보안

Application Load Balancer에 연결된 보안 그룹과 해당 Amazon EC2 대상을 확인합니다. Application Load Balancer 보안 그룹은 리스너에 구성된 인바운드 포트만 허용해야 합니다. 대상의 보안 그룹은 대상이 로드 밸런서로부터 트래픽을 수신하는 포트와 동일한 포트에서 인터넷으로부터의 직접 연결을 수락해서는 안 됩니다.

보안 그룹이 로드 밸런서에 대해 구성되지 않은 포트에 대한 액세스를 허용하거나 대상에 대한 직접 액세스를 허용하는 경우 데이터 손실 또는 악의적인 공격의 위험이 증가합니다.

이 검사는 다음 그룹을 제외합니다.

8604e947f2

보안을 강화하려면 보안 그룹이 필요한 트래픽 흐름만 허용해야 합니다.

Amazon CloudWatch 로그 그룹 보존 기간이 365일로 설정되어 있는지 또는 기타 지정된 기간으로 설정되어 있는지 확인합니다.

기본적으로 로그는 무기한으로 저장되고 만료 기간이 없습니다. 하지만 특정 기간의 업계 규정 또는 법적 요구 사항을 준수하도록 각 로그 그룹의 보존 정책을 조정할 수 있습니다.

AWS Config 규칙의 LogGroupNames 및 MinRetentionTime 파라미터를 사용하여 최소 보존 시간 및 로그 그룹 이름을 지정할 수 있습니다.

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

노란색: Amazon CloudWatch 로그 그룹의 보존 기간이 원하는 최소 일수보다 짧습니다.

규정 준수 요구 사항을 충족하려면 Amazon CloudWatch Logs에 저장된 로그 데이터의 보존 기간을 365일 이상으로 구성합니다.

자세한 내용은 CloudWatch Logs에서 로그 데이터 보존 기간 변경을 참조하세요.

CloudWatch 로그 보존 변경

지난 24시간 동안 실행된 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스의 SQL Server 버전을 확인합니다. 이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 SQL Server 버전은 5년간의 일반 지원과 5년간의 추가 지원을 포함하여 10년간의 지원을 제공합니다. 지원이 종료되면 SQL Server 버전은 정기 보안 업데이트를 받지 못합니다. 지원되지 않는 SQL Server 버전으로 애플리케이션을 실행하면 보안 또는 규정 준수 위험이 발생할 수 있습니다.

Qsdfp3A4L3

SQL Server 워크로드를 현대화하려면 Amazon Aurora 같은 AWS 클라우드 네이티브 데이터베이스로 리팩토링하는 것이 좋습니다. 자세한 내용은 를 사용하여 Windows 워크로드 현대화를 참조하세요 AWS.

완전관리형 데이터베이스로 전환하려면 Amazon Relational Database Service(RDS)로 리플랫포밍하는 것이 좋습니다. 자세한 내용은 Amazon RDS for SQL Server를 참조하세요.

Amazon EC2 SQL Server를 업그레이드하려면 Automation 런북을 사용하여 업그레이드를 간소화하는 것이 좋습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하십시오.

Amazon EC2에서 SQL Server를 업그레이드할 수 없는 경우 Windows Server의 지원 종료 마이그레이션 프로그램(EMP)을 이용할 수 있습니다. 자세한 내용은 EMP 웹 사이트를 참조하세요.

이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 Windows Server 버전은 10년간 지원을 제공합니다. 여기에는 5년간의 일반 지원과 5년간의 추가 지원이 포함됩니다. 지원이 종료되면 Windows Server 버전은 정기 보안 업데이트를 받지 못합니다. 지원되지 않는 Windows Server 버전으로 애플리케이션을 실행하면 애플리케이션의 보안 또는 규정 준수 위험이 발생합니다.

Qsdfp3A4L4

Windows Server 워크로드를 현대화하려면를 사용하여 Windows 워크로드 현대화 AWS에서 사용할 수 있는 다양한 옵션을 고려하세요.

Windows Server 워크로드를 최신 버전의 Windows Server에서 실행되도록 업그레이드하려면 자동화 런북을 사용할 수 있습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하세요.

아래 일련의 단계를 따르세요.

이 확인은 버전이 표준 지원에 가까워지거나 표준 지원 종료에 도달하면 알려줍니다. 다음 LTS로 마이그레이션하거나 Ubuntu Pro로 업그레이드하여 조치를 취하는 것이 중요합니다. 지원이 끝나면 18.04 LTS 시스템은 보안 업데이트를 받지 않습니다. Ubuntu Pro 구독을 사용하면 Ubuntu 18.04 LTS 배포가 2028년까지 확장된 보안 유지 관리(ESM)를 받을 수 있습니다. 패치되지 않은 상태로 유지되는 보안 취약성은 시스템을 해커에게 개방하고 주요 위반의 가능성을 제공합니다.

c1dfprch15

빨간색: Amazon EC2 인스턴스에는 표준 지원 종료에 도달한 Ubuntu 버전이 있습니다(Ubuntu 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS 및 18.04.6 LTS).

노란색: Amazon EC2 인스턴스에는 6개월 이내에 표준 지원 종료에 도달하는 Ubuntu 버전이 있습니다(Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS 및 20.04.6 LTS).

녹색: 모든 Amazon EC2 인스턴스가 호환됩니다.

