보안

Amazon CloudWatch 로그 그룹 보존 기간이 365일 또는 기타 지정된 수로 설정되어 있는지 확인합니다.

기본적으로 로그는 무기한으로 저장되고 만료 기간이 없습니다. 하지만 특정 기간의 업계 규정 또는 법적 요구 사항을 준수하도록 각 로그 그룹의 보존 정책을 조정할 수 있습니다.

규칙의 LogGroupNames 및 MinRetentionTime 파라미터를 사용하여 최소 보존 시간 및 로그 그룹 이름을 지정할 수 있습니다 AWS Config .

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

노란색: Amazon CloudWatch 로그 그룹의 보존 기간이 원하는 최소 일수보다 짧습니다.

Amazon CloudWatch Logs에 저장된 로그 데이터가 규정 준수 요구 사항을 충족하도록 365일 이상의 보존 기간을 구성합니다.

자세한 내용은 로그에서 CloudWatch 로그 데이터 보존 변경을 참조하세요.

CloudWatch 로그 보존 변경

지난 24시간 동안 실행 중인 Amazon Elastic Compute Cloud(AmazonEC2) 인스턴스의 SQL 서버 버전을 확인합니다. 이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 SQL 서버 버전은 5년의 메인스트림 지원과 5년의 확장 지원을 포함하여 10년의 지원을 제공합니다. 지원이 끝나면 SQL 서버 버전은 정기적인 보안 업데이트를 받지 않습니다. 지원되지 않는 SQL 서버 버전으로 애플리케이션을 실행하면 보안 또는 규정 준수 위험이 발생할 수 있습니다.

Qsdfp3A4L3

SQL 서버 워크로드를 현대화하려면 Amazon Aurora와 같은 AWS 클라우드 네이티브 데이터베이스로 리팩터링하는 것이 좋습니다. 자세한 내용은 를 사용하여 Windows 워크로드 현대화를 참조하세요 AWS.

완전 관리형 데이터베이스로 이동하려면 Amazon Relational Database Service(Amazon )로 다시 플랫포밍하는 것이 좋습니다RDS. 자세한 내용은 Amazon RDS for SQL Server 를 참조하세요.

Amazon 에서 SQL 서버를 업그레이드하려면 자동화 실행서를 사용하여 업그레이드를 간소화하는 것이 EC2좋습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하십시오.

Amazon 에서 SQL 서버를 업그레이드할 수 없는 경우 Windows Server용 End-of-Support 마이그레이션 프로그램(EMP)을 EC2고려하세요. 자세한 내용은 EMP 웹 사이트 섹션을 참조하세요.

이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 Windows Server 버전은 10년간 지원을 제공합니다. 여기에는 5년간의 일반 지원과 5년간의 추가 지원이 포함됩니다. 지원이 종료되면 Windows Server 버전은 정기 보안 업데이트를 받지 못합니다. 지원되지 않는 Windows Server 버전으로 애플리케이션을 실행하면 애플리케이션의 보안 또는 규정 준수 위험이 발생합니다.

Qsdfp3A4L4

Windows Server 워크로드를 현대화하려면 를 사용하여 Windows 워크로드 현대화에서 사용할 수 있는 AWS 다양한 옵션을 고려하세요.

Windows Server 워크로드를 최신 버전의 Windows Server에서 실행되도록 업그레이드하려면 자동화 런북을 사용할 수 있습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하세요.

아래 일련의 단계를 따르세요.

이 확인은 버전이 표준 지원에 가깝거나 표준 지원 종료에 도달했는지 여부를 알려줍니다. 다음으로 마이그레이션하거나 Ubuntu Pro로 LTS 업그레이드하여 조치를 취하는 것이 중요합니다. 지원이 끝나면 18.04 LTS 시스템에 보안 업데이트가 수신되지 않습니다. Ubuntu Pro 구독을 사용하면 Ubuntu 18.04 LTS 배포가 2028년까지 확장된 보안 유지 관리(ESM)를 받을 수 있습니다. 패치되지 않은 상태로 유지되는 보안 취약성은 시스템을 해커에게 개방하고 주요 침해의 가능성을 보여줍니다.

c1dfprch15

빨간색: Amazon EC2 인스턴스에는 표준 지원 종료(Ubuntu 18.04, 18.04.1LTS, LTS, 18.04.2LTS, 18.04.3LTS, 18.04.4LTS, LTS18.04.5)에 도달한 Ubuntu 버전이 있습니다18.04.6LTS.

노란색: Amazon EC2 인스턴스에는 6개월 이내에 표준 지원 종료에 도달하는 Ubuntu 버전이 있습니다(Ubuntu 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 및 LTS20.04.6 LTS).

녹색: 모든 Amazon EC2 인스턴스가 규정을 준수합니다.

Ubuntu 18.04 LTS 인스턴스를 지원되는 LTS 버전으로 업그레이드하려면 이 문서에서 언급한 단계를 따르세요. Ubuntu 18.04 LTS 인스턴스를 Ubuntu Pro 로 업그레이드하려면 AWS License Manager 콘솔을 방문하여 AWS License Manager 사용 설명서 에 설명된 단계를 따릅니다. Ubuntu 인스턴스를 Ubuntu Pro로 업그레이드하는 단계별 데모를 보여주는 Ubuntu 블로그를 참조할 수도 있습니다.

