기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
AWS Well-Architected Framework 보안 원칙의 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 Amazon Web Services의 Well-Architected Framework 보안 원칙과 AWS 관리형 Config 규칙 간의 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 기둥 설계 원칙과 관련이 있습니다. 하나의 Well-Architected Framework 범주는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
| 제어 ID | 제어 설명 | AWS 구성 규칙 | 지침 |
|---|---|---|---|
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | AWS Organizations AWS 계정 내 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | 콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다.는 로그인 자격 증명 외에도 추가 보호 계층을 MFA 추가합니다. 사용자에게 MFA를 요구하면 손상된 계정의 인시던트를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하지 못하도록 할 수 있습니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | AWS 클라우드의 리소스에 대한 액세스를 제한하려면이 규칙을 활성화합니다. 이 규칙은 모든 사용자에 대해 다중 인증(MFA)이 활성화되도록 합니다.는 로그인 자격 증명 외에도 추가 보호 계층을 MFA 추가합니다. 사용자에게를 요구하여 손상된 계정의 인시던트MFA를 줄입니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | 루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 역할 기반 AWS 계정 를 생성하고 사용하여 최소 기능의 원칙을 통합하는 데 도움이 됩니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | 루트 사용자에 대해 하드웨어MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. 는 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | 루트 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. 는 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | AWS Systems Manager를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 생성할 수 있습니다. AWS Systems Manager를 사용하여 세부 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | AWS Systems Manager Associations를 사용하여 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 지원합니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보의 기준을 설정할 수 있습니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | Amazon Elastic Compute Cloud(AmazonEC2) 취약성을 식별하고 문서화하는 데 도움이 되도록이 규칙을 활성화합니다. 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| SEC-1 | 워크로드는 어떻게 안전하게 운영하나요? 워크로드를 안전하게 운영하려면 모든 보안 영역에 중요한 모범 사례를 적용해야 합니다. 운영 우수성에 대해 조직 및 워크로드 수준에서 정의한 요구 사항 및 프로세스를 모든 영역에 적용하세요. AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됩니다. 보안 프로세스, 테스트 및 검증을 자동화하면 보안 운영을 확장할 수 있습니다. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및이 AWS Codebuild 프로젝트 환경 내에 존재하지 AWS_SECRET_ACCESS_KEY 않는지 확인합니다. 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 자격 증명과 자격 증명은 조직 IAM 암호 정책에 따라 발급, 관리 및 확인됩니다. SP NIST 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM 암호 정책에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24) 및 MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90)을 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 루트 사용자에 대해 하드웨어MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. 는 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 루트 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. 는 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 인시던트를 줄일 수 있습니다 AWS 계정. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS 클라우드의 리소스에 대한 액세스를 제한하려면이 규칙을 활성화합니다. 이 규칙은 모든 사용자에 대해 다중 인증(MFA)이 활성화되도록 합니다.는 로그인 자격 증명 외에도 추가 보호 계층을 MFA 추가합니다. 사용자에게를 요구하여 손상된 계정의 인시던트MFA를 줄입니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다.는 로그인 자격 증명 외에도 추가 보호 계층을 MFA 추가합니다. 사용자에게 MFA를 요구하면 손상된 계정의 인시던트를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하지 못하도록 할 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 작업 정의에 승격된 권한이 있는 경우는 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 제어는 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 승격된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 검사합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS Identity and Access Management(IAM)는 IAM 그룹에 최소 한 명의 사용자가 있는지 확인하여 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합하는 데 도움이 될 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인합니다. 