기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
SWIFT CSP 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 SWIFT 고객 보안 프로그램(CSP)과 관리형 AWS Config 규칙 간의 샘플 매핑입니다. 각 AWS Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 SWIFT CSP 제어와 관련이 있습니다. SWIFT CSP 제어는 여러 AWS Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
| 제어 ID | AWS Config 규칙 | 지침 |
|---|---|---|
| 1.1 | AWS Systems Manager를 통해 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 1.1 | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 1.1 | 이 규칙은 실행 중인 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스가 Amazon 키 페어를 사용하여 시작되는지 확인합니다. 이렇게 하면 보안 인증이 손상될 위험을 줄이는 데 도움이 될 수 있습니다. 키 페어가 없는 Amazon EC2 인스턴스는 AWS 콘솔에서 세션 관리자 또는 브라우저 기반 SSH 연결을 사용하여 계속 액세스할 수 있습니다. | |
| 1.1 | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 1.1 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 1.1 | 이 규칙은 Amazon Virtual Private Cloud(VPC) 네트워크 액세스 제어 목록이 사용되도록 합니다. 사용하지 않는 네트워크 액세스 제어 목록을 모니터링하면 환경의 정확한 인벤토리와 관리에 도움이 될 수 있습니다. | |
| 1.1 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 AWS 클라우드에서 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 1.2 | AWS Identity and Access Management(IAM)를 사용하면 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한 부여와 통합하여 정책이 모든 AWS Key Management Service 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 파라미터를 설정할 수 있습니다. (AWS 기초 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.2 | AWS Identity and Access Management(IAM)를 사용하면 IAM 그룹에 최소 한 명의 사용자를 지정하여 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한 부여와 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다. | |
| 1.2 | AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에서는 모든 AWS Key Management Service(KMS) 키에 대해 차단된 작업을 허용하는 인라인 정책이 있어서는 안 됩니다. AWS는 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 blockedActionsPatterns 파라미터를 설정할 수 있습니다. (AWS 기초 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.2 | AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산 액세스를 통제하는 인라인 정책이 있어서는 안 됩니다. AWS는 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
| 1.2 | 이 규칙은 AWS Identity and Access Management(IAM) 정책을 그룹 또는 역할에만 연결하여 시스템과 자산에 대한 액세스를 제어합니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 1.2 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 1.2 | 포트 22(SSH) 및 포트 3389(RDP)와 같은 네트워크 액세스 제어 목록(NACL)에 포함된 원격 서버 관리 포트에 대한 액세스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 VPC 내 리소스에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 1.2 | 이 규칙은 액세스 제어 목록(ACL)이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS Identity and Access Management(IAM) 이전의 Amazon S3 버킷에 대한 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것은 모범 사례입니다. | |
| 1.2 | Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다. | |
| 1.2 | s3_bucket_policy_grantee_check를 활성화하여 AWS 클라우드에 대한 액세스를 관리합니다. 이 규칙은 사용자가 제공하는 AWS 보안 주체, 페더레이션 사용자, 서비스 보안 주체, IP 주소 또는 Amazon Virtual Private Cloud(VPC) ID에 대해 Amazon S3 버킷에서 부여한 액세스가 제한되는지 확인합니다. | |
| 1.2 | 환경의 로깅 요구 사항을 지원하려면 Amazon Simple Notification Service(SNS) 주제에 대해 전송 상태 알림을 활성화해야 합니다. 메시지 전송 상태를 기록하면 메시지가 Amazon SNS 엔드포인트로 전송되었는지 확인하고, Amazon SNS 엔드포인트에서 Amazon SNS로 전송된 응답을 식별하고, 메시지 체류 시간(게시 타임스탬프와 Amazon SNS 엔드포인트로 전달하기 직전 사이의 시간)을 결정하는 등 운영 인사이트를 확장할 수 있습니다. | |
