기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
PCI DSS 4.0 운영 모범 사례(글로벌 리소스 유형 제외)
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 Payment Card Industry Data Security Standard(PCI DSS) 4.0(글로벌 리소스 유형 제외)과 AWS 관리형 Config 규칙 간의 샘플 매핑을 제공합니다. 각 AWS Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 PCI DSS 제어와 관련이 있습니다. PCI DSS 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
| 제어 ID | 제어 설명 | AWS 구성 규칙 | 지침 |
|---|---|---|---|
| 1.2.5 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | AWS Transfer Family로 생성된 서버가 엔드포인트 연결에 FTP를 사용하지 않는지 확인합니다. 엔드포인트 연결을 위한 서버 프로토콜이 FTP를 활성화한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 규칙이 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.2.8 | 네트워크 보안 제어(NSC)를 구성하고 유지 관리합니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터에 'enhancedVpcRouting'이 활성화되어 있는지 확인합니다. 'enhancedVpcRouting'이 활성화되지 않았거나, configuration.enhancedVpcRouting 필드가 'false'인 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 규칙이 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.1 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터에 'enhancedVpcRouting'이 활성화되어 있는지 확인합니다. 'enhancedVpcRouting'이 활성화되지 않았거나, configuration.enhancedVpcRouting 필드가 'false'인 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 규칙이 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.3.2 | 카드 소지자 데이터 환경에 대한 네트워크 액세스는 제한됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 1.4.1 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.4.1 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터에 'enhancedVpcRouting'이 활성화되어 있는지 확인합니다. 'enhancedVpcRouting'이 활성화되지 않았거나, configuration.enhancedVpcRouting 필드가 'false'인 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.1 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon CloudFront 배포와 연결된 인증서가 기본 SSL 인증서가 아닌지 확인합니다. CloudFront 배포가 기본 SSL 인증서를 사용하는 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터에 'enhancedVpcRouting'이 활성화되어 있는지 확인합니다. 'enhancedVpcRouting'이 활성화되지 않았거나, configuration.enhancedVpcRouting 필드가 'false'인 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 규칙이 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 1.4.3 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.3 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.3 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | AWS Network Firewall 정책이 전체 패킷에 대해 사용자 정의 기본 상태 비저장 작업으로 구성되어 있는지 확인합니다. 전체 기본 상태 비저장 작업이 사용자 정의 기본 상태 비저장 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.4 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.4.4 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터에 'enhancedVpcRouting'이 활성화되어 있는지 확인합니다. 'enhancedVpcRouting'이 활성화되지 않았거나, configuration.enhancedVpcRouting 필드가 'false'인 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.4 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.5 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | ECSTaskDefinitions가 호스트의 프로세스 네임스페이스를 Amazon Elastic Container Service(Amazon ECS) 컨테이너와 공유하도록 구성되어 있는지 확인합니다. pidMode 파라미터가 'host'로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.4.5 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제어합니다. (PCI-DSS-v4.0) | Amazon EC2 시작 템플릿이 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 설정되지 않았는지 확인합니다. EC2 시작 템플릿의 기본 버전에 'AssociatePublicIpAddress'가 'true'로 설정된 네트워크 인터페이스가 하나 이상 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 규칙이 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 1.5.1 | 신뢰할 수 없는 네트워크와 CDE 모두에 연결할 수 있는 컴퓨팅 디바이스로 인한 CDE의 위험이 완화됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.1 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.3 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.4 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.5 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.6 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.1.7 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.2.2 | 감사 로그는 비정상 및 의심스러운 활동의 탐지와 이벤트에 대한 포렌식 분석을 지원하기 위해 구현됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.1 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune 수동 DB 클러스터 스냅샷이 퍼블릭이 아닌지 확인합니다. 