인라인 정책 대신 관리형 정책을 사용하는 것이 AWS 좋습니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS Identity and Access Management(IAM)는 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합하여 정책이 "Effect": "Allow"를 "Action": "*"과 함께 "Resource": "*"를 포함하도록 제한하는 데 도움이 될 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | IAM 작업이 필요한 작업으로만 제한되도록 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS Identity and Access Management(IAM)는 사용자가 하나 이상의 그룹의 멤버가 되도록 하여 액세스 권한 및 권한 부여를 제한하는 데 도움이 될 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않는 IAM 암호 및 액세스 키를 확인하여 액세스 권한 및 권한 부여를 지원합니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 maxCredentialUsageAge(구성 기본값: 90)로 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 이 규칙은 AWS Secrets Manager 보안 암호에 교체가 활성화되어 있는지 확인합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 외부에 환경에 액세스해야 AWS 하는 시스템이 있을 수도 있습니다. | 이 규칙은 AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드 운영에 접근할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구의 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 환경에 액세스해야 AWS 하는 외부의 시스템도 있을 수 있습니다. | 이 규칙은 AWS Secrets Manager 보안 암호에 주기적 교체가 활성화되어 있는지 확인합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. 기본값은 90일입니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드를 운영할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구에서 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 환경에 액세스해야 AWS 하는 외부의 시스템도 있을 수 있습니다. | AWS Secrets Manager에 미사용 자격 증명이 있는 경우 자격 증명을 비활성화 및/또는 제거해야 합니다. 최소 권한 원칙을 위반할 수 있습니다. 이 규칙을 사용하면 값을 unusedForDays (구성 기본값: 90)으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드를 운영할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구에서 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 환경에 액세스해야 AWS 하는 외부의 시스템도 있을 수 있습니다. | 저장 데이터를 보호하기 위해 AWS Secrets Manager 보안 암호에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-2 | 사람 및 시스템의 ID는 어떻게 관리하나요? 보안 AWS 워크로드를 운영할 때 관리해야 하는 두 가지 유형의 자격 증명이 있습니다. 관리하고 액세스 권한을 부여해야 하는 ID 유형을 이해하면 올바른 ID가 적절한 조건에서 올바른 리소스에 액세스할 수 있도록 보장할 수 있습니다. 인적 자격 증명: 관리자, 개발자, 운영자 및 최종 사용자가 AWS 환경 및 애플리케이션에 액세스하려면 자격 증명이 필요합니다. 이들은 조직의 멤버 또는 협업하고 웹 브라우저, 클라이언트 애플리케이션 또는 대화형 명령줄 도구에서 AWS 리소스와 상호 작용하는 외부 사용자입니다. 기계 ID: 서비스 애플리케이션, 운영 도구 및 워크로드는 예를 들어 데이터를 읽기 위해 AWS 서비스에 요청을 하려면 ID가 필요합니다. 이러한 자격 증명에는 Amazon EC2 인스턴스 또는 AWS Lambda 함수와 같은 AWS 환경에서 실행되는 시스템이 포함됩니다. 액세스가 필요한 외부 당사자의 시스템 ID를 관리할 수도 있습니다. 또한 AWS 환경에 액세스해야 AWS 하는 외부의 시스템도 있을 수 있습니다. | 보안 인증 정보는 조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 승인된 디바이스, 사용자 및 프로세스에 대해 감사됩니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | Amazon Elastic Compute Cloud(AmazonIMDSv2) 인스턴스 메타데이터의 액세스 및 제어를 보호하려면 인스턴스 메타데이터 서비스 버전 2(EC2) 메서드가 활성화되어 있는지 확인합니다. IMDSv2 메서드는 세션 기반 제어를 사용합니다. 를 사용하면 인스턴스 메타데이터에 대한 변경 사항을 제한하는 IMDSv2제어를 구현할 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | EC2 인스턴스 프로파일은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | 작업 정의에 승격된 권한이 있는 경우는 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 제어는 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 승격된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 검사합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | 최소 권한 원칙을 구현하는 데 도움이 되도록 루트가 아닌 사용자가 Amazon Elastic Container Service(AmazonECS) 태스크 정의에 액세스할 수 있도록 지정되어 있는지 확인합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | 최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon Elastic Container Service(Amazon ECS) 태스크 정의에는 승격된 권한이 활성화되어 있지 않아야 합니다. 이 파라미터가 true인 경우 컨테이너는 호스트 컨테이너 인스턴스에 대해 승격된 권한을 부여받습니다(루트 사용자와 비슷함). | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | Amazon Elastic Container Service(ECS) 컨테이너에 대한 읽기 전용 액세스를 활성화하면 최소 권한의 보안 주체를 준수하는 데 도움이 될 수 있습니다. 