취약점 감지 및 위험 평가를 위해 AWS에 연결

Security Command Center Enterprise 등급을 AWS 환경에 연결하여 다음을 완료할 수 있습니다.

• AWS의 발견 항목(위협 및 취약점 포함) 검토 및 해결
• AWS의 보안 상황 만들기 및 관리
• 공개 인터넷에서 고가치 AWS 애셋까지의 잠재적 공격 경로 식별
• 다양한 표준 및 벤치마크로 AWS 리소스의 규정 준수 매핑

AWS에 Security Command Center를 연결하면 보안 운영팀이 한곳에서 Google Cloud 및 AWS 전반의 위협과 취약점을 관리하고 해결할 수 있습니다.

Security Command Center에서 AWS 조직을 모니터링하도록 하려면 Google Cloud 서비스 에이전트와 모니터링할 리소스에 대한 액세스 권한이 있는 AWS 계정을 사용하여 연결을 구성해야 합니다. Security Command Center는 이 연결을 사용하여 사용자가 정의하는 모든 AWS 계정 및 리전에서 애셋 메타데이터를 주기적으로 수집합니다.

이 문서에서는 AWS와의 연결을 설정하는 방법을 설명합니다. 연결을 설정할 때 다음을 구성합니다.

• 모니터링할 AWS 리소스에 직접 액세스할 수 있는 AWS의 일련의 계정. Google Cloud 콘솔에서는 이러한 계정을 수집기 계정이라고 합니다.
• 수집기 계정에 인증을 허용할 수 있는 적절한 정책과 역할이 있는 AWS의 계정. Google Cloud 콘솔에서는 이 계정을 위임된 계정이라고 합니다. 위임된 계정 및 수집기 계정은 모두 동일한 AWS 조직에 있어야 합니다.
• 인증을 위해 위임된 계정에 연결되는 Google Cloud의 서비스 에이전트
• AWS 리소스에서 애셋 데이터를 수집하는 파이프라인

이 연결은 위협 감지를 위해 AWS 로그를 수집할 수 있는 Security Command Center의 SIEM 기능에 적용되지 않습니다.

다음 다이어그램은 이 구성을 보여줍니다. 테넌트 프로젝트는 자동으로 생성되며 애셋 데이터 수집 파이프라인 인스턴스를 포함하는 프로젝트입니다.

시작하기 전에

이 페이지의 남은 태스크를 수행하기 전에 먼저 다음 태스크를 수행하세요.

Security Command Center Enterprise 등급 활성화

설정 가이드의 1단계와 2단계를 완료하여 Security Command Center Enterprise 등급을 활성화합니다.

권한 설정

AWS 커넥터를 사용하는 데 필요한 권한을 얻으려면 관리자에게 클라우드 애셋 소유자 (roles/cloudasset.owner) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

AWS 계정 만들기

다음 AWS 리소스를 만들었는지 확인합니다.

• 대리인 및 수집기 AWS 계정 콘솔에 대한 AWS IAM 액세스가 있는 AWS IAM 사용자

• 위임된 계정으로 사용할 수 있는 AWS 계정의 AWS 계정 ID. 리소스를 찾기 위해 Security Command Center에서 AWS 계정을 자동으로 검색하려면 위임된 계정이 AWS 조직에 연결되어 있고 다음 중 하나여야 합니다.

  • AWS 관리 계정

  • AWS 위임된 관리자

  • organization 및 list 권한을 제공하는 리소스 기반 위임 정책이 있는 AWS 계정. 정책 예시는 예시: 조직, OU, 계정, 정책 보기를 참조하세요.

Security Command Center 구성

1. Google Cloud 콘솔에서 설정 페이지로 이동합니다.

   설정으로 이동

2. 표시된 조직이 Security Command Center Enterprise 등급을 활성화한 조직인지 확인합니다.

3. 3단계: Amazon Web Services(AWS) 커넥터 설정을 클릭합니다.

4. 위임된 계정 ID에 위임된 계정으로 사용할 수 있는 AWS 계정의 AWS 계정 ID를 입력합니다.

5. 필요에 따라 고급 옵션을 검토합니다.

6. 계속을 클릭합니다.

7. 다음 중 하나를 수행합니다.

   • 위임된 역할 및 수집기 역할에 대한 CloudFormation 템플릿을 다운로드합니다.
   • 고급 옵션을 구성했거나 기본 AWS 역할 이름(aws-delegated-role 및 aws-collector-role)을 변경해야 하는 경우 AWS 콘솔 사용을 선택합니다. 서비스 에이전트 ID, 위임된 역할 이름, 수집기 역할 이름을 복사합니다.