요금에 대한 자세한 내용은 에 문의하세요AWS Support.

암호화를 사용하여 data-in-transit Amazon EFS 파일 시스템이 탑재되었는지 확인합니다. 는 우발적인 노출 또는 무단 액세스로부터 데이터를 보호하기 위해 고객이 모든 데이터 흐름에 암호화를 사용할 data-in-transit 것을 AWS 권장합니다. Amazon은 클라이언트가 Amazon 탑재 도우미를 사용하여 '-o tls' EFS 탑재 설정을 사용하여 TLS v1.2를 사용하여 전송 중인 데이터를 암호화하는 것을 EFS 권장합니다.

c1dfpnchv1

노란색: Amazon EFS 파일 시스템에 대한 하나 이상의 NFS 클라이언트가 data-in-transit 암호화를 제공하는 권장 마운트 설정을 사용하지 않습니다.

녹색: Amazon EFS 파일 시스템의 모든 NFS 클라이언트가 data-in-transit 암호화를 제공하는 권장 마운트 설정을 사용하고 있습니다.

Amazon 의 data-in-transit 암호화 기능을 활용하려면 Amazon 탑재 도우미와 권장 EFS 탑재 설정을 사용하여 파일 시스템을 다시 탑재하는 것이 EFS좋습니다.

Amazon Elastic Block Store(AmazonEBS) 볼륨 스냅샷의 권한 설정을 확인하고 스냅샷에 공개적으로 액세스할 수 있는지 알려줍니다.

스냅샷을 공개하면 모든 AWS 계정 및 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한을 부여합니다. 스냅샷을 특정 사용자 또는 계정과만 공유하려면 스냅샷을 프라이빗으로 표시합니다. 그런 다음 스냅샷 데이터를 공유할 사용자 또는 계정을 지정합니다. '모든 공유 차단' 모드에서 퍼블릭 액세스 차단을 활성화한 경우 퍼블릭 스냅샷에 공개적으로 액세스할 수 없으며 이 확인 결과에 표시되지 않습니다.

ePs02jT06w

빨간색: EBS 볼륨 스냅샷에 공개적으로 액세스할 수 있습니다.

스냅샷의 모든 데이터를 모든 AWS 계정 및 사용자와 공유하려는 것이 확실치 않은 한 권한을 수정합니다. 스냅샷을 비공개로 표시한 다음 권한을 부여할 계정을 지정합니다. 자세한 내용은 Amazon EBS 스냅샷 공유를 참조하세요. EBS 스냅샷에 대한 퍼블릭 액세스 차단을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어합니다. 이 검사는 Trusted Advisor 콘솔의 보기에서 제외할 수 없습니다.

스냅샷에 대한 권한을 직접 수정하려면 AWS Systems Manager 콘솔에서 실행서를 사용합니다. 자세한 내용은 AWSSupport-ModifyEBSSnapshotPermission 단원을 참조하십시오.

Amazon EBS 스냅샷

Amazon은 에서 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 유휴 암호화를 RDS 지원합니다 AWS Key Management Service. Amazon RDS 암호화가 적용된 활성 DB 인스턴스에서 스토리지에 저장된 데이터는 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

Aurora DB 클러스터를 생성하는 동안 암호화가 활성화되지 않은 경우 복호화된 스냅샷을 암호화된 DB 클러스터로 복원해야 합니다.

c1qf5bt005

빨간색: Amazon RDS Aurora 리소스에는 암호화가 활성화되어 있지 않습니다.

DB 클러스터에 저장된 데이터의 암호화를 활성화하세요.

DB 인스턴스를 생성하는 동안 암호화를 켜거나 해결 방법을 사용하여 활성 DB 인스턴스에서 암호화를 켤 수 있습니다. 복호화된 DB 클러스터는 암호화된 DB 클러스터로 수정할 수 없습니다. 그러나 복호화된 스냅샷을 암호화된 DB 클러스터로 복원할 수 있습니다. 복호화된 스냅샷에서 복원할 때는 AWS KMS 키를 지정해야 합니다.

자세한 내용은 Amazon Aurora 리소스 암호화 섹션을 참조하세요.

데이터베이스 리소스가 최신 마이너 DB 엔진 버전을 실행하지 않습니다. 최신 마이너 버전에는 최신 보안 수정 및 기타 개선 사항이 포함되어 있습니다.

c1qf5bt003

노란색: Amazon RDS 리소스가 최신 마이너 DB 엔진 버전을 실행하지 않습니다.

최신 엔진 버전으로 업그레이드합니다.

이 버전에는 최신 보안 및 기능 수정 사항이 포함되어 있으므로 데이터베이스를 최신 DB 엔진 마이너 버전으로 유지하는 것이 좋습니다. DB 엔진 마이너 버전 업그레이드에는 동일한 DB 엔진 메이저 버전의 이전 마이너 버전과 역호환되는 변경 사항만 포함됩니다.

자세한 내용은 DB 인스턴스 엔진 버전 업그레이드를 참조하세요.

Amazon Relational Database Service(AmazonRDS) DB 스냅샷의 권한 설정을 확인하고 스냅샷이 퍼블릭으로 표시된 경우 알림을 보냅니다.