명시적인 읽기-쓰기 권한이 없는 한, 이 옵션은 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | 최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon Elastic File System(Amazon EFS)에 대해 사용자 적용이 활성화되어 있는지 확인합니다. 활성화되면 Amazon은 NFS 클라이언트의 사용자 및 그룹을 모든 파일 시스템 작업에 대해 액세스 포인트에 구성된 자격 증명IDs으로 EFS 대체하고이 강제 사용자 자격 증명에 대한 액세스 권한만 부여합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | Amazon EMR 클러스터용 Kerberos를 활성화하여 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버를 키 배포 센터()라고 합니다KDC. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. 는 KDC 인증을 위한 티켓을 발급하여 인증합니다. 는 영역 내에서 보안 주체의 데이터베이스, 암호 및 각 보안 주체에 대한 기타 관리 정보를 KDC 유지합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM)를 사용하면 IAM 그룹에 최소 한 명의 사용자가 있는지 확인하여 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인합니다.는 인라인 정책 대신 관리형 정책을 사용하도록 AWS 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS 자격 증명 및 액세스 관리(IAM)는 최소 권한 및 직무 분리 원칙을 액세스 권한 및 권한과 통합하는 데 도움이 되며, 정책이 “효과”: “허용”을 “작업”: “*”과 함께 “리소스”: “*”를 포함하도록 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | IAM 작업이 필요한 작업으로만 제한되도록 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM)는 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합하여 정책이 모든 AWS Key Management Service 키에 차단된 작업을 포함하지 못하도록 제한하는 데 도움이 될 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 파라미터를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: kms:암호 해독, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM)를 사용하면 IAM 그룹에 최소 한 명의 사용자가 있는지 확인하여 최소 권한 및 업무 분리 원칙을 액세스 권한 및 권한과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS 자격 증명 및 액세스 관리(IAM)는 최소 권한 및 직무 분리 원칙을 액세스 권한 및 권한과 통합하는 데 도움이 되며, 정책이 “효과”: “허용”을 “작업”: “*”과 함께 “리소스”: “*”를 포함하도록 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | 루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 역할 기반 AWS 계정 를 생성하고 사용하여 최소 기능의 원칙을 통합하는 데 도움이 됩니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM)는 사용자가 하나 이상의 그룹의 멤버가 되도록 하여 액세스 권한 및 권한 부여를 제한하는 데 도움이 될 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 관리자, 최종 사용자 또는 기타 구성 요소별로 워크로드의 각 구성 요소 또는 리소스에 액세스해야 합니다. 각 구성 요소에 대한 액세스 권한 부여 대상을 명확하게 정의하고 적절한 ID 유형과 인증 및 권한 부여 방법을 선택합니다. | AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않는 IAM 암호 및 액세스 키를 확인하여 액세스 권한 및 권한 부여를 지원합니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 maxCredentialUsageAge(구성 기본값: 90)로 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 조직 내 모든 ID에 대한 액세스를 제한하는 공통 제어 기능을 설정합니다. 예를 들어 특정 AWS 리전에 대한 액세스를 제한하거나 운영자가 중앙 보안 팀에 사용되는 IAM 역할과 같은 공통 리소스를 삭제하지 못하도록 할 수 있습니다. | AWS Organizations AWS 계정 내 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Elastic Compute AWS Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon OpenSearch Service(OpenSearch 서비스) 도메인이 Amazon Virtual Private AWS Cloud(Amazon) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다VPC. Amazon Virtual Private Cloud Amazon 내의 OpenSearch 서비스 도메인은 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이 OpenSearch 도 서비스와 Amazon 내의 다른 서비스 간의 안전한 통신을 VPC 가능하게 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon OpenSearch Service 도메인이 Amazon Virtual Private AWS Cloud(Amazon) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다VPC. Amazon Virtual Private Cloud Amazon 내의 Amazon OpenSearch Service 도메인은 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이 Amazon OpenSearch Service와 Amazon 내의 다른 서비스 간의 안전한 통신을 VPC 가능하게 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 해당 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Virtual Private Cloud(Amazon EC2) 내에 Amazon Elastic Compute Cloud(Amazon VPC) 인스턴스를 배포하여 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC없이 인스턴스와 Amazon 내의 다른 서비스 간에 안전한 통신을 가능하게 합니다. Amazon Virtual Private Cloud 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon 내에 있는 도메인VPC은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon에 할당VPC하여 액세스를 적절하게 관리합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Virtual Private Cloud(AmazonVPC) 내에 AWS Lambda 함수를 배포하여 Amazon 내의 함수와 다른 서비스 간의 안전한 통신을 보장합니다VPC. 