   연결을 만든 후에는 역할 이름을 변경할 수 없습니다.

만들기를 클릭하지 마세요. 대신 AWS 환경을 구성합니다.

AWS 환경 구성

다음 방법 중 하나를 사용하여 AWS 환경을 설정할 수 있습니다.

• Security Command Center 구성에서 다운로드한 CloudFormation 템플릿을 사용합니다. 자세한 내용은 CloudFormation 템플릿을 사용하여 AWS 환경 설정을 참조하세요.
• 맞춤설정된 설정 또는 역할 이름을 사용하는 경우 AWS 계정을 수동으로 구성합니다. 자세한 내용은 수동으로 AWS 계정 구성을 참조하세요.

CloudFormation 템플릿을 사용하여 AWS 환경 설정

CloudFormation 템플릿을 다운로드한 경우 다음 단계에 따라 AWS 환경을 설정합니다.

1. AWS 위임 계정 콘솔에 로그인합니다. 다른 수집기 AWS 계정을 맡는 데 사용되는 대리인 계정에 로그인되어 있는지 확인합니다.
2. AWS CloudFormation 템플릿 콘솔로 이동합니다.
3. 스택 > 새 리소스 포함(표준)을 클릭합니다.
4. 위임된 역할 템플릿 파일을 업로드하고 다음을 클릭합니다.
5. 스택 이름을 입력합니다. 위임된 역할의 역할 이름을 변경한 경우 매개변수를 업데이트합니다. 다음을 클릭합니다.
6. 조직의 요구사항에 따라 스택 옵션을 업데이트하고 다음을 클릭합니다.

7. 정보를 검토한 후 제출을 클릭합니다. 스택이 생성될 때까지 기다립니다. 문제가 발생하면 문제 해결을 참조하세요.

   계정의 자동 검색을 사용 중지하여 AWS 계정을 개별적으로 추가하도록 선택한 경우 단일 스택 집합을 만드는 대신 각 AWS 계정에 대해 별도의 스택을 만들 수도 있습니다.

8. AWS 관리 계정 또는 위임된 관리자로 등록된 구성원 계정을 사용하여 Stackset > StackSet 만들기를 클릭합니다.

9. 서비스 관리 권한을 클릭합니다.

10. 수집기 역할 템플릿 파일을 업로드합니다. 다음을 클릭합니다.

11. StackSet 세부정보 지정 페이지에서 스택 집합 이름과 설명을 입력합니다. 대리인 계정 ID와 역할 이름을 확인하고 업데이트합니다. 다음을 클릭합니다.

12. 조직의 요구사항에 따라 스택 집합 옵션을 구성합니다. 다음을 클릭합니다.

13. 배포 옵션 설정 페이지에서 다음을 완료합니다.

    1. 배포 대상을 선택합니다. 전체 AWS 조직에 배포하거나 데이터를 수집할 모든 AWS 계정이 포함된 조직 단위에 배포할 수 있습니다.

    2. 역할 및 정책을 만들 AWS 리전을 지정합니다. 역할은 전역 리소스이므로 여러 리전을 지정할 필요가 없습니다.

    3. 필요한 경우 다른 설정을 변경하고 다음을 클릭합니다.

14. 변경사항을 검토하고 제출을 클릭합니다. 오류가 발생하는 경우 문제 해결을 참조하세요.

15. AWS CloudFormation 스택 집합은 관리 계정에 스택 인스턴스를 만들지 않으므로 별도의 스택을 배포하여 관리 계정 아래에 수집기 역할을 프로비저닝합니다. 자세한 내용은 DeploymentTargets를 참조하세요.

통합 프로세스를 완료하려면 통합 프로세스 완료를 참조하세요.

수동으로 AWS 계정 구성

CloudFormation 템플릿을 사용할 수 없는 경우(예: 다른 역할 이름을 사용하거나 통합을 맞춤설정하는 경우) 필요한 AWS IAM 정책 및 AWS IAM 역할을 수동으로 만들 수 있습니다.

위임된 계정과 수집기 계정에 대해 AWS IAM 정책과 AWS IAM 역할을 만들어야 합니다.

위임된 역할에 대한 AWS IAM 정책 만들기

위임된 역할(위임된 정책)에 대해 AWS IAM 정책을 만들려면 다음을 완료합니다.