기존 및 신규 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 10.3.2 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Aurora DB 클러스터가 백업 계획으로 보호되고 있는지 확인합니다. Amazon Relational Database Service(RDS) 데이터베이스 클러스터가 백업 계획에 의해 보호되고 있지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | RDS DB 인스턴스에 백업이 활성화되어 있는지 확인합니다. 이 규칙은 필요에 따라 백업 보존 기간과 백업 기간을 확인합니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블이 AWS 백업 계획에 있는지 확인합니다. Amazon DynamoDB 테이블이 AWS 백업 계획에 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블이 백업 계획으로 보호되는지 확인합니다. DynamoDB 테이블을 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS 백업의 백업 계획에 Amazon Elastic Block Store(Amazon EBS) 볼륨이 추가되었는지 확인합니다. Amazon EBS 볼륨이 백업 계획에 포함되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Elastic Block Store(Amazon EBS) 볼륨이 백업 계획으로 보호되는지 확인합니다. Amazon EBS 볼륨을 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 백업 계획으로 보호되는지 확인합니다. Amazon EC2 인스턴스를 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Elastic File System(Amazon EFS) 파일 시스템이 백업 계획으로 보호되는지 확인합니다. EFS 파일 시스템을 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon ElastiCache Redis 클러스터에 자동 백업이 설정되어 있는지 확인합니다. Redis 클러스터에 대한 SnapshotRetentionLimit가 SnapshotRetentionPeriod 파라미터보다 작으면 규칙은 NON_COMPLIANT입니다. 예를 들어 파라미터가 15인 경우 snapshotRetentionPeriod가 0~15이면 규칙이 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon FSx 파일 시스템이 백업 계획에 의해 보호되고 있는지 확인합니다. Amazon FSx 파일 시스템을 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune DB 클러스터 보존 기간이 특정 일수로 설정되어 있는지 확인합니다. 보존 기간이 파라미터에서 지정된 값보다 짧은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Relational Database Service(Amazon RDS) 데이터베이스가 AWS 백업 계획에 있는지 확인합니다. Amazon RDS 데이터베이스가 AWS 백업 계획에 포함되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 클러스터에 대해 Amazon Redshift 자동 스냅샷이 활성화되어 있는지 확인합니다. automatedSnapshotRetentionPeriod의 값이 MaxRetentionPeriod보다 크거나 MinRetentionPeriod보다 작거나 값이 0인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷이 백업 플랜에 의해 보호되는지 확인합니다. Amazon S3 버킷을 백업 계획에서 지원하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | RDS DB 인스턴스에 백업이 활성화되어 있는지 확인합니다. 이 규칙은 필요에 따라 백업 보존 기간과 백업 기간을 확인합니다. | |
| 10.3.3 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.4 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 기본적으로 S3 버킷에 잠금이 활성화되어 있는지 확인합니다. 잠금이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.3.4 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | S3 버킷에 버전 관리가 활성화되어 있는지 확인합니다. 이 규칙은 필요에 따라 S3 버킷에 MFA 삭제가 활성화되어 있는지 확인합니다. | |
| 10.3.4 | 감사 로그는 파기 및 무단 수정으로부터 보호됩니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.1.1 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.2 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.4.3 | 감사 로그를 검토하여 비정상 또는 의심스러운 활동을 식별합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.5.1 | 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| 10.5.1 | 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 10.5.1 | 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.5.1 | 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.5.1 | 감사 로그 기록은 유지되며 분석에 사용할 수 있습니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대해 차단 목록의 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.6.3 | 시간 동기화 메커니즘은 모든 시스템에서 일관된 시간 설정을 지원합니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.1 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 10.7.2 | 중요한 보안 제어 시스템의 장애를 즉시 감지, 보고 및 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.5.2 | 네트워크 침입 및 예기치 않은 파일 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.5.2 | 네트워크 침입 및 예기치 않은 파일 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.5.2 | 네트워크 침입 및 예기치 않은 파일 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | 지정된 지표 이름의 CloudWatch 경보 설정이 지정한 설정과 일치하는지 확인합니다. | |
| 11.5.2 | 네트워크 침입 및 예기치 않은 파일 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.6.1 | 결제 페이지의 무단 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.6.1 | 결제 페이지의 무단 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 11.6.1 | 결제 페이지의 무단 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | 지정된 지표 이름의 CloudWatch 경보 설정이 지정한 설정과 일치하는지 확인합니다. | |
| 11.6.1 | 결제 페이지의 무단 변경 사항을 감지하고 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 12.10.5 | CDE에 영향을 미칠 수 있는 의심되고 확인된 보안 사고에 즉시 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 12.10.5 | CDE에 영향을 미칠 수 있는 의심되고 확인된 보안 사고에 즉시 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 12.10.5 | CDE에 영향을 미칠 수 있는 의심되고 확인된 보안 사고에 즉시 대응합니다. (PCI-DSS-v4.0) | 지정된 지표 이름의 CloudWatch 경보 설정이 지정한 설정과 일치하는지 확인합니다. | |