Ubuntu 18.04 LTS 인스턴스를 지원되는 LTS 버전으로 업그레이드하려면 이 문서에서 언급한 단계를 따르세요. Ubuntu 18.04 LTS 인스턴스를 Ubuntu Pro로 업그레이드하려면 AWS License Manager 콘솔을 방문하여 AWS License Manager 사용 설명서에 언급된 단계를 따릅니다. Ubuntu 인스턴스를 Ubuntu Pro로 업그레이드하는 단계별 데모를 보여주는 Ubuntu 블로그를 참조할 수도 있습니다.

요금에 대한 자세한 내용은에 문의하세요지원.

전송 중 데이터 암호화를 사용하여 Amazon EFS 파일 시스템이 탑재되었는지 확인합니다.는 우발적인 노출 또는 무단 액세스로부터 데이터를 보호하기 위해 고객이 모든 데이터 흐름에 data-in-transit 데이터 암호화를 사용할 것을 AWS 권장합니다. Amazon EFS는 클라이언트가 Amazon EFS 탑재 헬퍼를 사용하여 '-o tls' 탑재 설정을 사용하여 TLS v1.2를 사용하여 전송 중인 데이터를 암호화할 것을 권장합니다.

c1dfpnchv1

노란색: Amazon EFS 파일 시스템에 대한 하나 이상의 NFS 클라이언트가 data-in-transit 암호화를 제공하는 권장 탑재 설정을 사용하고 있지 않습니다.

녹색: Amazon EFS 파일 시스템의 모든 NFS 클라이언트는 data-in-transit 암호화를 제공하는 권장 탑재 설정을 사용합니다.

Amazon EFS의 data-in-transit 암호화 기능을 활용하려면 Amazon EFS 탑재 도우미와 권장 탑재 설정을 사용하여 파일 시스템을 다시 탑재하는 것이 좋습니다.

Amazon Elastic Block Store(Amazon EBS) 볼륨 스냅샷에 대한 권한 설정을 확인하고 공개적으로 액세스할 수 있는 스냅샷이 있는지 알려줍니다.

스냅샷을 공개하면 모든 AWS 계정 및 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한을 부여합니다. 스냅샷을 특정 사용자 또는 계정과만 공유하려면 스냅샷을 프라이빗으로 표시합니다. 그런 다음 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다. '모든 공유 차단' 모드에서 퍼블릭 액세스 차단을 활성화한 경우 퍼블릭 스냅샷에 공개적으로 액세스할 수 없으며이 검사 결과에 표시되지 않습니다.

ePs02jT06w

빨간색: EBS 볼륨 스냅샷에 공개적으로 액세스할 수 있습니다.

스냅샷의 모든 데이터를 모든 AWS 계정 및 사용자와 공유하려는 경우가 아니면 권한을 수정합니다. 즉, 스냅샷을 프라이빗으로 표시한 다음 권한을 부여할 계정을 지정합니다. 자세한 내용은 Amazon EBS 스냅샷 공유를 참조하세요. EBS 스냅샷에 대한 퍼블릭 액세스 차단을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어합니다. 이 검사는 Trusted Advisor 콘솔의 보기에서 제외할 수 없습니다.

스냅샷에 대한 권한을 직접 수정하려면 AWS Systems Manager 콘솔에서 실행서를 사용합니다. 자세한 내용은 AWSSupport-ModifyEBSSnapshotPermission 단원을 참조하십시오.

Amazon EBS 스냅샷

Amazon RDS는 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 유휴 시 암호화를 지원합니다 AWS Key Management Service. Amazon RDS 암호화를 사용하는 활성 DB 인스턴스에서는 스토리지에 저장된 데이터가 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

Aurora DB 클러스터를 생성하는 동안 암호화가 활성화되지 않은 경우 복호화된 스냅샷을 암호화된 DB 클러스터로 복원해야 합니다.

c1qf5bt005

빨간색: Amazon RDS Aurora 리소스에는 암호화가 활성화되어 있지 않습니다.

DB 클러스터에 저장된 데이터의 암호화를 활성화하세요.

DB 인스턴스를 생성하는 동안 암호화를 켜거나 해결 방법을 사용하여 활성 DB 인스턴스에서 암호화를 켤 수 있습니다. 복호화된 DB 클러스터는 암호화된 DB 클러스터로 수정할 수 없습니다. 그러나 복호화된 스냅샷을 암호화된 DB 클러스터로 복원할 수 있습니다. 복호화된 스냅샷에서 복원할 때 AWS KMS 키를 지정해야 합니다.

자세한 내용은 Amazon Aurora 리소스 암호화 섹션을 참조하세요.

데이터베이스 리소스가 최신 마이너 DB 엔진 버전을 실행하지 않습니다. 최신 마이너 버전에는 최신 보안 수정 및 기타 개선 사항이 포함되어 있습니다.

c1qf5bt003

노란색: Amazon RDS 리소스가 최신 마이너 DB 엔진 버전을 실행하지 않습니다.

최신 엔진 버전으로 업그레이드합니다.

이 버전에는 최신 보안 및 기능 수정 사항이 포함되어 있으므로 데이터베이스를 최신 DB 엔진 마이너 버전으로 유지하는 것이 좋습니다. DB 엔진 마이너 버전 업그레이드에는 DB 엔진의 동일한 메이저 버전의 이전 마이너 버전과 역호환되는 변경 사항만 포함됩니다.

자세한 내용은 DB 인스턴스 엔진 버전 업그레이드를 참조하세요.

