AWS CLI. 설정을 완료했더라도 AWS Control Tower, 먼저 표준을 생성하지 않으면 Security Hub에서 이 표준을 보거나 액세스할 수 없습니다. AWS Control Tower 위 방법 중 하나를 사용합니다.
이 표준은 다음 국가에서만 사용할 수 있습니다. AWS 리전 여기서 각 항목은 다음과 같습니다. AWS Control Tower 다음을 포함하여 사용할 수 있습니다. AWS GovCloud (US).
표준의 제어 활성화 및 비활성화
표준을 만든 후 AWS Control Tower 콘솔에서는 두 서비스 모두에서 표준과 사용 가능한 컨트롤을 볼 수 있습니다.
표준을 처음 만든 후에는 자동으로 활성화되는 제어가 없습니다. 또한 Security Hub에서 새 컨트롤을 추가할 때 서비스 관리형 표준에 대해 해당 컨트롤이 자동으로 활성화되지 않습니다. AWS Control Tower. 표준에 대한 컨트롤을 활성화 및 비활성화해야 합니다. AWS Control Tower 다음 방법 중 하나를 사용하십시오.
-
AWS Control Tower 콘솔
-
AWS Control Tower API(
EnableControl
및 를 호출DisableControl
APIs) -
AWS CLI (
enable-control
및 disable-control
명령 실행)
에서 컨트롤의 활성화 상태를 변경하는 경우 AWS Control Tower, 변경 사항은 Security Hub에도 반영됩니다.
하지만 Security Hub에서 활성화된 컨트롤을 사용하지 않도록 설정하는 것은 AWS Control Tower 그 결과 제어 드리프트가 발생합니다. 제어 상태는 다음과 같습니다. AWS Control Tower 로 표시됩니다Drifted
. 에서 OU 재등록을 선택하여 이 드리프트를 해결할 수 있습니다. AWS Control Tower 콘솔에서 또는 컨트롤을 비활성화했다가 다시 활성화하여 AWS Control Tower 위 방법 중 하나를 사용합니다.
에서 활성화 및 비활성화 작업 완료 AWS Control Tower 컨트롤 드리프트를 방지하는 데 도움이 됩니다.
에서 컨트롤을 활성화 또는 비활성화하는 경우 AWS Control Tower작업은 계정 및 지역 전체에 적용됩니다. Security Hub에서 제어를 사용하거나 사용하지 않도록 설정하는 경우(이 표준에서는 권장되지 않음) 작업은 현재 계정 및 리전에만 적용됩니다.
참고
중앙 구성은 서비스 관리형 표준을 관리하는 데 사용할 수 없습니다. AWS Control Tower. 중앙 구성을 사용하는 경우 다음 구성만 사용할 수 있습니다. AWS Control Tower 중앙에서 관리되는 계정에 대해 이 표준에서 컨트롤을 활성화 및 비활성화하는 서비스입니다.
활성화 상태 및 제어 상태 보기
다음 방법 중 하나를 사용하여 제어의 활성화 상태를 볼 수 있습니다.
-
보안 허브 콘솔, 보안 허브 API 또는 AWS CLI
-
AWS Control Tower 콘솔
-
AWS Control Tower API활성화된 컨트롤 목록을 보려면 (를 호출하십시오
ListEnabledControls
API) -
AWS CLI 활성화된 컨트롤 목록을 보려면 (
list-enabled-controls
명령 실행)
에서 비활성화한 컨트롤 AWS Control Tower Security Disabled
Hub에서 해당 컨트롤을 명시적으로 활성화하지 않는 한 Security Hub의 활성화 상태를 가집니다.
Security Hub는 제어 조사 결과의 워크플로 상태 및 규정 준수 상태를 기반으로 제어 상태를 계산합니다. 활성화 상태 및 제어 상태에 대한 자세한 내용은 컨트롤 세부 정보 보기을 참조하십시오.
Security Hub는 제어 상태를 기반으로 서비스 관리형 표준에 대한 보안 점수를 계산합니다. AWS Control Tower. 이 점수는 Security Hub에서만 사용할 수 있습니다. 또한 Security Hub에서는 제어 조사 결과만 볼 수 있습니다. 표준 보안 점수 및 제어 결과는 다음에서 확인할 수 없습니다. AWS Control Tower.
참고
서비스 관리형 표준에 대한 제어를 활성화하는 경우: AWS Control Tower, Security Hub는 기존 컨트롤을 사용하는 컨트롤에 대한 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. AWS Config 서비스 연결 규칙. Security Hub에서 다른 표준 및 제어를 활성화한 경우 기존 서비스 연결 규칙이 있을 수 있습니다. 자세한 내용은 보안 검사 실행 예약을 참조하십시오.