| 12.10.5 | CDE에 영향을 미칠 수 있는 의심되고 확인된 보안 사고에 즉시 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 12.4.2.1 | PCI DSS 규정 준수를 관리합니다. (PCI-DSS-v4.0) | AWS Organizations와의 통합이 활성화된 경우 AWS Service Catalog가 조직(단일 단위로 취급되는 AWS 계정 모음)과 포트폴리오를 공유해야 합니다. 공유의 `Type` 값이 `ACCOUNT`인 경우 규칙은 NON_COMPLIANT입니다. | |
| 2.2.5 | 시스템 구성 요소를 안전하게 구성하고 관리합니다. (PCI-DSS-v4.0) | AWS Transfer Family로 생성된 서버가 엔드포인트 연결에 FTP를 사용하지 않는지 확인합니다. 엔드포인트 연결을 위한 서버 프로토콜이 FTP를 활성화한 경우 규칙은 NON_COMPLIANT입니다. | |
| 2.2.7 | 시스템 구성 요소를 안전하게 구성하고 관리합니다. (PCI-DSS-v4.0) | Redis 데이터 스토어용 AWS Database Migration Service(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 2.2.7 | 시스템 구성 요소를 안전하게 구성하고 관리합니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 2.2.7 | 시스템 구성 요소를 안전하게 구성하고 관리합니다. (PCI-DSS-v4.0) | Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS(TLS)를 사용하여 전송 중 암호화를 적용하는지 확인합니다. 클러스터 내 브로커 노드 연결에 대해 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 2.2.7 | 시스템 구성 요소를 안전하게 구성하고 관리합니다. (PCI-DSS-v4.0) | AWS Database Migration Service(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. AWS DMS에 SSL 연결이 구성되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.2.1 | 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 3.2.1 | 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.2.1 | 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.2.1 | 계정 데이터의 저장은 최소한으로 유지됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.1 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 3.3.1.1 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.1 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.1 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 3.3.1.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.1.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 3.3.2 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 3.3.2 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.2 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.2 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 3.3.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | EBS 볼륨이 EC2 인스턴스에 연결되어 있는지 확인합니다. 필요한 경우, 인스턴스 종료 시 EBS 볼륨이 삭제 대기 상태가 되는지 확인합니다. | |
| 3.3.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | 프라이빗 Amazon Elastic Container Registry(ECR) 리포지토리에 하나 이상의 수명 주기 정책이 구성되어 있는지 확인합니다. ECR 프라이빗 리포지토리에 대해 구성된 수명 주기 정책이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블에 대해 시점 복구(PITR)가 활성화되어 있는지 확인합니다. PITR이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.3.3 | 민감한 인증 데이터(SAD)는 권한 부여 후 저장되지 않습니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Athena 작업 그룹이 저장 시 암호화되는지 확인합니다. Athena 작업 그룹에 대해 저장 데이터 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune DB 클러스터에 암호화된 스냅샷이 있는지 확인합니다. Neptune 클러스터에 암호화된 스냅샷이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터가 암호화에 지정된 AWS Key Management Service(AWS KMS) 키를 사용하고 있는지 확인합니다. 암호화가 활성화되어 있고 kmsKeyArn 파라미터에 제공된 키로 클러스터가 암호화된 경우 규칙은 COMPLIANT입니다. 클러스터가 암호화되지 않거나 다른 키로 암호화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon S3 Logs로 구성된 AWS CodeBuild 프로젝트에 해당 로그에 암호화가 활성화되어 있는지 확인합니다. CodeBuild 프로젝트의 S3LogsConfig에서 'encryptionDisabled'가 'true'로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service 클러스터가 AWS Key Management Service(KMS) 키를 사용하여 Kubernetes 보안 암호를 암호화하도록 구성되어 있는지 확인합니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon API Gateway 단계의 모든 메서드에 캐시가 활성화되어 있고 캐시가 암호화되어 있는지 확인합니다. Amazon API Gateway 단계에 캐싱이 구성되지 않았거나, 캐시가 암호화되지 않은 메서드가 있을 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블이 AWS Key Management Service(KMS)로 암호화되어 있는지 확인합니다. Amazon DynamoDB 테이블이 AWS KMS로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 암호화된 AWS KMS 키가 kmsKeyArns 입력 파라미터에 없는 경우에도 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | 프로젝트에 환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함되어 있지 않은지 확인합니다. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우, 이 규칙은 NON_COMPLIANT로 간주됩니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon EKS 클러스터가 KMS를 사용하여 암호화된 AWS Kubernetes 보안 암호를 갖도록 구성되지 않았는지 확인합니다. EKS 클러스터에 encryptionConfig 리소스가 없거나 encryptionConfig이 리소스를 보안 키로 명명하지 않은 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Kinesis 스트림이 서버 측 암호화를 사용하여 저장 시 암호화되는지 확인합니다. 