스냅샷을 공개하면 모든 AWS 계정 및 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한을 부여합니다. 특정 사용자 또는 계정에만 스냅샷을 공유하려면 스냅샷을 프라이빗으로 표시합니다. 그런 다음 스냅숏 데이터를 공유할 사용자 또는 계정을 지정합니다.

rSs93HQwa1

빨간색: Amazon RDS 스냅샷은 퍼블릭으로 표시됩니다.

스냅샷의 모든 데이터를 모든 AWS 계정 및 사용자와 공유하려는 것이 확실하지 않은 한 권한을 수정합니다. 스냅샷을 비공개로 표시한 다음 권한을 부여할 계정을 지정합니다. 자세한 내용은 DB 스냅샷 또는 DB 클러스터 스냅샷 공유를 참조하세요. 이 검사는 Trusted Advisor 콘솔의 보기에서 제외할 수 없습니다.

스냅샷에 대한 권한을 직접 수정하려면 AWS Systems Manager 콘솔에서 실행서를 사용할 수 있습니다. 자세한 내용은 AWSSupport-ModifyRDSSnapshotPermission 단원을 참조하십시오.

Amazon RDS DB 인스턴스 백업 및 복원

Amazon Relational Database Service(Amazon RDS)에 대한 보안 그룹 구성을 확인하고 보안 그룹 규칙이 데이터베이스에 대한 과도하게 허용 가능한 액세스 권한을 부여할 때 경고합니다. 보안 그룹 규칙에 권장되는 구성은 특정 Amazon Elastic Compute Cloud(AmazonEC2) 보안 그룹 또는 특정 IP 주소에서만 액세스를 허용하는 것입니다.

nNauJisYIT

EC2-Classic은 2022년 8월 15일에 사용 중지되었습니다. Amazon RDS 인스턴스를 로 이동VPC하고 Amazon EC2 보안 그룹을 사용하는 것이 좋습니다. DB 인스턴스를 로 이동하는 방법에 대한 자세한 내용은 에 없는 DB 인스턴스를 VPC로 이동을 VPC VPC 참조하세요.

Amazon RDS 인스턴스를 로 마이그레이션할 수 없는 경우 보안 그룹 규칙을 VPC검토하고 권한을 부여받은 IP 주소 또는 IP 범위로 액세스를 제한합니다. 보안 그룹을 편집하려면 AuthorizeDBSecurityGroupIngress API 또는 를 사용합니다 AWS Management Console. 자세한 내용은 DB 보안 그룹 작업을 참조하세요.

Amazon은 에서 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 유휴 암호화를 RDS 지원합니다 AWS Key Management Service. Amazon RDS 암호화가 적용된 활성 DB 인스턴스에서 스토리지에 저장된 데이터는 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

DB 인스턴스를 생성하는 동안 암호화가 활성화되지 않은 경우 암호화를 켜기 전에 복호화된 스냅샷의 암호화된 사본을 복원해야 합니다.

c1qf5bt006

빨간색: Amazon RDS 리소스에는 암호화가 활성화되어 있지 않습니다.

DB 인스턴스에 저장된 데이터의 암호화를 활성화하세요.

DB 인스턴스를 생성할 때만 DB 인스턴스를 암호화할 수 있습니다. 기존 활성 DB 인스턴스를 암호화하는 방법:

자세한 정보는 다음 자료를 참조하십시오.

가 S3 버킷 이름과 일치하지 않는 경우 Amazon S3 버킷 호스트 이름 및 알림을 직접 가리키CNAME는 CNAME 레코드가 있는 Amazon Route 5S3 호스팅 영역을 확인합니다. Amazon S3

c1ng44jvbm

빨간색: Amazon Route 53 호스팅 영역에는 S3 버킷 호스트 이름이 일치하지 않음을 가리키는 CNAME 레코드가 있습니다.

녹색: Amazon Route 53 호스팅 영역에서 일치하지 않는 CNAME 레코드를 찾을 수 없습니다.

CNAME 레코드를 S3 버킷 호스트 이름으로 가리킬 때는 구성한 모든 CNAME 또는 별칭 레코드에 대해 일치하는 버킷이 있는지 확인해야 합니다. 이렇게 하면 CNAME 레코드가 스푸핑되는 위험을 방지할 수 있습니다. 또한 권한이 없는 AWS 사용자가 도메인에서 오류 또는 악성 웹 콘텐츠를 호스팅하지 못하도록 합니다.

CNAME 레코드가 S3 버킷 호스트 이름을 직접 가리키지 않도록 하려면 오리진 액세스 제어(OAC)를 사용하여 Amazon 를 통해 S3 버킷 웹 자산에 액세스하는 것이 좋습니다 CloudFront.

Amazon S3 버킷 호스트 이름과 연결하는 방법에 대한 자세한 내용은 레코드 CNAME 를 사용하여 Amazon S3 사용자 지정을 참조하세요. Amazon S3 URLs CNAME

각 MX 레코드에 대해 는 유효한 SPF 값이 포함된 연결된 TXT 레코드를 확인합니다. TXT 레코드 값은 “v=spf1”로 시작해야 합니다. SPF 레코드 유형은 Internet Engineering Task Force()에서 더 이상 사용되지 않습니다IETF. Route 53에서는 TXT 레코드 대신 SPF 레코드를 사용하는 것이 가장 좋습니다. 는 MX 레코드에 유효한 SPF 값을 가진 연결된 TXT 레코드가 하나 이상 있는 경우 이 검사를 녹색으로 Trusted Advisor 보고합니다.

c9D319e7sG

각 MX 리소스 레코드 세트에 대해 유효한 SPF 값이 포함된 TXT 리소스 레코드 세트를 생성합니다. 자세한 내용은 발신자 정책 프레임워크: SPF 레코드 구문 및 Amazon Route 53 콘솔을 사용하여 리소스 레코드 세트 생성을 참조하세요.

