기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

아마존용 Security Hub 컨트롤 EC2

이것들 AWS Security Hub 제어 기능은 Amazon Elastic Compute Cloud (AmazonEC2) 서비스 및 리소스를 평가합니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다. AWS 리전. 자세한 내용은 을 참조하십시오리전별 제어 기능 사용 가능 여부.

[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-2 1,, NIST.800-53.r5 AC-3 (7), (21), (11) NIST.800-53.r5 AC-3, (16), (20) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), (3) NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::::Account

AWS Config 규칙: ebs-snapshot-public-restorable-check

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon Elastic Block Store 스냅샷이 퍼블릭이 아닌지 여부를 확인합니다. Amazon EBS 스냅샷을 누구나 복원할 수 있는 경우 제어가 실패합니다.

EBS스냅샷은 특정 시점에 EBS 볼륨의 데이터를 Amazon S3에 백업하는 데 사용됩니다. 스냅샷을 사용하여 볼륨의 이전 상태를 복원할 수 있습니다EBS. 스냅샷을 퍼블릭과 공유하는 것은 거의 허용되지 않습니다. 일반적으로 스냅샷을 공개적으로 공유하기로 결정한 것은 오류이거나 그 의미를 완전히 이해하지 못한 채 이루어졌습니다. 이 확인을 통해 이러한 모든 공유가 완전히 계획되고 의도적으로 이루어졌는지 확인할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

퍼블릭 EBS 스냅샷을 비공개로 만들려면 Amazon EC2 사용 설명서의 스냅샷 공유를 참조하십시오. 작업, 권한 수정에서 비공개를 선택합니다.

[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, v3.2.1/1.3.4, v3.2.1/2.1, PCI DSS PCI DSS CIS AWS 파운데이션 벤치마크 v1.2.0/4.3, CIS AWS 파운데이션 벤치마크 v1.4.0/5.3, CIS AWS 파운데이션 벤치마크 v3.0.0/5.4,, (21), (11) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (16), (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5) NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-default-security-group-closed

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 a의 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 VPC 허용하는지 여부를 확인합니다. 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 허용하는 경우 제어가 실패합니다.

기본 보안 그룹의 규칙은 동일한 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)로부터의 모든 아웃바운드 및 인바운드 트래픽을 허용합니다. 기본 보안 정책을 사용하지 않는 것이 좋습니다. 기본 보안 그룹은 삭제할 수 없으므로 기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 이렇게 하면 인스턴스와 같은 리소스에 대해 기본 보안 그룹이 실수로 구성된 경우 의도하지 않은 트래픽을 방지할 수 있습니다. EC2

이제 Security Hub가 와 통합되었습니다

이 문제를 해결하려면 먼저 최소 권한의 보안 그룹을 새로 만들어야 합니다. 지침은 Amazon 사용 VPC 설명서의 보안 그룹 생성을 참조하십시오. 그런 다음 새 보안 그룹을 EC2 인스턴스에 할당합니다. 지침은 Amazon 사용 EC2 설명서의 인스턴스의 보안 그룹 변경을 참조하십시오.

새 보안 그룹을 리소스에 할당한 후 기본 보안 그룹에서 모든 인바운드 및 아웃바운드 규칙을 제거합니다. 지침은 Amazon 사용 VPC 설명서의 보안 그룹 규칙 구성을 참조하십시오.

[EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, NIST.800-53.r5 SC-2 8, NIST.800-53.r5 SC-2 8 (1), (10), NIST .800-53.r5 SI-7 NIST.800-53.r5 SC-7 (6)

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: encrypted-volumes

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 연결된 상태에 있는 EBS 볼륨이 암호화되었는지 여부를 확인합니다. 이 검사를 통과하려면 EBS 볼륨을 사용 중이고 암호화해야 합니다. EBS볼륨이 연결되어 있지 않으면 이 검사 대상이 아닙니다.

EBS볼륨에 있는 민감한 데이터의 보안을 강화하려면 저장 중 EBS 암호화를 활성화해야 합니다. Amazon EBS 암호화는 자체 키 관리 인프라를 구축, 유지 관리 및 보호할 필요가 없는 EBS 리소스에 대한 간단한 암호화 솔루션을 제공합니다. 암호화된 볼륨과 스냅샷을 생성할 때 KMS 키를 사용합니다.