Amazon Relational Database Service(Amazon RDS) DB 스냅샷에 대한 권한 설정을 확인하고 퍼블릭 스냅샷으로 표시된 스냅샷이 있으면 알려줍니다.

스냅샷을 공개하면 모든 AWS 계정 및 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한을 부여합니다. 특정 사용자 또는 계정에만 스냅샷을 공유하려면 스냅샷을 프라이빗으로 표시합니다. 그런 다음 스냅숏 데이터를 공유할 사용자 또는 계정을 지정합니다.

rSs93HQwa1

빨간색: Amazon RDS 스냅샷이 퍼블릭으로 표시되어 있습니다.

스냅샷의 모든 데이터를 모든 AWS 계정 및 사용자와 공유하려는 경우가 아니면 권한을 수정합니다. 즉, 스냅샷을 프라이빗으로 표시한 다음 권한을 부여할 계정을 지정합니다. 자세한 내용은 DB 스냅샷 또는 DB 클러스터 스냅샷 공유를 참조하세요. 이 검사는 Trusted Advisor 콘솔의 보기에서 제외할 수 없습니다.

스냅샷에 대한 권한을 직접 수정하려면 AWS Systems Manager 콘솔에서 실행서를 사용할 수 있습니다. 자세한 내용은 AWSSupport-ModifyRDSSnapshotPermission 단원을 참조하십시오.

Amazon RDS DB 인스턴스 백업 및 복원

Amazon Relational Database Service(Amazon RDS)에 대한 보안 그룹 구성을 확인하고 보안 그룹 규칙이 데이터베이스에 지나치게 방임적인 액세스 권한을 부여하면 경고합니다. 보안 그룹 규칙의 권장 구성은 특정 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹 또는 특정 IP 주소의 액세스만 허용하는 것입니다.

nNauJisYIT

EC2-Classic은 2022년 8월 15일에 사용 중지되었습니다. Amazon RDS 인스턴스를 VPC로 이동하고 Amazon EC2 보안 그룹을 사용하는 것이 좋습니다. DB 인스턴스를 VPC로 이동하는 방법에 대한 자세한 내용은 VPC에 없는 DB 인스턴스를 VPC로 이동을 참조하세요.

Amazon RDS 인스턴스를 VPC로 마이그레이션할 수 없는 경우 보안 그룹 규칙을 검토하고 승인된 IP 주소 또는 IP 범위로 액세스를 제한합니다. 보안 그룹을 편집하려면 AuthorizeDBSecurityGroupIngress API 또는 AWS Management Console을 사용합니다. 자세한 내용은 DB 보안 그룹 작업을 참조하세요.

Amazon RDS는 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 유휴 시 암호화를 지원합니다 AWS Key Management Service. Amazon RDS 암호화를 사용하는 활성 DB 인스턴스에서는 스토리지에 저장된 데이터가 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

DB 인스턴스를 생성하는 동안 암호화가 활성화되지 않은 경우 암호화를 켜기 전에 복호화된 스냅샷의 암호화된 사본을 복원해야 합니다.

c1qf5bt006

빨간색: Amazon RDS 리소스에는 암호화가 활성화되어 있지 않습니다.

DB 인스턴스에 저장된 데이터의 암호화를 활성화하세요.

DB 인스턴스를 생성할 때만 DB 인스턴스를 암호화할 수 있습니다. 기존 활성 DB 인스턴스를 암호화하려면:

자세한 정보는 다음 자료를 참조하세요.

CNAME 레코드가 Amazon S3 버킷 호스트 이름을 직접 가리키는 Amazon Route 53 호스팅 영역을 확인하고 CNAME이 S3 버킷 이름과 일치하지 않는 경우 알림을 확인합니다.

c1ng44jvbm

빨간색: Amazon Route 53 Hosted Zone에는 S3 버킷 호스트 이름이 일치하지 않음을 가리키는 CNAME 레코드가 있습니다.

녹색: Amazon Route 53 호스팅 영역에서 일치하지 않는 CNAME 레코드를 찾을 수 없습니다.

CNAME 레코드를 S3 버킷 호스트 이름을 가리키는 경우 구성한 모든 CNAME 또는 별칭 레코드에 대해 일치하는 버킷이 있는지 확인해야 합니다. 이렇게 하면 CNAME 레코드가 스푸핑되는 위험을 피할 수 있습니다. 또한 권한이 없는 AWS 사용자가 도메인에 결함 있거나 악의적인 웹 콘텐츠를 호스팅하지 못하도록 합니다.

CNAME 레코드가 S3 버킷 호스트 이름을 직접 가리키지 않도록 하려면 오리진 액세스 제어(OAC)를 사용하여 Amazon CloudFront를 통해 S3 버킷 웹 자산에 액세스하는 것이 좋습니다.

CNAME을 Amazon S3 버킷 호스트 이름과 연결하는 방법에 대한 자세한 내용은 CNAME 레코드를 사용하여 Amazon S3 URLs 사용자 지정을 참조하세요.

각 MX 레코드에 대해는 유효한 SPF 값이 포함된 연결된 TXT 레코드를 확인합니다. TXT 레코드 값은 “v=spf1”로 시작해야 합니다. SPF 레코드 유형은 IETF(Internet Engineering Task Force)에서 더 이상 사용되지 않습니다. Route 53에서는 SPF 레코드 대신 TXT 레코드를 사용하는 것이 가장 좋습니다.는 MX 레코드에 유효한 SPF 값을 가진 연결된 TXT 레코드가 하나 이상 있는 경우이 검사를 녹색으로 Trusted Advisor 보고합니다.

c9D319e7sG

각 MX 리소스 레코드 세트에 대해 유효한 SPF 값이 포함된 TXT 레코드 세트를 생성합니다. 자세한 내용은 Sender Policy Framework: SPF 레코드 구문 및 Amazon Route 53 콘솔을 사용하여 리소스 레코드 세트 생성을 참조하세요.

