Security Hub에서 비어 있거나 ‘0%’인 보안 점수 또는 “No data”(‘데이터 없음’) 규정 준수 상태를 해결하려면 어떻게 해야 하나요?

간단한 설명

Security Hub에서 표준의 보안 점수나 합계 점수를 볼 수 없는 데에는 여러 가지 이유가 있습니다. 이러한 경우, 다음 지표 중 하나 또는 둘 다 표시됩니다.

• 최소 하나의 보안 점수에 하이픈(-) 또는 **0%**가 표시됩니다.

• 규정 준수 상태는 이 표준에 따라 활성화된 제어 중 일부 또는 전체에대해 **No data(데이터 없음)**입니다. 이 경우, 보안 점수가 생성되지 못할 수 있습니다.

Security Hub은 다음 이유 중 하나로 인해 표준의 제어 데이터와 점수를 생성하지 못할 수 있습니다.

• Security Hub가 처음으로 제어 평가를 실행하는 중입니다.

• 사용자가 처음으로 표준을 확인하는 중입니다.

• AWS 계정이 새로 전환되었거나 집계 Region이 새로 구성되었습니다.

• 표준은 **INCOMPLETE(미완료)**상태입니다.

• Security Hub에 제어에 대한 활성 결과가 없습니다.

• AWS Config 구성 레코더가 올바르게 구성되지 않았습니다.

• AWS Config 서비스 역할에 필요한 권한이 없습니다.

• 제어가 새로 출시되었습니다.

• AWS Regional 행동 불일치가 있습니다.

해결 방법

참고: AWS Command Line Interface(AWS CLI) 명령을 실행할 때 오류가 발생하는 경우, 최신 버전의 AWS CLI를 사용하고 있는지 확인하세요.

Security Hub가 처음으로 제어 평가를 실행 중입니다.

사용자가 Security Hub이나 특정 보안 표준을 활성화한 후, Security Hub은 2시간 이내에 모든 초기 검사를 실행합니다. 대부분의 검사는 25분 이내에 실행되기 시작합니다. 제어가 첫 번째 검사 실행을 완료할 때까지 그의 규정 준수 상태는 **No data(데이터 없음)**입니다.

사용자가 표준을 처음으로 확인하는 중입니다.

Security Hub 콘솔에서 Summary(요약)나Security standards(보안 표준) 페이지를 처음 볼 때, Security Hub은 표준에 대한 초기 보안 점수를 계산합니다. 일반적으로 이 작업을 완료하는 데 30분이 걸립니다. 이 시간 동안에는, 표준에 대한 점수가 없으며 해당 제어의 규정 준수 상태는 **No Data(데이터 없음)**입니다.

계정이 새로 전환되었거나 집계 Region이 새로 구성되었습니다.

이전에 보안 점수와 규정 준수 상태가 표시되었지만 이제 데이터가 표시되지 않는다면, 이것은 새 구성 때문일 수 있습니다. Security Hub은 집계 Region 내의 연결된 모든 AWS Regions에서 사용자 조직의 관리자 계정에 대한 점수를 생성합니다.

따라서 Security Hub 콘솔은 새로 구성된 집계 Region이나 새로 전환된 계정을 새로 생성된 계정과 유사하게 취급합니다. 여기에는 독립형 계정과 관리자 계정 간에 전환하는 계정이 포함됩니다. 이 경우, 같은 대기 기간이 적용되며 30분 이내에 새 종합 점수와 규정 준수 상태를 확인할 수 있습니다.

표준이 INCOMPLETE(미완료) 상태입니다

특정 표준에 대한 모든 제어 결과가 **No Data(데이터 없음)**인 경우, get-enabled-standards AWS CLI 명령을 실행하여 표준의 상태가 **INCOMPLETE(미완료)**인지 확인하세요.

aws securityhub get-enabled-standards –standards-subscription-arn STANDARDS_SUBSCRIPTION_ARN

참고: STANDARDS_SUBSCRIPTION_ARN을 사용자 표준 구독의 ARN으로 바꾸세요.

이 상태는 Security Hub이 표준에서 활성화된 모든 제어를 생성할 수 없을 때 발생합니다. Security Hub은 상태가 **READY(준비됨)**로 될 때까지 약 12시간마다 **INCOMPLETE(미완료)**상태에 있는 표준을 다시 시도합니다. Security Hub은 다음 이유 중 하나로 계속 시도합니다.

• 사용자의 계정에서 구성 레코더가 활성화되지 않았습니다.

• 사용자가 제어를 생성할 때, 조절이나 API 오류와 같은 일시적인 문제로 인해 표준이 **INCOMPLETE(미완료)**상태가 될 수 있습니다.

이 문제를 해결하려면, 먼저 구성 레코더를 확인하여 사용자가 이를 활성화하고 올바르게 구성했는지 확인하세요. 그런 다음, 보안 표준 구독을 비활성화했다가 다시 활성화하세요.

Security Hub에 제어에 대한 결과가 없습니다

Security Hub가 2시간 이상 실행되고 제어의 규정 준수 상태가 **No data(데이터 없음)**이면, 제어에 관한 결과가 없는 것입니다. 다음 시나리오는 결과가 없는 데 관한 일반적인 이유입니다.

• 새 제어가 결과를 생성하기 시작할 때까지 해당 제어는No data(데이터 없음) 상태입니다.