Amazon EBS 암호화에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EBS 암호화를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

기존의 암호화되지 않은 볼륨 또는 스냅샷을 암호화하는 직접적인 방법은 없습니다. 새 볼륨이나 스냅샷을 생성할 때만 암호화할 수 있습니다.

기본적으로 암호화를 활성화한 경우 Amazon은 Amazon EBS 암호화의 기본 키를 사용하여 생성된 새 볼륨 또는 스냅샷을 EBS 암호화합니다. 암호화를 기본적으로 활성화하지 않은 경우라도 개별 볼륨 또는 스냅샷을 생성할 때 암호화를 활성화할 수 있습니다. 두 경우 모두 Amazon EBS 암호화의 기본 키를 재정의하고 대칭적인 고객 관리 키를 선택할 수 있습니다.

자세한 내용은 Amazon EC2사용 설명서의 Amazon EBS 볼륨 생성 및 Amazon EBS 스냅샷 복사를 참조하십시오.

[EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 식별 > 인벤토리

심각도: 중간

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-stopped-instance

스케줄 유형: 주기적

파라미터:

이 컨트롤은 Amazon EC2 인스턴스가 허용된 일수보다 오랫동안 중지되었는지 여부를 확인합니다. EC2인스턴스가 최대 허용 기간보다 오래 중지되면 제어가 실패합니다. 최대 허용 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 30일을 사용합니다.

EC2인스턴스가 상당한 기간 동안 실행되지 않으면 인스턴스가 적극적으로 유지 관리 (분석, 패치, 업데이트) 되지 않아 보안 위험이 발생합니다. 나중에 시작하는 경우 적절한 유지 관리가 이루어지지 않아 예상치 못한 문제가 발생할 수 있습니다. AWS 환경. 일정 기간 동안 비활성 상태인 EC2 인스턴스를 안전하게 유지 관리하려면 유지 관리를 위해 주기적으로 시작한 다음 유지 관리 후에 중지하십시오. 이 프로세스는 자동화된 것이 이상적입니다.

이제 Security Hub가 와 통합되었습니다

비활성 EC2 인스턴스를 종료하려면 Amazon EC2 사용 설명서의 인스턴스 종료를 참조하십시오.

[EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/2.9, CIS AWS 파운데이션 벤치마크 v1.4.0/3.9, CIS AWS 파운데이션 벤치마크 v3.0.0/3.7, v3.2.1/10.3.3, v3.2.1/10.3.4, v3.2.1/10.3.5, v3.2.1/10.3.5, PCI DSS v3.2.1/10.3.6, (26), .800-53.r5 SI-7 (8) PCI DSS PCI DSS PCI DSS NIST.800-53.r5 AC-4 NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7 NIST

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: vpc-flow-logs-enabled

스케줄 유형: 주기적

파라미터:

이 컨트롤은 Amazon VPC Flow Logs가 검색되고 활성화되었는지 여부를 확인합니다VPCs. 트래픽 유형이 Reject로 설정되어 있습니다. VPCs계정에서 VPC Flow Logs가 활성화되어 있지 않으면 제어가 실패합니다.

VPC플로우 로그 기능을 사용하면 네트워크 인터페이스에서 들어오고 나가는 IP 주소 트래픽에 대한 정보를 캡처할 수 있습니다VPC. 흐름 로그를 만든 후에는 CloudWatch Logs에서 해당 데이터를 보고 검색할 수 있습니다. 비용을 줄이기 위해 Amazon S3로 흐름 로그를 전송할 수도 있습니다.

Security Hub는 패킷 거부에 대한 흐름 로깅을 활성화할 것을 권장합니다. VPCs 흐름 로그는 경로를 통과하는 네트워크 트래픽에 대한 가시성을 제공하고 보안 VPC 워크플로 중에 비정상적인 트래픽을 탐지하거나 통찰력을 제공할 수 있습니다.

기본적으로 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 주소 흐름의 다른 구성 요소에 대한 값이 포함됩니다. 로그 필드에 대한 자세한 내용 및 설명은 Amazon VPC 사용 설명서의 VPC Flow Logs를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

VPC흐름 로그를 생성하려면 Amazon VPC 사용 설명서의 흐름 로그 생성을 참조하십시오. Amazon VPC 콘솔을 연 후 Your를 선택합니다VPCs. 필터에서 거부 또는 전부를 선택합니다.