| 1.4 | 인터넷 게이트웨이가 승인된 Amazon Virtual Private Cloud(VPC)에만 연결되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 1.4 | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 AWS 클라우드에서 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터를 선택적으로 설정할 수 있습니다(Config 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.4 | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 1.4 | Amazon Simple Storage Service(S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 ignorePublicAcls(Config 기본값: True), blockPublicPolicy(Config 기본값: True), blockPublicAcls(Config 기본값: True) 및 restrictPublicBuckets 파라미터(Config 기본값: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 1.4 | Amazon Simple Storage Service(S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 1.4 | Amazon Simple Storage Service(S3) 버킷에 대한 승인된 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 1.4 | Amazon Simple Storage Service(S3) 버킷에 대한 승인된 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 1.4 | AWS Systems Manager(SSM) 문서는 퍼블릭 문서가 아니어야 합니다. 퍼블릭일 경우에는 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 퍼블릭 SSM 문서에는 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다. | |
| 2.3 | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터의 액세스 및 제어를 위해 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 메서드가 활성화되어 있는지 확인합니다. IMDSv2 메서드는 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터 변경을 제한할 수 있습니다. | |
| 2.3 | 이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 ENI가 여러 개 있는지 확인합니다. ENI가 여러 개 있으면 이중 홈 인스턴스, 즉 서브넷이 여러 개 있는 인스턴스가 발생할 수 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로와 액세스가 발생할 수 있습니다. | |
| 2.3 | 인스턴스 메타데이터 서비스(IMDS) HTTP PUT 응답이 Amazon Elastic Compute Cloud(Amazon EC2)인스턴스로 제한되는지 확인합니다. IMDSv2를 사용하면 메타데이터 응답 홉 제한이 1(Config 기본값)로 설정되어 있기 때문에 기본적으로 비밀 토큰이 포함된 PUT 응답은 인스턴스 외부로 이동할 수 없습니다. 이 값이 1보다 크면 토큰은 EC2 인스턴스에서 나갈 수 있습니다. | |
| 2.3 | 이 규칙은 인스턴스 종료 시 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 삭제 대상으로 표시되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능 개념을 위반할 수 있습니다. | |
| 2.3 | AWS Organizations 내에서 AWS 계정을 중앙 집중식으로 관리하면 계정이 규정을 준수하는지 확인할 수 있습니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. | |
| 2.3 | Amazon VPC 내부에서 함수와 다른 서비스 간에 안전한 통신이 가능하도록 Amazon Virtual Private Cloud(VPC) 내에 AWS Lambda 함수를 배포합니다. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다. | |
| 2.3 | 저장 데이터를 보호하기 위해 필요한 고객 마스터 키(CMK)가 AWS Key Management Service(AWS KMS)에서 삭제 예약되지 않도록 합니다. 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다. | |
| 2.3 | Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다. | |
| 2.3 | AWS Secrets Manager에 미사용 보안 인증이 존재하는 경우, 최소 권한 원칙에 위배될 수 있으므로 해당 보안 인증을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하면 값을 unusedForDays(Config 기본값: 90)로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 2.5A | 데이터 백업 프로세스에 도움이 되도록 Amazon Elastic Block Store(Amazon EBS) 볼륨이 AWS Backup 계획에 포함되어 있는지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 2.5A | 저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.5A | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
| 2.5A | 데이터 백업 프로세스에 도움이 되도록 Amazon Elastic File System(Amazon EFS) 파일 시스템이 AWS Backup 계획에 포함되어 있는지 확인합니다. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 2.5A | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
| 2.5A | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Kinesis Streams에 암호화가 활성화되어 있는지 확인합니다. | |
| 2.5A | 저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.5A | Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2.5A | 저장 데이터를 보호하려면 Amazon Simple Notification Service(SNS) 주제에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 필요한지 확인하세요. 게시된 메시지에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4.1 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63에 명시된 요구 사항은 물론, 암호 강도에 대한 AWS 기초 보안 모범 사례 표준 또는 그보다 더 까다로운 표준도 충족합니다. 이 규칙을 사용하면 IAM 암호 정책에 대한 RequireUppercaseCharacters(AWS 기초 보안 모범 사례 값: true), RequireLowercaseCharacters(AWS 기초 보안 모범 사례 값: true), RequireSymbols(AWS 기초 보안 모범 사례 값: true), RequireNumbers(AWS 기초 보안 모범 사례 값: true), MinimalPasswordLength(AWS 기초 보안 모범 사례 값: 14), PasswordReusePrevention(AWS 기초 보안 모범 사례 값: 24) 및 MaxPasswordAge(AWS 기초 보안 모범 사례 값: 90)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 4.1 | 조직 정책에서 지정한 대로 IAM 액세스 키가 교체되도록 하여 승인된 디바이스, 사용자 및 프로세스에 대한 보안 인증을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 4.2 | 이 규칙을 사용하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 사용자에 대해 다중 인증(MFA)이 활성화되도록 합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요. | |