'StreamEncryption'이 없는 경우 Kinesis 스트림의 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune DB 클러스터에 스토리지 암호화가 활성화되어 있는지 확인합니다. 스토리지 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.1 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Neptune 수동 DB 클러스터 스냅샷이 퍼블릭이 아닌지 확인합니다. 기존 및 신규 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| 3.5.1.3 | 기본 계정 번호(PAN)는 저장된 모든 곳에서 보호됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.6.1 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.6.1 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.6.1.2 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.6.1.2 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.6.1.3 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.6.1.3 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.6.1.4 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.6.1.4 | 저장된 계정 데이터를 보호하는 데 사용되는 암호화 키는 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.7.1 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS Certificate Manager(ACM)에서 관리하는 RSA 인증서의 키 길이가 '2048'비트 이상인지 확인합니다. 최소 키 길이가 2048비트 미만인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.1 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.1 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.7.2 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.2 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.7.4 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.4 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.7.6 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.6 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 3.7.7 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 3.7.7 | 저장된 계정 데이터를 보호하기 위해 암호화를 사용하는 경우 키 수명 주기의 모든 측면을 다루는 키 관리 프로세스 및 절차가 정의되고 구현됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 4.2.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Redis 데이터 스토어용 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 4.2.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS(TLS)를 사용하여 전송 중 암호화를 적용하는지 확인합니다. 클러스터 내 브로커 노드 연결에 대해 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. AWS DMS에 SSL 연결이 구성되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | AWS 프라이빗 인증 기관(AWS 프라이빗 CA)에 비활성화된 루트 CA가 있는지 확인합니다. 루트 CA의 상태가 DISABLED인 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Amazon CloudFront 배포와 연결된 인증서가 기본 SSL 인증서가 아닌지 확인합니다. CloudFront 배포가 기본 SSL 인증서를 사용하는 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Redis 데이터 스토어용 AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS(TLS)를 사용하여 전송 중 암호화를 적용하는지 확인합니다. 클러스터 내 브로커 노드 연결에 대해 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 4.2.1.1 | PAN은 전송 중에 강력한 암호화로 보호됩니다. (PCI-DSS-v4.0) | AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. AWS DMS에 SSL 연결이 구성되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| 5.3.4 | 맬웨어 방지 메커니즘 및 프로세스가 활성화, 유지 관리 및 모니터링됩니다. (PCI-DSS-v4.0) | Amazon CloudWatch LogGroup 보존 기간이 365일을 초과하여 설정되어 있는지 또는 기타 지정된 보존 기간으로 설정되어 있는지 확인합니다. 보존 기간이 MinRetentionTime보다 작거나 365일(지정된 경우)이면 규칙은 NON_COMPLIANT입니다. | |
| 6.3.3 | 보안 취약성을 식별하고 해결합니다. (PCI-DSS-v4.0) | 런타임, 역할, 제한 시간 및 메모리 크기에 대한 AWS Lambda 함수 설정이 예상 값과 일치하는지 확인합니다. 규칙은 '이미지' 패키지 유형이 있는 함수와 런타임이 'OS 전용 런타임'으로 설정된 함수를 무시합니다. Lambda 함수 설정이 예상 값과 일치하지 않는 경우 규칙은 NON_COMPLIANT입니다. | |
| 6.3.3 | 보안 취약성을 식별하고 해결합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(EKS) 클러스터가 지원되는 가장 오래된 버전을 실행하고 있지 않는지 확인합니다. EKS 클러스터가 지원되는 가장 오래된 버전(파라미터 'oldestVersionSupported'와 같음)을 실행하는 경우 규칙은 NON_COMPLIANT입니다. | |
| 6.4.1 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 6.4.1 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | WAFv2 리전 웹 ACL에 WAF 규칙 또는 WAF 규칙 그룹이 포함되어 있는지 확인합니다. 웹 ACL에 WAF 규칙 또는 WAF 규칙 그룹이 포함되어 있지 않은 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 6.4.1 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | WAFv2 규칙 그룹에 규칙이 포함되어 있는지 확인합니다. WAFv2 규칙 그룹 내에 규칙이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 6.4.2 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| 6.4.2 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | WAFv2 리전 웹 ACL에 WAF 규칙 또는 WAF 규칙 그룹이 포함되어 있는지 확인합니다. 웹 ACL에 WAF 규칙 또는 WAF 규칙 그룹이 포함되어 있지 않은 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 6.4.2 | 퍼블릭 버전 웹 애플리케이션은 공격으로부터 보호됩니다. (PCI-DSS-v4.0) | WAFv2 규칙 그룹에 규칙이 포함되어 있는지 확인합니다. WAFv2 규칙 그룹 내에 규칙이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 6.5.5 | 모든 시스템 구성 요소에 대한 변경 사항을 안전하게 관리합니다. (PCI-DSS-v4.0) | Lambda Compute Platform의 배포 그룹이 기본 배포 구성을 사용하지 않는지 확인합니다. 배포 그룹이 배포 구성 'CodeDeployDefault.LambdaAllAtOnce'를 사용하는 경우 규칙은 NON_COMPLIANT입니다. | |
