개요
Automated Security Response on AWS는 조직의 AWS 환경 전반에서 발생하는 일반적인 보안 문제를 자동으로 해결하여 AWS Security Hub를 개선하는 AWS 솔루션입니다. Security Hub가 잠재적인 보안 문제를 식별하면 이 솔루션은 사전 정의된 응답을 시작하여 문제를 효율적으로 해결합니다. 또한 포괄적인 보안 범위에 대해 여러 AWS 계정에서 운영됩니다. 이 솔루션은 수행한 모든 작업을 기록하고, 관련 당사자에게 알림을 보내고, 기존 티켓팅 서비스와 통합할 수 있습니다. Security Hub 조사 결과의 수정 작업을 자동화하면 전체 보안 관리 프로세스를 간소화하는 동시에 업계 모범 사례 및 규정 준수 표준에 맞춰 수작업을 줄이고 강력한 보안 태세를 유지할 수 있습니다.
장점
Security Hub 콘솔에서 사용자 정의 작업을 사용하여 해결 및 스캔 결과를 시작합니다.
AWS 기초 벤치마크 또는 AWS 기초 보안 모범 사례를 구성합니다.
미리 정의된 대응 및 해결 작업 세트를 배포하여 위협에 자동으로 대응합니다.
사용자 지정 해결 및 플레이북 구현으로 이 솔루션을 확장할 수 있습니다. 또는 새로운 제어 세트를 위한 사용자 지정 플레이북을 배포할 수도 있습니다.
기술 세부 정보
구현 가이드 및 함께 제공되는 AWS CloudFormation 템플릿을 사용하여 이 아키텍처를 자동으로 배포할 수 있습니다.
개요: 위임된 관리자 계정에 집계된 Security Hub 조사 결과에서 AWS Step Functions가 시작됩니다. 오케스트레이터는 AWS Security Hub 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결 SSM 자동화 문서를 간접적으로 호출합니다.
1. 감지: Security Hub는 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다.
이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 Security Hub 콘솔에 조사 결과 형식으로 표시됩니다. 새로운 조사 결과는 Amazon EventBridge로 전송됩니다.
2. 시작: 사용자 지정 작업을 사용하여 조사 결과에 대한 이벤트를 시작할 수 있으며, 그러면 Amazon EventBridge 이벤트가 발생합니다. AWS Security Hub 사용자 지정 작업 및 Amazon EventBridge 규칙을 통해 조사 결과를 해결하기 위한 Automated Security Response on AWS 플레이북이 시작됩니다. 일치하는 사용자 지정 작업 이벤트를 찾기 위한 EventBridge 규칙 1개가 배포되고 지원되는 각 제어(기본적으로 비활성화됨)에 대해 일치하는 실시간 검색 이벤트를 찾기 위한 EventBridge 이벤트 규칙 1개가 배포됩니다.
Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 활성화할 수 있습니다. 해결별로 활성화할 수 있으며 모든 해결에서 자동 시작을 활성화할 필요는 없습니다.
3. 준비: 관리자 계정의 오케스트레이터가 수정 이벤트를 처리하고 예약할 수 있도록 준비합니다.
4. 일정: AWS Lambda 함수 일정 예약이 간접적으로 호출되어 수정 이벤트를 Amazon DynamoDB 상태 테이블에 배치합니다.
5. 오케스트레이션: 관리자 계정의 오케스트레이터는 교차 계정 AWS Identity and Access Management(IAM) 역할을 사용하여 보안 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결을 간접적으로 호출합니다.
6. 해결: 멤버 계정의 AWS Systems Manager Automation 문서는 대상 리소스에서 발견된 조사 결과를 수정하는 데 필요한 작업(예: Lambda 퍼블릭 액세스 사용 중지)을 수행합니다.
멤버 스택에서 작업 로그 기능을 활성화하면 멤버 계정에서는 솔루션에서 수행한 작업을 캡처하여 이 솔루션의 Amazon CloudWatch 대시보드에 표시할 수 있습니다.
