기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 제어 대상 CloudFront
이러한 Security Hub 컨트롤은 Amazon CloudFront 서비스 및 리소스를 평가합니다.
이러한 제어 기능을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.
[CloudFront.1] CloudFront 배포에는 기본 루트 개체가 구성되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16)
범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스
심각도: 높음
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-default-root-object-configured
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 기본 루트 객체인 특정 객체를 반환하도록 구성되어 있는지 확인합니다. CloudFront 배포에 기본 루트 객체가 구성되어 있지 않으면 제어가 실패합니다.
사용자가 배포에 있는 객체 URL 대신 배포의 루트를 요청하는 경우가 있습니다. 이 경우 기본 루트 객체를 지정하면 웹 배포 내용이 노출되는 것을 방지하는 데 도움이 될 수 있습니다.
이제 Security Hub가 와 통합되었습니다
CloudFront 배포의 기본 루트 객체를 구성하려면 Amazon CloudFront 개발자 안내서의 기본 루트 객체를 지정하는 방법을 참조하십시오.
[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요해야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-viewer-policy-https
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포에서 최종 사용자가 HTTPS 직접 사용하도록 요구하는지 또는 리디렉션을 사용하는지 여부를 확인합니다. ViewerProtocolPolicy가 defaultCacheBehavior용 또는 cacheBehaviors용으로 allow-all로 설정된 경우 제어가 실패합니다.
HTTPS(TLS) 를 사용하면 잠재적 공격자가 네트워크 트래픽을 도청하거나 조작하기 위한 person-in-the-middle 또는 유사한 공격을 사용하지 못하도록 방지할 수 있습니다. HTTPS() TLS 를 통한 암호화된 연결만 허용되어야 합니다. 전송 중 데이터를 암호화하면 성능에 영향을 미칠 수 있습니다. 이 기능으로 애플리케이션을 테스트하여 성능 프로필과 그 영향을 이해해야 TLS 합니다.
이제 Security Hub가 와 통합되었습니다
전송 중인 CloudFront 배포를 암호화하려면 Amazon CloudFront 개발자 안내서의 최종 사용자 간 통신 요구 HTTPS 사항을 참조하십시오. CloudFront
[CloudFront.4] CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)
범주: 복구 > 복원력 > 고가용성
심각도: 낮음
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-origin-failover-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 오리진이 두 개 이상 있는 오리진 그룹으로 구성되어 있는지 확인합니다.
CloudFront 오리진 페일오버는 가용성을 높일 수 있습니다. 원본 장애 조치는 기본 오리진을 사용할 수 없거나 특정 응답 상태 코드를 반환하는 경우 트래픽을 보조 오리진으로 자동 리디렉션합니다. HTTP
이제 Security Hub가 와 통합되었습니다
CloudFront 배포를 위한 오리진 장애 조치를 구성하려면 Amazon CloudFront 개발자 안내서의 오리진 그룹 생성을 참조하십시오.
[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9), NIST.800-53.r5 AC-6 (9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4 (20), NIST .800-53.r5 SI-7 (8) NIST
범주: 식별 > 로깅
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-accesslogs-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 CloudFront 배포에 서버 액세스 로깅이 활성화되어 있는지 여부를 확인합니다. 배포에 대한 액세스 로깅이 활성화되지 않은 경우 제어가 실패합니다.
CloudFront 액세스 로그는 CloudFront 수신되는 모든 사용자 요청에 대한 자세한 정보를 제공합니다. 각 로그에는 요청이 수신된 날짜 및 시간, 요청한 뷰어의 IP 주소, 요청 소스, 뷰어의 요청 포트 번호 등의 정보가 포함됩니다.
이러한 로그는 보안 및 액세스 감사, 포렌식 조사와 같은 목적에 유용합니다. 액세스 로그를 분석하는 방법에 대한 추가 지침은 Amazon Athena 사용 설명서의 Amazon CloudFront 로그 쿼리를 참조하십시오.