| 6.5.6 | 모든 시스템 구성 요소에 대한 변경 사항을 안전하게 관리합니다. (PCI-DSS-v4.0) | Lambda Compute Platform의 배포 그룹이 기본 배포 구성을 사용하지 않는지 확인합니다. 배포 그룹이 배포 구성 'CodeDeployDefault.LambdaAllAtOnce'를 사용하는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.2 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.4 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | 지정된 일수 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 'unusedForDays' 일수 내에 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.5 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.2.5.1 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | 지정된 일수 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 'unusedForDays' 일수 내에 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 7.2.6 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.2.6 | 시스템 구성 요소 및 데이터에 대한 액세스를 적절하게 정의하고 할당합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.1 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.2 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 7.3.3 | 액세스 제어 시스템을 통해 시스템 구성 요소 및 데이터에 대한 액세스를 관리합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.1 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.1 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되고 있지 않는지 확인합니다. 실행 중인 EC2 인스턴스가 키 페어를 사용하여 시작된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되고 있지 않는지 확인합니다. 실행 중인 EC2 인스턴스가 키 페어를 사용하여 시작된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 프로젝트에 환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함되어 있지 않은지 확인합니다. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우, 이 규칙은 NON_COMPLIANT로 간주됩니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.2.2 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 지정된 일수 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 'unusedForDays' 일수 내에 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.2.4 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.4 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되고 있지 않는지 확인합니다. 실행 중인 EC2 인스턴스가 키 페어를 사용하여 시작된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.5 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.5 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되고 있지 않는지 확인합니다. 실행 중인 EC2 인스턴스가 키 페어를 사용하여 시작된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.6 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 지정된 일수 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 'unusedForDays' 일수 내에 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.7 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터 버전이 인스턴스 메타데이터 서비스 버전2(IMDSv2)로 구성되었는지 확인합니다. HttpTokens가 선택 사항으로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | IMDSv2만 활성화되어 있는지 확인합니다. 메타데이터 버전이 시작 구성에 포함되어 있지 않거나, 메타데이터 V1과 V2가 둘 다 활성화된 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 8.2.8 | 사용자 및 관리자의 사용자 식별 및 관련 계정은 계정 수명 주기 동안 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.10.1 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 유효한 IAM 액세스 키가 maxAccessKeyAge에 지정된 일수에 따라 교체(변경)되는지 확인합니다. 지정된 기간 내에 액세스 키가 교체되지 않는 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.10.1 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.10.1 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.11 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.3.11 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Elastic Compute Cloud(EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되고 있지 않는지 확인합니다. 실행 중인 EC2 인스턴스가 키 페어를 사용하여 시작된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Athena 작업 그룹이 저장 시 암호화되는지 확인합니다. Athena 작업 그룹에 대해 저장 데이터 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune DB 클러스터에 암호화된 스냅샷이 있는지 확인합니다. Neptune 클러스터에 암호화된 스냅샷이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Redshift 클러스터가 암호화에 지정된 AWS Key Management Service(AWS KMS) 키를 사용하고 있는지 확인합니다. 