[EC2.7] EBS 기본 암호화가 활성화되어야 합니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.4.0/2.2.1, CIS AWS 파운데이션 벤치마크 v3.0.0/2.2.1, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-1 3, 8, NIST.800-53.r5 SC-2 8 (1), (10), .800-53.r5 SI-7 (6) NIST.800-53.r5 SC-2 NIST.800-53.r5 SC-7 NIST

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: ec2-ebs-encryption-by-default

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 Amazon Elastic Block Store (Amazon) 에 계정 수준 암호화가 기본적으로 활성화되어 있는지 여부를 확인합니다. EBS 계정 수준 암호화가 활성화되지 않은 경우 제어가 실패합니다.

계정에 암호화가 활성화되면 Amazon EBS 볼륨과 스냅샷 사본이 유휴 상태에서 암호화됩니다. 그러면 데이터 보호 계층이 하나 더 추가됩니다. 자세한 내용은 Amazon EC2 사용 설명서의 기본 암호화를 참조하십시오.

단, R1, C1, M1의 인스턴스 유형은 암호화를 지원하지 않습니다.

이제 Security Hub가 와 통합되었습니다

Amazon EBS 볼륨의 기본 암호화를 구성하려면 Amazon EC2사용 설명서의 기본 암호화를 참조하십시오.

[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v3.0.0/5.6,, (15), NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3 NIST.800-53.r5 AC-6

카테고리: 보호 > 네트워크 보안

심각도: 높음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-imdsv2-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 인스턴스 메타데이터 버전이 EC2 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 로 구성되어 있는지 확인합니다. 필수로 설정된 경우 HttpTokens 제어가 IMDSv2 통과합니다. HttpTokens을 optional로 설정하면 제어가 실패합니다.

인스턴스 메타데이터를 사용하여 실행 중인 인스턴스를 구성하거나 관리합니다. 자주 교체되는 임시 자격 증명에 대한 액세스를 IMDS 제공합니다. 이러한 보안 인증을 사용하면 민감한 보안 인증 정보를 수동으로 또는 프로그래밍 방식으로 인스턴스에 하드 코딩하거나 배포할 필요가 없습니다. IMDS는 모든 EC2 인스턴스에 로컬로 연결됩니다. 이는 특수한 "링크 로컬" IP 주소 169.254.169.254에서 실행됩니다. 이 IP 주소는 인스턴스에서 실행되는 소프트웨어에서만 액세스할 수 있습니다.

버전 2에는 다음 유형의 취약성에 대한 새로운 보호 기능이 IMDS 추가되었습니다. 이러한 취약성은 액세스를 시도하는 데 사용될 수 있습니다. IMDS

Security Hub는 EC2 인스턴스를 다음과 같이 구성할 것을 권장합니다IMDSv2.

이제 Security Hub가 와 통합되었습니다

를 사용하여 EC2 IMDSv2 인스턴스를 구성하려면 Amazon EC2 사용 설명서의 요구 IMDSv2 권장 경로를 참조하십시오.

[EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-instance-no-public-ip

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 EC2 인스턴스에 퍼블릭 IP 주소가 있는지 확인합니다. 해당 publicIp 필드가 EC2 인스턴스 구성 항목에 있는 경우 제어가 실패합니다. 이 컨트롤은 IPv4 주소에만 적용됩니다.

공개 IPv4 주소는 인터넷에서 연결할 수 있는 IP 주소입니다. 퍼블릭 IP 주소로 인스턴스를 시작하면 인터넷에서 EC2 인스턴스에 연결할 수 있습니다. 프라이빗 IPv4 주소는 인터넷에서 연결할 수 없는 IP 주소입니다. 동일한 사설 네트워크 VPC 또는 연결된 사설 네트워크에 있는 EC2 인스턴스 간 통신에 사설 IPv4 주소를 사용할 수 있습니다.

IPv6주소는 전 세계적으로 고유하므로 인터넷을 통해 연결할 수 있습니다. 하지만 기본적으로 모든 서브넷의 IPv6 주소 지정 속성은 false로 설정되어 있습니다. 에 대한 IPv6 자세한 내용은 Amazon VPC 사용 설명서의 IP 주소 지정을 참조하십시오. VPC

퍼블릭 IP 주소로 EC2 인스턴스를 유지 관리하는 합법적인 사용 사례가 있는 경우 이 제어에서 발견한 내용을 숨길 수 있습니다. 프런트 엔드 아키텍처 옵션에 대한 자세한 내용은 다음을 참조하십시오. AWS 아키텍처 블로그 또는 This Is My Architecture 시리즈 AWS 동영상 시리즈.

