[AWS-10] AWS Security Hub

AWS 내의 보안 상태에 대해 보안 업계 표준 및 모범 사례를 준수하는지 가시화하여 보여줌
(활성화된 멀티 리전 정보를 통합하여 보여줌)

-  AWS 보안 서비스/3rd party 솔루션의 다양한 탐지 내역을 정형화된 포맷으로 통합하여 모니터링 (Insights)
- 규정 준수 검사 자동화 제공 (CIS AWS Foundation Benchmark, PCI DSS 자동화 점검) - AWS config 활성화 필요 
- GuardDuty, Macie, IAM, Inspector 등등 Findings 통합 집계

---

 

통합 집계란?

그림1. Securiry Hub 리전 세팅

• 활성화된 멀티 리전/멀티 어카운트 정보를 통합해서 보여주는 서비스
• 집계된 정보를 보여줄 리전을 지정함, 비활성화된 리전은 통합 집계 리전으로 지정 불가.(그림 1)
• 통합 집계 결과를 SIEM으로 보내면 오버헤드가 적음
• Security Hub의 결과를 EventBridge 규칙을 통해 분석하고, Firehose나 Lambda를 이용하여 SIEM으로 전송.

---

집계 결과 중복 제거

• GuardDuty가 IAM과 같은 글로벌 리전 서비스의 악성 행위나 취약점을 탐지하면, 탐지 결과는 GuardDuty가 활성화된 모든 리전에 생성이 됨. SecurityHub에도 모든 리전의 결과가 들어오게 되고 오버헤드 발생 및 중복 결과 저장 야기.
• GuardDuty에서 금지 규칙(Suspressed)을 생성해서 통합 집계 리전을 제외한 다른 활성화된 리전에서 중복된 결과가 들어오지 않도록 함.

---

제약사항

---

• SIEM과 유사한 기능을 제공하나 저장 기간이 90일정도만 가능하다.
• AWS 서비스 외의 로그 수집이 불가하다.
• cloudtrail과 같은 대용량 로그는 직접 수집하지 않는다. (가드듀티를 통한 악성 행위만 수집.)
• 고로 SIEM 솔루션을 사용하는 것이 관리상 용이함