이 구성에서는 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결에 대한 요구 사항이 없습니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon 내에 있는 도메인VPC은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. 액세스를 올바르게 관리하려면 AWS Lambda 함수를에 할당해야 합니다VPC. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Relational Database Service(AmazonRDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Relational Database Service(AmazonRDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Redshift 클러스터가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (Config Default: True), ignorePublicAcls ( blockPublicPolicy Config Default: True), blockPublicAcls (Config Default: True) 및 restrictPublicBuckets 파라미터(Config Default: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | AWS Secrets Manager에 미사용 자격 증명이 있는 경우 자격 증명을 비활성화 및/또는 제거해야 합니다. 최소 권한 원칙을 위반할 수 있습니다. 이 규칙을 사용하면 값을 unusedForDays (구성 기본값: 90)으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | AWS Systems Manager(SSM) 문서는 SSM 문서에 의도하지 않은 액세스를 허용할 수 있으므로 공개되지 않아야 합니다. 퍼블릭 SSM 문서는 계정, 리소스 및 내부 프로세스에 대한 정보를 노출할 수 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | Amazon Virtual Private AWS Cloud(VPC) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon Virtual Private Cloud 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| SEC-3 | 사람과 시스템에 대한 권한은 어떻게 관리하나요? 퍼블릭 및 크로스 계정 액세스를 강조하는 결과를 지속적으로 모니터링합니다. 퍼블릭 액세스 및 크로스 계정 액세스를 이러한 유형의 액세스가 필요한 리소스로만 제한하세요. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하는 경우 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스에 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션 또는 서버에 의도하지 않은 액세스가 허용될 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | API 게이트웨이 로깅은에 액세스한 사용자의 세부 보기API와에 액세스한 방법을 표시합니다API. 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon OpenSearch Service 도메인에서 감사 로깅이 활성화되어 있는지 확인합니다. 감사 로깅을 사용하면 인증 성공 및 실패, 요청, OpenSearch인덱스 변경 및 수신 검색 쿼리를 포함하여 OpenSearch 도메인에 대한 사용자 활동을 추적할 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon CloudWatch 을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리합니다. AWS CloudTrail 데이터를 포함하면 내 API 통화 활동에 대한 세부 정보가 제공됩니다 AWS 계정. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷의 객체에 액세스한 AWS 계정 정보, IP 주소 및 이벤트 시간이 포함됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되어 있는지 확인합니다. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인합니다. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사를 지원하고 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되어 있는지 확인합니다. 수집된 데이터는 로 전송된 요청에 대한 자세한 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | AWS CloudTrail 는 AWS Management Console 작업 및 API 호출을 기록합니다. 호출된 사용자 및 계정 AWS, 호출이 수행된 원본 IP 주소, 호출이 발생한 시기를 식별할 수 있습니다. MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우는 모든 AWS 리전에서 S3 버킷으로 로그 파일을 CloudTrail 전송합니다. 또한가 새 리전을 AWS 시작하면 CloudTrail 는 새 리전에서 동일한 추적을 생성합니다. 따라서 아무런 조치 없이 새 리전에 대한 API 활동이 포함된 로그 파일을 받게 됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 환경 내에서 로깅 및 모니터링을 지원하려면 Amazon Relational Database Service(AmazonRDS) 로깅이 활성화되어 있는지 확인하세요. Amazon RDS 로깅을 사용하면 연결, 연결 해제, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | VPC 흐름 로그는 Amazon Virtual Private Cloud(Amazon )의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 레코드를 제공합니다VPC. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 환경 내에서 로깅 및 모니터링을 지원하기 위해 리전 및 글로벌 웹에서 (V2) 로깅을 활성화합니다 AWS WAFACLs. AWS WAF 로깅은 웹에서 분석하는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그는 AWS 리소스로부터 요청을 받은 시간 AWS WAF, 요청에 대한 정보 및 각 요청이 일치하는 규칙에 대한 작업을 기록합니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 이 규칙은 여러 설정의 활성화를 AWS CloudTrail확인하여에 대한 AWS 권장 보안 모범 사례를 사용하는 데 도움이 됩니다. 