Amazon Simple Storage Service(Amazon S3)에서 열린 액세스 권한이 있거나 인증된 AWS 사용자에 대한 액세스를 허용하는 버킷을 확인합니다.

이 검사는 명시적 버킷 권한과 해당 권한을 재정의할 수 있는 버킷 정책을 검사합니다. Amazon S3 버킷의 모든 사용자에게 목록 액세스 권한을 부여하는 것은 권장하지 않습니다. 이러한 권한을 사용하면 의도하지 않은 사용자가 높은 빈도로 버킷의 객체를 나열할 수 있으며, 이로 인해 예상보다 높은 요금이 발생할 수 있습니다. 모든 사람에게 업로드 및 삭제 액세스 권한을 부여하면 버킷의 보안 취약성을 유발할 수 있습니다.

Pfx0RwqBli

버킷이 공개 액세스를 허용하는 경우, 공개 액세스가 정말로 필요한지 확인합니다. 예를 들어 정적 웹 사이트를 호스팅하려면 Amazon CloudFront를 사용하여 Amazon S3에서 호스팅되는 콘텐츠를 제공할 수 있습니다. Amazon CloudFront 개발자 안내서의 anAmazon S3 오리진에 대한 액세스 제한을 참조하세요. 가능하면 버킷 권한을 업데이트하여 소유자 또는 특정 사용자에 대한 액세스를 제한합니다. Amazon S3 퍼블릭 액세스 차단 기능을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어합니다. 버킷 및 객체 액세스 권한 설정을 참조하세요.

Amazon S3 리소스에 대한 액세스 권한 관리

Amazon S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성

VPC 피어링 연결에 수락자 및 요청자 VPC 모두에 대해 DNS 확인이 켜져 있는지 확인합니다.

VPC 피어링 연결의 DNS 확인은 VPC가 쿼리를 보낼 때 퍼블릭 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인하도록 합니다. 이렇게 하면 피어링된 VPC의 리소스 간 통신에 DNS 이름을 사용할 수 있습니다. VPC 피어링 연결의 DNS 확인은 애플리케이션 개발 및 관리를 단순화하고 오류 발생을 줄이며, 리소스가 항상 VPC 피어링 연결을 통해 비공개로 통신하도록 합니다.

AWS Config 규칙에서 vpcIds 파라미터를 사용하여 VPC IDs를 지정할 수 있습니다. vpcIds

자세한 정보는 VPC 피어링 연결에 대해 DNS 확인 사용 설정을 참조하세요.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

노란색: VPC 피어링 연결의 수락자 및 요청자 VPC 모두에 대해 DNS 확인이 활성화되지 않았습니다.

VPC 피어링 연결에 대한 DNS 확인을 활성화합니다.

Application Load Balancer(ALB) 대상 그룹이 HTTPS 프로토콜을 사용하여 인스턴스 또는 IP의 백엔드 대상 유형에 대해 전송 중 통신을 암호화하고 있는지 확인합니다. ALB와 백엔드 대상 간의 HTTPS 요청은 전송 중인 데이터에 대한 데이터 기밀성을 유지하는 데 도움이 됩니다.

c2vlfg0p1w

HTTPS 액세스를 지원하도록 인스턴스 또는 IP의 백엔드 대상 유형을 구성하고 HTTPS 프로토콜을 사용하여 ALB와 백엔드 대상 유형의 인스턴스 또는 IP 간의 통신을 암호화하도록 대상 그룹을 변경합니다.

전송 중 암호화 적용

Application Load Balancer 대상 유형

Application Load Balancer 라우팅 구성

Elastic Load Balancing의 데이터 보호

AWS Backup 볼트에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다.

리소스 기반 정책은 복구 지점의 예기치 않은 삭제를 방지하므로 백업 데이터에 대해 최소한의 권한으로 액세스를 제어할 수 있습니다.

규칙이 규칙의 AWS Identity and Access Management ARNs 파라미터를 확인하지 않도록 하려는 ARN을 지정할 수 있습니다 AWS Config . principalArnList

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

노란색: 복구 시점 삭제를 방지하기 위한 리소스 기반 정책이 없는 AWS Backup 볼트가 있습니다.

AWS Backup 저장소에 대한 리소스 기반 정책을 생성하여 복구 시점의 예기치 않은 삭제를 방지합니다.

정책에는 백업: DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle, 백업: PutBackupVaultAccessPolicy 권한과 함께 “거부” 명령문이 포함되어야 합니다.

자세한 내용은 백업 볼트에 대한 액세스 정책 설정을 참조하세요.

사용을 확인합니다 AWS CloudTrail. CloudTrail은 계정에서 수행된 AWS API 호출에 대한 정보를 기록 AWS 계정 하여의 활동에 대한 가시성을 높입니다. 이러한 로그를 사용하여 예를 들어, 특정 사용자가 지정한 기간 동안 수행한 작업 또는 지정된 기간 동안 특정 리소스에 대해 작업을 수행한 사용자를 확인할 수 있습니다.