Amazon Simple Storage Service(Amazon S3)에서 열린 액세스 권한이 있거나 인증된 AWS 사용자에 대한 액세스를 허용하는 버킷을 확인합니다.

이 검사는 명시적 버킷 권한과 해당 권한을 재정의할 수 있는 버킷 정책을 검사합니다. Amazon S3 버킷의 모든 사용자에게 목록 액세스 권한을 부여하는 것은 권장하지 않습니다. 이러한 권한을 사용하면 의도하지 않은 사용자가 높은 빈도로 버킷의 객체를 나열할 수 있으며, 이로 인해 예상보다 높은 요금이 발생할 수 있습니다. 모든 사람에게 업로드 및 삭제 액세스 권한을 부여하면 버킷의 보안 취약성을 유발할 수 있습니다.

Pfx0RwqBli

버킷이 공개 액세스를 허용하는 경우, 공개 액세스가 정말로 필요한지 확인합니다. 예를 들어 정적 웹 사이트를 호스팅하려면 Amazon CloudFront 을 사용하여 Amazon S3에서 호스팅되는 콘텐츠를 제공할 수 있습니다. Amazon CloudFront 개발자 안내서의 anAmazon S3 오리진에 대한 액세스 제한을 참조하세요. 가능하면 버킷 권한을 업데이트하여 소유자 또는 특정 사용자에 대한 액세스를 제한합니다. Amazon S3 퍼블릭 액세스 차단 기능을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어합니다. 버킷 및 객체 액세스 권한 설정을 참조하세요.

Amazon S3 리소스에 대한 액세스 권한 관리

Amazon S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성

수락자와 요청자 모두에 대해 VPC 피어링 연결에 DNS 확인 기능이 켜져 있는지 확인합니다VPCs.

DNS VPC 피어링 연결을 위한 해석을 사용하면 에서 쿼리할 때 퍼블릭 DNS 호스트 이름을 프라이빗 IPv4 주소로 해석할 수 있습니다VPC. 이렇게 하면 피어링된 의 리소스 간 통신에 DNS 이름을 사용할 수 있습니다VPCs. DNS VPC 피어링 연결의 문제를 해결하면 애플리케이션 개발 및 관리가 더 간단해지고 오류가 덜 발생하며 리소스가 피VPC어링 연결을 통해 비공개로 통신할 수 있습니다.

AWS Config 규칙의 vpcIds 파라미터를 IDs사용하여 VPC 를 지정할 수 있습니다.

자세한 내용은 VPC 피어링 연결에 대한 DNS 해상도 활성화를 참조하세요.

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

노란색: VPC 피어링 연결VPCs에서 수락자와 요청자 모두에 대해 DNS 해상도가 활성화되지 않았습니다.

VPC 피어링 연결에 대한 DNS 해상도를 켭니다.

Application Load Balancer(ALB) 대상 그룹이 HTTPS 프로토콜을 사용하여 백엔드 대상 인스턴스 또는 IP 유형에 대해 전송 중인 통신을 암호화하고 있는지 확인합니다. HTTPS ALB 및 백엔드 대상 간의 요청은 전송 중인 데이터에 대한 데이터 기밀성을 유지하는 데 도움이 됩니다.

c2vlfg0p1w

HTTPS 액세스를 지원하도록 백엔드 대상 유형의 인스턴스 또는 IP를 구성하고, HTTPS 프로토콜을 사용하여 ALB 및 백엔드 대상 유형의 인스턴스 또는 IP 간의 통신을 암호화하도록 대상 그룹을 변경합니다.

전송 중 암호화 적용

Application Load Balancer 대상 유형

Application Load Balancer 라우팅 구성

Elastic Load Balancing의 데이터 보호

AWS Backup 저장소에 복구 시점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다.

리소스 기반 정책은 복구 지점의 예기치 않은 삭제를 방지하므로 백업 데이터에 대해 최소한의 권한으로 액세스를 제어할 수 있습니다.

규칙에서 AWS Identity and Access Management ARNs 규칙의 principalArnList 파라미터를 확인하지 않도록 를 지정할 수 있습니다 AWS Config .

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

노란색: 복구 시점 삭제를 방지하는 리소스 기반 정책이 없는 AWS Backup 볼트가 있습니다.

AWS Backup 저장소에 대한 리소스 기반 정책을 생성하여 복구 시점이 예기치 않게 삭제되지 않도록 합니다.

정책에는 백업:DeleteRecoveryPoint, 백업: UpdateRecoveryPointLifecycle및 백업: PutBackupVaultAccessPolicy 권한과 함께 “거부” 문이 포함되어야 합니다.

자세한 내용은 백업 볼트에 대한 액세스 정책 설정을 참조하세요.

