[AWS] AWS Security Hub

01. AWS Security Hub란?

AWS Security Hub는 AWS의 보안 서비스 중 하나로, 다양한 AWS 리소스와 서비스로부터 수집한 보안 데이터를 중앙 집중화하여 분석하고 보안 상태를 모니터링하기 위한 서비스이다.

 

이렇게 수집한 보안 데이터를 AWS 보안 업계 표준 및 모범사례를 기준으로 전반적인 보안상태를 종합적으로 볼 수 있게 해준다. 어떤 표준을 제공하는지는 아래 실습에서 확인할 수 있다.

 

아래의 그림에서 보여지듯 GruadDuty, Firewall Manager 등 여러 AWS 서비스에서 수집한 데이터를 기반으로 정상/비정상을 탐지한다. 탐지된 이벤트를 기반으로 EventBridge를 통해서 Lambda, SNS와 같은 서비스에 전달하고, 이 후 대응(수정, 알림)을 진행한다.

 

 

 

02. AWS Security Hub 실습

AWS Security Hub를 통해서 결과를 확인하고자 한다면, 정보 수집을 위한 서비스가 하나 이상 활성화 되어 있어야 한다. 본 계정에서는 GuardDuty 서비스가 활성화 되어있다.

 

링크 : https://ap-northeast-2.console.aws.amazon.com/securityhub/home?region=ap-northeast-2#/landing

https://ap-northeast-2.console.aws.amazon.com/securityhub/home?region=ap-northeast-2#/landing

 

Amazon Security Hub 서비스에서 제공하는 요약 대시보드는 아래와 같은 데이터를 제공한다.

 

• 보안 표준 or 모범 사례에 따른 취약점 결과
• 실패한 보안 검사가 많은 리소스
• 시간에 따른 리소스 & 심각도 분석 결과
• 계정 & 심각도별 총 카운트 결과

 

• 제어 대시보드에서는 보안 표준에서 제공하는 항목들에 대한 규정 준수 상태의 검사 결과를 보여준다. (아래는 대부분의 서비스가 비활성화 상태라 데이터가 없다.)

 

• 보안 표준 대시보드에서 Security Hub가 검사하는 표준에 어떤 것들이 있는지 보여준다. 각 표준을 클릭해보면 자세한 항목들이 리스트로 표시된다. (현재는 아래 5개의 표준에 대해서 서비스를 제공한다.)

 

 

• 인사이트 대시보드에서는 요약된 검사내용에 대해서 그래프로 제공한다. 각 항목을 클릭하면 상세정보를 제공해준다.

 

- END -