기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CIS AWS 파운데이션 벤치마크
Center for Internet Security (CIS) AWS Foundations Benchmark는에 대한 보안 구성 모범 사례 세트 역할을 합니다 AWS. 이러한 업계 인정 모범 사례는 명확하고 step-by-step 구현된 평가 절차를 제공합니다. 운영 체제에서 클라우드 서비스 및 네트워크 장치에 이르기까지 이 Benchmark의 제어 기능은 조직에서 사용하는 특정 시스템을 보호하는 데 도움이 됩니다.
AWS Security Hub 는 CIS AWS Foundations Benchmark v3.0.0, 1.4.0 및 v1.2.0을 지원합니다.
이 페이지에는 각 버전이 지원하는 보안 제어가 나열되어 있으며 버전 비교를 제공합니다.
CIS AWS 파운데이션 벤치마크 v3.0.0
Security Hub는 CIS AWS Foundations 벤치마크 버전 3.0.0을 지원합니다.
Security Hub는 CIS 보안 소프트웨어 인증의 요구 사항을 충족했으며 다음 CIS 벤치마크에 대한 CIS 보안 소프트웨어 인증을 받았습니다.
-
CIS CIS AWS Foundations 벤치마크 벤치마크, v3.0.0, 레벨 1
-
CIS CIS AWS Foundations 벤치마크 벤치마크, v3.0.0, 레벨 2
CIS AWS Foundations Benchmark v3.0.0에 적용되는 제어
[Account.1] AWS 계정에 대해 보안 연락처 정보를 제공해야 합니다.
[CloudTrail.1]읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 CloudTrail 합니다.
[CloudTrail.2]저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.7] S3 버킷에서 CloudTrail S3 버킷 액세스 로깅이 활성화되어 있는지 확인
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용하지 않아야 합니다.
[EC2.6] VPC 흐름 로깅을 모두 활성화해야 합니다. VPCs
[EC2.7] EBS 기본 암호화를 활성화해야 합니다.
[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
[EC2.21] 네트워크ACLs는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용하지 않아야 합니다.
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.
[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다.
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS
[IAM.2] IAM 사용자에게 IAM 정책이 연결되지 않아야 합니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 이하마다 교체되어야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키가 없어야 합니다.
콘솔 암호가 있는 모든 IAM 사용자에 대해 [IAM.5]를 활성화해야 MFA 합니다.
[IAM.6] 루트 사용자에 대해 하드웨어를 활성화해야 MFA 합니다.
루트 사용자에 대해 [IAM.9]를 활성화해야 MFA 합니다.
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 합니다.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인
[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support
[IAM.22] 45일 동안 사용되지 않은 IAM 사용자 자격 증명은 제거해야 합니다.
[IAM.26] 만료됨 SSL/TLS에서 관리되는 인증서를 제거IAM해야 합니다.
[IAM.27] 자격 IAM 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다.
[IAM.28] IAM Access Analyzer 외부 액세스 분석기를 활성화해야 합니다.
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성에 따라 퍼블릭 액세스를 금지해야 합니다.
[RDS.3] RDS DB 인스턴스에는 저장 시 암호화가 활성화되어 있어야 합니다.
[RDS.13] 마이너 버전 RDS 자동 업그레이드를 활성화해야 합니다.
[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다
[S3.5] S3 범용 버킷을 사용하려면 요청이 필요합니다. SSL
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.
[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.
[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.
CIS AWS 파운데이션 벤치마크 v1.4.0
Security Hub는 CIS AWS Foundations 벤치마크의 v1.4.0을 지원합니다.
CIS AWS Foundations Benchmark v1.4.0에 적용되는 제어
[CloudTrail.1]읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 CloudTrail 합니다.
[CloudTrail.2]저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 트레일은 Amazon CloudWatch Logs와 통합되어야 합니다.
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인합니다.
