기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
미국 연방수사국 형사사법정보부(CJIS) 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 형사 사법 정보 서비스 (CJIS) 규정 준수 요구 사항과 AWS 관리형 Config 규칙 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 CJIS 컨트롤과 관련이 있습니다. CJIS 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
| 제어 ID | 제어 설명 | AWS Config 규칙 | 지침 |
|---|---|---|---|
| 5.2 | 보안 인식 교육 | security-awareness-program-exists (프로세스 체크) | 조직을 위한 보안 인식 프로그램을 수립하고 유지합니다. 보안 인식 프로그램은 다양한 보안 침해나 사고로부터 조직을 보호하는 방법을 직원들에게 교육합니다. |
| 5.3 | 인시던트 대응 | response-plan-exists-maintained (프로세스 체크) | 인시던트 대응 계획이 수립, 유지 관리되고 담당 직원에게 배포되는지 확인하세요. 대응 계획을 업데이트하고 공식적으로 문서화하면 대응 담당자가 역할, 책임 및 사고 발생 시 따라야 할 프로세스를 이해하는 데 도움이 될 수 있습니다. |
| 5.3 | 인시던트 대응 | response-plan-tested (프로세스 체크) | 사고 대응 및 복구 계획이 테스트되었는지 확인합니다. 이는 인시던트 발생 중에 해당 계획이 효과적인지 그리고 격차나 업데이트를 해결해야 하는지를 이해하는 데 도움이 될 수 있습니다. |
| 5.4 | 감사 및 책임 | audit-log-policy-exists (프로세스 체크) | 조직의 로깅 요구 사항을 정의하는 감사 로그 관리 정책을 수립하고 유지 관리합니다. 여기에는 감사 로그의 검토 및 보존이 포함되며 이에 국한되지는 않습니다. |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | API Gateway 로깅에는 API에 액세스한 사용자 및 액세스 방식에 관한 세부 정보 보기가 표시됩니다. 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정 | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 빌드 출력 로그가 Amazon CloudWatch 또는 Amazon Simple Storage Service (Amazon S3) 로 전송되도록 AWS CodeBuild 프로젝트 로깅이 활성화되어 있는지 확인하십시오. 빌드 출력 로그는 빌드 프로젝트에 관한 자세한 정보를 제공합니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 저장된 민감한 데이터를 보호하려면 Amazon S3에 저장된 AWS CodeBuild 로그에 대해 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하기 때문에 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | AWS CloudTrail AWS 관리 콘솔 작업 및 API 호출을 기록합니다. 전화를 건 사용자 및 계정 AWS, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 모든 AWS 지역의 로그 파일을 S3 버킷으로 전송합니다. 또한 새 지역을 AWS 시작하면 새 지역에 동일한 트레일이 생성됩니다. CloudTrail 따라서 별도의 조치를 취하지 않아도 새 리전의 API 활동이 포함된 로그 파일을 받게 됩니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | 환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석된 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Amazon OpenSearch Service 도메인에서 감사 로깅이 활성화되어 있는지 확인하십시오. 감사 로깅을 사용하면 인증 성공 및 실패, 요청, 색인 변경, 수신 검색 쿼리 등 OpenSearch 도메인에서의 사용자 활동을 추적할 OpenSearch 수 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 5.4.1 | 감사 가능한 이벤트 및 콘텐츠(정보 시스템) | Amazon Redshift 클러스터의 연결 및 사용자 활동에 대한 정보를 캡처하려면 감사 로깅이 활성화되어 있어야 합니다. | |
| 5.4.5 | 감사 정보 보호 | 저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.4.5 | 감사 정보 보호 | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 5.4.5 | 감사 정보 보호 | 저장된 민감한 데이터를 보호하려면 Amazon S3에 저장된 AWS CodeBuild 로그에 대해 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.4.6 | 감사 기록 보존 | 문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하기 때문에 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다. | |
| 5.4.6 | 감사 기록 보존 | Amazon Simple Storage Service(S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인합니다. S3 버킷에 저장 중 민감한 데이터가 있을 수 있으므로 해당 데이터를 보호할 수 있도록 저장 시 객체 잠금을 적용하세요. | |
| 5.5.2 | 액세스 적용 | 조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2 | 액세스 적용 | AWS Organizations AWS 계정 내에서의 중앙 집중식 관리는 계정이 규정을 준수하는지 확인하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. | |
| 5.5.2 | 액세스 적용 | AWS Identity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms: 보낸 사람). ReEncrypt 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2 | 액세스 적용 | AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