| 4.2 | 콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 4.2 | 루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정 사용자입니다. MFA는 로그인 보안 인증에 보호 계층을 한 단계 더 추가합니다. 루트 사용자에게 MFA를 요구하면 AWS 계정 침해 사고를 줄일 수 있습니다. | |
| 4.2 | 루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정 사용자입니다. MFA는 로그인 보안 인증에 보호 계층을 한 단계 더 추가합니다. 루트 사용자에게 MFA를 요구하면 AWS 계정 침해 사고를 줄일 수 있습니다. | |
| 5.1 | EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 5.1 | IAM 작업을 필요한 작업으로만 제한해야 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| 5.1 | 루트 사용자의 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 그 대신 역할 기반 AWS 계정를 만들어 사용하면 최소 기능의 원칙을 통합하는 데 도움이 됩니다. | |
| 5.1 | AWS Identity and Access Management(IAM)를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하는 것은 최소 권한 및 업무 분리의 원칙에 위배될 수 있습니다. | |
| 5.1 | AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여 관리에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 maxCredentialUsageAge 값을 설정해야 합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 5.4 | 이 규칙은 AWS Secrets Manager 보안 암호에서 교체가 활성화되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 5.4 | 이 규칙은 AWS Secrets Manager 암호가 교체 일정에 따라 성공적으로 교체되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 5.4 | 이 규칙은 AWS Secrets Manager 보안 암호에서 주기적인 교체가 활성화되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. 기본값은 90일입니다. | |
| 5.4 | 저장 데이터를 보호하려면 AWS Secrets Manager 암호에 AWS Key Management Service(AWS KMS)를 통한 암호화가 활성화되어 있는지 확인하세요. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 6.4 | 이 규칙을 활성화하면 Amazon EC2 콘솔에서 인스턴스에 대한 1분 모니터링 그래프를 표시하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선하는 데 도움이 됩니다. | |
| 6.4 | 민감한 저장 데이터를 보호하려면 Amazon CloudWatch 로그 그룹에 암호화가 활성화되어 있는지 확인하세요. | |
| 6.4 | Amazon CloudWatch를 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리합니다. AWS CloudTrail 데이터를 포함하면 AWS 계정 내 API 직접 호출 활동에 관한 세부 정보가 제공됩니다. | |
| 6.4 | AWS CloudTrail은 AWS Management Console 작업 및 API 직접 호출을 기록하여 부인 방지에 유용할 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 시점을 파악할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠에서 확인할 수 있습니다. | |
| 6.4 | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 AWS CloudTrail 트레일에 암호화가 활성화되어 있는지 확인하세요. | |
| 6.4 | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성 여부를 확인합니다. 로그 파일 검증을 통해 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. | |
| 6.4 | 이 규칙을 활성화하면 조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일수를 초과하여 중지되었는지 확인하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 기본 구성을 쉽게 수행할 수 있습니다. | |
| 6.4 | VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 6.5A | Amazon GuardDuty는 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움이 될 수 있습니다. 여기에는 AWS 클라우드 환경 내에서 예상치 못한 악의적인 무단 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. | |
| 6.5A | AWS Security Hub는 승인되지 않은 사용자, 연결, 디바이스 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 AWS 서비스의 보안 알림 또는 결과를 집계 및 구성하고 우선순위를 지정합니다. 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management(IAM) Access Analyzer, AWS Firewall Manager, AWS 파트너 솔루션 등이 있습니다. |
템플릿
템플릿은 GitHub: SWIFT CSP 운영 모범 사례