CloudTrail은 Amazon Simple Storage Service(Amazon S3) 버킷으로 로그 파일을 전송하므로 CloudTrail은 버킷에 대한 쓰기 권한을 가져야 합니다. 모든 리전을 추적하는 경우(새 추적을 생성할 때 기본값) Trusted Advisor 보고서에서 추적이 여러 번 나타납니다.

vjafUGJ9H0

트레일을 생성하고 콘솔에서 로깅을 시작하려면 AWS CloudTrail 콘솔로 이동합니다.

로깅을 시작하려면 추적에 대한 로깅 중단 및 시작을 참조하세요.

로그 전송 오류가 발생할 경우 버킷이 있는지, 그리고 필요한 정책이 버킷에 연결되어 있는지 확인합니다. Amazon S3 버킷 정책을 참조하세요.

사용을 확인합니다 AWS CloudTrail. CloudTrail은의 활동에 대한 가시성을 높입니다 AWS 계정. 계정에서 수행된 AWS API 호출에 대한 정보를 기록하여 이를 수행합니다. 이러한 로그를 사용하여 예를 들어, 특정 사용자가 지정한 기간 동안 수행한 작업 또는 지정된 기간 동안 특정 리소스에 대해 작업을 수행한 사용자를 확인할 수 있습니다.

CloudTrail은 Amazon Simple Storage Service(Amazon S3) 버킷으로 로그 파일을 전송하므로 CloudTrail은 버킷에 대한 쓰기 권한을 가져야 합니다. 추적이 모든 AWS 리전 에 적용되는 경우(새 추적을 생성할 때 기본값) 추적은 보고서에 여러 번 Trusted Advisor 나타납니다.

c25hn9x03v

추적을 생성하고 콘솔에서 로깅을 시작하려면 AWS CloudTrail 콘솔을 엽니다.

로깅을 시작하려면 추적에 대한 로깅 중단 및 시작을 참조하세요.

로그 전송 오류가 발생하면 버킷이 존재하고 필요한 정책이 버킷에 연결되어 있는지 확인합니다. Amazon S3 버킷 정책을 참조하세요.

사용 중단에 가까워지거나 더 이상 사용되지 않는 런타임을 사용하도록 $LATEST 버전이 구성된 Lambda 함수를 확인합니다. 더 이상 사용되지 않는 런타임은 보안 업데이트 또는 기술 지원을 받을 수 없습니다.

게시된 Lambda 함수 버전은 변경할 수 없습니다. 즉, 호출할 수는 있지만 업데이트할 수는 없습니다. Lambda 함수의 $LATEST 버전만 업데이트할 수 있습니다. 자세한 내용은 Lambda 함수 버전을 참조하세요.

L4dfs2Q4C5

사용 중단된 런타임에서 실행 중인 함수가 있는 경우, 지원되는 런타임으로 마이그레이션할 준비를 해야 합니다. 자세한 내용은 런타임 지원 정책을 참조하세요.

더 이상 사용하지 않는 이전 함수 버전은 삭제하는 것이 좋습니다.

Lambda 런타임

보안 기반에서 워크로드의 위험도 높음 문제(HRI)를 확인합니다. 이 검사는 사용자 AWS-Well Architected 리뷰를 기반으로 합니다. AWS Well-Architected에서 워크로드 평가를 완료했는지 여부에 따라 검사 결과가 달라집니다.

Wxdfp4B1L3

AWS Well-Architected는 워크로드 평가 중에 고위험 문제를 감지했습니다. 이러한 문제는 위험을 줄이고 비용을 절감할 수 있는 기회를 나타냅니다. AWS Well-Architected 도구에 로그인하여 답변을 검토하고 활성 문제를 해결하기 위한 조치를 취하세요.

IAM 인증서 저장소에서 CloudFront 대체 도메인 이름에 대한 SSL 인증서를 확인합니다. 이 검사는 인증서가 만료되었거나, 곧 만료되거나, 오래된 암호화를 사용하거나, 배포에 대해 올바르게 구성되지 않은 경우 알림을 표시합니다.

대체 도메인 이름에 대한 사용자 지정 인증서가 만료되면 CloudFront 콘텐츠를 표시하는 브라우저에 웹 사이트 보안에 대한 경고 메시지가 표시될 수 있습니다. SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 대부분의 웹 브라우저에서 더 이상 사용되지 않습니다.

인증서에는 최종 사용자 요청의 호스트 헤더에 있는 Origin Domain Name 또는 도메인 이름과 일치하는 도메인 이름이 포함되어야 합니다. 일치하지 않으면 CloudFront가 HTTP 상태 코드 502(잘못된 게이트웨이)를 사용자에게 반환합니다. 자세한 내용은 대체 도메인 이름 및 HTTPS 사용을 참조하십시오.

N425c450f2

AWS Certificate Manager 를 사용하여 서버 인증서를 프로비저닝, 관리 및 배포하는 것이 좋습니다. ACM을 사용하면 새 인증서를 요청하거나 기존 ACM 또는 외부 인증서를 AWS 리소스에 배포할 수 있습니다. ACM에서 제공하는 인증서는 무료이며 자동으로 갱신할 수 있습니다. ACM 사용에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서를 참조하세요. ACM이 지원하는 리전을 확인하려면의 AWS Certificate Manager 엔드포인트 및 할당량을 참조하세요 AWS 일반 참조.

만료될 인증서 또는 만료될 인증서를 갱신합니다. 인증서 갱신에 대한 자세한 내용은 IAM에서 서버 인증서 관리를 참조하세요.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 교체합니다.

