기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CIS AWS 파운데이션 벤치마크 v1.4 레벨 2 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 CIS(인터넷 보안 센터) Amazon Web Services Foundation v1.4 레벨 2와 AWS 관리형 Config 규칙/AWS Config 프로세스 검사 간의 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 CIS Amazon Web Services Foundation v1.4 레벨 2 제어와 관련이 있습니다. CIS Amazon Web Services Foundation v1.4 레벨 2 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
프로세스 확인에 관한 자세한 내용은 process-checks를 참조하세요.
| 제어 ID | 제어 설명 | AWS 구성 규칙 | 지침 |
|---|---|---|---|
| 1.1 | 현재 연락처 세부 정보 유지 | account-contact-details-configured(프로세스 확인) | AWS 계정의 연락처 이메일과 전화 번호가 최신 정보에 해당되며 조직 내 두 명 이상의 개인에게 매핑되는지 확인합니다. 콘솔의 내 계정 섹션에서 연락처 정보 섹션에 올바른 정보가 지정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.2 | 보안 연락처 정보가 등록되는지 확인 | account-security-contact-configured(프로세스 확인) | 조직 보안팀의 연락처 이메일과 전화번호가 최신 정보인지 확인합니다. AWS 관리 콘솔의 내 계정 섹션에서 보안 섹션에 올바른 정보가 지정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.4 | '루트' 사용자 액세스 키가 없는지 확인하세요. | 루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 역할 기반 AWS 계정 를 생성하고 사용하여 최소 기능의 원칙을 통합하는 데 도움이 됩니다. | |
| 1.5 | '루트' 사용자에 대해 MFA가 활성화되었는지 확인 | 루트 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| 1.6 | '루트' 사용자 계정에 대해 하드웨어 MFA가 활성화되어 있는지 확인 | 루트 사용자에 대해 하드웨어 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA는 로그인 보안 인증에 보호 계층을 한 단계 더 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| 1.7 | 관리 및 일상 작업에 '루트' 사용자를 사용하지 않아도 됩니다. | root-account-regular-use(프로세스 확인) | 일상적인 작업에 루트 계정을 사용하지 않도록 하세요. IAM 내에서 보안 인증 보고서를 실행하여 루트 사용자를 마지막으로 사용한 시기를 조사하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.8 | IAM 암호 정책에서 최소한 14자 이상을 요구하는지 확인 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 옵션으로 RequireUppercaseCharacters(AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters(AWS 기본 보안 모범 사례 값: true), RequireSymbols(AWS 기본 보안 모범 사례 값: true), RequireNumbers(AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength(AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention(AWS 기본 보안 모범 사례 값: 24), 및 MaxPasswordAge(AWS 기본 보안 모범 사례 값: 90)를 사용합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.9 | IAM 암호 정책에서 암호 재사용 방지하는지 확인 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 옵션으로 RequireUppercaseCharacters(AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters(AWS 기본 보안 모범 사례 값: true), RequireSymbols(AWS 기본 보안 모범 사례 값: true), RequireNumbers(AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength(AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention(AWS 기본 보안 모범 사례 값: 24), 및 MaxPasswordAge(AWS 기본 보안 모범 사례 값: 90)를 사용합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.10 | 콘솔 암호가 있는 모든 사용자에 대해 다중 인증(MFA)이 활성화되었는지 확인 | 콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 1.11 | 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키를 설정해서는 안 됨 | iam-user-console-and-api-access-at-creation(프로세스 확인) | 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키가 설정되지 않았는지 확인합니다. 콘솔 액세스 권한이 있는 모든 사용자에 대해 사용자의 '생성 시간'을 액세스 키 '생성' 날짜와 비교하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.12 | 45일 이상 사용하지 않은 보안 인증이 비활성화되어 있는지 확인 | AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않는 IAM 암호 및 액세스 키를 확인하여 액세스 권한 및 권한 부여를 지원합니다. 이러한 미사용 보안 인증이 발견되면 최소 권한의 원칙에 위배될 수 있으므로 보안 인증을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 maxCredentialUsageAge 값을 설정해야 합니다(CIS 표준 값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.13 | 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인 | iam-user-single-access-key(프로세스 확인) | 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인하세요. 모든 사용자에 대해서는 IAM 내 각 사용자에 대한 보안 자격 증명 탭 내에서 활성 키가 하나만 사용되는지 확인하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.14 | 90일 또는 그보다 짧은 주기마다 액세스 키가 교체되는지 확인 | 조직 정책에서 지정한 대로 IAM 액세스 키가 교체되도록 하여 승인된 디바이스, 사용자 및 프로세스에 대한 보안 인증을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | 이 규칙은 AWS ID 및 액세스 관리(IAM) 정책이 그룹 또는 역할에만 연결되어 시스템 및 자산에 대한 액세스를 제어하도록 합니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인합니다.는 인라인 정책 대신 관리형 정책을 사용하도록 AWS 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
