기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

# AWS Security Hub에서 사전 정의된 대응 및 문제 해결 작업을 통해 보안 위협 자동 해결
<a name="solution-overview"></a>

이 구현 가이드에서는 AWS의 자동 보안 대응 솔루션, 참조 아키텍처 및 구성 요소, 배포 계획 고려 사항, AWS의 자동 보안 대응 솔루션을 Amazon Web Services(AWS) 클라우드에 배포하기 위한 구성 단계에 대한 개요를 제공합니다.

이 탐색 테이블을 사용하여 다음 질문에 대한 답을 빠르게 찾을 수 있습니다.


| 다음을 수행하려는 경우 . . . | 읽기 . . . | 
| --- | --- | 
|  이 솔루션 실행 비용 파악  |   [비용](cost.md)   | 
|  이 솔루션의 보안 고려 사항 이해  |   [보안](security.md)   | 
|  이 솔루션의 할당량을 계획하는 방법 알아보기  |   [할당량](quotas.md)   | 
|  이 솔루션에서 지원되는 AWS 리전 파악  |   [지원되는 AWS 리전](plan-your-deployment.md#supported-aws-regions)   | 
|  이 솔루션에 포함된 AWS CloudFormation 템플릿을 보거나 다운로드하여이 솔루션의 인프라 리소스("스택")를 자동으로 배포합니다.  |   [AWS CloudFormation 템플릿](aws-cloudformation-template.md)   | 
|  소스 코드에 액세스하고 선택적으로 AWS Cloud Development Kit(AWS CDK)를 사용하여 솔루션을 배포합니다.  |   [GitHub 리포지토리](https://github.com/aws-solutions/automated-security-response-on-aws)   | 

보안이 지속적으로 발전하려면 데이터를 보호하기 위한 사전 예방 단계가 필요하므로 보안 팀이 대응하기 어렵고 비용이 많이 들고 시간이 많이 걸릴 수 있습니다. AWS의 자동 보안 대응 솔루션은 업계 규정 준수 표준 및 모범 사례를 기반으로 사전 정의된 대응 및 문제 해결 조치를 제공하여 보안 문제를 신속하게 해결하는 데 도움이 됩니다.

AWS의 자동 보안 응답은 AWS [Security Hub와 협력하여 보안을 개선하고 워크로드를 Well-Architected Security 원칙 모범 사례(SEC10)에 맞게 조정하는 데 도움이 되는 AWS](https://aws.amazon.com/security-hub/) 솔루션입니다.[SEC10](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-10.html) 이 솔루션을 사용하면 AWS Security Hub 고객이 일반적인 보안 조사 결과를 더 쉽게 해결하고 AWS에서 보안 태세를 개선할 수 있습니다.

Security Hub 기본 계정에 배포할 특정 플레이북을 선택할 수 있습니다. 각 플레이북에는 단일 AWS 계정 내에서 또는 여러 계정에서 문제 해결 워크플로를 시작하는 데 필요한 사용자 지정 작업, [Identity and Access Management](https://aws.amazon.com/iam/)(IAM) 역할, [Amazon EventBridge 규칙](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-rules.html), AWS [AWS Systems Manager](https://aws.amazon.com/systems-manager/) 자동화 문서, AWS [AWS Lambda](https://aws.amazon.com/lambda/) 함수 및 [AWS Step Functions](https://aws.amazon.com/step-functions/)가 포함되어 있습니다. 해결은 AWS Security Hub의 작업 메뉴에서 작동하며 권한 있는 사용자가 단일 작업으로 모든 AWS Security Hub 관리 계정에서 결과를 수정할 수 있습니다. 예를 들어, AWS 리소스 보안을 위한 규정 준수 표준인 Center for Internet Security(CIS) AWS Foundations Benchmark의 권장 사항을 적용하여 암호가 90일 이내에 만료되도록 하고 AWS에 저장된 이벤트 로그의 암호화를 적용할 수 있습니다.

**참고**  
해결은 즉각적인 조치가 필요한 긴급 상황을 위한 것입니다. 이 솔루션은 AWS Security Hub Management 콘솔을 통해 사용자가 시작하거나 수정 구성 DynamoDB 테이블을 사용하여 자동 수정이 활성화된 경우에만 결과 수정을 변경합니다. 이러한 변경 사항을 되돌리려면 리소스를 수동으로 원래 상태로 되돌려야 합니다.  
CloudFormation 스택의 일부로 배포된 AWS 리소스를 수정할 때는 이로 인해 드리프트가 발생할 수 있습니다. 가능하면 스택 리소스를 정의하는 코드를 수정하고 스택을 업데이트하여 스택 리소스를 수정합니다. 자세한 내용은 *AWS CloudFormation 사용 설명서*의 [드리프트란 무엇입니까?](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-stack-drift.html#what-is-drift)를 참조하세요.