의 사용을 확인합니다 AWS CloudTrail. CloudTrail 는 계정에서 수행된 호출에 대한 AWS API 정보를 기록 AWS 계정 하여 의 활동에 대한 가시성을 높입니다. 이러한 로그를 사용하여 예를 들어, 특정 사용자가 지정한 기간 동안 수행한 작업 또는 지정된 기간 동안 특정 리소스에 대해 작업을 수행한 사용자를 확인할 수 있습니다.

는 Amazon Simple Storage Service(Amazon S3) 버킷에 로그 파일을 CloudTrail 전송하므로 버킷에 대한 쓰기 권한이 있어야 CloudTrail 합니다. 모든 리전을 추적하는 경우(새 추적을 생성할 때 기본값) Trusted Advisor 보고서에서 추적이 여러 번 나타납니다.

vjafUGJ9H0

트레일을 생성하고 콘솔에서 로깅을 시작하려면 AWS CloudTrail 콘솔로 이동합니다.

로깅을 시작하려면 추적에 대한 로깅 중단 및 시작을 참조하세요.

로그 전송 오류가 발생할 경우 버킷이 있는지, 그리고 필요한 정책이 버킷에 연결되어 있는지 확인합니다. Amazon S3 버킷 정책을 참조하세요.

사용 중단에 가까워지거나 사용 중단된 런타임을 사용하도록 $LATEST 버전이 구성된 Lambda 함수를 확인합니다. 더 이상 사용되지 않는 런타임은 보안 업데이트 또는 기술 지원을 받을 수 없습니다.

게시된 Lambda 함수 버전은 변경할 수 없습니다. 즉, 호출할 수는 있지만 업데이트할 수는 없습니다. Lambda 함수의 $LATEST 버전만 업데이트할 수 있습니다. 자세한 내용은 Lambda 함수 버전을 참조하세요.

L4dfs2Q4C5

사용 중단된 런타임에서 실행 중인 함수가 있는 경우, 지원되는 런타임으로 마이그레이션할 준비를 해야 합니다. 자세한 내용은 런타임 지원 정책을 참조하세요.

더 이상 사용하지 않는 이전 함수 버전은 삭제하는 것이 좋습니다.

Lambda 런타임

보안 필라에서 워크로드에 대한 고위험 문제(HRIs)가 있는지 확인합니다. 이 확인은 AWS-Well Architected 리뷰. 검사 결과는 워크로드 평가를 완료했는지 여부에 따라 달라집니다.AWS Well-Architected.

Wxdfp4B1L3

AWS Well-Architected는 워크로드 평가 중에 고위험 문제를 감지했습니다. 이러한 문제는 위험을 줄이고 비용을 절감할 수 있는 기회를 나타냅니다. AWS Well-Architected 도구에 로그인하여 답변을 검토하고 활성 문제를 해결하기 위한 조치를 취하세요.

SSL 인증서 스토어에서 CloudFront 대체 도메인 이름이 있는지 IAM 인증서를 확인합니다. 이 검사는 인증서가 만료되었거나, 곧 만료되거나, 오래된 암호화를 사용하거나, 배포에 대해 올바르게 구성되지 않은 경우 알림을 표시합니다.

대체 도메인 이름에 대한 사용자 지정 인증서가 만료되면 CloudFront 콘텐츠를 표시하는 브라우저에 웹 사이트의 보안에 대한 경고 메시지가 표시될 수 있습니다. SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 대부분의 웹 브라우저에서 더 이상 사용되지 않습니다.

인증서에는 최종 사용자 요청의 호스트 헤더에 있는 Origin Domain Name 또는 도메인 이름과 일치하는 도메인 이름이 포함되어야 합니다. 일치하지 않으면 는 502(잘못된 게이트웨이)의 HTTP 상태 코드를 사용자에게 CloudFront 반환합니다. 자세한 내용은 대체 도메인 이름 및 사용을 참조하세요HTTPS.

N425c450f2

AWS Certificate Manager 를 사용하여 서버 인증서를 프로비저닝, 관리 및 배포하는 것이 좋습니다. 를 사용하면 새 인증서를 요청하거나 기존 ACM 또는 외부 인증서를 AWS 리소스에 배포할 ACM수 있습니다. 에서 제공하는 인증서ACM는 무료이며 자동으로 갱신할 수 있습니다. 사용에 대한 자세한 내용은 AWS Certificate Manager 사용 설명서 섹션을 ACM참조하세요. 리전 ACM 지원을 확인하려면 의 AWS Certificate Manager 엔드포인트 및 할당량을 참조하세요 AWS 일반 참조.

만료될 인증서 또는 만료될 인증서를 갱신합니다. 인증서 갱신에 대한 자세한 내용은 의 서버 인증서 관리를 참조하세요IAM.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 바꿉니다.

인증서를 일반 이름(Common Name) 필드 또는 주체 대체 이름(Subject Alternative Names) 필드에 해당하는 값이 포함된 인증서로 바꿉니다.

