개요
Automated Security Response on AWS는 AWS Security Hub에서 사용할 수 있는 추가 기능으로, 보안 위협에 대한 산업 규정 준수 표준 및 모범 사례에 따라 미리 정의된 대응 및 해결 작업을 제공합니다. Security Hub를 사용할 때 이 AWS 솔루션을 사용하면 일반적인 보안 문제를 해결하는 동시에 AWS의 전반적인 보안을 개선할 수 있습니다. 이 솔루션을 사용하면 Well-Architected 보안 원칙 모범 사례에 맞게 워크로드를 조정할 수 있습니다.
이점
Security Hub 콘솔에서 사용자 정의 작업을 사용하여 해결 및 스캔 결과를 시작합니다.
AWS 기초 벤치마크 또는 AWS 기초 보안 모범 사례를 구성합니다.
미리 정의된 대응 및 해결 작업 세트를 배포하여 위협에 자동으로 대응합니다.
사용자 지정 해결 및 플레이북 구현으로 이 솔루션을 확장할 수 있습니다. 또는 새로운 제어 세트를 위한 사용자 지정 플레이북을 배포할 수도 있습니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
사전 조건: 위임된 관리자 계정에 집계된 Security Hub 조사 결과에서 AWS Step Functions가 시작됩니다. Step Functions는 AWS Security Hub 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결 SSM 자동화 문서를 간접적으로 호출합니다.
1. 감지: Security Hub는 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다.
이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 Security Hub 콘솔에 조사 결과 형식으로 표시됩니다. 새로운 조사 결과는 Amazon EventBridge로 전송됩니다.
2. 시작: 사용자 지정 작업을 사용하여 조사 결과에 대한 이벤트를 시작할 수 있으며, 그러면 Amazon EventBridge 이벤트가 발생합니다. AWS Security Hub 사용자 지정 작업 및 Amazon EventBridge 규칙을 통해 조사 결과를 해결하기 위한 Automated Security Response on AWS 플레이북이 시작됩니다. 일치하는 사용자 지정 작업 이벤트를 찾기 위한 EventBridge 규칙 1개가 배포되고 지원되는 각 제어(기본적으로 비활성화됨)에 대해 일치하는 실시간 검색 이벤트를 찾기 위한 EventBridge 이벤트 규칙 1개가 배포됩니다.
Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 활성화할 수 있습니다. 해결별로 활성화할 수 있으며 모든 해결에서 자동 시작을 활성화할 필요는 없습니다.
3. 오케스트레이션: 관리자 계정의 AWS Step Functions는 크로스 계정 AWS Identity and Access Management(IAM) 역할을 사용하여 보안 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결을 간접적으로 호출합니다.
4. 해결: 멤버 계정의 AWS Systems Manager Automation 문서는 대상 리소스에서 발견된 조사 결과를 수정하는 데 필요한 작업(예: AWS Lambda 퍼블릭 액세스 사용 중지)을 수행합니다.
5. 로깅: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(SNS) 주제에 알림을 전송하고, Security Hub 조사 결과를 업데이트합니다. 수행한 작업의 감사 추적은 조사 결과 노트에 기록됩니다.
Security Hub 대시보드에서는 조사 결과 워크플로 상태가 NEW(신규)에서 NOTIFIED(알림) 또는 RESOLVED(해결됨)로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.
사전 조건: 위임된 관리자 계정에 집계된 Security Hub 조사 결과에서 AWS Step Functions가 시작됩니다. Step Functions는 AWS Security Hub 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결 SSM 자동화 문서를 간접적으로 호출합니다.
1. 감지: Security Hub는 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다.
이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 Security Hub 콘솔에 조사 결과 형식으로 표시됩니다. 새로운 조사 결과는 Amazon EventBridge로 전송됩니다.
2. 시작: 사용자 지정 작업을 사용하여 조사 결과에 대한 이벤트를 시작할 수 있으며, 그러면 Amazon EventBridge 이벤트가 발생합니다. AWS Security Hub 사용자 지정 작업 및 Amazon EventBridge 규칙을 통해 조사 결과를 해결하기 위한 Automated Security Response on AWS 플레이북이 시작됩니다. 일치하는 사용자 지정 작업 이벤트를 찾기 위한 EventBridge 규칙 1개가 배포되고 지원되는 각 제어(기본적으로 비활성화됨)에 대해 일치하는 실시간 검색 이벤트를 찾기 위한 EventBridge 이벤트 규칙 1개가 배포됩니다.
Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 활성화할 수 있습니다. 해결별로 활성화할 수 있으며 모든 해결에서 자동 시작을 활성화할 필요는 없습니다.
3. 오케스트레이션: 관리자 계정의 AWS Step Functions는 크로스 계정 AWS Identity and Access Management(IAM) 역할을 사용하여 보안 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결을 간접적으로 호출합니다.
4. 해결: 멤버 계정의 AWS Systems Manager Automation 문서는 대상 리소스에서 발견된 조사 결과를 수정하는 데 필요한 작업(예: AWS Lambda 퍼블릭 액세스 사용 중지)을 수행합니다.
5. 로깅: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(SNS) 주제에 알림을 전송하고, Security Hub 조사 결과를 업데이트합니다. 수행한 작업의 감사 추적은 조사 결과 노트에 기록됩니다.
Security Hub 대시보드에서는 조사 결과 워크플로 상태가 NEW(신규)에서 NOTIFIED(알림) 또는 RESOLVED(해결됨)로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.
관련 콘텐츠
AvalonBay Communitions Inc.는 AWS의 서버리스 아키텍처로 마이그레이션하여 개발 속도를 75% 높이면서 비용을 40% 절감하고 강력한 보안을 유지했습니다.
이 과정에서는 AWS 보안 기술, 사용 사례, 이점 및 서비스에 대한 개요를 제공합니다.
이 시험은 AWS 플랫폼 보안과 관련된 기술 전문성을 테스트합니다. 이 시험은 보안 업무에 숙련된 사람을 위한 시험입니다.