AWS의 자동 보안 대응에는 다음과 같이 정의된 보안 표준에 대한 플레이북 수정 사항이 포함됩니다.
+  [인터넷 보안 센터(CIS) AWS 파운데이션 벤치마크 v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard) 
+  [CIS AWS 파운데이션 벤치마크 v1.4.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard) 
+  [CIS AWS 파운데이션 벤치마크 v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard) 
+  [AWS 기본 보안 모범 사례(FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 
+  [Payment Card Industry Data Security Standard(PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) 
+  [NIST(National Institute of Standards and Technology) SP 800-53 개정 5](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html) 

이 솔루션에는 AWS Security Hub의 [통합 제어 조사 결과 기능을 위한 보안 제어](https://docs.aws.amazon.com/securityhub/latest/userguide/controls-findings-create-update.html#consolidated-control-findings)(SC) 플레이북도 포함되어 있습니다. 자세한 내용은 [플레이북을 참조하세요](playbooks.md). Security Hub에서 통합 제어 조사 결과와 함께 SC 플레이북을 사용하는 것이 좋습니다.

이 구현 가이드에서는 AWS 클라우드에서 AWS의 자동 보안 대응 솔루션을 배포하기 위한 아키텍처 고려 사항 및 구성 단계를 설명합니다. 여기에는 보안 및 가용성에 대한 AWS 모범 사례를 사용하여 AWS에서이 솔루션을 배포하는 데 필요한 AWS 컴퓨팅, 네트워크, 스토리지 및 기타 서비스를 시작, 구성 및 실행하는 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 템플릿에 대한 링크가 포함되어 있습니다.

이 가이드는 AWS 클라우드에서 설계한 실제 경험이 있는 IT 인프라 아키텍트, 관리자 및 DevOps 전문가를 대상으로 합니다.

# 기능 및 이점
<a name="features"></a>

AWS의 자동 보안 응답은 다음과 같은 기능을 제공합니다.

 **특정 컨트롤에 대한 조사 결과 자동 수정** 

관리자 계정에 배포된 수정 구성 DynamoDB 테이블을 수정하여 특정 제어에 대한 결과를 자동으로 수정하도록 솔루션을 구성합니다.

 **한 위치에서 여러 계정 및 리전의 문제 해결 관리** 

조직의 계정 및 리전의 집계 대상으로 구성된 AWS Security Hub 관리자 계정에서 솔루션이 배포된 모든 계정 및 리전의 결과에 대한 문제 해결을 시작합니다.

 **문제 해결 작업 및 결과에 대한 알림 받기** 

솔루션에서 배포한 Amazon SNS 주제를 구독하여 문제 해결이 시작될 때 알림을 받고 문제 해결이 성공했는지 여부를 확인합니다.

 **웹 사용자 인터페이스를 사용하여 문제 해결을 시작, 확인 및 관리** 

관리자 스택을 거부할 때 솔루션의 웹 UI를 활성화할 수 있는 옵션이 있습니다. 그러면 수정 사항을 실행하고 솔루션에서 수행한 모든 과거 수정 사항을 볼 수 있는 포괄적인 사용자 친화적 보기가 제공됩니다.

 **Jira 또는 ServiceNow와 같은 티켓 시스템과 통합** 

조직이 문제 해결(예: 인프라 코드 업데이트)에 대응할 수 있도록이 솔루션은 티켓을 외부 티켓팅 시스템으로 푸시할 수 있습니다.

 **GovCloud 및 중국 파티션에서 AWSConfigRemediations 사용** 

솔루션에 포함된 문제 해결 방법 중 일부는 상용 파티션에서 사용할 수 있지만 GovCloud 또는 중국에서는 사용할 수 없는 AWS 소유 AWSConfigRemediation 문서의 재패키지입니다. 이러한 문서를 파티션에서 사용하려면이 솔루션을 배포합니다.

 **사용자 지정 문제 해결 및 플레이북 구현으로 솔루션 확장** 

이 솔루션은 확장 가능하고 사용자 지정할 수 있도록 설계되었습니다. 대체 문제 해결 구현을 지정하려면 사용자 지정된 AWS Systems Manager 자동화 문서와 AWS IAM 역할을 배포합니다. 솔루션에서 구현하지 않은 완전히 새로운 제어 세트를 지원하려면 사용자 지정 플레이북을 배포합니다.