HTTPS 연결을 사용하여 객체에 액세스

인증서 가져오기

AWS Certificate Manager 사용 설명서

오리진 서버에 만료되었거나 만료 예정이거나 누락되었거나 오래된 암호화를 사용하는 SSL 인증서가 있는지 확인합니다. 인증서에 이러한 문제 중 하나가 있는 경우 는 HTTP 상태 코드 502, Bad Gateway가 있는 콘텐츠에 대한 요청에 CloudFront 응답합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 웹 브라우저에서 더 이상 사용되지 않습니다. 배포와 CloudFront 연결한 SSL 인증서 수에 따라 이 검사는 Amazon EC2 또는 Elastic Load Balancing을 CloudFront 배포의 오리진으로 사용하는 AWS 경우 웹 호스팅 공급자의 청구서에 매월 몇 센트를 추가할 수 있습니다. 이 검사에서는 오리진 인증서 체인이나 인증 기관의 유효성을 검사하지 않습니다. CloudFront 구성에서 이를 확인할 수 있습니다.

N430c450f2

인증서가 만료되었거나 곧 만료되는 경우 오리진의 인증서를 갱신합니다.

인증서가 없는 경우에는 인증서를 추가합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 바꿉니다.

대체 도메인 이름 및 사용 HTTPS

암호화된 통신에 권장되는 보안 구성을 사용하지 않는 리스너가 있는 클래식 로드 밸런서를 확인합니다. AWS 에서는 보안 프로토콜(HTTPS 또는 SSL), up-to-date 보안 정책, 보안 암호 및 프로토콜을 사용할 것을 권장합니다. 프런트엔드 연결(클라이언트에서 로드 밸런서로)에 보안 프로토콜을 사용하면 클라이언트와 로드 밸런서 간에 요청이 암호화됩니다. 이렇게 하면 더 안전한 환경이 생성됩니다. Elastic Load Balancing은 AWS 보안 모범 사례를 준수하는 사전 정의된 보안 정책을 암호 및 프로토콜과 함께 제공합니다. 새 구성을 사용할 수 있게 되면 미리 정의된 정책의 새 버전이 공개됩니다.

a2sEc6ILx

로드 밸런서에 대한 트래픽이 안전해야 하는 경우 프런트엔드 연결에 HTTPS 또는 SSL 프로토콜을 사용합니다.

로드 밸런서를 사전 정의된 SSL 보안 정책의 최신 버전으로 업그레이드합니다.

권장 암호 및 프로토콜만 사용합니다.

자세한 내용은 Elastic Load Balancing의 리스너 구성을 참조하세요.

로드 밸런서에 대해 구성되지 않은 포트에 대한 액세스를 허용하는 보안 그룹으로 구성된 로드 밸런서를 확인합니다.

보안 그룹이 로드 밸런서에 대해 구성되지 않은 포트에 액세스하도록 허용하는 경우 데이터 손실 또는 악의적인 공격의 위험이 증가합니다.

xSqX82fQu

로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜과 Path MTU Discovery를 지원하는 ICMP 프로토콜로만 액세스를 제한하도록 보안 그룹 규칙을 구성합니다. 의 Classic Load Balancer용 리스너 및 Load Balancer용 보안 그룹을 VPC참조하세요.

보안 그룹이 존재하지 않는 경우에는 로드 밸런서에 새 보안 그룹을 적용합니다. 로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜만으로 액세스를 제한하는 보안 그룹 규칙을 생성합니다. 의 로드 밸런서용 보안 그룹을 참조하세요VPC.

널리 사용되는 코드 리포지토리에서 퍼블릭에 노출된 액세스 키가 있는지, 그리고 액세스 키 손상으로 인해 발생할 수 있는 Amazon Elastic Compute Cloud(Amazon EC2) 사용량이 불규칙한지 확인합니다.

액세스 키는 액세스 키 ID와 해당 비밀 액세스 키로 구성됩니다. 유출 액세스 키는 계정 및 다른 사용자에게 보안 위험을 초래할 수 있으며, 무단 활동 또는 남용으로 인해 과도한 요금이 부과될 수 있으며 AWS 고객 계약을 위반할 수 있습니다.

액세스 키가 노출된 경우 즉시 조치를 취하여 계정을 보호하십시오. 과도한 요금으로부터 계정을 보호하기 위해 AWS 일부 AWS 리소스를 생성할 수 있는 권한을 일시적으로 제한합니다. 이렇게 한다고 해서 계정이 안전하게 보호되는 것은 아닙니다. 요금이 부과될 수 있는 무단 사용량을 부분적으로만 제한합니다.

액세스 키의 기한이 표시되면 해당 날짜까지 무단 사용이 중지되지 AWS 계정 않으면 를 일시 중지할 AWS 수 있습니다. 알림이 잘못되었다고 판단되면 AWS Support에 문의하세요.

에 표시된 정보는 계정의 최신 상태를 반영 Trusted Advisor 하지 않을 수 있습니다. 노출된 액세스 키는 계정에서 노출된 모든 액세스 키가 해결될 때까지 해결된 것으로 표시되지 않습니다. 이 데이터 동기화에는 최대 1주일이 걸릴 수 있습니다.

12Fnkpl8Y5

영향을 받는 액세스 키를 최대한 빨리 삭제합니다. 키가 IAM 사용자와 연결된 경우 IAM 사용자용 액세스 키 관리를 참조하세요.