  참고: 새로 활성화된 제어는 일반적으로 결과를 생성하는 데 2시간이 걸리지만, 최대 18시간이 걸릴 수도 있습니다. 제어가 결과를 생성한 후, 점수를 업데이트하는 데 최대 24시간이 걸릴 수 있습니다.

• 모든 제어의 결과는 SUPPRESSED입니다.

• 제어가 결과를 생성하지 않고 있습니다.

  참고: 이 문제는 제어에 대한 자원이 없을 때 발생합니다.

구성 레코더가 올바르게 구성되지 않았습니다.

Security Hub은 서비스 연결 AWS Config 규칙을 사용하여 제어에 대한 대부분의 보안 검사를 수행합니다. 이러한 제어를 지원하려면, 모든 계정에서 AWS Config를 활성화해야 합니다. 여기에는 Security Hub이 활성화된 각 Region의 관리자 계정과 회원 계정이 모두 포함됩니다.

활성화된 제어가 아무런 결과도 생성하지 않으면, 같은 Region에 있는 구성 레코더가 올바르게 구성되어 있는지 확인하세요. 필요한 결과를 생성하려면, Security Hub에 필요한 자원 규정 준수를 가져오도록 구성 레코더를 구성하세요.

1. AWS Config와 구성 레코더를 켜세요. 사용자가 Security Hub를 활성화한 각 Region에 대해 올바르게 구성된 전송 채널로 필요한 자원 유형을 기록하기 위해 구성 레코더를 구성하세요.

   참고: 2단계로 진행하기 전에, 시간을 허용하여 구성 레코더가 모든 인벤토리를 가져올 수 있도록 하세요. 상태를 확인하려면, AWS Config 콘솔의 Settings(설정) 페이지로 이동하세요. 구성 레코더가 여전히 Taking inventory(인벤토리 가져오는 중) 상태이면, 전송 채널이 올바르게 구성되지 않은 것입니다. 이 경우, 전송 채널을 다시 생성하세요.

2. Security Hub 콘솔을 연 다음, 점수가 없는 표준(0% 또는 **-**로 표시됨)을 끄세요. 일시적인 문제를 방지하기 위해, 20~30분 정도 기다린 다음, 보안 표준을 다시 켜세요. 그러면 Security Hub에서 필요한 모든 AWS Config 규칙을 생성하라는 메시지가 표시됩니다.

   참고: Security Hub은 사용자가 표준을 활성화한 후 31일 이내에만 AWS Config 규칙을 생성합니다.

AWS Config 서비스 역할에 필요한 권한이 없습니다.

대부분의 Security Hub 제어는 AWS 구성 규칙과 연결되어 있습니다. 제어가 **No data(데이터 없음)**를 반환하는 경우, AWS Config는 필요한 권한이 없는 서비스 역할(서비스 연결 역할 대신)을 사용할 수도 있습니다. AWS 구성이 연결된 규칙을 올바르게 평가하고 있는지 확인하려면, describe-config-rule-evaluation-status AWS CLI 명령을 실행하세요. 서비스 역할에 규칙을 평가하는 데 필요한 권한이 없는 경우에는 추가 정보를 제공하는 오류 메시지가 포함된 결과가 표시됩니다. 예를 들어, **additional permissions needed(추가 권한 필요)**와 같은 메시지가 표시됩니다.

제어가 새로 출시되었습니다

AWS가 최근에 제어 세트를 시작했다면, 해당 점수는 일정 기간 동안 사용할 수 없습니다. 제어가 출시되었을 때 점수 평가가 시작되면, 다음 점수 평가가 성과적으로 완료될 때까지 최대 24시간이 걸릴 수 있습니다.

Security Hub에 대한 최신 업데이트는 Document history for the AWS Security Hub User Guide(AWS Security Hub 사용 설명서의 문서 기록)를 참조하세요.

Regional 행동 불일치가 있습니다.

Regional 불일치로 인해 표준에 **No data(데이터 없음)**가 표시되는 상황이 일부 있습니다.

• CIS 2.3과 CIS 2.6과 같은 일부 표준은 때때로 **No data(데이터 없음)**를 표시합니다. 이는 AWS CloudTrail이 로그를 중앙 집중식 단일 Amazon Simple Storage Service(S3) 버킷에 집계하고 저장할 때 발생합니다. 이 경우, Security Hub은 중앙 집중식 Amazon S3 버킷이 있는 계정과 Region에 대해서만 검사를 실행합니다. 따라서, 중앙 집중식 S3 버킷이 있는 곳에서만 데이터를 사용할 수 있으며, 다른 Regions에서는 **No data(데이터 없음)**가 제어에 표시됩니다.

• 거의 모든 CIS 3.1-3.14와CIS 1.1 제어의 경우, Security hub은 다음과 같은 경우에 No data(데이터 없음) 제어 상태의 결과를 검사합니다.

  다중 Region 트레일은 서로 다른 Region을 기반으로 합니다. Security Hub은 트레일이 기반하고 있는 Region에서만 결과를 생성할 수 있습니다.

  다중 Region 트레일이 서로 다른 계정에 속합니다. Security Hub은 트레일을 소유한 계정에 대해서만 결과를 생성할 수 있습니다.

• Security Hub은 특정 Region의 제어를 지원하지 않습니다. 이러한 제어는 사용자가 집계 Region(Region 간 또는 계정 간)을 활성화한 경우에만 지원되지 않는 Regions에 나열됩니다. 특정 Region에서 제어가 지원되는지 확인하려면, Availability of controls by Region(Region별 제어의 사용 가능성)을 참조하세요.