암호화가 활성화되어 있고 kmsKeyArn 파라미터에 제공된 키로 클러스터가 암호화된 경우 규칙은 COMPLIANT입니다. 클러스터가 암호화되지 않거나 다른 키로 암호화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon S3 Logs로 구성된 AWS CodeBuild 프로젝트에 해당 로그에 암호화가 활성화되어 있는지 확인합니다. CodeBuild 프로젝트의 S3LogsConfig에서 'encryptionDisabled'가 'true'로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Redis 데이터 스토어용 AWS Database Migration Service(AWS DMS) 엔드포인트가 다른 엔드포인트와 통신하는 데이터의 TLS/SSL 암호화에 활성화되어 있는지 확인합니다. TLS/SSL 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service 클러스터가 AWS Key Management Service(KMS) 키를 사용하여 Kubernetes 보안 암호를 암호화하도록 구성되어 있는지 확인합니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon API Gateway 단계의 모든 메서드에 캐시가 활성화되어 있고 캐시가 암호화되어 있는지 확인합니다. Amazon API Gateway 단계에 캐싱이 구성되지 않았거나, 캐시가 암호화되지 않은 메서드가 있을 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon DynamoDB 테이블이 AWS Key Management Service(KMS)로 암호화되어 있는지 확인합니다. Amazon DynamoDB 테이블이 AWS KMS로 암호화되지 않은 경우 규칙은 NON_COMPLIANT입니다. 암호화된 AWS KMS 키가 kmsKeyArns 입력 파라미터에 없는 경우에도 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 프로젝트에 환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함되어 있지 않은지 확인합니다. 프로젝트 환경 변수에 일반 텍스트 자격 증명이 포함된 경우, 이 규칙은 NON_COMPLIANT로 간주됩니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon EKS 클러스터가 KMS를 사용하여 암호화된 AWS Kubernetes 보안 암호를 갖도록 구성되지 않았는지 확인합니다. EKS 클러스터에 encryptionConfig 리소스가 없거나 encryptionConfig이 리소스를 보안 키로 명명하지 않은 경우 이 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Kinesis 스트림이 서버 측 암호화를 사용하여 저장 시 암호화되는지 확인합니다. 'StreamEncryption'이 없는 경우 Kinesis 스트림의 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS(TLS)를 사용하여 전송 중 암호화를 적용하는지 확인합니다. 클러스터 내 브로커 노드 연결에 대해 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune DB 클러스터에 스토리지 암호화가 활성화되어 있는지 확인합니다. 스토리지 암호화가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.2 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS 데이터베이스 마이그레이션 서비스(AWS DMS) 엔드포인트가 SSL 연결로 구성되어 있는지 확인합니다. AWS DMS에 SSL 연결이 구성되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체에 대해 버킷의 리소스에 대한 차단 목록 버킷 수준 및 객체 수준 작업을 허용하지 않는지 확인합니다. 예를 들어 규칙은 Amazon S3 버킷 정책이 버킷의 모든 객체에서 다른 AWS 계정이 s3:GetBucket* 작업 및 s3:DeleteObject를 수행하도록 허용하지 않는지 확인합니다. Amazon S3 버킷 정책에서 블랙리스트에 등록된 작업을 허용하는 경우 규칙이 NON_COMPLIANT로 간주됩니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 정책이 사용자가 제공하는 Amazon S3 버킷 정책을 제어하는 다른 계정 간 권한을 허용하지 않는지 확인합니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | IAM 정책 ARN이 IAM 사용자 또는 한 명 이상의 IAM 사용자가 있는 그룹 또는 하나 이상의 신뢰할 수 있는 엔터티가 있는 IAM 역할에 연결되어 있는지 확인합니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 AWS Identity and Access Management(IAM) 데이터베이스 인증이 활성화되어 있는지 확인합니다. Amazon Neptune 클러스터에 IAM 데이터베이스 인증이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 AWS Identity and Access Management(IAM) 프로파일이 연결되어 있는지 확인합니다. EC2 인스턴스에 IAM 프로필이 연결되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.4 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.5 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 유효한 IAM 액세스 키가 maxAccessKeyAge에 지정된 일수에 따라 교체(변경)되는지 확인합니다. 지정된 기간 내에 액세스 키가 교체되지 않는 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.5 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.5 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.7 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 유효한 IAM 액세스 키가 maxAccessKeyAge에 지정된 일수에 따라 교체(변경)되는지 확인합니다. 지정된 기간 내에 액세스 키가 교체되지 않는 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.7 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.7 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.9 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | 유효한 IAM 액세스 키가 maxAccessKeyAge에 지정된 일수에 따라 교체(변경)되는지 확인합니다. 지정된 기간 내에 액세스 키가 교체되지 않는 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.3.9 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.3.9 | 사용자 및 관리자에 대한 강력한 인증을 설정하고 관리합니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.4.1 | CDE에 대한 액세스를 보호하기 위해 다중 인증(MFA)이 구현됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.4.2 | CDE에 대한 액세스를 보호하기 위해 다중 인증(MFA)이 구현됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.4.3 | CDE에 대한 액세스를 보호하기 위해 다중 인증(MFA)이 구현됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.6.3 | 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0) | 유효한 IAM 액세스 키가 maxAccessKeyAge에 지정된 일수에 따라 교체(변경)되는지 확인합니다. 