이제 Security Hub가 와 통합되었습니다
CloudFront 배포에 대한 액세스 로깅을 구성하려면 Amazon CloudFront 개발자 안내서의 표준 로그 (액세스 로그) 구성 및 사용을 참조하십시오.
[CloudFront.6] CloudFront 배포가 활성화되어 있어야 합니다. WAF
관련 요구 사항: NIST.800-53.r5 AC-4 (21)
범주: 보호 > 보호 서비스
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-associated-with-waf
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 CloudFront 배포판이 다음 중 하나와 연관되어 있는지 확인합니다. AWS WAF 클래식 또는 AWS WAF 웹ACLs. 배포가 웹과 연결되어 있지 않으면 제어가 ACL 실패합니다.
AWS WAF 웹 애플리케이션을 보호하고 APIs 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 이를 통해 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 일련의 규칙 (웹 액세스 제어 목록ACL) 을 구성할 수 있습니다. CloudFront 배포가 다음과 연결되어 있는지 확인하십시오. AWS WAF 웹은 악의적인 공격으로부터 보호하는 ACL 데 도움이 됩니다.
이제 Security Hub가 와 통합되었습니다
연결하려면 AWS WAF ACL웹을 CloudFront 배포에 추가하려면 사용을 참조하십시오. AWS WAFAmazon CloudFront 개발자 안내서의 콘텐츠에 대한 액세스를 제어할 수 있습니다.
[CloudFront.7] CloudFront 배포에는 사용자 지정SSL/인증서를 사용해야 합니다. TLS
관련 요구 사항: NIST.800-53.r5 AC-1 7 (2) NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.r5 SC-1 2 (3), 3, NIST.800-53.r5 SC-1 3 (3), NIST.800-53.r5 SC-2 (4),, (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST.800-53.r5 SC-2
카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-custom-ssl-certificate
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 CloudFront 배포가 기본SSL/TLS인증서가 CloudFront 제공하는 것을 사용하는지 여부를 확인합니다. CloudFront 배포에서 사용자 지정SSL/TLS인증서를 사용하는 경우 이 제어가 전달됩니다. CloudFront 배포에서 기본SSL/TLS인증서를 사용하는 경우 이 제어가 실패합니다.
사용자 SSL TLS 지정/허용은 사용자가 대체 도메인 이름을 사용하여 콘텐츠에 액세스할 수 있도록 합니다. 사용자 지정 인증서를 다음 위치에 저장할 수 있습니다. AWS Certificate Manager (권장) 또는 inIAM.
이제 Security Hub가 와 통합되었습니다
사용자 SSL TLS 지정/인증서를 사용하여 CloudFront 배포에 사용할 대체 도메인 이름을 추가하려면 Amazon CloudFront 개발자 안내서의 대체 도메인 이름 추가를 참조하십시오.
[CloudFront.8] CloudFront 배포는 요청을 처리하는 SNI 데 사용해야 합니다. HTTPS
관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2
범주: 보호 > 보안 네트워크 구성
심각도: 낮음
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-sni-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 사용자 정의SSL/TLS인증서를 사용하고 있으며 HTTPS 요청을 처리하는 SNI 데 사용하도록 구성되어 있는지 확인합니다. 사용자 지정SSL/TLS인증서가 연결되어 있지만SSL/TLSsupport 방법이 전용 IP 주소인 경우 이 제어는 실패합니다.
서버 이름 표시 (SNI) 는 2010년 이후에 출시된 브라우저 및 클라이언트에서 지원하는 TLS 프로토콜의 확장입니다. 를 사용하여 HTTPS SNI 요청을 CloudFront 처리하도록 구성하는 경우 대체 도메인 이름을 각 엣지 로케이션의 IP 주소와 CloudFront 연결합니다. 시청자가 콘텐츠에 대한 HTTPS 요청을 제출하면 해당 요청을 올바른 엣지 로케이션의 IP 주소로 DNS 라우팅합니다. 도메인 이름의 IP 주소는SSL/TLS핸드셰이크 협상 과정에서 결정되며, IP 주소는 배포 전용으로 사용되지 않습니다.