1. AWS 위임 계정 콘솔에 로그인합니다.

2. 정책 > 정책 만들기를 클릭합니다.

3. JSON을 클릭하고 다음을 붙여넣습니다.

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   
   }
   

   COLLECTOR_ROLE_NAME을 Security Command Center를 구성할 때 복사한 수집기 역할의 이름으로 바꿉니다(기본값은 aws-collector-role).

4. 다음을 클릭합니다.

5. 정책 세부정보 섹션에 정책의 이름과 설명을 입력합니다.

6. 정책 만들기를 클릭합니다.

AWS와 Google Cloud 간의 트러스트 관계를 위한 AWS IAM 역할 만들기

AWS와 Google Cloud 간에 신뢰할 수 있는 관계를 설정하는 위임된 역할을 만듭니다. 이 역할에는 위임된 역할에 대한 AWS IAM 정책 만들기에서 만든 위임된 정책이 사용됩니다.

1. IAM 역할 및 정책을 만들 수 있는 AWS 사용자로 AWS 위임 계정 콘솔에 로그인합니다.

2. 역할 > 역할 만들기를 클릭합니다.

3. 신뢰할 수 있는 항목 유형에서 웹 ID를 클릭합니다.

4. ID 공급업체에 Google을 클릭합니다.

5. 대상에 Security Command Center를 구성할 때 복사한 서비스 계정 ID를 입력합니다. 다음을 클릭합니다.

6. 수집기 역할에 대한 액세스 권한을 위임된 역할에 부여하려면 역할에 권한 정책을 연결합니다. 위임된 역할에 대한 AWS IAM 정책 만들기에서 만든 위임된 정책을 검색하고 선택합니다.

7. 역할 세부정보 섹션에 Security Command Center를 구성할 때 복사한 위임된 역할 이름을 입력합니다(기본 이름은 aws-delegated-role).

8. 역할 만들기를 클릭합니다.

애셋 데이터 수집을 위한 AWS IAM 정책 만들기

애셋 데이터 수집(수집기 정책)을 위한 AWS IAM 정책을 만들려면 다음을 완료합니다.

1. AWS 수집기 계정 콘솔에 로그인합니다.

2. 정책 > 정책 만들기를 클릭합니다.

3. JSON을 클릭하고 다음을 붙여넣습니다.

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. 다음을 클릭합니다.

5. 정책 세부정보 섹션에 정책의 이름과 설명을 입력합니다.

6. 정책 만들기를 클릭합니다.

7. 각 수집기 계정에 대해 이 단계를 반복합니다.

각 계정에서 데이터 수집을 위한 AWS IAM 역할 만들기

Security Command Center가 AWS에서 애셋 데이터를 가져올 수 있게 해주는 수집기 역할을 만듭니다. 이 역할은 애셋 데이터 수집을 위한 AWS IAM 정책 만들기에서 만든 수집기 정책을 사용합니다.

1. 수집기 계정의 IAM 역할을 만들 수 있는 사용자로 AWS 수집기 계정 콘솔에 로그인합니다.

2. 역할 > 역할 만들기를 클릭합니다.

3. 신뢰할 수 있는 항목 유형에서 커스텀 트러스트 정책을 클릭합니다.

4. 커스텀 트러스트 정책 섹션에 다음을 붙여넣습니다.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   다음을 바꿉니다.

   • DELEGATE_ACCOUNT_ID: 대리인 계정의 AWS 계정 ID입니다.
   • DELEGATE_ACCOUNT_ROLE: Security Command Center를 구성할 때 복사한 위임된 역할 이름입니다.

5. 수집기 역할에 AWS 애셋 구성 데이터에 대한 액세스 권한을 부여하려면 권한 정책을 역할에 연결합니다. 애셋 데이터 수집을 위한 AWS IAM 정책 만들기에서 만든 커스텀 수집기 정책을 검색하고 선택합니다.

6. 다음 관리 정책을 검색하고 선택합니다.

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. 역할 세부정보 섹션에 Security Command Center를 구성할 때 복사한 수집기 역할 이름을 입력합니다.

8. 역할 만들기를 클릭합니다.

9. 각 수집기 계정에 대해 이 단계를 반복합니다.

통합 프로세스를 완료하려면 통합 프로세스 완료를 참조하세요.