인증서를 일반 이름(Common Name) 필드 또는 주체 대체 이름(Subject Alternative Names) 필드에 해당하는 값이 포함된 인증서로 바꿉니다.

HTTPS 연결을 사용하여 객체에 액세스

인증서 가져오기

AWS Certificate Manager 사용 설명서

만료되었거나, 곧 만료되거나, 누락되었거나, 오래된 암호화를 사용하는 SSL 인증서가 있는지 원본 서버에서 확인합니다. 인증서에 이러한 문제 중 하나가 있는 경우 CloudFront는 HTTP 상태 코드 502, 잘못된 게이트웨이를 사용하여 콘텐츠에 대한 요청에 응답합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 웹 브라우저에서 더는 사용되지 않습니다. CloudFront 배포와 연결한 SSL 인증서 수에 따라이 검사는 예를 들어 Amazon EC2 또는 Elastic Load Balancing을 CloudFront 배포의 오리진으로 사용하는 AWS 경우 웹 호스팅 공급자의 청구서에 매월 몇 센트를 추가할 수 있습니다. 이 검사에서는 오리진 인증서 체인이나 인증 기관의 유효성을 검사하지 않습니다. 이 같은 항목은 CloudFront 구성에서 확인할 수 있습니다.

N430c450f2

인증서가 만료되었거나 곧 만료되는 경우 오리진의 인증서를 갱신합니다.

인증서가 없는 경우에는 인증서를 추가합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 교체합니다.

대체 도메인 이름과 HTTPS 사용

암호화된 통신에 권장되는 보안 구성을 사용하지 않는 리스너가 있는 클래식 로드 밸런서를 확인합니다. AWS 에서는 보안 프로토콜(HTTPS 또는 SSL), up-to-date 보안 정책, 보안 암호 및 프로토콜을 사용할 것을 권장합니다. 프런트 엔드 연결(클라이언트에서 로드 밸런서로)에 보안 프로토콜을 사용하면 클라이언트와 로드 밸런서 간에 요청이 암호화됩니다. 이렇게 하면 더 안전한 환경이 생성됩니다. Elastic Load Balancing은 AWS 보안 모범 사례를 준수하는 사전 정의된 보안 정책을 암호 및 프로토콜과 함께 제공합니다. 새 구성을 사용할 수 있게 되면 미리 정의된 정책의 새 버전이 공개됩니다.

a2sEc6ILx

로드 밸런서에 대한 트래픽의 보안을 보장해야 하는 경우, 프런트엔드 연결에 HTTPS 또는 SSL 프로토콜을 사용합니다.

로드 밸런서를 사전 정의된 SSL 보안 정책의 최신 버전으로 업그레이드합니다.

권장 암호 및 프로토콜만 사용합니다.

자세한 내용은 Elastic Load Balancing의 리스너 구성을 참조하세요.

로드 밸런서에 대해 구성되지 않은 포트에 대한 액세스를 허용하는 보안 그룹으로 구성된 로드 밸런서를 확인합니다.

보안 그룹이 로드 밸런서에 대해 구성되지 않은 포트에 액세스하도록 허용하는 경우 데이터 손실 또는 악의적인 공격의 위험이 증가합니다.

xSqX82fQu

로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜과 경로 MTU 검색을 지원하는 ICMP 프로토콜만으로 액세스를 제한하도록 보안 그룹 규칙을 구성합니다. Classic Load Balancer의 리스너 및 VPC의 로드 밸런서를 위한 보안 그룹을 참조하세요.

보안 그룹이 존재하지 않는 경우에는 로드 밸런서에 새 보안 그룹을 적용합니다. 로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜만으로 액세스를 제한하는 보안 그룹 규칙을 생성합니다. VPC의 로드 밸런서를 위한 보안 그룹을 참조하세요.

널리 사용되는 코드 리포지토리에서 공개된 액세스 키와 액세스 키가 손상될 수 있는 불규칙한 Amazon Elastic Compute Cloud(Amazon EC2) 사용을 확인합니다.

액세스 키는 액세스 키 ID와 해당 비밀 액세스 키로 구성됩니다. 유출 액세스 키는 계정 및 다른 사용자에게 보안 위험을 초래할 수 있으며, 무단 활동 또는 남용으로 인해 과도한 요금이 부과될 수 있으며 AWS 고객 계약을 위반할 수 있습니다.

액세스 키가 노출된 경우 즉시 조치를 취하여 계정을 보호하십시오. 과도한 요금으로부터 계정을 보호하기 위해 AWS 일부 AWS 리소스를 생성하는 기능을 일시적으로 제한합니다. 이렇게 한다고 해서 계정이 안전하게 보호되는 것은 아닙니다. 요금이 부과될 수 있는 무단 사용량을 부분적으로만 제한합니다.

액세스 키의 기한이 표시되면 해당 날짜까지 무단 사용이 중지되지 않으면 AWS 계정 가를 일시 중지할 AWS 수 있습니다. 알림이 잘못되었다고 판단되면 AWS Support에 문의하세요.

에 표시된 정보는 계정의 최신 상태를 반영하지 않을 Trusted Advisor 수 있습니다. 노출된 액세스 키는 계정에서 노출된 모든 액세스 키가 해결될 때까지 해결된 것으로 표시되지 않습니다. 이 데이터 동기화에는 최대 1주일이 걸릴 수 있습니다.