표준 삭제
에서 이 표준을 삭제할 수 있습니다. AWS Control Tower 다음 방법 중 하나를 사용하여 해당하는 모든 컨트롤을 비활성화하면 됩니다.
-
AWS Control Tower 콘솔
-
AWS Control Tower API(전화)
DisableControl
API -
AWS CLI (
disable-control
명령 실행)
모든 컨트롤을 비활성화하면 모든 관리 계정 및 관리 대상 지역의 표준이 삭제됩니다. AWS Control Tower. 에서 표준 삭제 AWS Control Tower Security Hub 콘솔의 표준 페이지에서 이 파일을 제거하므로 Security API Hub를 사용하여 더 이상 액세스할 수 없게 됩니다. AWS CLI.
참고
Security Hub의 표준에서 모든 제어를 비활성화해도 표준이 비활성화되거나 삭제되지는 않습니다.
Security Hub 서비스를 비활성화하면 서비스 관리 표준이 제거됩니다. AWS Control Tower 그리고 활성화한 기타 모든 표준.
서비스 관리 표준의 필드 형식 찾기: AWS Control Tower
서비스 관리형 표준을 생성하는 경우: AWS Control Tower 제어를 활성화하면 Security Hub에서 제어 결과를 받기 시작합니다. Security Hub는 제어 조사 결과를 AWS 보안 탐지 형식 (ASFF)로 보고합니다. 다음은 이 표준의 Amazon 리소스 이름 (ARN) ASFF 값이며 GeneratorId
다음과 같습니다.
-
스탠다드 ARN —
arn:aws:us-east-1
:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0 -
GeneratorId –
service-managed-aws-control-tower/v/1.0.0/
CodeBuild.1
서비스 관리형 표준에 대한 샘플 검색 결과: AWS Control Tower, 을 참조하십시오. Security Hub의 샘플 제어 결과
서비스 관리형 표준에 적용되는 제어: AWS Control Tower
서비스 관리형 표준: AWS Control Tower 에 속하는 일부 제어 기능을 지원합니다. AWS 기본 보안 모범 사례 () FSBP 표준. 실패한 조사 결과에 대한 수정 단계를 포함하여 이에 대한 정보를 보려면 다음 테이블에서 제어를 선택하십시오.
다음 목록은 서비스 관리형 표준에 사용할 수 있는 컨트롤을 보여줍니다. AWS Control Tower. 통제에 대한 지역별 한도는 표준의 추론 통제에 대한 지역별 한도와 일치합니다. FSBP 이 목록은 표준에 구애받지 않는 보안 제어를 보여줍니다. IDs 에는 AWS Control Tower 콘솔에서 IDs 컨트롤은 SH로 포맷됩니다.ControlID
(예: SH CodeBuild.1). Security Hub에서 계정에서 통합 제어 조사 결과가 꺼져 있는 경우 ProductFields.ControlId
필드는 표준 기반 제어 ID를 사용합니다. 표준 기반 제어 ID는 CT로 포맷됩니다. ControlId
(예: CT. CodeBuild.1).
-
[APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.
-
[APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.
-
[APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨
-
[APIGateway.5] API 게이트웨이 REST API 캐시 데이터는 유휴 상태에서 암호화해야 합니다.
-
[AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API
-
[AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
-
[AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.
-
[AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.
-
[오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
-
[AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.
-
[AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.
-
[CloudTrail.1] 을 활성화하고 읽기 및 쓰기 관리 이벤트를 포함하는 다중 지역 트레일을 하나 이상 사용하여 CloudTrail 구성해야 합니다.
-
[CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch
-
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.
-
[CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.
-
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.
-
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
-
[DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time
-
[DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.
-
[EC2.10] Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 합니다. EC2
-
[EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.
-
[EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.
-
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.
-
[EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS
-
[ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.
-
[ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.
-
[ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.
-
[ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH
-
[ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.
-
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.
-
[ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS
-
[ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager
-
[ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS
-
[ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간
-
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.
-
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.
-
[ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .
-
[ES.8] Elasticsearch 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. TLS
-
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.
-
[KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS
-
[Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch
-
[NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.
-
[NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.
-
[NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.
-
[Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .
-
[Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS
-
[RDS.2] RDS DB 인스턴스는 다음 규정에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config기간
-
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
-
[Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.
-
[Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.
-
[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.
-
[SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.
-
[SecretsManager.1] Secrets Manager 비밀번호에는 자동 로테이션이 활성화되어 있어야 합니다.
-
[SecretsManager.2] 자동 순환으로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
-
[SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager
-
[SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.
-
[SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT
-
[WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.
이 표준에 대한 자세한 내용은 의 Security Hub 컨트롤을 참조하십시오. AWS Control Tower 사용 설명서.