| 5.5.2 | 액세스 적용 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM 비밀번호 정책에 RequireUppercaseCharacters (CJIS 값: false), RequireLowercaseCharacters (CJIS 값: false), RequireSymbols (CJIS 값: false), RequireNumbers (CJIS 값: false), MinimumPasswordLength (CJIS 값: 8), PasswordReusePrevention (CJIS 값: 10) 및 MaxPasswordAge (CJIS 값: 90) 을 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2 | 액세스 적용 | IAM 작업을 필요한 작업으로만 제한해야 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 사용자가 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.5.2 | 액세스 적용 | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요. | |
| 5.5.2 | 액세스 적용 | AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.5.2 | 액세스 적용 | 이 규칙을 활성화하면 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. AWS 이 규칙은 모든 사용자에 대해 다중 인증(MFA)이 활성화되도록 합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요. | |
| 5.5.2 | 액세스 적용 | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 5.5.2 | 액세스 적용 | AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2 | 액세스 적용 | 콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 5.5.2 | 액세스 적용 | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스에서 AWS ID 및 액세스 관리 (IAM) 인증을 활성화하여 시스템 및 자산에 대한 액세스를 제어해야 합니다. 이렇게 하면 데이터베이스를 오가는 네트워크 트래픽이 SSL(Secure Sockets Layer)을 통해 암호화됩니다. 인증은 외부에서 관리되므로 사용자 보안 인증 정보를 데이터베이스에 저장할 필요가 없습니다. | |
| 5.5.2 | 액세스 적용 | 이 규칙은 액세스 제어 목록(ACL)이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것은 모범 사례입니다. | |
| 5.5.2.1 | 최소 권한 | 최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon CodeBuild 프로젝트 환경에 권한 모드가 활성화되어 있지 않은지 확인하십시오. Docker API와 컨테이너의 기본 하드웨어에 대해 의도하지 않은 액세스를 방지하려면 이 설정을 비활성화해야 합니다. | |
| 5.5.2.1 | 최소 권한 | EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 5.5.2.1 | 최소 권한 | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버는 키 배포 센터(KDC)로 알려져 있습니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 5.5.2.1 | 최소 권한 | AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 파라미터를 설정할 수 있습니다. blockedActionsPatterns (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms: 보낸 사람). ReEncrypt 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2.1 | 최소 권한 | AWS Identity and Access Management (IAM) 를 사용하면 IAM 그룹에 최소 한 명의 사용자를 지정하여 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다. | |
| 5.5.2.1 | 최소 권한 | AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.5.2.1 | 최소 권한 | IAM 작업을 필요한 작업으로만 제한해야 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 사용자가 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.5.2.1 | 최소 권한 | AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.5.2.1 | 최소 권한 | AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.2.1 | 최소 권한 | 최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon Elastic Container Service(Amazon ECS) 작업 정의에는 승격 권한이 활성화되어 있지 않아야 합니다. 이 파라미터가 true인 경우 컨테이너는 호스트 컨테이너 인스턴스에 대해 승격된 권한을 부여받습니다(루트 사용자와 비슷함). | |
| 5.5.2.1 | 최소 권한 | Amazon Elastic Container Service(ECS) 컨테이너에 대한 읽기 전용 액세스를 활성화하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 명시적인 읽기-쓰기 권한이 없는 한, 이 옵션은 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 5.5.2.1 | 최소 권한 | 최소 권한 원칙을 구현하는 데 도움이 되도록 루트 사용자가 아닌 사용자가 Amazon Elastic Container Service(Amazon ECS) 작업 정의에 대해 액세스 권한이 있는지 확인합니다. | |
| 5.5.2.1 | 최소 권한 | 최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon Elastic File System(Amazon EFS)에 대해 사용자 적용이 활성화되어 있어야 합니다. 활성화되면 Amazon EFS는 NFS 클라이언트의 사용자 및 그룹 ID를 모든 파일 시스템 작업의 액세스 포인트에 구성된 ID로 대체하고, 적용된 이 사용자 ID에 대한 액세스 권한만 부여합니다. | |