12Fnkpl8Y5

영향을 받는 액세스 키를 최대한 빨리 삭제합니다. 키가 IAM 사용자와 연결되어 잇는 경우에는 IAM 사용자의 액세스 키 관리를 참조하세요.

계정이 무단 사용되지 않았는지 확인합니다. AWS Management Console에 로그인하여 각 서비스 콘솔에서 의심스러운 리소스를 확인합니다. Amazon EC2 인스턴스, 스팟 인스턴스 요청, 액세스 키 및 IAM 사용자를 실행 중인 경우 특히 주의해야 합니다. 과금 정보 및 비용 관리 콘솔에서 전체 사용량을 확인할 수도 있습니다.

지난 90일 동안 교체되지 않은 활성 IAM 액세스 키를 확인합니다.

액세스 키를 정기적으로 교체하면 리소스에 액세스하기 위해 알지 못한 채 손상된 키를 사용할 가능성이 줄어듭니다. 이 검사에서 마지막 순환 날짜 및 시간은 액세스 키가 생성되었거나 가장 최근에 활성화된 시간입니다. 액세스 키 번호 및 날짜는 최신 IAM 자격 증명 보고서의 access_key_1_last_rotated 및 access_key_2_last_rotated 정보를 참조하십시오.

보안 인증 보고서의 재생성 빈도가 제한되므로, 이 검사를 새로 고치면 최근 변경 사항이 반영되지 않을 수 있습니다. 자세한 내용은 AWS 계정의 자격 증명 보고서 가져오기를 참조하세요.

액세스 키를 생성하고 교체하려면 사용자에게 적절한 권한이 있어야 합니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키 및 SSH 키를 관리할 수 있도록 허용을 참조하세요.

DqdJqYeRm5

액세스 키를 주기적으로 교체합니다. 액세스 키 교체 및 IAM 사용자의 액세스 키 관리를 참조하세요.

계정 수준에서 IAM Access Analyzer 외부 액세스가 있는지 확인합니다.

IAM Access Analyzer 외부 액세스 분석기는 계정에서 외부 엔터티와 공유되는 리소스를 식별하는 데 도움이 됩니다. 그런 다음 분석기는 조사 결과를 포함하는 중앙 집중식 대시보드를 생성합니다. IAM 콘솔에서 새 분석기가 활성화된 후 보안 팀은 과도한 권한을 기반으로 검토할 계정의 우선순위를 지정할 수 있습니다. 외부 액세스 분석기는 리소스에 대한 퍼블릭 및 크로스 계정 액세스 조사 결과를 생성하며 추가 비용 없이 제공됩니다.

07602fcad6

계정당 외부 액세스 분석기를 생성하면 보안 팀이 과도한 권한을 기반으로 검토할 계정의 우선순위를 정하는 데 도움이 됩니다. 자세한 내용은 AWS Identity and Access Management Access Analyzer 조사 결과 시작하기를 참조하세요.

또한 미사용 액세스 분석기를 활용하는 것이 가장 좋습니다.이 기능은 미사용 액세스 검사를 간소화하여 최소 권한으로 안내하는 유료 기능입니다. 자세한 내용은 IAM 사용자 및 역할에 부여된 미사용 액세스 식별을 참조하세요.

계정의 암호 정책을 확인하여 암호 정책이 활성화되지 않았거나 암호 콘텐츠 요구 사항이 활성화되지 않은 경우 경고합니다.

암호 콘텐츠 요구 사항은 AWS 환경에서 강력한 사용자 암호를 생성하게 하여 사용자의 전반적인 보안을 강화합니다. 암호 정책을 생성하거나 변경하면 새 사용자에게 변경 사항이 즉시 적용되지만 기존 사용자는 암호를 변경하지 않아도 됩니다.

Yw2K9puPzl

일부 콘텐츠 요구 사항이 활성화되지 않은 경우 활성화하는 것이 좋습니다. 활성화된 암호 정책이 없는 경우 새로 생성하고 구성합니다. IAM 사용자의 계정 암호 정책 설정을 참조하세요.

에 액세스하려면 AWS Management Console IAM 사용자에게 암호가 필요합니다. 모범 사례로 에서는 IAM 사용자를 생성하는 대신 페더레이션을 사용할 것을 AWS 적극 권장합니다. 페더레이션을 통해 사용자는 기존 기업 보안 인증을 사용하여 AWS Management Console에 로그인할 수 있습니다. IAM Identity Center를 사용하여 사용자를 생성하거나 페더레이션한 다음 IAM 역할을 계정에 맡습니다.

자격 증명 공급자 및 페더레이션에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명 공급자 및 페더레이션을 참조하세요. IAM Identity Center에 대한 자세한 내용은 IAM Identity Center 사용 설명서를 참조하세요.

암호 관리

AWS 계정 가 SAML 2.0을 지원하는 ID 제공업체(IdP)를 통해 액세스하도록 구성되어 있는지 확인합니다. 자격 증명을 중앙 집중화하고 외부 자격 증명 공급자 또는에서 사용자를 구성할 때 모범 사례를 따라야 합니다AWS IAM Identity Center.

c2vlfg0p86

에 대한 IAM Identity Center를 활성화합니다 AWS 계정. 자세한 내용은 EnablingIAM Identity Center를 참조하세요. IAM Identity Center를 켠 후 권한 세트 생성 및 Identity Center 그룹에 대한 액세스 할당과 같은 일반적인 작업을 수행할 수 있습니다. 자세한 내용은 일반 작업을 참조하세요.