[CloudTrail.7] S3 버킷에서 CloudTrail S3 버킷 액세스 로깅이 활성화되어 있는지 확인
[CloudWatch.1] 루트 사용자 사용을 위한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.5] AWS Config CloudTrail 기간 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.14] VPC 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용하지 않아야 합니다.
[EC2.6] VPC 흐름 로깅을 모두 활성화해야 합니다. VPCs
[EC2.7] EBS 기본 암호화를 활성화해야 합니다.
[EC2.21] 네트워크ACLs는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용하지 않아야 합니다.
[IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용하지 않아야 합니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 이하마다 교체되어야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키가 없어야 합니다.
콘솔 암호가 있는 모든 IAM 사용자에 대해 [IAM.5]를 활성화해야 MFA 합니다.
[IAM.6] 루트 사용자에 대해 하드웨어를 활성화해야 MFA 합니다.
루트 사용자에 대해 [IAM.9]를 활성화해야 MFA 합니다.
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 합니다.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인
[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support
[IAM.22] 45일 동안 사용되지 않은 IAM 사용자 자격 증명은 제거해야 합니다.
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
[RDS.3] RDS DB 인스턴스에는 저장 시 암호화가 활성화되어 있어야 합니다.
[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다
[S3.5] S3 범용 버킷을 사용하려면 요청이 필요합니다. SSL
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.
Center for Internet Security(CIS) AWS Foundations 벤치마크 v1.2.0
Security Hub는 CIS AWS Foundations 벤치마크 버전 1.2.0을 지원합니다.
Security Hub는 CIS 보안 소프트웨어 인증의 요구 사항을 충족했으며 다음 CIS 벤치마크에 대한 CIS 보안 소프트웨어 인증을 받았습니다.
-
CIS CIS AWS Foundations 벤치마크, v1.2.0, 레벨 1에 대한 벤치마크
-
CIS CIS AWS Foundations 벤치마크 벤치마크, v1.2.0, 레벨 2
CIS AWS Foundations Benchmark v1.2.0에 적용되는 제어
[CloudTrail.1]읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 CloudTrail 합니다.
[CloudTrail.2]저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 트레일은 Amazon CloudWatch Logs와 통합되어야 합니다.
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인합니다.
[CloudTrail.7] S3 버킷에서 CloudTrail S3 버킷 액세스 로깅이 활성화되어 있는지 확인
[CloudWatch.1] 루트 사용자 사용을 위한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.2] 무단 API 호출에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.5] AWS Config CloudTrail 기간 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다.
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[CloudWatch.14] VPC 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다.
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용하지 않아야 합니다.
[EC2.6] VPC 흐름 로깅을 모두 활성화해야 합니다. VPCs
[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하지 않아야 합니다.
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하지 않아야 합니다.
[IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용하지 않아야 합니다.
[IAM.2] IAM 사용자에게 IAM 정책이 연결되지 않아야 합니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 이하마다 교체되어야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키가 없어야 합니다.
콘솔 암호가 있는 모든 IAM 사용자에 대해 [IAM.5]를 활성화해야 MFA 합니다.
[IAM.6] 루트 사용자에 대해 하드웨어를 활성화해야 MFA 합니다.
[IAM.8] 사용하지 않는 IAM 사용자 자격 증명을 제거해야 합니다.
루트 사용자에 대해 [IAM.9]를 활성화해야 MFA 합니다.
[IAM.11] IAM 암호 정책에 대문자가 하나 이상 필요한지 확인
[IAM.12] IAM 암호 정책에 소문자가 하나 이상 필요한지 확인
[IAM.13] IAM 암호 정책에 하나 이상의 기호가 필요한지 확인
[IAM.14] IAM 암호 정책에 하나 이상의 숫자가 필요한지 확인
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 합니다.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인
[IAM.17] IAM 암호 정책이 90일 이내에 암호를 만료하는지 확인
[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
CIS AWS Foundations 벤치마크 버전 비교
이 섹션에서는 Center for Internet Security(CIS) AWS Foundations Benchmark v3.0.0, v1.4.0 및 v1.2.0의 차이점을 요약합니다.