이제 Security Hub가 와 통합되었습니다
HTTPS요청을 처리하는 데 사용할 CloudFront SNI 배포를 구성하려면 CloudFront 개발자 안내서의 Using SNI to Service HTTPS Request (대부분의 클라이언트에서 작동) 를 참조하십시오. 사용자 지정 SSL 인증서에 대한 자세한 내용은 SSL/TLS인증서를 함께 사용하기 위한 요구 사항을 참조하십시오 CloudFront.
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
관련 요구 사항: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, 3 ( NIST.800-53.r5 SC-13), NIST.800-53.r5 SC-2 (4),, NIST.800-53.r5 SC-2 (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8 NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6)
카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-traffic-to-origin-encrypted
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 사용자 지정 오리진에 대한 트래픽을 암호화하는지 확인합니다. 오리진 프로토콜 정책이 'http-only'를 CloudFront 허용하는 배포에서는 이 제어가 실패합니다. 배포의 원본 프로토콜 정책이 'match-viewer'이고 뷰어 프로토콜 정책이 'all-all'인 경우에도 이 제어가 실패합니다.
HTTPS(TLS) 를 사용하면 네트워크 트래픽의 도청이나 조작을 방지할 수 있습니다. HTTPS(TLS) 를 통한 암호화된 연결만 허용되어야 합니다.
이제 Security Hub가 와 통합되었습니다
CloudFront 연결에 암호화를 요구하도록 오리진 프로토콜 정책을 업데이트하려면 Amazon CloudFront Developer Guide의 사용자 지정 오리진 간 CloudFront 통신 요구를 HTTPS 참조하십시오.
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
관련 요구 사항: NIST.800-53.r5 AC-1 7 (2), NIST.800-53.r5 IA-5 (1) NIST.800-53.r5 AC-4, NIST.800-53.r5 SC-1 2 (3), 3, (4), NIST.800-53.r5 SC-1, (1), NIST.800-53.r5 SC-7 (2) NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-8 .800-53.r5 SI-7 NIST.800-53.r5 SC-8 (6) NIST
카테고리: 보호 > 데이터 보호 > 암호화 data-in-transit
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-no-deprecated-ssl-protocols
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 CloudFront 엣지 로케이션과 사용자 지정 오리진 간의 HTTPS 통신에 더 이상 사용되지 않는 SSL 프로토콜을 사용하고 있는지 확인합니다. CloudFront 배포에 where가 포함되어 있는 경우 이 제어가 실패합니다. CustomOriginConfig OriginSslProtocols SSLv3
2015년 인터넷 엔지니어링 태스크 포스 (Internet Engineering Task ForceIETF) 는 프로토콜의 보안이 불충분하기 때문에 SSL 3.0을 더 이상 사용하지 않아야 한다고 공식적으로 발표했습니다. 사용자 지정 HTTPS 오리진과의 통신에는 TLSv1 .2 이상을 사용하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
CloudFront 배포를 위한 오리진 SSL 프로토콜을 업데이트하려면 Amazon CloudFront 개발자 안내서의 사용자 지정 오리진 간 CloudFront 통신 요구를 HTTPS 참조하십시오.
[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.
관련 요구 사항: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST
범주: 식별 > 리소스 구성
심각도: 높음
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-s3-origin-non-existent-bucket
스케줄 유형: 주기적
파라미터: 없음
이 컨트롤은 Amazon CloudFront 배포가 존재하지 않는 Amazon S3 오리진을 가리키는지 여부를 확인합니다. 오리진이 존재하지 않는 버킷을 가리키도록 구성된 경우 CloudFront 배포에 대한 제어가 실패합니다. 이 제어는 정적 웹 사이트 호스팅이 없는 S3 버킷이 S3 오리진인 CloudFront 배포에만 적용됩니다.