# 사용 사례
<a name="use-cases"></a>

 **조직의 계정 및 리전에서 표준에 대한 규정 준수 적용** 

제공된 수정 사항을 사용할 수 있도록 표준용 플레이북(예: AWS 기본 보안 모범 사례)을 배포합니다. 솔루션을 배포한 모든 계정 및 리전의 리소스에 대한 문제 해결을 자동으로 또는 수동으로 시작하여 규정을 준수하지 않는 리소스를 수정합니다.

 **조직의 규정 준수 요구 사항에 맞게 사용자 지정 문제 해결 또는 플레이북 배포** 

제공된 Orchestrator 구성 요소를 프레임워크로 사용합니다. 조직의 특정 요구 사항에 따라 out-of-compliance 리소스를 해결하기 위한 사용자 지정 문제 해결을 구축합니다.

# 개념 및 정의
<a name="concepts-and-definitions"></a>

이 섹션에서는 이 솔루션과 관련된 핵심 개념 및 용어에 대해 설명합니다.

 **문제 해결, 문제 해결 런북** 

결과를 해결하는 단계 세트의 구현입니다. 예를 들어 제어 보안 제어(SC) Lambda.1 "Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다"를 수정하면 퍼블릭 액세스를 허용하는 문을 제거하도록 관련 AWS Lambda 함수의 정책이 수정됩니다.

 **런북 제어** 

Orchestrator가 특정 제어에 대해 시작된 문제 해결을 올바른 문제 해결 실행서로 라우팅하는 데 사용하는 AWS Systems Manager(SSM) 자동화 문서 세트 중 하나입니다. 예를 들어 SC Lambda.1 및 AWS Foundational Security Best Practices(FSBP) Lambda.1에 대한 수정 사항은 동일한 수정 실행서로 구현됩니다. 오케스트레이터는 ASR-AFSBP\$1Lambda.1 및 ASR-SC\$12.0.0\$1Lambda.1이라는 이름의 각 컨트롤에 대한 컨트롤 런북을 호출합니다. 각 컨트롤 런북은 동일한 문제 해결 런북을 호출합니다.이 경우 ASR-RemoveLambdaPublicAccess가 됩니다.

 **오케스트레이터** 

AWS Security Hub에서 결과 객체를 입력하고 대상 계정 및 리전에서 올바른 컨트롤 런북을 호출하는 솔루션에서 배포한 Step Functions입니다. 또한 Orchestrator는 문제 해결이 시작될 때와 문제 해결이 성공 또는 실패할 때 솔루션 SNS 주제에 알립니다.

 **표준** 

조직에서 규정 준수 프레임워크의 일부로 정의한 제어 그룹입니다. 예를 들어 AWS Security Hub에서 지원하는 표준 중 하나와이 솔루션은 AWS FSBP입니다.

 **제어** 

규정 준수를 위해 리소스가 보유해야 하거나 보유해서는 안 되는 속성에 대한 설명입니다. 예를 들어, 제어 AWS FSBP Lambda.1에는 AWS Lambda 함수가 퍼블릭 액세스를 금지해야 한다고 명시되어 있습니다. 퍼블릭 액세스를 허용하는 함수는이 제어에 실패합니다.

 **통합 제어 조사 결과, 보안 제어, 보안 제어 보기** 

AWS Security Hub의 기능으로, 활성화되면 특정 표준에 해당하는 IDs가 아닌 통합 제어 IDs로 조사 결과를 표시합니다. 예를 들어는 AWS FSBP S3.2, CIS v1.2.0 2.3, CIS v1.4.0 2.1.5.2 및 PCI-DSS v3.2.1 S3.1을 제어합니다. 모든 맵은 통합(SC) 제어 S3.2 “S3 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다.” 이 기능을 켜면 SC 실행서가 사용됩니다.

 **[솔루션 웹 UI] 위임된 관리자** 

솔루션의 웹 UI 컨텍스트에서 위임된 관리자는 관리자의 초대를 받았으며 문제 해결을 실행하고 문제 해결 기록을 볼 수 있는 전체 액세스 권한을 가진 사용자입니다. 이 사용자는 다른 계정 운영자 사용자를 보고 관리할 수도 있습니다.

 **[솔루션 웹 UI] 계정 운영자** 

솔루션의 웹 UI 컨텍스트에서 계정 운영자는 솔루션의 웹 UI에 액세스하기 위해 관리자 또는 위임된 관리자가 초대한 사용자입니다. 이 사용자는 초대에 제공된 AWS 계정 ID 목록과 연결되어 있으며, 이러한 계정의 리소스와 관련된 문제 해결만 실행하고 문제 해결 기록을 볼 수 있습니다.

AWS 용어에 대한 일반적인 참조는 [AWS 용어집](https://docs.aws.amazon.com/general/latest/gr/glos-chap.html)을 참조하세요.