통합 프로세스 완료

1. Google Cloud 콘솔에서 Amazon Web Services 커넥터 추가 페이지로 이동합니다.

   Amazon Web Services 커넥터로 이동

2. 커넥터 테스트를 클릭하여 Security Command Center가 AWS 환경에 연결할 수 있는지 확인합니다. 연결에 성공하면 Google Cloud 서비스 에이전트가 위임된 역할을 맡을 수 있으며 위임된 역할에 수집기 역할을 맡는 데 필요한 모든 권한이 있습니다. 연결에 실패할 경우 연결 테스트 시 오류 문제 해결을 참조하세요.

3. 만들기를 클릭합니다.

커스텀 구성

이 섹션에서는 Security Command Center와 AWS 간의 연결을 맞춤설정할 수 있는 몇 가지 방법을 설명합니다. 이러한 옵션은 Google Cloud 콘솔의 Amazon Web Services 커넥터 추가 페이지에 있는 고급 옵션(선택사항) 섹션에서 사용할 수 있습니다.

기본적으로 Security Command Center는 모든 AWS 리전에서 AWS 계정을 자동으로 검색합니다. 이 연결은 AWS 보안 토큰 서비스의 기본 전역 엔드포인트와 모니터링 중인 AWS 서비스의 기본 초당 쿼리 수(QPS)를 사용합니다. 이러한 고급 옵션을 사용하면 기본값을 맞춤설정할 수 있습니다.

옵션	설명
사용할 AWS 계정 지정	Security Command Center에서 AWS 계정을 자동으로 검색하도록 하거나 Security Command Center가 리소스를 찾는 데 사용할 수 있는 AWS 계정 목록을 제공할 수 있습니다.
제외할 AWS 계정 지정	Security Command Center에서 계정을 자동으로 검색하도록 하면 Security Command Center가 리소스를 찾는 데 사용할 수 없는 AWS 계정 목록을 제공할 수 있습니다.
모니터링할 AWS 리전 지정	Security Command Center에서 모니터링할 AWS 리전을 하나 이상 선택할 수 있습니다. 모든 리전을 모니터링하려면 AWS 리전 필드를 비워 둡니다.
AWS 서비스의 기본 초당 쿼리 수(QPS) 재정의	QPS를 변경하여 Security Command Center의 할당량 한도를 제어할 수 있습니다. 재정의를 해당 서비스의 기본값보다 작고 1보다 크거나 같도록 설정합니다. 기본값은 최댓값입니다. QPS를 변경하면 Security Command Center에서 데이터를 가져올 때 문제가 발생할 수 있습니다. 따라서 이 값을 변경하지 않는 것이 좋습니다.
AWS 보안 토큰 서비스의 엔드포인트 변경	AWS 보안 토큰 서비스의 특정 엔드포인트를 지정할 수 있습니다(예: https://sts.us-east-2.amazonaws.com). 기본 전역 엔드포인트(https://sts.amazonaws.com)를 사용하려면 AWS 보안 토큰 서비스(AWS STS)(선택사항) 필드를 비워 둡니다.

문제 해결

이 섹션에는 Security Command Center와 AWS를 통합할 때 발생할 수 있는 몇 가지 일반적인 문제가 포함되어 있습니다.

리소스가 이미 있음

이 오류는 AWS 환경에서 AWS IAM 정책 및 AWS IAM 역할을 만들려고 할 때 발생합니다. 이 문제는 AWS 계정에 이미 역할이 있는데 다시 만들려고 할 때 발생합니다.

이 문제를 해결하려면 다음을 완료합니다.

• 만들려는 역할 또는 정책이 이미 존재하고 이 가이드에 나열된 요구사항을 충족하는지 확인합니다.
• 필요한 경우 충돌을 피하기 위해 역할 이름을 변경합니다.

정책의 주 구성원이 잘못됨

이 오류는 수집기 역할을 만들 때 위임된 역할이 아직 존재하지 않는 경우 AWS 환경에서 발생할 수 있습니다.

이 문제를 해결하려면 위임된 역할에 대한 AWS IAM 정책 만들기의 단계를 완료하고 위임 역할이 생성될 때까지 기다린 후 계속합니다.

AWS의 제한 제한사항

AWS는 계정 또는 리전별로 각 AWS 계정의 API 요청을 제한합니다. Security Command Center가 AWS에서 애셋 메타데이터를 수집할 때 이러한 한도를 초과하지 않도록 Security Command Center는 AWS 서비스의 API 문서에 설명된 대로 각 AWS 서비스의 고정된 최대 QPS로 데이터를 수집합니다.