지정된 기간 내에 액세스 키가 교체되지 않는 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| 8.6.3 | 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되었는지 확인합니다. Secrets Manager는 교체가 이루어져야 하는 날짜를 계산합니다. 날짜가 경과하고 보안 암호가 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| 8.6.3 | 애플리케이션 및 시스템 계정과 관련 인증 요소의 사용은 엄격하게 관리됩니다. (PCI-DSS-v4.0) | AWS Secrets Manager 보안 암호가 지난 지정된 일수 동안 교체되었는지 확인합니다. 보안 암호가 maxDaysSinceRotation 일수를 넘어 교체되지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon Neptune 수동 DB 클러스터 스냅샷이 퍼블릭이 아닌지 확인합니다. 기존 및 신규 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| A1.1.2 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon API Gateway API가 규칙 파라미터 'endpointConfigurationType'에 지정된 유형인지 확인합니다. REST API가 규칙 파라미터에 구성된 엔드포인트 유형과 일치하지 않으면 규칙이 NON_COMPLIANT를 반환합니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | AWS 네트워크 방화벽 정책이 조각화된 패킷에 대해 사용자 정의 상태 비저장 기본 작업으로 구성되어 있는지 확인합니다. 조각화된 패킷의 상태 비저장 기본 작업이 사용자 정의 기본 작업과 일치하지 않을 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 엔드포인트에 대한 퍼블릭 액세스가 불가능한지 확인합니다. 엔드포인트가 퍼블릭 액세스 가능한 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(INCOMING_SSH_DISABLED)와 규칙 이름(restricted-ssh)이 서로 다릅니다. 보안 그룹의 SSH 수신 트래픽으로 액세스 가능한지 확인합니다. 보안 그룹의 SSH 수신 트래픽 IP 주소가 제한되면 규칙은 COMPLIANT입니다(0.0.0.0/0 또는 ::/0 이외의 CIDR). 그렇지 않으면 NON_COMPLIANT로 간주됩니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | AWS AppSync APIs AWS WAFv2 웹 액세스 제어 목록(ACLs)과 연결되어 있는지 확인합니다. 웹 ACL과 연결되지 않은 경우 규칙은 AWS AppSync API에 대한 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Bitbucket 소스 리포지토리 URL에 로그인 보안 인증이 포함하고 있지 않는지 확인합니다. URL에 로그인 정보가 포함되어 있는 경우 규칙은 NON_COMPLIANT이고, 포함되지 않은 경우에는 COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Classic Load Balancer가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인합니다. 이 규칙을 적용하려면 Classic Load Balancer에서 SSL 또는 HTTPS 리스너를 사용합니다. 참고: 이 규칙은 Classic Load Balancer에만 적용됩니다. 이 규칙은 Application Load Balancer와 Network Load Balancer는 확인하지 않습니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 네트워크 액세스 제어 목록(NACL)에 대한 SSH/RDP 수신 트래픽의 기본 포트가 제한되는지 확인합니다. NACL 인바운드 엔트리가 포트 22 또는 3389에 대한 소스 TCP 또는 UDP CIDR 블록을 허용할 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | AWS Client VPN 권한 부여 규칙이 모든 클라이언트에 대한 연결 액세스를 승인하지 않는지 확인합니다. 'AccessAll'이 존재하고 true로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 인터넷 게이트웨이가 승인된 Virtual Private Cloud(Amazon VPC)에 연결되어 있는지 확인합니다. 인터넷 게이트웨이가 승인되지 않은 VPC에 연결된 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.1.3 | 다중 테넌트 서비스 공급자는 모든 고객 환경과 데이터를 보호하고 분리합니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon API Gateway V2 단계에 액세스 로깅이 활성화되어 있는지 확인합니다. 단계 구성에 'accessLogSettings'가 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | 보안 모범 사례로 정의된 AWS CloudTrail 추적이 하나 이상 있는지 확인합니다. 다음을 모두 충족하는 추적이 하나 이상 있는 경우 이 규칙은 COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon Neptune 클러스터에 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있는지 확인합니다. Neptune 클러스터에서 감사 로그에 대해 CloudWatch 로그 내보내기가 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | 활성 ECS 태스크 정의에 logConfiguration이 설정되어 있는지 확인합니다. 활성 ECSTaskDefinition에 정의된 logConfiguration 리소스가 없거나, 하나 이상의 컨테이너 정의에서 logConfiguration 값이 null인 경우 이 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(CLOUD_TRAIL_ENABLED)와 규칙 이름(cloudtrail-enabled)이 다릅니다. AWS 계정에서 AWS CloudTrail 추적이 활성화되어 있는지 확인합니다. 추적이 활성화되지 않은 경우 규칙은 규정 미준수입니다. 선택적으로, 이 규칙은 특정 S3 버킷, Amazon Simple Notification Service(Amazon SNS) 주제 및 CloudWatch 로그 그룹을 확인합니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | 참고: 이 규칙의 경우 규칙 식별자(MULTI_REGION_CLOUD_TRAIL_ENABLED)와 규칙 이름(multi-region-cloudtrail-enabled)이 서로 다릅니다. 다중 리전 AWS CloudTrail이 하나 이상 있는지 확인합니다. 추적이 입력 파라미터와 일치하지 않으면 규칙은 NON_COMPLIANT입니다. ExcludeManagementEventSources 필드가 비어 있지 않거나 AWS CloudTrail이 AWS KMS 이벤트 또는 Amazon RDS Data API 이벤트와 같은 관리 이벤트를 제외하도록 구성된 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | AWS AppSync API에 로깅이 활성화되어 있는지 확인합니다. 로깅이 활성화되지 않은 경우 또는 'fieldLogLevel'이 ERROR 또는 ALL이 아닌 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 Amazon CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon MQ 브로커에 CloudWatch 감사 로깅이 활성화되어 있는지 확인합니다. 브로커에 감사 로깅이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터에 로깅이 활성화된 상태로 구성되어 있는지 확인합니다. Amazon EKS 클러스터에 대한 로깅이 모든 로그 유형에 대해 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | Amazon CloudWatch Logs로 로그를 전송하도록 AWS Elastic Beanstalk 환경이 구성되어 있는지 확인합니다. 'StreamLogs' 값이 false인 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | AWS Step Functions 시스템에 로깅이 활성화되어 있는지 확인합니다. 상태 시스템에 로깅이 활성화되어 있지 않거나, 로깅 구성이 제공된 최소 수준에 미치지 못할 경우 규칙은 NON_COMPLIANT입니다. | |
