SEC04-BP04 Initiate remediation for non-compliant resources

탐지 제어를 통해 구성 요구 사항을 준수하지 않는 리소스에 대해 알림을 보낼 수 있습니다. 프로그래밍 방식으로 정의된 교정을 수동 또는 자동으로 시작하여 이러한 리소스를 수정하고 잠재적 영향을 최소화할 수 있습니다. 교정을 프로그래밍 방식으로 정의하면 신속하고 일관된 조치를 취할 수 있습니다.

자동화는 보안 운영을 개선할 수 있지만, 자동화를 신중하게 구현하고 관리해야 합니다.  적절한 감독 및 제어 메커니즘을 마련하여 자동 대응이 효과적이고 정확하며 조직의 정책과 위험을 바라보는 관점에 부합하는지 확인하세요.

원하는 결과: 리소스가 규정을 준수하지 않는 것으로 탐지될 때 이를 해결하기 위한 단계와 함께 리소스 구성 표준을 정의합니다. 가능하면 수동으로 또는 자동화를 통해 시작할 수 있도록 프로그래밍 방식으로 교정을 정의했습니다. 규정 미준수 리소스를 식별하고 보안 담당자가 모니터링하는 중앙 집중식 도구에 알림을 게시할 수 있는 탐지 시스템이 마련되어 있습니다. 이러한 도구는 수동 또는 자동으로 프로그래밍 방식의 교정 실행을 지원합니다. 자동 교정에 사용을 관리하기 위한 적절한 감독 및 제어 메커니즘이 마련되어 있습니다.

일반적인 안티 패턴:

• 자동화를 구현했지만, 교정 조치를 철저하게 테스트하고 검증하지 못했습니다. 이로 인해 정상적인 비즈니스 운영이 중단되거나 시스템이 불안정해지는 등 의도하지 않은 결과가 발생할 수 있습니다.

• 자동화를 통해 대응 시간과 절차를 개선할 수 있지만, 필요한 경우 사람이 개입하고 판단할 수 있는 적절한 모니터링 기능과 메커니즘이 없습니다.

• 보다 광범위한 인시던트 대응 및 복구 프로그램의 일부로서 교정이 아닌 일반적인 교정에만 의존합니다.

이 모범 사례 확립의 이점: 자동 교정을 활용하면 수동 프로세스를 사용할 때보다 잘못된 구성에 더 빠르게 대응할 수 있으므로, 비즈니스에 미칠 수 있는 영향을 최소화하고 의도하지 않은 사용으로 인한 기회 기간을 줄일 수 있습니다. 교정을 프로그래밍 방식으로 정의하면 일관되게 적용되므로, 작업자가 오류를 낼 위험이 줄어듭니다. 자동화는 또한 많은 양의 알림을 동시에 처리할 수 있는데, 이는 대규모로 운영되는 환경에서 특히 중요합니다.  

이 모범 사례를 따르지 않을 경우 노출 위험도: 중간

구현 가이드

SEC01-BP03 제어 목표 파악 및 검증에서 설명한 대로, AWS Config와 같은 서비스는 요구 사항을 준수하기 위해 계정의 리소스 구성을 모니터링하는 데 도움이 됩니다.  규정을 준수하지 않는 리소스가 탐지되면 교정을 도울 수 있게 AWS Security Hub 등의 클라우드 보안 상태 관리(CSPM) 솔루션에 알림을 보내도록 구성하는 것이 좋습니다. 이러한 솔루션은 보안 조사관이 문제를 모니터링하고 시정 조치를 취할 수 있는 중앙 장소를 제공합니다.

일부 리소스가 규정을 준수하지 않는 고유한 문제가 발생하여 수정하려면 사람의 판단이 필요한 경우도 있지만, 프로그래밍 방식으로 정의할 수 있는 표준 대응이 효과가 있는 상황도 있습니다. 예를 들어, 잘못 구성된 VPC 보안 그룹에 대한 표준 대응은 허용되지 않는 규칙을 제거하고 소유자에게 알리는 것일 수 있습니다. 응답은 AWS Lambda 함수, AWS Systems Manager Automation 문서에서 또는 원하는 다른 코드 환경을 통해 정의할 수 있습니다. 수정 조치에 필요한 최소한의 권한으로 IAM 역할을 사용하여 환경이 AWS에 인증할 수 있는지 확인하세요.

원하는 교정을 정의했다면 선호하는 시작 방법을 결정할 수 있습니다. AWS Config는 사용자 대신 교정을 시작할 수 있습니다. Security Hub를 사용하는 경우 조사 결과 정보를 Amazon EventBridge에 게시하는 사용자 지정 작업을 통해 이를 수행할 수 있습니다. 그러면 EventBridge 규칙에 따라 교정이 시작될 수 있습니다. Security Hub에서 사용자 지정 작업을 자동 또는 수동으로 실행하도록 구성할 수 있습니다.  

프로그래밍 방식의 교정을 위해서는 취해진 조치와 결과에 대해 포괄적으로 로그를 작성하고 감사하는 것이 좋습니다. 이러한 로그를 검토 및 분석하여 자동화된 프로세스의 효과를 평가하고 개선 영역을 식별합니다. Amazon CloudWatch Logs에서 로그를 캡처하고 Security Hub에서 교정 결과를 조사 결과로 캡처합니다.

우선 AWS에서 자동화된 보안 응답 사용을 고려해 보세요. 일반적인 보안 구성 오류를 해결하기 위한 교정안을 미리 구축해 놓았습니다.

구현 단계

1. 알림을 분석하고 우선순위를 지정합니다.

   1. 다양한 AWS 서비스의 보안 알림을 Security Hub에 통합하여 중앙 집중식 가시성, 우선순위 지정 및 문제 해결을 제공합니다.

2. 교정안을 개발합니다.

   1. Systems Manager 및 AWS Lambda 등의 서비스를 사용하여 프로그래밍 방식의 교정을 실행할 수 있습니다.

3. 교정 시작 방법을 구성합니다.

   1. Systems Manager를 사용하여 조사 결과를 EventBridge에 게시할 사용자 지정 작업을 정의합니다. 이러한 작업이 수동 또는 자동으로 시작되도록 구성합니다.

   2. 필요한 경우 Amazon Simple Notification Service(SNS)를 사용하여 관련 이해관계자(예: 보안 팀 또는 사고 대응 팀)를 대상으로 수동 개입 또는 에스컬레이션에 대한 알림 및 경보를 보낼 수도 있습니다.

4. 교정 로그를 검토 및 분석하여 효과와 개선 사항을 확인합니다.

   1. CloudWatch Logs로 로그 출력을 전송합니다. Security Hub에서 조사 결과를 결과로 캡처합니다.

리소스

관련 모범 사례:

• SEC06-BP03 수동 관리 및 대화형 액세스 감소

관련 문서:

• AWS 보안 인시던트 대응 가이드 - 탐지

관련 예시:

• AWS 기반 자동화된 보안 대응

• Monitor EC2 instance key pairs using AWS Config

• Create AWS Config custom rules by using AWS CloudFormation Guard policies

• Automatically remediate unencrypted Amazon RDS DB instances and clusters

관련 도구:

• AWS Systems Manager Automation

• AWS 기반 자동화된 보안 대응