AWS Security Hub
- 여러 AWS 계정을 관리하고 자동 점검을 통해 보안 관리를 위한 중앙 보안 장치
- 최근 보안과 컴플라이언스 상태를 보여주는 통합 대시보드
- 활성화를 위해서는 AWS Config를 먼저 활성화해야함
- 다양한 AWS 서비스와 파트너 툴로부터 alert들을 자동으로 집계
- Config
- GuardDuty
- Inspector
- Macie
- IAM Access Analyzer
- AWS Systems Manager
- AWS Firewall Manager
- AWS Health
- AWS Partner Network Solutions
Security Hub - 주요 특징
- 크로스-리전 집계
- findings, insights, security scores들을 다양한 리전부터 싱글 리전까지 집계
- AWS 조직 통합
- 조직의 모든 account를 관리
- Security Hub는 새로운 계정을 자동으로 탐지
- Organization 관리 계정은 Security Hub 관리자 계정으로 기본 설정
- 멤버 계정 중 Hub 관리자를 지정 가능
- AWS Config는 반드시 활성화
- Hub는 Config를 보안 점검을 수행하기 위해 사용
- 모든 계정에서 활성화되어 있어야 함
Security Hub - 보안 기준들
Hub는 지원하는 보안 기준들 내에서 findings와 연속적인 점검들을 생성
Hub의 보안 기준들
- CIS AWS Foundations
- PCI DSS
- AWS Foundational Security Best Practices
Security Hub - GuardDuty와 통합
Hub가 활성화되면 GuardDuty와의 통합은 자동으로 이루어짐 (비활성화 가능)
GuardDuty는 Hub로 findings를 보냄
예시)
Findings는 AWS Security Findings Format(ASFF) 형식으로 전송됨
Findings는 보통 5분 내외로 전송됨
Guardduty 결과를 보관해도 Hub에서 결과가 업데이트되지 않음
Security Hub - 서비스 통합
Security Hub - 써드 파티 통합
- 써드 파티 솔루션으로부터 findings를 송/수신
Security Hub - Findings
- Hub는 ASFF 포맷을 통해 findings를 수집
- Hub는 findings를 자동으로 업데이트 및 삭제
- 90일이 지난 findings는 자동 삭제
Security Hub - Insights
- 연관된 findings의 집합 (주의를 요함)
ex) 다수의 인스턴스에 보안 문제가 존재한다면 Insight가 이를 지적함
- 서로 다른 finding 제공자들에게서 finding을 가져옴
- 각 Insight는 Group by 상태와 optional Filter로 정의됨
- Built-In Managed Insights :
- Custom Insights : 환경에 적합한 이슈들을 추적 (ex. 멤버 어카운트에 영향을 주는 치명적인 Findings 추적)
Security Hub - Custom Actions
- EventBridge와 함께 Security Hub의 자동화를 도와줌
- EventBridge의 이벤트 유형은 Security Hub Findings - Custom Action
Security Hub - Custom Actions 아키텍쳐
'자격증 > AWS Certified Security - Specialty' 카테고리의 다른 글
| [AWS SCS] EC2 키페어 (0) | 2024.11.19 |
|---|---|
| [AWS SCS] 침해된 AWS 자원과 크리덴셜 (0) | 2024.11.17 |
| [AWS SCS] AWS에서의 침투 테스트 (0) | 2024.11.17 |
| [AWS SCS] Amazon Detective (1) | 2024.11.17 |
| [AWS SCS] Amazon GuardDuty (1) | 2024.10.06 |