이제 Security Hub가 와 통합되었습니다

인스턴스에 기본적으로 퍼블릭 IP 주소가 할당되지 VPC 않도록 기본값이 아닌 주소를 사용하십시오.

인스턴스를 기본 EC2 VPC 인스턴스로 시작하면 퍼블릭 IP 주소가 할당됩니다. 기본 인스턴스가 아닌 VPC 다른 EC2 인스턴스로 시작하는 경우 서브넷 구성에 따라 퍼블릭 IP 주소를 수신할지 여부가 결정됩니다. 서브넷에는 서브넷의 새 EC2 인스턴스가 퍼블릭 주소 풀로부터 퍼블릭 IP 주소를 받는지 여부를 결정하는 속성이 있습니다. IPv4

자동으로 할당된 퍼블릭 IP 주소를 인스턴스에서 분리할 수 있습니다. EC2 자세한 내용은 Amazon EC2 사용 설명서의 공용 IPv4 주소 및 외부 DNS 호스트 이름을 참조하십시오.

[EC2.10] Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 합니다. EC2

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4)

카테고리: 보호 > 보안 네트워크 구성 > API 개인 액세스

심각도: 중간

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: service-vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 EC2 컨트롤은 Amazon용 서비스 엔드포인트가 각각에 대해 생성되었는지 여부를 확인합니다VPC. a에 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트가 VPC 없는 경우 제어가 실패합니다.

이 제어는 단일 계정의 리소스를 평가합니다. 계정 외부에 있는 리소스는 설명할 수 없습니다. 왜냐하면 AWS Config Security Hub는 계정 간 검사를 수행하지 않으므로 계정 간에 공유된 FAILED 결과를 확인할 수 있습니다. VPCs Security Hub는 이러한 FAILED 조사 결과를 숨길 것을 권장합니다.

보안 상태를 개선하기 EC2 위해 Amazon이 인터페이스 VPC 엔드포인트를 사용하도록 구성할 수 있습니다. VPC 인터페이스 엔드포인트는 다음으로 구동됩니다. AWS PrivateLink, Amazon EC2 API 운영에 비공개로 액세스할 수 있게 해주는 기술입니다. 이는 VPC 귀하와 Amazon 간의 모든 네트워크 트래픽을 Amazon EC2 네트워크로 제한합니다. 엔드포인트는 동일한 지역 내에서만 지원되므로 다른 지역의 서비스와 엔드포인트 사이에 엔드포인트를 생성할 수 없습니다. VPC 이렇게 하면 Amazon에서 의도하지 않은 다른 지역으로 EC2 API 전화를 거는 것을 방지할 수 있습니다.

Amazon용 VPC 엔드포인트 생성에 대한 자세한 내용은 Amazon EC2 EC2사용 설명서의 Amazon EC2 및 인터페이스 VPC 엔드포인트를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Amazon EC2 콘솔에서 Amazon으로 연결되는 인터페이스 엔드포인트를 VPC 생성하려면 콘솔에서 VPC 엔드포인트 생성을 참조하십시오. AWS PrivateLink 가이드. 서비스 이름으로 com.amazonaws를 선택하십시오.region.ec2.

또한 엔드포인트 정책을 생성하여 엔드포인트에 연결하여 Amazon에 대한 액세스를 제어할 수 VPC EC2 API 있습니다. VPC엔드포인트 정책 생성에 대한 지침은 Amazon 사용 EC2 설명서의 엔드포인트 정책 생성을 참조하십시오.

[EC2.12] 사용하지 않는 아마존은 EC2 EIPs 삭제해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.4, .800-53.r5 CM-8 (1) NIST

범주: 보호 > 보안 네트워크 구성

심각도: 낮음

리소스 유형: AWS::EC2::EIP

AWS Config 규칙: eip-attached

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 VPC a에 할당된 Elastic IP (EIP) 주소가 EC2 인스턴스에 연결되어 있는지 또는 사용 중인 엘라스틱 네트워크 인터페이스 (ENIs) 에 연결되어 있는지 확인합니다.

검색에 실패하면 사용하지 않은 EC2 EIPs 것일 수 있습니다.