| 5.5.2.1 | 최소 권한 | 사용하지 않는 자격 증명이 AWS Secrets Manager에 있는 경우 자격 증명을 비활성화 및/또는 제거해야 합니다. 이는 최소 권한 원칙에 위배될 수 있기 때문입니다. 이 규칙을 사용하면 값을 unusedForDays (Config 기본값: 90) 로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.5.6 | 원격 액세스 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 5.5.6 | 원격 액세스 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 5.6.2.1.1 | 암호 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM 비밀번호 정책에 RequireUppercaseCharacters (CJIS 값: false), RequireLowercaseCharacters (CJIS 값: false), RequireSymbols (CJIS 값: false), RequireNumbers (CJIS 값: false), MinimumPasswordLength (CJIS 값: 8), PasswordReusePrevention (CJIS 값: 10) 및 MaxPasswordAge (CJIS 값: 90) 을 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.6.2.2 | 고급 인증 | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버는 키 배포 센터(KDC)로 알려져 있습니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 5.6.2.2 | 고급 인증 | 이 규칙을 활성화하면 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. AWS 이 규칙은 모든 사용자에 대해 다중 인증(MFA)이 활성화되도록 합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요. | |
| 5.6.2.2 | 고급 인증 | 콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 5.6.2.2 | 고급 인증 | 루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA는 로그인 보안 인증에 보호 계층을 한 단계 더 추가합니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정 | |
| 5.6.2.2 | 고급 인증 | 루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA는 로그인 보안 인증에 보호 계층을 한 단계 더 추가합니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정 | |
| 5.6.3.1 | 식별자 관리 | AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 5.7.1.1 | 최소 자릿수 | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요. | |
| 5.7.1.1 | 최소 자릿수 | AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 5.7.1.1 | 최소 자릿수 | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon EC2 라우팅 테이블에는 인터넷 게이트웨이에 대한 무제한 경로가 없어야 합니다. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터를 선택적으로 설정할 수 있습니다(Config 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 5.7.1.1 | 최소 자릿수 | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되었는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | AWS WAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 ACL)) 를 구성할 수 있습니다. 악의적인 공격으로부터 보호하기 위해 Amazon API Gateway 스테이지가 WAF 웹 ACL과 연결되어 있도록 합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | 환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석된 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | 이 규칙은 액세스 제어 목록(ACL)이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것은 모범 사례입니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | 이 규칙은 Amazon Virtual Private Cloud(VPC) 네트워크 액세스 제어 목록이 사용되도록 합니다. 사용하지 않는 네트워크 액세스 제어 목록을 모니터링하면 환경의 정확한 인벤토리와 관리에 도움이 될 수 있습니다. | |
| 5.10 | 시스템 및 통신 보호와 정보 무결성 | AWS WAF에 연결된 웹 ACL에는 웹 요청을 검사하고 제어하기 위한 규칙 및 규칙 그룹 모음이 포함될 수 있습니다. 웹 ACL이 비어 있는 경우 WAF에서 탐지하거나 조치를 취하지 않고 웹 트래픽이 전달됩니다. | |
| 5.10.1 | 정보 흐름 적용 | Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되었는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | ACM에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 하십시오. AWS 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 daysToExpiration (AWS 기본 보안 모범 사례 값: 90) 의 값이 필요합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 5.10.1 | 정보 흐름 적용 | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터를 선택적으로 설정할 수 있습니다(Config 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS | |
| 5.10.1 | 정보 흐름 적용 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 5.10.1.1 | 경계 보호 | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.1 | 경계 보호 | 웹 애플리케이션을 보호하는 데 도움이 되도록 엘라스틱 로드 밸런서 (ELB) 에서 AWS WAF가 활성화되어 있는지 확인하세요. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치거나 보안을 손상시킬 수 있으며 혹은 리소스를 과도하게 사용할 수 있습니다. | |
| 5.10.1.1 | 경계 보호 | AWS WAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 ACL)) 를 구성할 수 있습니다. 악의적인 공격으로부터 보호하기 위해 Amazon API Gateway 스테이지가 WAF 웹 ACL과 연결되어 있도록 합니다. | |
| 5.10.1.1 | 경계 보호 | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.1 | 경계 보호 | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 5.10.1.1 | 경계 보호 | GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다. | |
| 5.10.1.1 | 경계 보호 | 환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석된 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다. | |
| 5.10.1.1 | 경계 보호 | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다. | |
| 5.10.1.1 | 경계 보호 | AWS WAF에 비어 있지 않은 규칙이 있는지 확인하십시오. 조건이 없는 규칙에는 의도하지 않은 동작이 발생할 수 있습니다. | |
| 5.10.1.1 | 경계 보호 | AWS WAF에 비어 있지 않은 규칙 그룹이 있는지 확인하십시오. 규칙 그룹이 비어 있으면 의도하지 않은 동작이 발생할 수 있습니다. | |
| 5.10.1.1 | 경계 보호 | AWS WAF에 연결된 웹 ACL에는 웹 요청을 검사하고 제어하기 위한 규칙 및 규칙 그룹 모음이 포함될 수 있습니다. 웹 ACL이 비어 있는 경우 WAF에서 탐지하거나 조치를 취하지 않고 웹 트래픽이 전달됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되었는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터를 캡처할 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | 이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용할 수 있도록 합니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있으며 저장된 데이터를 보호하는 데 도움이 되므로 트레일에 암호화를 활성화해야 AWS CloudTrail 합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 민감한 데이터를 보호하려면 아티팩트에 암호화가 활성화되어 있는지 확인하세요. AWS CodeBuild | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 민감한 데이터를 보호하려면 Amazon S3에 저장된 AWS CodeBuild 로그에 대해 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service (OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 5.10.1.2 | 암호화(Encryption) | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하는 데 도움이 되므로 Amazon Kinesis Streams에 암호화를 활성화해야 합니다. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 데이터를 보호하려면 엔드포인트에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 데이터를 보호하려면 노트북에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 5.10.1.2 | 암호화(Encryption) | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.2 | 암호화(Encryption) | 저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 5.10.1.3 | 침입 탐지 도구 및 기법 | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 5.10.1.3 | 침입 탐지 도구 및 기법 | GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다. | |
| 5.10.1.3 | 침입 탐지 도구 및 기법 | AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS | |
| 5.10.4.1 | 패치 관리 | Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 5.10.4.1 | 패치 관리 | AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다. | |
| 5.10.4.1 | 패치 관리 | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud(Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 5.10.4.1 | 패치 관리 | 보안 업데이트 및 패치는 AWS Fargate 작업을 위해 자동으로 배포됩니다. AWS Fargate 플랫폼 버전에 영향을 미치는 보안 문제가 발견되면 플랫폼 버전을 AWS 패치합니다. AWS Fargate를 실행하는 Amazon Elastic Container Service (ECS) 작업의 패치 관리를 지원하려면 최신 플랫폼 버전을 사용하도록 서비스 독립 실행형 작업을 업데이트하십시오. | |
| 5.10.4.1 | 패치 관리 | Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다. | |
| 5.10.4.4 | 보안 알림 및 권고 사항 | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 5.10.4.4 | 보안 알림 및 권고 사항 | GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다. | |
| 5.10.4.4 | 보안 알림 및 권고 사항 | AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS |
템플릿
템플릿은 CJS 운영 모범