7. (선택 사항) 티켓팅: 관리 스택에서 티켓팅을 활성화하도록 선택한 경우, 이 솔루션은 멤버 계정에서 수정이 성공적으로 실행되면 제공된 Ticket Generator Lambda 함수를 간접적으로 호출하여 선택한 티켓팅 서비스에서 티켓을 생성합니다. Jira 및 ServiceNow와 쉽게 통합할 수 있는 스택을 제공합니다.
8. 알림 및 기록: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 전송하고, Security Hub 조사 결과를 업데이트합니다. 수행한 작업의 감사 추적은 조사 결과 노트에 기록됩니다.
Security Hub 대시보드에서 검색 워크플로 상태가 신규에서 해결됨으로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.
개요: 위임된 관리자 계정에 집계된 Security Hub 조사 결과에서 AWS Step Functions가 시작됩니다. 오케스트레이터는 AWS Security Hub 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결 SSM 자동화 문서를 간접적으로 호출합니다.
1. 감지: Security Hub는 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다.
이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 Security Hub 콘솔에 조사 결과 형식으로 표시됩니다. 새로운 조사 결과는 Amazon EventBridge로 전송됩니다.
2. 시작: 사용자 지정 작업을 사용하여 조사 결과에 대한 이벤트를 시작할 수 있으며, 그러면 Amazon EventBridge 이벤트가 발생합니다. AWS Security Hub 사용자 지정 작업 및 Amazon EventBridge 규칙을 통해 조사 결과를 해결하기 위한 Automated Security Response on AWS 플레이북이 시작됩니다. 일치하는 사용자 지정 작업 이벤트를 찾기 위한 EventBridge 규칙 1개가 배포되고 지원되는 각 제어(기본적으로 비활성화됨)에 대해 일치하는 실시간 검색 이벤트를 찾기 위한 EventBridge 이벤트 규칙 1개가 배포됩니다.
Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 활성화할 수 있습니다. 해결별로 활성화할 수 있으며 모든 해결에서 자동 시작을 활성화할 필요는 없습니다.
3. 준비: 관리자 계정의 오케스트레이터가 수정 이벤트를 처리하고 예약할 수 있도록 준비합니다.
4. 일정: AWS Lambda 함수 일정 예약이 간접적으로 호출되어 수정 이벤트를 Amazon DynamoDB 상태 테이블에 배치합니다.
5. 오케스트레이션: 관리자 계정의 오케스트레이터는 교차 계정 AWS Identity and Access Management(IAM) 역할을 사용하여 보안 조사 결과를 생성한 리소스가 포함된 멤버 계정에서 문제 해결을 간접적으로 호출합니다.
6. 해결: 멤버 계정의 AWS Systems Manager Automation 문서는 대상 리소스에서 발견된 조사 결과를 수정하는 데 필요한 작업(예: Lambda 퍼블릭 액세스 사용 중지)을 수행합니다.
멤버 스택에서 작업 로그 기능을 활성화하면 멤버 계정에서는 솔루션에서 수행한 작업을 캡처하여 이 솔루션의 Amazon CloudWatch 대시보드에 표시할 수 있습니다.
7. (선택 사항) 티켓팅: 관리 스택에서 티켓팅을 활성화하도록 선택한 경우, 이 솔루션은 멤버 계정에서 수정이 성공적으로 실행되면 제공된 Ticket Generator Lambda 함수를 간접적으로 호출하여 선택한 티켓팅 서비스에서 티켓을 생성합니다. Jira 및 ServiceNow와 쉽게 통합할 수 있는 스택을 제공합니다.
8. 알림 및 기록: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 전송하고, Security Hub 조사 결과를 업데이트합니다. 수행한 작업의 감사 추적은 조사 결과 노트에 기록됩니다.
Security Hub 대시보드에서 검색 워크플로 상태가 신규에서 해결됨으로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.
관련 콘텐츠
AvalonBay Communitions Inc.는 AWS의 서버리스 아키텍처로 마이그레이션하여 개발 속도를 75% 높이면서 비용을 40% 절감하고 강력한 보안을 유지했습니다.
이 과정에서는 AWS 보안 기술, 사용 사례, 이점 및 서비스에 대한 개요를 제공합니다.
이 시험은 AWS 플랫폼 보안과 관련된 기술 전문성을 테스트합니다. 이 시험은 보안 업무에 숙련된 사람을 위한 시험입니다.