이렇게 하면 카드 소지자 데이터 환경 () CDE 의 EIPs 자산 인벤토리를 정확하게 유지하는 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

사용하지 않는 주소를 릴리스하려면 Amazon EC2 사용 EIP 설명서의 엘라스틱 IP 주소 해제를 참조하십시오.

[EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2,, (21), (11), (16), NIST.800-53.r5 AC-4 (21), (4) NIST.800-53.r5 AC-4, (5) NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: restricted-ssh

스케줄 유형: 트리거된 변경 및 주기적 변경

파라미터: 없음

이 컨트롤은 Amazon EC2 보안 그룹이 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용하는지 여부를 확인합니다. 보안 그룹에서 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS 있습니다. 어떤 보안 그룹에서도 포트 22에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. 와 같은 SSH 원격 콘솔 서비스에 대한 무제한 연결을 제거하면 서버의 위험 노출을 줄일 수 있습니다.

이제 Security Hub가 와 통합되었습니다

포트 22로의 침입을 금지하려면 a와 연결된 각 보안 그룹에 대해 이러한 액세스를 허용하는 규칙을 제거하십시오. VPC 지침은 Amazon 사용 EC2 설명서의 보안 그룹 규칙 업데이트를 참조하십시오. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/4.2

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: (생성된 규칙은 다음과 같습니다.) restricted-common-portsrestricted-rdp

스케줄 유형: 트리거된 변경 및 주기적 변경

파라미터: 없음

이 컨트롤은 Amazon EC2 보안 그룹이 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용하는지 여부를 확인합니다. 보안 그룹에서 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS 있습니다. 어떤 보안 그룹에서도 포트 3389에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. 와 같은 RDP 원격 콘솔 서비스에 대한 무제한 연결을 제거하면 서버의 위험 노출을 줄일 수 있습니다.

이제 Security Hub가 와 통합되었습니다

포트 3389로의 침입을 금지하려면 a와 연결된 각 보안 그룹에 대해 이러한 액세스를 허용하는 규칙을 제거하십시오. VPC 지침은 Amazon 사용 VPC 설명서의 보안 그룹 규칙 업데이트를 참조하십시오. Amazon VPC 콘솔에서 보안 그룹을 선택한 후 [작업], [인바운드 규칙 편집] 을 선택합니다. 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

카테고리: 보호 > 네트워크 보안

심각도: 중간

리소스 유형: AWS::EC2::Subnet

AWS Config 규칙: subnet-auto-assign-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon Virtual Private Cloud (AmazonVPC) 서브넷의 퍼블릭 IPs 할당이 로 MapPublicIpOnLaunch FALSE 설정되었는지 여부를 확인합니다. 플래그가 FALSE로 설정되면 제어가 전달됩니다.

모든 서브넷에는 서브넷에서 생성된 네트워크 인터페이스가 퍼블릭 주소를 자동으로 수신할지 여부를 결정하는 속성이 있습니다. IPv4 이 속성이 활성화된 서브넷에서 시작되는 인스턴스에는 기본 네트워크 인터페이스에 퍼블릭 IP 주소가 할당됩니다.

이제 Security Hub가 와 통합되었습니다

퍼블릭 IP 주소를 할당하지 않도록 서브넷을 구성하려면 Amazon VPC User Guide의 서브넷의 퍼블릭 IPv4 주소 지정 속성 수정을 참조하십시오. 공개 IPv4 주소 자동 할당 활성화 확인란의 선택을 취소합니다.

[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

관련 요구 사항: NIST .800-53.r5 CM-8 (1)

카테고리: 보호 > 네트워크 보안

심각도: 낮음

리소스 유형: AWS::EC2::NetworkAcl

AWS Config 규칙: vpc-network-acl-unused-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 가상 사설 클라우드 () 에 사용되지 않은 네트워크 액세스 제어 목록 (네트워크ACLs) 이 있는지 확인합니다. VPC 네트워크가 서브넷과 연결되어 ACL 있지 않으면 제어가 실패합니다. 컨트롤은 사용하지 않는 기본 네트워크에 대한 결과를 생성하지 않습니다. ACL

컨트롤은 AWS::EC2::NetworkAcl 리소스의 항목 구성을 확인하고 네트워크 ACL 관계를 결정합니다.

ACL네트워크와의 관계만 있는 VPC 경우 제어가 실패합니다.

다른 관계가 나열되면 제어가 통과합니다.

