이 AWS 솔루션은 AWS Security Hub에서 사용할 수 있는 추가 기능으로, 보안 위협에 대한 산업 규정 준수 표준 및 모범 사례에 따라 미리 정의된 대응 및 해결 작업을 제공합니다. 이 솔루션은 AWS Security Hub에서 일반적인 보안 스캔 결과를 해결하고 AWS 내의 보안 태세를 개선하는 데 도움이 됩니다.
이점
AWS Security Hub 통합
원클릭 교차 계정 해결
해결 플레이북
자동 해결
AWS 솔루션 개요
아래 다이어그램은 솔루션의 구현 가이드와 이에 수반되는 AWS CloudFormation 템플릿을 사용하여 구축할 수 있는 서버리스 아키텍처를 보여줍니다.
Automated Security Response on AWS 아키텍처
AWS Security Hub Automated Response and Remediation은 감지, 수집, 해결 및 로깅의 네 가지 기본 워크플로를 포함하고 있습니다.
1. 감지: AWS Security Hub는 고객에게 AWS 보안 태세에 대한 포괄적인 보기를 제공합니다. 이 보기를 사용하면 보안 산업 표준 및 모범 사례와 비교하여 환경을 측정할 수 있습니다. 이 워크플로는 AWS Config, Amazon Guard Duty 및 AWS Firewall Manager와 같은 다른 AWS 서비스로부터 이벤트와 데이터를 수집하는 방식으로 작동합니다. 이렇게 수집된 이벤트와 데이터는 CIS AWS Foundations Benchmark와 같은 보안 표준을 기준으로 분석됩니다. 예외 사항은 AWS Security Hub 콘솔에 스캔 결과 형식으로 표시됩니다. 새 스캔 결과는 Amazon CloudWatch Events로 전송됩니다.
2. 수집: AWS Security Hub 사용자 정의 작업 및 Amazon CloudWatch Events 규칙은 스캔 결과에 대한 조치를 위해 Security Hub Automated Response and Remediation 플레이북을 시작합니다. 솔루션은 지원되는 각 제어에 대해 두 가지의 CloudWatch Event 규칙, 즉 사용자 정의 작업 이벤트 일치를 위한 규칙(사용자 시작 해결) 및 실시간 스캔 결과 이벤트 일치를 위한 규칙(기본으로 비활성화)를 배포합니다. 고객은 Security Hub의 사용자 지정 작업(Custom Action) 메뉴를 사용하여 자동 해결을 시작하거나, 비프로덕션 환경에서 면밀한 테스트를 거친 후 자동 해결을 위한 자동 트리거를 활성화할 수 있습니다. 이 결정은 해결 사례별로 이루어지므로 모든 해결에 대해 자동 트리거를 활성화하지 않아도 됩니다.
3. 해결: 교차 계정 AWS Identity and Access Management(IAM) 역할을 사용하는 경우, 자동 해결 기능은 AWS API를 사용하여 스캔 결과 해결에 필요한 태스크를 수행합니다. 이 솔루션의 모든 플레이북은 AWS Lambda 함수를 호출합니다. 일부 Lambda 함수는 해결 작업을 직접 수행합니다. 다른 함수는 AWS Systems Manager Automation 문서를 사용합니다.
4. 로깅: 플레이북은 결과를 Amazon CloudWatch Logs 그룹에 로깅하고, Amazon Simple Notification Service(Amazon SNS) 주제에 알림을 전송하고, Security Hub 스캔 결과를 업데이트합니다. 수행한 작업의 감사 추적은 스캔 결과 노트에 기록됩니다. Security Hub 대시보드에서는 스캔 결과 워크플로 상태가 신규(NEW)에서 알림(NOTIFIED) 또는 해결됨(RESOLVED)으로 변경됩니다. 보안 스캔 결과 노트는 수행한 해결 작업을 반영하도록 업데이트됩니다.
Automated Security Response on AWS
버전 1.5.0
릴리스 날짜: 2022년 6월
작성자: AWS
예상 배포 시간: 15분