| 1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | AWS Identity and Access Management(IAM)는 사용자가 하나 이상의 그룹의 멤버가 되도록 하여 액세스 권한 및 권한 부여를 제한하는 데 도움이 될 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 1.16 | 전체 ‘*:*’ 관리자 권한을 허용하는 IAM 정책이 연결되지 않도록 되어 있는지 확인 | AWS Identity and Access Management(IAM)는 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합하는 데 도움이 될 수 있으며, 정책이 "Effect": "Allow"를 "Action": "*"를 사용하여 "Resource": "*"를 포함하도록 제한합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 사용자가 갖도록 허용하는 것은 최소 권한 및 업무 분리의 원칙에 위배될 수 있습니다. | |
| 1.17 | Support를 사용하여 인시던트를 관리하기 위한 AWS 지원 역할이 생성되었는지 확인합니다. | AWS Identity and Access Management(IAM)는 IAM 정책이 적절한 사용자, 역할 또는 그룹에 할당되도록 하여 액세스 권한 및 권한 부여를 관리하는 데 도움이 될 수 있습니다. 이러한 정책을 제한하는 것은 최소 권한 및 업무 분리의 원칙도 포함합니다. 이 규칙을 사용하려면 AWS Support를 통한 인시던트 관리를 위해 policyARN을 arn:aws:iam::aws:policy/AWSSupportAccess로 설정해야 합니다. | |
| 1.18 | IAM 인스턴스 역할이 인스턴스의 AWS 리소스 액세스에 사용되는지 확인 | EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 1.19 | AWS IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인 | iam-expired-certificates(프로세스 확인) | IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인합니다. AWS CLI가 설치된 명령줄에서 'AWS iam list-server-certificates' 명령을 실행하고 만료된 서버 인증서가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.20 | AWS IAM Access Analyzer가 활성화되어 있는지 확인 | iam-access-analyzer-enabled(프로세스 확인) | IAM Access Analyzer가 활성화되어 있는지 확인합니다. 콘솔의 IAM 섹션 내에서 Access Analyzer를 선택하고 상태가 활성으로 설정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 1.21 | 다중 계정 환경의 ID 페더레이션 또는 AWS 조직에서 사용자를 중앙에서 관리하도록 보장 | account-part-of-organizations | Organizations AWS 계정 내 AWS 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. |
| 2.1.1 | 모든 S3 버킷이 저장 시 암호화를 사용하는지 확인 | 저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.1.2 | S3 버킷 정책이 HTTP 요청을 거부하도록 설정되어 있는지 확인 | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.1.3 | S3 버킷에서 MFA 삭제가 활성화되어 있는지 확인 | Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 버전을 유지할 수 있습니다. S3 버킷에 다중 인증(MFA) 삭제를 추가할 때 버킷의 버전 상태를 변경하거나 객체 버전을 삭제하려면 추가 인증 요소가 필요합니다. 보안 자격 증명이 손상되거나 무단 액세스가 허용될 경우, MFA 삭제는 보안 계층을 한층 더 보강할 수 있습니다. | |
| 2.1.5 | S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인 | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 ignorePublicAcls(Config 기본값: True), blockPublicPolicy(Config 기본값: True), blockPublicAcls(Config 기본값: True) 및 restrictPublicBuckets 파라미터(Config 기본값: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 2.1.5 | S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인 | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 2.2.1 | EBS 볼륨 암호화가 활성화되어 있는지 확인 | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
| 2.2.1 | EBS 볼륨 암호화가 활성화되어 있는지 확인 | 저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.3.1 | RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요. | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.3.1 | RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요. | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1 | 모든 리전에서 CloudTrail이 활성화되어 있는지 확인 | AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록합니다. 호출된 사용자 및 계정 AWS, 호출이 수행된 원본 IP 주소, 호출이 발생한 시기를 식별할 수 있습니다. MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 CloudTrail은 모든 AWS 리전의 로그 파일을 S3 버킷으로 전송합니다. 또한가 새 리전을 AWS 시작하면 CloudTrail은 새 리전에서 동일한 추적을 생성합니다. 따라서 별도의 조치를 취하지 않아도 새 리전의 API 활동이 포함된 로그 파일을 받게 됩니다. | |
| 3.2 | CloudTrail 로그 파일 검증이 활성화되어 있는지 확인 | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증을 통해 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. | |
| 3.3 | CloudTrail 로그를 저장하는 데 사용된 S3 버킷에 대한 퍼블릭 액세스가 불가능하도록 되어 있는지 확인 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.3 | CloudTrail 로그를 저장하는 데 사용된 S3 버킷에 대한 퍼블릭 액세스가 불가능하도록 되어 있는지 확인 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.3 | CloudTrail 로그를 저장하는 데 사용된 S3 버킷에 대한 퍼블릭 액세스가 불가능하도록 되어 있는지 확인 | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 3.4 | CloudTrail 추적이 CloudWatch Logs와 통합되었는지 확인 | Amazon CloudWatch를 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리합니다. AWS CloudTrail 데이터를 포함하면 내 API 호출 활동에 대한 세부 정보가 제공됩니다 AWS 계정. | |
| 3.5 | 모든 리전에서 AWS Config가 활성화되어 있는지 확인 | config-enabled-all-regions(프로세스 확인) | 모든 AWS 리전에서 AWS Config가 활성화되어 있는지 확인합니다. 콘솔의 AWS Config 섹션에서 활성화된 각 리전에 대해 AWS Config 레코더가 올바르게 구성되었는지 확인합니다. 적어도 한 리전에서 글로벌 AWS 리소스 기록이 활성화되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 3.6 | CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인 | Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다. | |
