[실습] AWS Security Hub 구성하기 (GuardDuty, Inspector, Macie, Config, Detective, EventBridge 등)

안녕하세요 서후아빠입니다. ^_^

이번 세션은 AWS Security Hub를 구성하는 실습을 해보겠습니다. Security Hub는 침해 사고를 통합적으로 대응하는데 중요한 역할을 하는 서비스입니다. 이전에 공부한 GuardDuty, Inspector, Macie, Detective와 함께 연계하여 EventBridge를 통하여 대응하도록하는 연결고리이기 때문입니다. 내용은 간단하기 때문에 구성도 이해에 중점을 두시기 바랍니다.

---

구성도

[1단계 : 원본 데이터] VPC, CloudTrail, S3 등을 사용 중이라면 별도 설정이 불필요하며, Inspector 경우는 IAM, VPC Endpoint, SSM Agent 설치 등 별도 조치가 필요합니다.  [2단계 : 탐지] GuardDuty, Inspector, Macie는 Region별 활성화하면 탐지(Findings)합니다. [3단계 : 통합] Region별 활성화하면 각 서비스에서 탐지한 결과가 통합됩니다. Region별 탐지 결과를 하나의 Region으로 통합할수도 있습니다. 탐지된 결과 중 심각도에 따라 내부 규정에 위배되는 항목들은 조치를 취합니다. (ex : 비밀번호 변경 90일 기한 등) 탐지된 결과 중 침해사고가 의심되는 부분은 Detective(4단계 분석)으로 이동하여 상세한 분석을 진행합니다. [4단계 : 분석] Region별 활성화만 하면 각 서비스에서 탐지한 결과에 대해 보안 활동 그래프 형태로 자료를 제공합니다. 침해사고가 의심되는 Findings는 분석하여 오탐인지 침해사고인지 판단하고, 침해사고인 경우 즉시 조치를 취합니다. [5단계 : 대응] Findings를 EventBridge Rule 설정하여 자동화합니다. (ex : SNS 통보, Lambda 통해 자동 처리 등) Config, FirewallManager, IAM Access Analyzer, SSM Patch Manager는 추후 내용 정리 후, 여기에 반영하도록 하겠습니다.

사전 작업

서비스 활성화 : GuardDuty, Inspector, Macie, Detective 등은 설명 생략합니다.

1단계 : AWS Config 활성화 (활성화된 경우 SKIP)

Security Hub >  Go to Security Hub > Enable AWS Config의 Download 클릭하여 EnableAWSConfig.yml 다운로드

CloudFormation > Stacks > Create stack > With new resources(standard)

Specify template	Specify stack details			Configure stack options
Prepare template : Template is ready Template source : Upload a template file Choose file : EnableAWSConfig.yml	Stack name : aws-config-enable-stack Support all resource types : true Include global resource types : false List of resource types if not all supported : - Configuration delivery channel name : - Snapshot delivery frequency : - SNS topic name : - Notification Email (optional) : -			Tags : - IAM role(옵션) : - Stack failure options : Roll back all stack resources Stack policy (옵션) : No stack policy Rollback configuration  (옵션) - Monitoring time : - - CloudWatch alarm : - SNS topic ARN(옵션) : - Stack creation (옵션) - Timeout : - - Termination protection : Disabled

Security Hub 표준 및 제어를 활성화하려면 먼저 AWS Config에서 리소스 기록을 활성화해야 합니다. 리소스 기록을 먼저 활성화하지 않으면 Security Hub 표준 및 제어를 활성화할 때 문제가 발생할 수 있습니다. 각 옵션에 대한 설명은 생략합니다. Stack 동작 중 발생하는 에러 메시지 "Failed to put delivery channel 'aws-config-enable-stack-ConfigDeliveryChannel-UZRVB6IYD6OT' because the maximum number of delivery channels: 1 is reached. (Service: AmazonConfig; Status Code: 400; Error Code: MaxNumberOfDeliveryChannelsExceededException; Request ID: f8ec4e6f-0b16-4301-a1bc-888032dd92c9; Proxy: null) "는 AWS Config가 이미 활성화 되었기 때문에 신규 채널 생성이 안되어 발생하는 에러입니다. 기존 Config 활성화된 것은 제외하는 옵션(AlreadyHaveConfigSetup = Yes)을 EnableAWSConfig.yml에 추가해서 구동해야 합니다. yml 수정하는 방법을 찾지 못해 가이드 드리지 못하는 점 양해바랍니다.

2단계 : Security Hub 활성화 (Region별)

Security Hub >  Go to Security Hub > Compliance 선택 > Enable Security Hub (최초 활성화 시 30일 무료)

Compliance(규정 준수) - 종류 : AWS Foundational Security Best Practices, CIS AWS Foundations Benchmark, PCI DSS - 권고 : PCI DSS는 카드 결제 보안 검사가 필요한 경우만 선택, 그 외는 모두 선택

3단계 : 통합된 Findings 확인

Security Hub > Findings : Severity(심각도)별 분류하여 Critical, High는 검토 후, 즉시 조치

Title을 확인하여 보안상 조치할 부분은 조치하고, 분석이 필요한 부분은 Detective로 이동하여 상세하게 분석한 후, 대응하도록 합니다.

4단계 : EventBridge의 Rule 생성 

SNS 통보 or Lambda 통한 자동 조치 등 설명은 생략합니다.

별첨 : Etc

Security Hub > Summary 

  - 보안 점수(Pass, Fail, Score)

  - 보안 검사에 가장 많이 실패한 Resources

  - 리전별 Findings (Critical, High, Medium, Low)

  - New Findings

  - Most Findings (S3 버킷, EC2, AMI, IAM 보안 주체, 계정)

  - 통합된 Findings (GuardDuty, Inspector, Macie, etc)

Security Hub > Security standards

  - Compliance별 활성화 or 비활성화

  - Compliance별 체크 항목 및 체크 결과 : View results

  - Compliance 항목별 활성화 or 비활성화 : View results > 원하는 Title  선택

Security Hub > Insights : Findings 내용을 다양한 시점으로 분류

  - ex : 1. AWS resources with the most findings > AWS::::Account:************ 선택 > 해당 계정에서 규정 준수가 안된 항목 확인 가능

Security Hub > Integrations : AWS 서비스(GuardDuty, Ispector, Macie 등) 및 3rd Party에 대한 연동을 활성화 or 비활성화

Security Hub > Settings

  - Accounts : AWS Organizations 통한 계정 추가 통해서 통합 관리

  - Region : Region별 탐지 내용을 하나의 Region으로 통합 관리

  - Custom actions : 사용자가 지정한 Findings ID를 CloudWacth Event 규칙으로 연결

  - Usage : 사용된 비용 확인

  - General : Security Hub 비활성화, 권한과 정책 확인