사용된 QPS로 인해 AWS 환경에서 요청 제한이 발생하는 경우 다음을 수행하여 문제를 완화할 수 있습니다.

• AWS 커넥터 설정 페이지에서 요청 제한 문제가 있는 AWS 서비스의 커스텀 QPS를 설정합니다.

• 특정 서비스의 데이터가 더 이상 수집되지 않도록 AWS 수집기 역할의 권한을 제한합니다. 이 완화 기법을 사용하면 AWS에서 공격 경로 시뮬레이션이 올바르게 작동하지 않습니다.

AWS의 모든 권한을 취소하면 데이터 수집기 프로세스가 즉시 중지됩니다. AWS 커넥터를 삭제해도 데이터 수집기 프로세스가 즉시 중지되지는 않지만 완료 후 다시 시작되지 않습니다.

연결 테스트 시 오류 문제 해결

이러한 오류는 Security Command Center와 AWS 간의 연결을 테스트할 때 발생할 수 있습니다.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

Google Cloud 서비스 에이전트가 위임된 역할을 맡을 수 없으므로 연결이 잘못되었습니다.

이 문제를 해결하려면 다음을 고려하세요.

• 위임된 역할이 있는지 확인합니다. 이를 만들려면 AWS와 Google Cloud 간의 트러스트 관계에 대한 AWS IAM 역할 만들기를 참조하세요.

• 위임된 역할의 인라인 정책이 누락되었습니다. 인라인 정책이 없으면 서비스 에이전트가 역할을 맡을 수 없습니다. 인라인 정책이 있는지 확인하려면 AWS와 Google Cloud 간의 트러스트 관계에 대한 AWS IAM 역할 만들기를 참조하세요.

AWS_FAILED_TO_LIST_ACCOUNTS

자동 검색이 사용 설정되어 있고 위임된 역할이 조직의 모든 AWS 계정을 가져올 수 없으므로 연결이 잘못되었습니다.

이 문제는 위임된 역할에 organizations:ListAccounts 작업을 허용하는 정책이 특정 리소스에서 누락되었음을 나타냅니다. 이 문제를 해결하려면 누락된 리소스를 확인하세요. 위임된 정책의 설정을 확인하려면 위임된 역할에 대한 AWS IAM 정책 만들기를 참조하세요.

AWS_INVALID_COLLECTOR_ACCOUNTS

잘못된 수집기 계정이 있으므로 연결이 잘못되었습니다. 오류 메시지에는 다음을 비롯하여 가능한 원인에 대한 자세한 정보가 포함되어 있습니다.

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

위임된 역할은 수집기 계정의 수집기 역할을 맡을 수 없으므로 수집기 계정은 유효하지 않습니다.

이 문제를 해결하려면 다음을 고려하세요.

• 수집기 역할이 있는지 확인합니다. 이를 만들려면 각 계정에서 데이터 수집을 위한 AWS IAM 역할 만들기를 참조하세요.

• 위임된 역할이 수집기 역할이 누락된 것으로 맡도록 허용하는 정책입니다. 정책이 있는지 확인하려면 위임된 역할에 대한 AWS IAM 정책 만들기를 참조하세요.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

수집기 정책에 일부 필수 권한 설정이 누락되어 연결이 잘못되었습니다.

이 문제를 해결하려면 다음 원인을 고려하세요.

• 필요한 AWS 관리 정책 중 일부가 수집기 역할에 연결되지 않을 수 있습니다. 모든 정책이 연결되었는지 확인하려면 각 계정에서 데이터 수집을 위한 AWS IAM 역할 만들기의 6단계를 참조하세요.

• 수집기 정책이 없을 수 있습니다. 이를 만들려면 애셋 데이터 수집을 위한 AWS IAM 정책 만들기를 참조하세요.

• 수집기 정책이 수집기 역할에 연결되지 않았습니다. 연결되었는지 확인하려면 애셋 데이터 수집을 위한 AWS IAM 정책 만들기를 참조하세요.

• 수집기 정책에는 모든 필수 권한이 포함되어 있지 않습니다. 필요한 권한 목록은 애셋 데이터 수집을 위한 AWS IAM 정책 만들기를 참조하세요.

다음 단계

• 콘솔에서 설정 가이드의 4단계 진행
• AWS에서 취약점 발견 항목 검토 및 해결
• AWS의 보안 상황을 만들고 관리
• AWS 리소스에 대한 공격 경로 시뮬레이션 만들기
• 다양한 표준 및 벤치마크를 통해 AWS 리소스 규정 준수 매핑