여기에는 여러 리전 AWS CloudTrail 에서 로그 암호화, 로그 검증 및 활성화 사용이 포함됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (Config Default : TRUE) 및 loggingEnabled (Config Default: )에 대한 값을 설정해야 합니다TRUE. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움이 될 GuardDuty 수 있습니다. 여기에는 AWS 클라우드 환경 내에서 예상치 못한, 승인되지 않은, 악의적인 활동을 식별하기 위한 악의적인 및 IPs 기계 학습 목록이 포함됩니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | AWS Security Hub는 권한이 없는 직원, 연결, 디바이스 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 AWS 서비스의 보안 알림 또는 조사 결과를 집계, 구성 및 우선 순위를 지정합니다. 이러한 서비스 중에는 Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management(IAM) Access Analyzer, AWS Firewall Manager 및 AWS 파트너 솔루션이 있습니다. | |
| SEC-4 | 보안 이벤트는 어떻게 감지하고 조사하나요? 로그와 지표에서 이벤트를 캡처하고 분석하여 가시성을 확보합니다. 보안 이벤트 및 잠재적 위협에 대해 조치를 취해 워크로드를 보호할 수 있습니다. | 지표가 지정된 평가 기간 동안 임계값을 위반하면 Amazon CloudWatch 경보가 알림을 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (Config Default: True), insufficientDataActionRequired(Config Default: True), okActionRequired (Config Default: False)에 대한 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon OpenSearch Service(OpenSearch 서비스) 도메인이 Amazon Virtual Private AWS Cloud(Amazon) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다VPC. Amazon Virtual Private Cloud Amazon 내의 OpenSearch 서비스 도메인은 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이 OpenSearch 도 서비스와 Amazon 내의 다른 서비스 간의 안전한 통신을 VPC 가능하게 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon OpenSearch Service 도메인이 Amazon Virtual Private AWS Cloud(Amazon) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다VPC. Amazon Virtual Private Cloud Amazon 내의 Amazon OpenSearch Service 도메인은 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이 Amazon OpenSearch Service와 Amazon 내의 다른 서비스 간의 안전한 통신을 VPC 가능하게 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Virtual Private Cloud(Amazon EC2) 내에 Amazon Elastic Compute Cloud(Amazon VPC) 인스턴스를 배포하여 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC없이 인스턴스와 Amazon 내의 다른 서비스 간에 안전한 통신을 가능하게 합니다. Amazon Virtual Private Cloud 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon 내에 있는 도메인VPC은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon에 할당VPC하여 액세스를 적절하게 관리합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Virtual Private Cloud(AmazonVPC) 내에 AWS Lambda 함수를 배포하여 Amazon 내의 함수와 다른 서비스 간의 안전한 통신을 보장합니다VPC. 이 구성에서는 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결에 대한 요구 사항이 없습니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon 내에 있는 도메인VPC은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. 액세스를 올바르게 관리하려면 AWS Lambda 함수를에 할당해야 합니다VPC. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 향상된 VPC 라우팅은 클러스터와 데이터 리포지토리 간의 모든 COPY UNLOAD 트래픽이 Amazon를 통과하도록 합니다VPC. 그런 다음 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크 트래픽을 보호할 수 있습니다. VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수도 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 웹 애플리케이션을 보호하기 위해 Elastic Load Balancer(ELB)에서가 활성화되어 있는지 확인합니다 AWS WAF. 는 웹 애플리케이션을 보호하거나 일반적인 웹 악용APIs으로부터 보호하는 데 WAF 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | AWS WAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 세트(웹 액세스 제어 목록(웹 ACL)이라고 함)를 구성할 수 있습니다. Amazon API Gateway 단계가 WAF 웹과 연결되어 ACL 악의적인 공격으로부터 보호하는지 확인합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 여러가 있는지 확인합니다ENIs. 여러 개의 인스턴스가 있으면 듀얼 홈 인스턴스가 발생할 ENIs 수 있습니다. 