IAM Identity Center에서 인적 사용자를 관리하는 것이 가장 좋습니다. 그러나 소규모 배포의 경우 단기적으로 인간 사용자에 대해 IAM을 사용하여 페더레이션 사용자 액세스를 활성화할 수 있습니다. 자세한 내용은 SAML 2.0 페더레이션을 참조하세요.

IAM Identity Center란 무엇입니까?

IsIAM이란 무엇입니까?

루트 계정을 확인하여 멀티 팩터 인증(MFA)이 활성화되지 않은 경우 경고를 표시합니다.

보안을 강화하려면 AWS Management Console 및 관련 웹 사이트와 상호 작용할 때 사용자가 MFA 하드웨어 또는 가상 디바이스에서 고유한 인증 코드를 입력해야 하는 MFA를 사용하여 계정을 보호하는 것이 좋습니다.

7DAFEmoDos

빨간색: 루트 계정에 MFA가 활성화되어 있지 않았습니다.

루트 계정에 로그인하여 MFA 디바이스를 활성화합니다. MFA 상태 확인 및 MFA 디바이스 설정을 참조하세요.

보안 자격 증명 페이지를 방문하여 언제든지 계정에서 MFA를 활성화할 수 있습니다. 이렇게 하려면에서 계정 메뉴 드롭다운을 선택합니다AWS Management Console. AWS는 FIDO2 및 가상 인증자와 같은 여러 산업 표준 형태의 MFA를 지원합니다. 이를 통해 필요에 맞는 MFA 디바이스를 유연하게 선택할 수 있습니다. MFA 디바이스 중 하나가 손실되거나 작동이 중지되는 경우 복원력을 위해 둘 이상의 MFA 디바이스를 등록하는 것이 가장 좋습니다.

자세한 내용은 theIAM 사용 설명서의 MFA 디바이스 활성화 및 루트 사용자(콘솔)에 대한 가상 MFA 디바이스 활성화를 위한 일반 단계를 참조하세요 AWS 계정.

루트 사용자 액세스 키가 있는지 확인합니다. 루트 사용자에 대한 액세스 키 페어를 생성하지 않는 것이 좋습니다. 몇 가지 작업만 루트 사용자가 필요하고 일반적으로 이러한 작업을 자주 수행하지 않으므로 루트 사용자 작업을 수행하기 AWS Management Console 위해에 로그인하는 것이 좋습니다. 액세스 키를 생성하기 전에 장기 액세스 키의 대안을 검토하세요.

c2vlfg0f4h

빨간색: 루트 사용자 액세스 키가 있습니다.

녹색: 루트 사용자 액세스 키가 없습니다.

루트 사용자의 액세스 키(들)를 삭제합니다. 루트 사용자의 액세스 키 삭제를 참조하세요. 이 작업은 루트 사용자가 수행해야 합니다. IAM 사용자 또는 역할로는 이 단계를 수행할 수 없습니다.

루트 사용자 자격 증명이 필요한 작업

분실 또는 잊어버린 루트 사용자 암호 재설정

보안 그룹에 특정 포트에 대한 무제한 액세스(0.0.0.0/0)를 허용하는 규칙이 있는지 확인합니다.

무제한 액세스 때문에 악의적인 활동(해킹, 서비스 거부 공격, 데이터 손실)의 기회가 늘어납니다. 위험이 가장 높은 포트는 빨간색으로 표시되고 위험이 적은 포트는 노란색으로 표시됩니다. 녹색으로 표시된 포트는 일반적으로 HTTP 및 SMTP와 같이 무제한 액세스가 필요한 애플리케이션에서 사용합니다.

이러한 방식으로 보안 그룹을 의도적으로 구성한 경우 추가 보안 조치를 사용하여 인프라(예: IP 테이블) 를 보호하는 것이 좋습니다.

HCP4007jGY

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

미사용 보안 그룹을 검토하고 삭제합니다. AWS Firewall Manager 를 사용하여에서 대규모로 보안 그룹을 중앙에서 구성하고 관리할 수 있습니다. AWS 계정자세한 내용은 AWS Firewall Manager 설명서를 참조하세요.

Systems Manager Sessions Manager for SSH(포트 22) 및 RDP(포트 3389)를 사용하여 EC2 인스턴스에 액세스하는 것이 좋습니다. 세션 관리자를 사용하면 보안 그룹에서 포트 22 및 3389를 활성화하지 않고도 EC2 인스턴스에 액세스할 수 있습니다.

리소스에 대한 무제한 액세스를 허용하는 규칙이 있는지 보안 그룹을 검사합니다.

무제한 액세스 때문에 악의적인 활동(해킹, 서비스 거부 공격, 데이터 손실)의 기회가 늘어납니다.

1iG5NDGVre

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

미사용 보안 그룹을 검토하고 삭제합니다. AWS Firewall Manager 를 사용하여에서 대규모로 보안 그룹을 중앙에서 구성하고 관리할 수 있습니다. AWS 계정자세한 내용은 AWS Firewall Manager 설명서를 참조하세요.

Systems Manager Sessions Manager for SSH(포트 22) 및 RDP(포트 3389)를 사용하여 EC2 인스턴스에 액세스하는 것이 좋습니다. 세션 관리자를 사용하면 보안 그룹에서 포트 22 및 3389를 활성화하지 않고도 EC2 인스턴스에 액세스할 수 있습니다.