| 3.7 | KMS CMK를 사용해 CloudTrail 로그가 저장 시 암호화되는지 확인 | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하는 데 도움이 될 수 있으므로 AWS CloudTrail 추적에 암호화가 활성화되어 있는지 확인하세요. | |
| 3.8 | 고객이 생성한 CMK 교체가 활성화되어 있는지 확인 | 키 교체를 활성화하여 암호화 기간이 종료되면 키가 교체되도록 합니다. | |
| 3.9 | 모든 VPC에서 VPC 플로우 로깅이 활성화되어 있는지 확인 | VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 3.10 | 쓰기 이벤트에 대한 객체 수준 로깅이 S3 버킷에 대해 활성화되어 있는지 확인 | Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소, 이벤트 시간이 포함됩니다. | |
| 3.11 | 읽기 이벤트에 대한 객체 수준 로깅이 S3 버킷에 대해 활성화되어 있는지 확인 | Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소, 이벤트 시간이 포함됩니다. | |
| 4.1 | 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-unauthorized-api-calls(프로세스 확인) | 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.2 | MFA 없는 Management Console 로그인에 대해 로그 지표 필터 및 경보가 존재하는지 확인 | alarm-sign-in-without-mfa(프로세스 확인) | 다중 인증(MFA)을 사용하지 않는 AWS Management Console 로그인에 대한 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.3 | '루트' 계정 사용에 대해 로그 지표 필터 및 경보가 존재하는지 확인 | alarm-root-account-use(프로세스 확인) | 루트 계정 사용에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.4 | IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-iam-policy-change(프로세스 확인) | IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.5 | 구성 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-cloudtrail-config-change(프로세스 확인) | AWS CloudTrail 구성 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.6 | AWS Management Console 인증 실패에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-console-auth-failures(프로세스 확인) | AWS Management Console 인증 실패에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.7 | 고객이 생성한 CMK의 비활성화 또는 예약된 삭제에 대해 로그 지표 필터 및 경보가 존재하는지 확인 | alarm-kms-disable-or-delete-cmk(프로세스 확인) | 고객이 생성한 CMK의 비활성화 또는 예약된 삭제에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.8 | S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-s3-bucket-policy-change(프로세스 확인) | Amazon S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.9 | Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는 AWS 지 확인 | alarm-aws-config-change(프로세스 확인) | AWS Config 구성 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.10 | 보안 그룹 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-secrity-group-change(프로세스 확인) | 보안 그룹 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.11 | 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-nacl-change(프로세스 확인) | 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.12 | 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-network-gateway-change(프로세스 확인) | 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.13 | 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-route-table-change(프로세스 확인) | 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.14 | VPC 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-change(프로세스 확인) | Amazon Virtual Private Cloud(VPC) 변경에 대한 로그 지표 필터와 경보가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 4.15 | AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-organizations-change(프로세스 확인) | AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
| 5.1 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 네트워크 ACL이 없는지 확인 | 원격 서버 관리 포트로의 공개 수신을 허용하는 네트워크 ACL이 없는지 확인합니다. 콘솔의 VPC 섹션 내에서 원격 서버 관리 포트를 포함해 허용하는 포트 또는 포트 범위가 있으면서 소스가 '0.0.0.0/0'인 네트워크 ACL이 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. | |
| 5.2 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 네트워크 트래픽의 수신 및 송신을 상태 저장 필터링하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 5.2 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인 | Amazon Elastic Compute AWS Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터(CIS 표준 값: 3389)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.3 | 모든 VPC의 기본 보안 그룹이 모든 트래픽을 제한하는지 확인 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스로 들어오는 네트워크 트래픽과 나가는 네트워크 트래픽을 상태 저장 필터링하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 5.4 | VPC 피어링을 위한 라우팅 테이블이 ‘최소 액세스 권한’인지 여부를 확인합니다. | vpc-peering-least-access(프로세스 확인) | 4.4 VPC 피어링을 위한 라우팅 테이블이 ‘최소 액세스 권한’인지 여부를 확인합니다. 콘솔의 VPC 섹션 내에서 라우팅 테이블 항목을 검사하여 피어링 목적을 달성하는 데 필요한 최소 수의 서브넷 또는 호스트가 라우팅 가능한지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
템플릿
템플릿은 GitHub: CIS AWS Foundations 벤치마크 v1.4 레벨 2 운영 모범 사례