Security Hub는 CIS AWS Foundations 벤치마크의 각 버전을 지원하지만 v3.0.0을 사용하여 보안 모범 사례를 최신 상태로 유지하는 것이 좋습니다. 여러 버전의 표준을 동시에 활성화할 수 있습니다. 표준을 활성화하는 방법에 대한 지침은 Security Hub에서 보안 표준 활성화 섹션을 참조하세요. v3.0.0으로 업그레이드하려면 이전 버전을 비활성화하기 전에 먼저 활성화하십시오. 이렇게 하면 보안 검사의 격차를 방지할 수 있습니다. AWS Organizations 와 Security Hub 통합을 사용하고 여러 계정에서 v3.0.0을 일괄 활성화하려면 중앙 구성을 사용하는 것이 좋습니다.
각 버전의 CIS 요구 사항에 대한 제어 매핑
CIS AWS Foundations Benchmark의 각 버전에서 지원하는 제어를 이해합니다.
| 제어 ID 및 제목 | CIS v3.0.0 요구 사항 | CIS v1.4.0 요구 사항 | CIS v1.2.0 요구 사항 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
[CloudTrail.1]읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 CloudTrail 합니다. |
3.1 |
3.1 |
2.1 |
|
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
[CloudTrail.5] CloudTrail 트레일은 Amazon CloudWatch Logs와 통합되어야 합니다. |
지원되지 않음 -이 요구 사항 CIS 제거 |
3.4 |
2.4 |
|
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인합니다. |
지원되지 않음 -이 요구 사항 CIS 제거 |
3.3 |
2.3 |
|
[CloudTrail.7] S3 버킷에서 CloudTrail S3 버킷 액세스 로깅이 활성화되어 있는지 확인 |
3.4 |
3.6 |
2.6 |
|
지원되지 않음 - 수동 확인 |
4.3 |
3.3 |
|
|
[CloudWatch.2] 무단 API 호출에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
지원되지 않음 - 수동 확인 |
3.1 |
|
[CloudWatch.3] MFA 없는 로그인에 대해 관리 콘솔에 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
지원되지 않음 - 수동 확인 |
3.2 |
|
[CloudWatch.4] IAM 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.4 |
3.4 |
|
[CloudWatch.5] AWS Config CloudTrail 기간 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. |
지원되지 않음 - 수동 확인 |
4.5 |
3.5 |
|
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. |
지원되지 않음 - 수동 확인 |
4.6 |
3.6 |
|
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. |
지원되지 않음 - 수동 확인 |
4.7 |
3.7 |
|
[CloudWatch.8] S3 버킷 정책 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.8 |
3.8 |
|
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. |
지원되지 않음 - 수동 확인 |
4.9 |
3.9 |
|
[CloudWatch.10] 보안 그룹 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.10 |
3.10 |
|
[CloudWatch.11] 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.11 |
3.11 |
|
[CloudWatch.12] 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.12 |
3.12 |
|
[CloudWatch.13] 라우팅 테이블 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.13 |
3.13 |
|
[CloudWatch.14] VPC 변경 사항에 대해 로그 지표 필터 및 경보가 존재하는지 여부를 확인합니다. |
지원되지 않음 - 수동 확인 |
4.14 |
3.14 |
|
3.3 |
3.5 |
2.5 |
|
|
5.4 |
5.3 |
4.3 |
|
|
3.7 |
3.9 |
2.9 |
|
|
2.2.1 |
2.2.1 |
지원되지 않음 |
|
|
5.6 |
지원되지 않음 |
지원되지 않음 |
|
|
[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하지 않아야 합니다. |
지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 |
지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 |
4.1 |
|
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하지 않아야 합니다. |
지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 |
지원되지 않음 - 요구 사항 5.2 및 5.3으로 대체됨 |
4.2 |
|
[EC2.21] 네트워크ACLs는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용하지 않아야 합니다. |
5.1 |
5.1 |
지원되지 않음 |
|
