AWS Security Hub는 클라우드 보안 상태 관리(CSPM) 도구로, 클라우드 환경의 보안 상태를 종합적으로 모니터링하고 문제를 해결한다. CSPM은 클라우드 인프라의 설정 오류를 탐지하고, 이를 통해 보안 위험을 최소화할 수 있다. Security Hub는 이러한 CSPM 기능을 통해 다양한 AWS 계정과 리전에서 일관된 보안 상태를 유지하도록 돕는다.
주요 기능
1. 자동화된 보안 평가
Security Hub는 AWS 모범 사례 및 산업 표준(CIS, PCI DSS, NIST 등)을 기반으로 자동화된 보안 점검을 제공한다. 이를 통해 계정과 리소스의 보안 상태를 주기적으로 평가하고, 보안 위협을 식별하여 우선순위를 정할 수 있다.
2. 통합 보안 관리
AWS 서비스 및 서드파티 보안 도구에서 수집된 보안 데이터를 통합하여, 한 곳에서 모든 보안 문제를 관리할 수 있다. 이를 통해 다양한 보안 소스에서 발생하는 경고와 문제를 효과적으로 모니터링하고 대응할 수 있다.
3. 자동화된 문제 해결
Security Hub는 Amazon EventBridge와 통합되어, 특정 보안 이벤트에 대한 자동 대응을 구성할 수 있다. 예를 들어, 특정한 심각도의 보안 경고가 발생하면 자동으로 알림을 발송하거나, 대응 조치를 자동화할 수 있다.
AWS Security Hub의 주요 개념
AWS Security Hub를 이해하고 효과적으로 사용하기 위해 알아야 할 주요 개념들은 다음과 같다:
1. 계정 관리 (Administrator and Member Accounts)
Security Hub에서 관리 계정(Administrator Account)과 멤버 계정(Member Account)을 지정하여 다중 계정을 관리할 수 있다. 관리 계정은 여러 AWS 계정에서 발생한 보안 문제를 통합 관리하고, 멤버 계정의 보안 상태를 모니터링할 수 있다.
2. 보안 통제 (Controls)
보안 통제는 조직이 정보의 기밀성, 무결성, 가용성을 보호하기 위해 설정한 수단이다. Security Hub는 다양한 표준과 프레임워크에 따른 보안 통제 기준을 제공하며, 각 통제가 관련된 규제 요구 사항을 충족하는지 확인할 수 있다.
3. 보안 경고 (Findings)
보안 경고는 특정 리소스에 대한 보안 점검이나 탐지된 보안 문제의 결과를 나타낸다. 경고는 AWS 서비스 또는 서드파티 보안 도구를 통해 생성되며, 이를 통해 리소스의 보안 상태를 종합적으로 파악할 수 있다. 경고는 일정 시간이 지나면 자동으로 삭제되므로, 장기간 보관하려면 Amazon S3에 저장하도록 설정할 수 있다.
4. 보안 인사이트 (Insights)
Security Hub는 특정 보안 문제에 대한 통찰력을 제공하는 '인사이트' 기능을 제공한다. 이는 특정 조건에 맞는 보안 경고를 그룹화하여, 보안 문제가 발생하는 패턴을 식별하는 데 도움을 준다.
5. 교차 리전 집계 (Cross-Region Aggregation)
여러 AWS 리전에서 발생한 보안 문제를 하나의 리전에서 관리할 수 있도록 교차 리전 집계를 제공한다. 이를 통해 여러 리전에서 발생하는 보안 경고를 한 눈에 파악하고, 보다 효율적으로 관리할 수 있다.
결론
AWS Security Hub는 클라우드 환경에서 보안 상태를 중앙에서 관리하고, 자동화된 점검을 통해 보안 문제를 사전에 예방하는 데 큰 역할을 한다. 특히, CIS Amazon Web Services Foundations Benchmark v3.0.0에서도 AWS Security Hub를 모든 리전에서 활성화할 것을 권장하고 있으며, 이를 통해 AWS 계정과 리소스의 보안 상태를 종합적으로 파악하고 관리할 수 있다.
CIS Benchmark AWS 3.0의 권고 사항:
- 4.16 Ensure AWS Security Hub is enabled (Automated): Security Hub는 AWS 계정과 서드파티 제품에서 보안 데이터를 수집하고, 이를 분석하여 보안 상태를 종합적으로 파악할 수 있게 돕는다. 이를 통해 보안 위험을 줄이고, 보안 표준과 모범 사례에 부합하는지 여부를 쉽게 확인할 수 있다. Security Hub는 AWS Config와 통합되며, 모든 리전에서 활성화할 것을 권장하고 있다.
Security Hub를 통해 클라우드 인프라의 보안 상태를 실시간으로 모니터링하고, 자동화된 문제 해결 기능을 활용하여 빠르게 대응할 수 있다. AWS Security Hub는 보안 모범 사례에 따른 종합적인 보안 상태 관리 솔루션을 제공하며, 기업이 클라우드 환경에서 보안 위협에 보다 신속하고 체계적으로 대응할 수 있게 돕는다.
Reference
https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html
What is AWS Security Hub? - AWS Security Hub
Security Hub only detects and consolidates findings that are generated after you enable Security Hub. It doesn't retroactively detect and consolidate security findings that were generated before you enabled Security Hub. Security Hub only receives and proc
docs.aws.amazon.com
https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-concepts.html
Security Hub concepts - AWS Security Hub
Findings are deleted 90 days after the most recent update or 90 days after the creation date if no update occurs. To store findings for longer than 90 days, you can configure a rule in EventBridge that routes findings to your Amazon S3 bucket.
docs.aws.amazon.com
'Security' 카테고리의 다른 글
| [Security] CSF Tools 소개 및 가이드 (0) | 2024.08.06 |
|---|---|
| [Security] 보안 공학 원칙 (SA-8: Security Engineering Principles) (0) | 2024.08.05 |
| [Security] SLSA 프레임워크 내에서 시크릿 탐지와 제거의 중요성 (0) | 2024.07.31 |
| [Security] Jenkins 'Security Advisories' 로 Jenkins 플러그인 취약점 관리하기 (0) | 2024.07.30 |
| [Security] Kubernetes에 Shift-Left 테스팅 적용하기 (0) | 2024.07.30 |