| A1.2.1 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | AWS Network Firewall 방화벽에 로깅이 활성화되어 있는지 확인합니다. 로깅 유형이 구성되지 않은 경우 이 규칙은 NON_COMPLIANT입니다. 규칙에서 확인할 로깅 유형을 지정할 수 있습니다. | |
| A1.2.3 | 다중 테넌트 서비스 공급자는 모든 고객에 대한 로깅 및 인시던트 응답을 용이하게 합니다. (PCI-DSS-v4.0) | AWS 계정 연락처에 대한 보안 연락처 정보를 제공했는지 확인합니다. 계정 내에 보안 연락처 정보가 제공되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.2.5.1 | PCI DSS 범위는 문서화되고 검증됩니다. (PCI-DSS-v4.0) | Amazon Macie 에 민감한 데이터 자동 검색이 활성화되어 있는지 확인합니다. 민감한 데이터 자동 검색이 비활성화된 경우 규칙은 NON_COMPLIANT입니다. 이 규칙은 관리자 계정에는 APPLICABLE, 구성원 계정에는 NOT_APPLICABLE입니다. | |
| A3.2.5.1 | PCI DSS 범위는 문서화되고 검증됩니다. (PCI-DSS-v4.0) | 리전별 계정에서 Amazon Macie가 활성화되어 있는지 확인합니다. 'status' 속성이 'ENABLED'로 설정되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.2.5.2 | PCI DSS 범위는 문서화되고 검증됩니다. (PCI-DSS-v4.0) | Amazon Macie 에 민감한 데이터 자동 검색이 활성화되어 있는지 확인합니다. 민감한 데이터 자동 검색이 비활성화된 경우 규칙은 NON_COMPLIANT입니다. 이 규칙은 관리자 계정에는 APPLICABLE, 구성원 계정에는 NOT_APPLICABLE입니다. | |
| A3.2.5.2 | PCI DSS 범위는 문서화되고 검증됩니다. (PCI-DSS-v4.0) | 리전별 계정에서 Amazon Macie가 활성화되어 있는지 확인합니다. 'status' 속성이 'ENABLED'로 설정되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | 지정된 지표 이름의 CloudWatch 경보 설정이 지정한 설정과 일치하는지 확인합니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.3.1 | PCI DSS는 일상적 비즈니스(BAU) 활동에 통합됩니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | Amazon Neptune 수동 DB 클러스터 스냅샷이 퍼블릭이 아닌지 확인합니다. 기존 및 신규 Neptune 클러스터 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | 백업 볼트에 복구 지점 삭제를 방지하는 리소스 기반 정책이 연결되어 있는지 확인합니다. 백업 볼트에 리소스 기반 정책이 없거나, 적합한 'Deny' 문(backup:DeleteRecoveryPoint, backup:UpdateRecoveryPointLifecycle, backup:PutBackupVaultAccessPolicy permissions가 있는 문)이 없는 정책이 있는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | Amazon EMR 계정에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. BlockPublicSecurityGroupRules가 false인 규칙은 NON_COMPLIANT입니다. 또는 true인 경우 포트 22 이외의 포트가 PermittedPublicSecurityGroupRuleRanges에 나열됩니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | 지정된 일수 내에 AWS Secrets Manager 보안 암호에 액세스했는지 확인합니다. 'unusedForDays' 일수 내에 보안 암호에 액세스하지 않은 경우 규칙은 NON_COMPLIANT입니다. 기본값은 90일입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. S3 액세스 포인트에 대해 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | 필요한 퍼블릭 액세스 차단 설정이 계정 수준에서 구성되어 있는지 확인합니다. 아래 설정된 필드가 구성 항목의 해당 필드와 일치하지 않는 경우에만 규칙은 NON_COMPLIANT입니다. | |
| A3.4.1 | 카드 소지자 데이터 환경에 대한 논리적 액세스는 제어 및 관리됩니다. (PCI-DSS-v4.0) | Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리 구성에서 MFA Delete가 활성화되어 있는지 확인합니다. MFA Delete가 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | Amazon API Gateway REST APIs에서 AWS X-Ray 추적이 활성화되어 있는지 확인합니다. X-Ray 추적이 활성화된 경우 이 규정은 COMPLIANT이고, 그렇지 않은 경우 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | EC2 인스턴스에 세부 모니터링이 활성화되어 있는지 확인합니다. 세부 모니터링이 활성화되지 않은 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | CloudWatch 경보에 ALARM, INSUFFICIENT_DATA 또는 OK 상태에 대해 구성된 작업이 있는지 확인합니다. 필요한 경우, 명명된 ARN과 일치하는 작업이 있는지 확인합니다. 경보 또는 선택적 파라미터에 대해 지정된 작업이 없는 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | 리소스 유형에 지정된 지표에 대한 CloudWatch 경보가 있는지 확인합니다. 리소스 유형으로는 EBS 볼륨, EC2 인스턴스, Amazon RDS 클러스터 또는 S3 버킷을 지정할 수 있습니다. 지정된 지표에 리소스 ID와 CloudWatch 경보가 있는 경우 규칙은 규정을 COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | 지정된 지표 이름의 CloudWatch 경보 설정이 지정한 설정과 일치하는지 확인합니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | AWS WAFv2 규칙 그룹에서 Amazon CloudWatch 보안 지표 수집이 활성화되어 있는지 확인합니다. 'VisibilityConfig.CloudWatchMetricsEnabled' 필드가 false로 설정된 경우 규칙은 NON_COMPLIANT입니다. | |
| A3.5.1 | 의심스러운 이벤트를 식별하고 대응합니다. (PCI-DSS-v4.0) | 엔드포인트의 주제로 전송된 알림 메시지의 전송 상태에 대해 Amazon Simple Notification Service(SNS) 로깅이 활성화되어 있는지 확인합니다. 메시지에 대한 전송 상태 알림이 활성화되어 있지 않은 경우 규칙은 NON_COMPLIANT입니다. |
템플릿
템플릿은 GitHub: PCI DSS 4.0(글로벌 리소스 유형 제외) 운영 모범 사례