계정이 무단 사용되지 않았는지 확인합니다. AWS Management Console에 로그인하여 각 서비스 콘솔에서 의심스러운 리소스를 확인합니다. Amazon EC2 인스턴스, 스팟 인스턴스 요청, 액세스 키 및 IAM 사용자를 실행하는 데 특히 주의를 기울이세요. 과금 정보 및 비용 관리 콘솔에서 전체 사용량을 확인할 수도 있습니다.

지난 90일 동안 교체되지 않은 활성 IAM 액세스 키를 확인합니다.

액세스 키를 정기적으로 교체하면 리소스에 액세스하기 위해 알지 못한 채 손상된 키를 사용할 가능성이 줄어듭니다. 이 검사에서 마지막 순환 날짜 및 시간은 액세스 키가 생성되었거나 가장 최근에 활성화된 시간입니다. 액세스 키 번호와 날짜는 최신 IAM 자격 증명 보고서의 access_key_1_last_rotated 및 access_key_2_last_rotated 정보에서 가져옵니다.

보안 인증 보고서의 재생성 빈도가 제한되므로, 이 검사를 새로 고치면 최근 변경 사항이 반영되지 않을 수 있습니다. 자세한 내용은 AWS 계정의 자격 증명 보고서 가져오기를 참조하세요.

액세스 키를 생성하고 교체하려면 사용자에게 적절한 권한이 있어야 합니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키 및 SSH 키를 관리하도록 허용을 참조하세요.

DqdJqYeRm5

액세스 키를 주기적으로 교체합니다. 액세스 키 교체 및 IAM 사용자용 액세스 키 관리를 참조하세요.

계정 또는 조직 수준에서 IAM Access Analyzer 외부 액세스가 있는지 확인합니다.

IAM Access Analyzer 외부 액세스 분석기는 조직의 리소스와 외부 엔터티와 공유되는 계정을 식별하는 데 도움이 됩니다. 그러면 분석기가 조사 결과를 포함하는 중앙 집중식 대시보드를 생성합니다. IAM 콘솔에서 새 분석기가 활성화되면 보안 팀은 과도한 권한을 기반으로 검토할 계정의 우선 순위를 지정할 수 있습니다. 외부 액세스 분석기는 리소스에 대한 퍼블릭 및 크로스 계정 액세스 조사 결과를 생성하며 추가 비용 없이 제공됩니다.

07602fcad6

계정당 외부 액세스 분석기를 생성하면 보안 팀이 과도한 권한을 기반으로 검토할 계정의 우선순위를 정하는 데 도움이 됩니다. 자세한 내용은 AWS Identity and Access Management Access Analyzer 조사 결과 시작하기를 참조하세요.

또한 미사용 액세스 분석기를 활용하는 것이 가장 좋습니다. 이 유료 기능은 미사용 액세스 검사를 간소화하여 최소 권한으로 안내합니다. 자세한 내용은 IAM 사용자 및 역할에 부여된 미사용 액세스 식별을 참조하세요.

계정의 암호 정책을 확인하여 암호 정책이 활성화되지 않았거나 암호 콘텐츠 요구 사항이 활성화되지 않은 경우 경고합니다.

암호 콘텐츠 요구 사항은 AWS 환경에서 강력한 사용자 암호를 생성하게 하여 사용자의 전반적인 보안을 강화합니다. 암호 정책을 생성하거나 변경하면 새 사용자에게 변경 사항이 즉시 적용되지만 기존 사용자는 암호를 변경하지 않아도 됩니다.

Yw2K9puPzl

일부 콘텐츠 요구 사항이 활성화되지 않은 경우 활성화하는 것이 좋습니다. 활성화된 암호 정책이 없는 경우 새로 생성하고 구성합니다. IAM 사용자에 대한 계정 암호 정책 설정을 참조하세요.

에 액세스하려면 AWS Management Console IAM 사용자에게 암호가 필요합니다. 가장 좋은 방법은 IAM 사용자를 생성하는 대신 페더레이션을 사용하는 AWS 것입니다. 페더레이션을 통해 사용자는 기존 기업 보안 인증을 사용하여 AWS Management Console에 로그인할 수 있습니다. IAM Identity Center를 사용하여 사용자를 생성하거나 페더레이션한 다음 계정에 IAM 역할을 맡습니다.

자격 증명 공급자 및 페더레이션에 대한 자세한 내용은 IAM 사용 설명서의 자격 증명 공급자 및 페더레이션을 참조하세요. IAM Identity Center에 대한 자세한 내용은 IAM Identity Center 사용 설명서 섹션을 참조하세요.

암호 관리

AWS 계정 가 SAML2.0을 지원하는 자격 증명 공급자(IdP )를 통해 액세스하도록 구성되어 있는지 확인합니다. 자격 증명을 중앙 집중화하고 외부 자격 증명 공급자 또는 에서 사용자를 구성할 때는 모범 사례를 따라야 합니다AWS IAM Identity Center.

c2vlfg0p86

에 대한 IAM Identity Center를 활성화합니다 AWS 계정. 자세한 내용은 Identity Center 활성화IAM를 참조하세요. IAM Identity Center를 켠 후 권한 세트 생성 및 Identity Center 그룹에 대한 액세스 할당과 같은 일반적인 작업을 수행할 수 있습니다. 자세한 내용은 일반 작업 단원을 참조하세요.