계정의 CloudFront 배포가 존재하지 않는 버킷을 가리키도록 구성된 경우 악의적인 제3자가 참조된 버킷을 만들고 배포를 통해 자체 콘텐츠를 제공할 수 있습니다. 라우팅 동작에 관계없이 모든 오리진을 검사하여 배포가 적절한 오리진을 가리키고 있는지 확인하는 것이 좋습니다.
이제 Security Hub가 와 통합되었습니다
새 오리진을 가리키도록 CloudFront 배포를 수정하려면 Amazon CloudFront 개발자 안내서의 배포 업데이트를 참조하십시오.
[CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다.
범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스
심각도: 중간
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: cloudfront-s3-origin-access-control-enabled
스케줄 유형: 변경이 트리거됨
파라미터: 없음
이 제어는 Amazon S3 오리진이 있는 Amazon CloudFront 배포에 원본 액세스 제어 (OAC) 가 구성되어 있는지 확인합니다. CloudFront 배포용으로 OAC 구성되지 않은 경우 제어가 실패합니다.
S3 버킷을 CloudFront 배포용 오리진으로 사용하는 경우 활성화할 수 있습니다OAC. 이렇게 하면 지정된 CloudFront 배포를 통해서만 버킷의 콘텐츠에 액세스할 수 있고, 버킷이나 다른 배포에서 직접 액세스하는 것은 금지됩니다. Origin Access Identity (OAI) 를 CloudFront 지원하지만 추가 기능을 OAC 제공하며 를 사용하는 배포판은 OAI 이전할 수 있습니다. OAC S3 오리진에 안전하게 액세스할 수 있는 방법을 OAI 제공하기는 하지만 세분화된 정책 구성 및 에서 이 방법을 사용하는HTTP/HTTPS요청에 대한 지원이 부족하다는 등의 한계가 있습니다. POST AWS 리전 여기에는 다음이 필요합니다. AWS 시그니처 버전 4 (SigV4). OAI다음과 같은 암호화도 지원하지 않습니다. AWS Key Management Service. OAC를 기반으로 합니다. AWS IAM서비스 보안 주체를 사용하여 S3 오리진으로 인증하는 모범 사례.
이제 Security Hub가 와 통합되었습니다
S3 오리진을 사용하여 CloudFront 배포하도록 구성하려면 OAC Amazon CloudFront 개발자 안내서의 Amazon S3 오리진에 대한 액세스 제한을 참조하십시오.
[CloudFront.14] CloudFront 배포에는 태그를 지정해야 합니다.
범주: 식별 > 인벤토리 > 태깅
심각도: 낮음
리소스 유형: AWS::CloudFront::Distribution
AWS Config 규칙: tagged-cloudfront-distribution (사용자 지정 Security Hub 규칙)
스케줄 유형: 변경이 트리거됨
파라미터:
| 파라미터 | 설명 | 형식 | 허용된 사용자 지정 값 | Security Hub 기본값 |
|---|---|---|---|---|
requiredTagKeys
|
평가된 리소스에 포함되어야 하는 비시스템 태그 키 목록. 태그 키는 대소문자를 구별합니다. | StringList | 일치하는 태그 목록 AWS 요구 사항 | 기본값 없음 |
이 컨트롤은 Amazon CloudFront 배포에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 배포에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 배포에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.
태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.
참고
태그에 개인 식별 정보 (PII) 또는 기타 기밀 또는 민감한 정보를 추가하지 마십시오. 태그는 많은 사람들이 이용할 수 있습니다. AWS 서비스다음을 포함하여 AWS Billing. 태그 지정 모범 사례에 대한 자세한 내용은 태그 지정을 참조하십시오. AWS 의 리소스 AWS 일반 참조.
이제 Security Hub가 와 통합되었습니다
CloudFront 배포에 태그를 추가하려면 Amazon CloudFront 개발자 안내서의 Amazon CloudFront 배포에 태그 지정을 참조하십시오.
