개요

이 AWS 솔루션은 AWS Security Hub에서 사용할 수 있는 추가 기능으로, 보안 위협에 대한 산업 규정 준수 표준 및 모범 사례에 따라 미리 정의된 대응 및 해결 작업을 제공합니다. 이 솔루션은 AWS Security Hub에서 일반적인 보안 조사 결과를 해결하고 AWS 내의 보안 태세를 개선하는 데 도움이 됩니다.
이 솔루션은 Security Hub 기본 계정에 배포하려는 항목을 개별적으로 선택할 수 있는 고객용 플레이북을 생성합니다. 각 플레이북에는 필수 사용자 지정 작업, IAM 역할 및 Amazon EventBridge 이벤트 뿐만 아니라 단일 AWS 계정 내에서 또는 여러 계정에 걸쳐 해결 워크플로를 시작하는 데 필요한 모든 Systems Manager Automation 문서, AWS Lambda 함수 및 AWS Step Functions가 포함되어 있습니다.
이점

Security Hub 콘솔에서 사용자 정의 작업을 사용하여 해결 및 스캔 결과를 시작합니다.
기본 계정과 멤버 계정에 걸쳐 손쉽게 솔루션을 배포합니다.
Center for Internet Security(CIS) AWS Foundations 벤치마크 버전 1.4.0 또는 AWS Foundational Security Best Practices(AFSBP) v1.0.0과 같은 표준을 지원하는 해결 플레이북에 액세스합니다.
미리 정의된 대응 및 해결 작업 세트를 배포하여 위협에 자동으로 대응합니다.
사용자 지정된 AWS Systems Manager Automation 문서와 AWS IAM 역할을 배포하여 사용자 지정 문제 해결 및 플레이북을 구현함으로써 솔루션을 확장합니다. 솔루션으로 구현되지 않은 완전히 새로운 제어 세트를 지원하려면 사용자 지정 플레이북을 배포하세요.
기술 세부 정보

아래 다이어그램은 솔루션의 구현 가이드와 이에 수반되는 AWS CloudFormation 템플릿을 사용하여 구축할 수 있는 서버리스 아키텍처를 보여줍니다.
Automated Security Response on AWS에는 감지, 수집, 해결 및 로깅이라는 4가지 기본 워크플로가 포함됩니다.
1. 감지: AWS Security Hub는 고객에게 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다. 이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 AWS Security Hub 콘솔에 조사 결과 형식으로 표시됩니다. 새로운 조사 결과는 Amazon EventBridge로 전송됩니다.
2. 수집: 사용자 지정 작업을 사용하여 조사 결과에 대한 이벤트를 시작할 수 있으며, 그러면 Amazon EventBridge 이벤트가 발생합니다. AWS Security Hub 사용자 지정 작업 및 Amazon EventBridge 규칙을 통해 조사 결과를 해결하기 위한 Automated Security Response on AWS 플레이북이 시작됩니다. 일치하는 사용자 지정 작업 이벤트를 찾기 위한 EventBridge 규칙 1개가 배포되고 지원되는 각 제어(기본적으로 비활성화됨)에 대해 일치하는 실시간 검색 이벤트를 찾기 위한 Amazon EventBridge 이벤트 규칙 1개가 배포됩니다.
Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 활성화할 수 있습니다. 해결별로 활성화할 수 있으며 모든 해결에서 자동 시작을 활성화할 필요는 없습니다.
3. 해결: 크로스 계정 AWS Identity and Access Management(IAM) 역할을 사용하는 경우, 자동 해결 기능은 AWS API를 사용하여 스캔 결과 해결에 필요한 태스크를 수행합니다. 이 솔루션의 모든 플레이북은 AWS Systems Manager 문서로 구현됩니다. 이러한 문서는 보안 제어 ID를 기반으로 분류됩니다. AWS Step Function은 Amazon EventBridge 이벤트로부터 스캔 결과를 수신한 뒤, AWS Step Function에서 AWS Systems Manager API 호출을 통해 문서를 호출합니다.
4. 로깅: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 전송하고, Security Hub 스캔 결과를 업데이트합니다. 수행한 작업의 감사 추적은 스캔 결과 노트에 기록됩니다. Security Hub 대시보드에서는 스캔 결과 워크플로 상태가 신규(NEW)에서 알림(NOTIFIED) 또는 해결됨(RESOLVED)으로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.