IAM Identity Center에서 인적 사용자를 관리하는 것이 가장 좋습니다. 그러나 소규모 배포의 경우 단기적으로 인간 사용자에 IAM 대해 를 사용하여 페더레이션 사용자 액세스를 활성화할 수 있습니다. 자세한 내용은 SAML 2.0 페더레이션을 참조하세요.

IAM Identity Center란 무엇입니까?

란 무엇입니까IAM?

루트 계정을 확인하고 다중 인증(MFA)이 활성화되지 않은 경우 경고합니다.

보안을 강화하려면 AWS Management Console 및 관련 웹 사이트와 상호 작용할 때 사용자가 MFA 하드웨어 또는 가상 디바이스에서 고유한 인증 코드를 입력해야 MFA하는 를 사용하여 계정을 보호하는 것이 좋습니다.

7DAFEmoDos

빨간색: 루트 계정에서 MFA 가 활성화되지 않았습니다.

루트 계정에 로그인하고 MFA 디바이스를 활성화합니다. MFA 상태 확인 및 MFA 디바이스 설정을 참조하세요.

보안 자격 증명 페이지를 방문하여 언제든지 계정MFA에서 를 활성화할 수 있습니다. 이렇게 하려면 에서 계정 메뉴 드롭다운을 선택합니다AWS Management Console. AWS 는 FIDO2 및 가상 인증자와 MFA같은 여러 산업 표준 형태의 를 지원합니다. 이를 통해 필요에 맞는 MFA 디바이스를 유연하게 선택할 수 있습니다. MFA 디바이스 중 하나가 분실되거나 작동이 중지되는 경우 복원력을 위해 둘 이상의 MFA 디바이스를 등록하는 것이 가장 좋습니다.

자세한 내용은 사용 설명서의 MFA 디바이스 활성화 및 루트 사용자(콘솔)에 대한 가상 디바이스 활성화에 대한 일반 단계를 참조하세요. MFA AWS 계정 IAM

루트 사용자 액세스 키가 있는지 확인합니다. 루트 사용자에 대한 액세스 키 페어를 생성하지 않는 것이 좋습니다. 소수의 작업만 루트 사용자를 필요로 하고 일반적으로 이러한 작업을 자주 수행하지 않기 때문에 루트 사용자 작업을 수행하기 AWS Management Console 위해 에 로그인하는 것이 가장 좋습니다. 액세스 키를 생성하기 전에 장기 액세스 키 에 대한 대안을 검토합니다.

c2vlfg0f4h

빨간색: 루트 사용자 액세스 키가 있음

녹색: 루트 사용자 액세스 키가 없습니다.

루트 사용자의 액세스 키(들)를 삭제합니다. 루트 사용자 의 액세스 키 삭제를 참조하세요. 이 작업은 루트 사용자가 수행해야 합니다. 이러한 단계는 IAM 사용자 또는 역할로 수행할 수 없습니다.

루트 사용자 보안 인증이 필요한 작업

분실 또는 잊어버린 루트 사용자 암호 재설정

보안 그룹에 특정 포트에 대한 무제한 액세스(0.0.0.0/0)를 허용하는 규칙이 있는지 확인합니다.

무제한 액세스는 악의적인 활동(해킹, denial-of-service 공격, 데이터 손실)의 기회를 높입니다. 위험이 가장 높은 포트는 빨간색으로 표시되고 위험이 적은 포트는 노란색으로 표시됩니다. 녹색으로 플래그가 지정된 포트는 일반적으로 HTTP 및 와 같이 무제한 액세스가 필요한 애플리케이션에서 사용됩니다SMTP.

이러한 방식으로 보안 그룹을 의도적으로 구성한 경우 추가 보안 조치를 사용하여 인프라(예: IP 테이블) 를 보호하는 것이 좋습니다.

HCP4007jGY

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

미사용 보안 그룹을 검토하고 삭제합니다. AWS Firewall Manager 를 사용하여 전체 에서 규모에 맞게 보안 그룹을 중앙에서 구성하고 관리할 수 AWS 계정있습니다. 자세한 내용은 AWS Firewall Manager 설명서를 참조하세요.

EC2 인스턴스에 대한 SSH (포트 22) 및 RDP (포트 3389) 액세스에 Systems Manager Sessions Manager를 사용하는 것이 좋습니다. 세션 관리자를 사용하면 보안 그룹에서 포트 22 및 3389를 활성화하지 않고도 EC2 인스턴스에 액세스할 수 있습니다.

리소스에 대한 무제한 액세스를 허용하는 규칙이 있는지 보안 그룹을 검사합니다.

무제한 액세스는 악의적인 활동(해킹, denial-of-service 공격, 데이터 손실)의 기회를 증가시킵니다.

1iG5NDGVre

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

미사용 보안 그룹을 검토하고 삭제합니다. AWS Firewall Manager 를 사용하여 전체 에서 규모에 맞게 보안 그룹을 중앙에서 구성하고 관리할 수 AWS 계정있습니다. 자세한 내용은 AWS Firewall Manager 설명서를 참조하세요.

EC2 인스턴스에 대한 SSH (포트 22) 및 RDP (포트 3389) 액세스에 Systems Manager Sessions Manager를 사용하는 것이 좋습니다. 세션 관리자를 사용하면 보안 그룹에서 포트 22 및 3389를 활성화하지 않고도 EC2 인스턴스에 액세스할 수 있습니다.