즉, 서브넷이 여러 개 있는 인스턴스가 발생할 수 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로와 액세스가 발생할 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Elastic Compute AWS Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 해당 계정에 대한 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인합니다. Amazon 내의 워크로드에 대한 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 VPCs 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Relational Database Service(AmazonRDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Relational Database Service(AmazonRDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Redshift 클러스터가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 네트워크 트래픽의 수신 및 송신을 상태 저장 필터링하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (Config Default: True), ignorePublicAcls ( blockPublicPolicy Config Default: True), blockPublicAcls (Config Default: True) 및 restrictPublicBuckets 파라미터(Config Default: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | AWS Systems Manager(SSM) 문서는 SSM 문서에 의도하지 않은 액세스를 허용할 수 있으므로 공개되지 않아야 합니다. 퍼블릭 SSM 문서는 계정, 리소스 및 내부 프로세스에 대한 정보를 노출할 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Virtual Private AWS Cloud(VPC) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon Virtual Private Cloud 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 네트워크 트래픽의 수신 및 송신을 상태 저장 필터링하여 네트워크 액세스 관리를 지원할 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하는 경우 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스에 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션 또는 서버에 의도하지 않은 액세스가 허용될 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Elastic Compute AWS Cloud(AmazonEC2) 보안 그룹에서 공통 포트가 제한되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 선택적으로 blockedPort1~blockedPort5개의 파라미터를 설정할 수 있습니다(구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon Elastic Compute AWS Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| SEC-5 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 에 비어 있지 않은 규칙이 있는지 확인합니다 AWS WAF. 조건이 없는 규칙에는 의도하지 않은 동작이 발생할 수 있습니다. | |
| SEC-5 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 에 비어 있지 않은 규칙 그룹이 있는지 확인합니다 AWS WAF. 규칙 그룹이 비어 있으면 의도하지 않은 동작이 발생할 수 있습니다. | |
| SEC-5 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 에 ACL AWS WAF 연결된 웹에는 웹 요청을 검사하고 제어하는 규칙 및 규칙 그룹의 모음이 포함될 수 있습니다. 웹ACL이 비어 있는 경우 웹 트래픽은에서 감지하거나 조치를 취하지 않고 전달됩니다WAF. | |
| SEC-5 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 Amazon Virtual Private Cloud(VPC) 네트워크 액세스 제어 목록이 사용 중인지 확인합니다. 사용하지 않는 네트워크 액세스 제어 목록을 모니터링하면 환경의 정확한 인벤토리와 관리에 도움이 될 수 있습니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움이 될 GuardDuty 수 있습니다. 여기에는 AWS 클라우드 환경 내에서 예상치 못한, 승인되지 않은, 악의적인 활동을 식별하기 위한 악의적인 및 IPs 기계 학습 목록이 포함됩니다. | |
| SEC-5 | 네트워크 리소스는 어떻게 보호하나요? 인터넷이든 프라이빗 네트워크이든 관계없이 특정 형태의 네트워크 연결이 있는 모든 워크로드에는 외부 및 내부 네트워크 기반 위협으로부터 보호하는 데 도움이 되는 다중 방어 계층이 필요합니다. | VPC 흐름 로그는 Amazon Virtual Private Cloud(Amazon )의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 레코드를 제공합니다VPC. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Relational Database Service(RDS) 인스턴스에서 자동 마이너 버전 업그레이드를 활성화하여 보안 패치 및 버그 수정을 포함할 수 있는 관계형 데이터베이스 관리 시스템(RDBMS)에 대한 최신 마이너 버전 업데이트가 설치되도록 합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정 또는 삭제되었는지 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 업계 표준 알고리즘인 해싱의 경우 SHA-256, 디지털 서명의 경우 SHA-256RSA을 사용하여 구축되었습니다. 따라서 탐지 없이 CloudTrail 로그 파일을 수정, 삭제 또는 위조할 수 있는 계산이 불가능합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 여러 설정의 활성화를 AWS CloudTrail확인하여에 대한 AWS 권장 보안 모범 사례를 사용하는 데 도움이 됩니다. 여기에는 여러 리전 AWS CloudTrail 에서 로그 암호화, 로그 검증 및 활성화 사용이 포함됩니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Virtual Private Cloud(AmazonVPC) 내에 AWS Lambda 함수를 배포하여 Amazon 내의 함수와 다른 서비스 간의 안전한 통신을 보장합니다VPC. 이 구성에서는 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결에 대한 요구 사항이 없습니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon 내에 있는 도메인VPC은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. 액세스를 올바르게 관리하려면 AWS Lambda 함수를에 할당해야 합니다VPC. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Elastic Container Repository(ECR) 이미지 스캔은 컨테이너 이미지의 소프트웨어 취약성을 식별하는 데 도움이 됩니다. ECR 리포지토리에서 이미지 스캔을 활성화하면 저장되는 이미지의 무결성과 안전성에 대한 확인 계층이 추가됩니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 모니터링은 Amazon Elastic Container Service(ECS) 및 AWS 솔루션의 안정성, 가용성 및 성능을 유지하는 데 중요한 부분입니다. 또한 Container Insights는 컨테이너 재시작 오류 같은 진단 정보를 제공하여 문제를 격리하고 신속하게 해결할 수 있도록 도와줍니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 보안 업데이트 및 패치는 AWS Fargate 작업에 자동으로 배포됩니다. AWS Fargate 플랫폼 버전에 영향을 미치는 보안 문제가 발견되면는 플랫폼 버전을 AWS 패치합니다. AWS Fargate를 실행하는 Amazon Elastic Container Service(ECS) 작업의 패치 관리를 지원하려면 최신 플랫폼 버전을 사용하도록 서비스 독립 실행형 작업을 업데이트합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙을 사용하려면를 설정해야 합니다 allowVersionUpgrade. 기본값은 true입니다. 또한 (기본 preferredMaintenanceWindow 값은 sat:16:00-sat:16:30) 및 automatedSnapshotRetention기간(기본값은 1)을 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Elastic Compute Cloud(AmazonIMDSv2) 인스턴스 메타데이터의 액세스 및 제어를 보호하려면 인스턴스 메타데이터 서비스 버전 2(EC2) 메서드가 활성화되어 있는지 확인합니다. IMDSv2 메서드는 세션 기반 제어를 사용합니다. 를 사용하면 인스턴스 메타데이터에 대한 변경 사항을 제한하는 IMDSv2제어를 구현할 수 있습니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 여러가 있는지 확인합니다ENIs. 여러 개의 인스턴스가 있으면 듀얼 홈 인스턴스가 발생할 ENIs 수 있습니다. 즉, 서브넷이 여러 개 있는 인스턴스가 발생할 수 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로와 액세스가 발생할 수 있습니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Elastic Compute AWS Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | EC2 인스턴스 프로파일은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | AWS Systems Manager를 사용하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 생성할 수 있습니다. AWS Systems Manager를 사용하여 세부 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 보안 그룹이 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는에 연결되도록 합니다ENI. 이 규칙은 인벤토리에서 사용하지 않는 보안 그룹을 모니터링하고 환경을 관리하는 데 도움이 됩니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 조직의 표준에 따라 Amazon 인스턴스가 허용된 일수 이상 중지되었는지 확인하여 Amazon Elastic Compute Cloud(AmazonEC2) EC2 인스턴스의 기본 구성을 지원하려면이 규칙을 활성화합니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | 이 규칙은 인스턴스가 종료될 때 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 삭제 대상으로 표시되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능의 개념을 위반할 수 있습니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | AWS Systems Manager Associations를 사용하여 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 지원합니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보의 기준을 설정할 수 있습니다. | |
| SEC-6 | 컴퓨팅 리소스는 어떻게 보호하나요? 워크로드의 컴퓨팅 리소스를 외부 및 내부 위협으로부터 보호할 수 있는 다중 방어 계층이 필요합니다. 컴퓨팅 리소스에는 EC2 인스턴스, 컨테이너, AWS Lambda 함수, 데이터베이스 서비스, IoT 디바이스 등이 포함됩니다. | Amazon Elastic Compute Cloud(AmazonEC2) 취약성을 식별하고 문서화하는 데 도움이 되도록이 규칙을 활성화합니다. 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 API 게이트웨이 단계의 캐시에 암호화가 활성화되어 있는지 확인하세요. API 메서드에 민감한 데이터를 캡처할 수 있으므로 저장 시 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | AWS 백업 복구 시점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 시 민감한 데이터를 보호하려면 AWS CodeBuild 아티팩트에 암호화가 활성화되어 있는지 확인하세요. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 시 민감한 데이터를 보호하려면 Amazon S3에 저장된 AWS CodeBuild 로그에 암호화가 활성화되어 있는지 확인하세요. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하기 위해 AWS Key Management Service(CMKs)에서 필요한 고객 마스터 키()를 삭제하지 않도록 예약해야 합니다AWS KMS. 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 AWS CloudTrail 추적에 암호화가 활성화되어 있는지 확인합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 시 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하세요. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유 고객 마스터 키()로 암호화됩니다CMK. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 Amazon Elastic Block Store(AmazonEBS) 볼륨에 암호화가 활성화되어 있는지 확인하세요. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon Elastic File System()에 암호화가 활성화되어 있는지 확인합니다EFS. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon OpenSearch Service(OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon Elastic Block Store(AmazonEBS) 볼륨에 암호화가 활성화되어 있는지 확인합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon Relational Database Service(AmazonRDS) 스냅샷에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 Amazon Relational Database Service(AmazonRDS) 인스턴스에 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터는 Amazon RDS 인스턴스에 유휴 상태로 존재할 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 유휴 상태의 암호화를 활성화합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (Config Default : TRUE) 및 loggingEnabled (Config Default: )에 대한 값을 설정해야 합니다TRUE. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 Amazon Redshift 클러스터에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 SageMaker 엔드포인트에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터는 SageMaker 엔드포인트에 유휴 상태로 존재할 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 유휴 상태의 암호화를 활성화합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하기 위해 SageMaker 노트북에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. SageMaker 노트북에 민감한 데이터가 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 AWS Secrets Manager 보안 암호에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 저장 데이터를 보호하려면 Amazon Simple Notification Service(Amazon) 주제에 AWS Key Management Service(SNS)를 사용한 암호화가 필요한지 확인합니다AWS KMS. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | AWS Organizations AWS 계정 내 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (Config Default: True), ignorePublicAcls ( blockPublicPolicy Config Default: True), blockPublicAcls (Config Default: True) 및 restrictPublicBuckets 파라미터(Config Default: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-8 | 저장 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 처리 오류의 위험을 줄여 저장 데이터를 보호합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 에서 X509 인증서를 발급하여 네트워크 무결성을 보호합니다 AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 daysToExpiration (AWS 기본 보안 모범 사례 값: 90)에 대한 값이 필요합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스를 사용하여 퍼블릭 및 프라이빗SSL/TLS인증서를 관리, 프로비저닝 및 배포합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스를 사용하여 퍼블릭 및 프라이빗SSL/TLS인증서를 관리, 프로비저닝 및 배포합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 로 자동으로 리디렉션해야 합니다HTTPS. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 백엔드 시스템이 요청이 API 게이트웨이에서 시작되었음을 인증할 수 있도록 Amazon API Gateway REST API 단계가 SSL 인증서로 구성되어 있는지 확인합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Amazon OpenSearch Service에 대한 암호화가 활성화되어 있는지 확인합니다 node-to-node. Node-to-node 암호화는 Amazon Virtual Private Cloud(Amazon VPC) 내의 모든 통신에 대해 TLS1.2 암호화를 활성화합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Amazon OpenSearch Service에 대한 암호화가 활성화되어 있는지 확인합니다 node-to-node. Node-to-node 암호화는 Amazon Virtual Private Cloud(Amazon VPC) 내의 모든 통신에 대해 TLS1.2 암호화를 활성화합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하기 위해 HTTPS가 Amazon OpenSearch Service 도메인에 연결되도록 활성화되어 있는지 확인합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Amazon Redshift 클러스터가 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 Secure Socket Layer()를 사용하도록 요청해야 합니다SSL. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Elastic Load Balancer(ELBs)가 SSL 또는 HTTPS리스너로 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | VPC 흐름 로그는 Amazon Virtual Private Cloud(Amazon )의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 레코드를 제공합니다VPC. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| SEC-9 | 전송 중 데이터는 어떻게 보호하나요? 여러 제어를 구현하여 무단 액세스 또는 손실의 위험을 줄여 전송 중인 데이터를 보호합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움이 될 GuardDuty 수 있습니다. 여기에는 AWS 클라우드 환경 내에서 예상치 못한, 승인되지 않은, 악의적인 활동을 식별하기 위한 악의적인 및 IPs 기계 학습 목록이 포함됩니다. |
템플릿
템플릿은 Well-Architected Security Pillar의 GitHub운영 모범 사례에서 사용할 수 있습니다. AWS