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다. |
5.2 |
지원되지 않음 |
지원되지 않음 |
|
5.3 |
지원되지 않음 |
지원되지 않음 |
|
|
[EFS.1] Elastic File System은를 사용하여 유휴 파일 데이터를 암호화하도록 구성해야 합니다. AWS KMS |
2.4.1 |
지원되지 않음 |
지원되지 않음 |
|
지원되지 않음 |
1.16 |
1.22 |
|
|
1.15 |
지원되지 않음 |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
지원되지 않음 - 대신 [IAM.22] 45일 동안 사용되지 않은 IAM 사용자 자격 증명은 제거해야 합니다. 참조 |
지원되지 않음 - 대신 [IAM.22] 45일 동안 사용되지 않은 IAM 사용자 자격 증명은 제거해야 합니다. 참조 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.5 |
|
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.6 |
|
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.7 |
|
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.11 |
|
|
[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support |
1.17 |
1.17 |
1.2 |
|
지원되지 않음 -이 요구 사항 CIS 제거 |
지원되지 않음 -이 요구 사항 CIS 제거 |
1.1 |
|
|
1.12 |
1.12 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
1.19 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
[IAM.27] 자격 IAM 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다. |
1.22 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
1.20 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
3.6 |
3.8 |
2.8 |
|
|
지원되지 않음 - 수동 확인 |
지원되지 않음 - 수동 확인 |
지원되지 않음 - 수동 확인 |
|
|
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성에 따라 퍼블릭 액세스를 금지해야 합니다. |
2.3.3 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
2.3.1 |
2.3.1 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
2.3.2 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
2.1.4 |
2.1.5 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
2.1.1 |
2.1.2 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
2.1.4 |
2.1.5 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
|
|
2.1.2 |
2.1.3 |
지원되지 않음 - 이후 버전에서이 요구 사항 CIS 추가 |
ARNs CIS AWS Foundations 벤치마크용
하나 이상의 CIS AWS Foundations 벤치마크 버전을 활성화하면 AWS 보안 조사 결과 형식()에서 조사 결과를 수신하기 시작합니다ASFF. 에서 ASFF각 버전은 다음 Amazon 리소스 이름(ARN)을 사용합니다.
- CIS AWS 파운데이션 벤치마크 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- CIS AWS 파운데이션 벤치마크 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- CIS AWS 파운데이션 벤치마크 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
를 사용할 수 있습니다. GetEnabledStandards 활성화된 표준의를 찾기 API 위한 Security HubARN의 작업입니다.
앞의 값은 StandardsArn에 대한 것입니다. 그러나를 호출하여 표준을 구독할 때 Security Hub가 생성하는 표준 구독 리소스를 StandardsSubscriptionArn 나타냅니다. BatchEnableStandards 리전에 있습니다.
참고
CIS AWS Foundations Benchmark 버전을 활성화하면 Security Hub가 다른 활성화된 표준에서 활성화된 제어와 동일한 AWS Config 서비스 연결 규칙을 사용하는 제어에 대한 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. 제어 조사 결과 생성 일정에 대한 자세한 내용은 보안 검사 실행 예약 섹션을 참조하세요.
통합 제어 조사 결과를 켜면 조사 결과 필드가 달라집니다. 해당 차이점에 대한 자세한 내용은 ASFF 필드 및 값에 대한 통합의 영향 섹션을 참조하세요. 샘플 제어 조사 결과는 Security Hub의 샘플 제어 조사 결과 섹션을 참조하세요.
CIS Security Hub에서 지원되지 않는 요구 사항
앞의 표에 나와 있듯이 Security Hub는 모든 버전의 CIS AWS Foundations 벤치마크에서 모든 CIS 요구 사항을 지원하지 않습니다. 지원되지 않는 요구 사항 중 대부분은 AWS 리소스 상태를 검토하여 수동으로만 평가할 수 있습니다.