이제 Security Hub가 와 통합되었습니다

사용하지 않는 네트워크를 ACL 삭제하는 방법에 대한 지침은 Amazon 사용 VPC 설명서의 네트워크 ACL 삭제를 참조하십시오. 기본 네트워크 ACL 또는 서브넷과 ACL 연결된 네트워크는 삭제할 수 없습니다.

[EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

관련 요구 사항: NIST.800-53.r5 AC-4 (21)

카테고리: 보호 > 네트워크 보안

심각도: 낮음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-instance-multiple-eni-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 EC2 인스턴스가 여러 엘라스틱 네트워크 인터페이스 (ENIs) 또는 엘라스틱 패브릭 어댑터 (EFAs) 를 사용하는지 확인합니다. 이 제어는 단일 네트워크 어댑터를 사용하는 경우 통과됩니다. 컨트롤에는 허용된 항목을 식별하는 선택적 파라미터 목록이 포함되어 ENIs 있습니다. Amazon EKS 클러스터에 속한 EC2 인스턴스가 두 개 이상을 사용하는 경우에도 이 제어는 ENI 실패합니다. Amazon EKS 클러스터의 ENIs 일부로 여러 EC2 인스턴스를 포함해야 하는 경우 이러한 제어 결과를 숨길 수 있습니다.

다중 인스턴스로 인해 듀얼 홈 인스턴스, 즉 서브넷이 여러 개 있는 인스턴스가 발생할 ENIs 수 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로와 액세스가 발생할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

EC2인스턴스에서 네트워크 인터페이스를 분리하려면 Amazon 사용 EC2 설명서의 인스턴스에서 네트워크 인터페이스 분리를 참조하십시오.

[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-open-only-to-authorized-ports

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 보안 그룹이 승인되지 않은 포트로부터의 무제한 수신 트래픽을 허용하는지 여부를 확인합니다. 제어 상태는 다음과 같이 결정합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS. 보안 그룹 규칙은 최소 권한 액세스 원칙을 따라야 합니다. 무제한 액세스 (접미사가 /0인 IP 주소) 는 해킹, denial-of-service 공격, 데이터 손실과 같은 악의적인 활동의 기회를 높입니다. 포트가 특별히 허용되지 않는 한, 포트는 무제한 액세스를 거부해야 합니다.

이제 Security Hub가 와 통합되었습니다

보안 그룹을 수정하려면 Amazon VPC 사용 설명서의 보안 그룹 사용을 참조하십시오.

[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1) NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (5)

범주: 보호 > 제한된 네트워크 액세스

심각도: 심각

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: restricted-common-ports(생성된 규칙은 다음과 같습니다.vpc-sg-restricted-common-ports)

스케줄 유형: 트리거된 변경 및 주기적 변경

파라미터: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"(사용자 지정할 수 없음)

이 제어는 Amazon EC2 보안 그룹의 무제한 수신 트래픽이 위험도가 높은 것으로 간주되는 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 하나라도 '0.0.0.0/0' 또는 '::/0'에서 해당 포트로의 수신 트래픽을 허용하는 경우 이 제어는 실패합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS 있습니다. 무제한 액세스 (0.0.0.0/0) 는 해킹, 공격, 데이터 손실과 같은 악의적인 활동의 기회를 증가시킵니다. denial-of-service 어떤 보안 그룹도 다음 포트에 대한 무제한 수신 액세스를 허용해서는 안 됩니다.

이제 Security Hub가 와 통합되었습니다

보안 그룹에서 규칙을 삭제하려면 Amazon EC2 사용 설명서의 보안 그룹에서 규칙 삭제를 참조하십시오.

[EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-3 6, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-13 (5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형:AWS::EC2::VPNConnection

AWS Config 규칙: vpc-vpn-2-tunnels-up

스케줄 유형: 변경이 트리거됨

파라미터: 없음

VPN터널은 고객 네트워크에서 데이터를 주고받을 수 있는 암호화된 링크입니다. AWS 내부 AWS 사이트 간 연결VPN. 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 있습니다. 두 VPN 터널 모두 VPN 연결에 적합한지 확인하는 것은 터널 간의 안전하고 가용성이 높은 연결을 확인하는 데 중요합니다. AWS VPC그리고 원격 네트워크.

이 컨트롤은 에서 제공하는 두 VPN 터널을 모두 확인합니다. AWS 사이트 간 상태가 VPN UP 상태입니다. 터널 중 하나 또는 두 개가 모두 상태에 있으면 제어가 실패합니다. DOWN

이제 Security Hub가 와 통합되었습니다

VPN터널 옵션을 수정하려면 의 사이트 간 VPN 터널 옵션 수정을 참조하십시오. AWS 사이트 간 사용자 가이드VPN.

[EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.4.0/5.1, CIS AWS 파운데이션 벤치마크 v3.0.0/5.1, NIST.800-53.r5 AC-4 (21), (1),, (21), (5) NIST.800-53.r5 CA-9 NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 중간

리소스 유형:AWS::EC2::NetworkAcl

AWS Config 규칙: nacl-no-unrestricted-ssh-rdp

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 네트워크 액세스 제어 목록 (네트워크ACL) 이 SSH RDP /ingress 트래픽의 기본 TCP 포트에 대한 무제한 액세스를 허용하는지 여부를 확인합니다. 네트워크 ACL 인바운드 엔트리에서 포트 22 또는 3389에 대해 '0.0.0.0/0' 또는 ': :/0'의 소스 CIDR 블록을 허용하는 경우 제어가 실패합니다. TCP 컨트롤은 기본 네트워크에 대한 결과를 생성하지 않습니다. ACL

포트 22 (SSH) 및 포트 3389 (RDP) 와 같은 원격 서버 관리 포트에 대한 액세스는 공개적으로 액세스해서는 안 됩니다. 이렇게 하면 내부 리소스에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. VPC

이제 Security Hub가 와 통합되었습니다

네트워크 ACL 트래픽 규칙을 편집하려면 Amazon VPC 사용 설명서의 네트워크 ACLs 사용을 참조하십시오.

[EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

범주: 식별 > 인벤토리

심각도: 중간

리소스 유형:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config 규칙: ec2-security-group-attached-to-eni-periodic

스케줄 유형: 주기적

파라미터: 없음

이 컨트롤은 보안 그룹이 Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스에 연결되어 있는지 또는 탄력적 네트워크 인터페이스에 연결되어 있는지 확인합니다. 보안 그룹이 Amazon EC2 인스턴스 또는 Elastic network 인터페이스와 연결되어 있지 않으면 제어가 실패합니다.

이제 Security Hub가 와 통합되었습니다

보안 그룹을 생성, 할당 및 삭제하려면 Amazon EC2 사용 설명서의 보안 그룹을 참조하십시오.

[EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 CA-9 (1), NIST .800-53.r5 CM-2

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형:AWS::EC2::TransitGateway

AWS Config 규칙: ec2-transit-gateway-auto-vpc-attach-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 EC2 트랜짓 게이트웨이가 공유 VPC 첨부 파일을 자동으로 수락하는지 확인합니다. 공유 VPC 첨부 파일 요청을 자동으로 수락하는 전송 게이트웨이에서는 이 제어가 실패합니다.

켜면 전송 게이트웨이가 계정 간 첨부 파일 요청을 자동으로 수락하도록 AutoAcceptSharedAttachments 구성합니다. 이때 요청이나 VPC 첨부 파일의 출처 계정을 확인하지 않고도 모든 계정 간 첨부 요청을 자동으로 수락할 수 있습니다. 권한 부여 및 인증의 모범 사례를 따르려면 이 기능을 해제하여 승인된 VPC 첨부 요청만 수락되도록 하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

트랜짓 게이트웨이를 수정하려면 Amazon VPC 개발자 안내서의 트랜짓 게이트웨이 수정을 참조하십시오.

[EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

관련 요구 사항: NIST .800-53.r5 CM-2, .800-53.r5 CM-2 (2) NIST

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 중간

리소스 유형:AWS::EC2::Instance

AWS Config 규칙: ec2-paravirtual-instance-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 EC2 인스턴스의 가상화 유형이 반가상인지 여부를 확인합니다. EC2인스턴스의 가 virtualizationType 로 paravirtual 설정된 경우 제어가 실패합니다.

Linux Amazon 머신 이미지 (AMIs) 는 반가상화 (PV) 와 하드웨어 가상 머신 (HVM) 이라는 두 가지 가상화 유형 중 하나를 사용합니다. PV와 PV의 주요 차이점은 부팅 방식과 성능 향상을 위해 특수 하드웨어 확장 (CPU, 네트워크 및 스토리지) 을 활용할 수 있는지 여부입니다. HVM AMIs

과거에는 PV 게스트가 HVM 게스트보다 더 나은 성능을 보인 경우가 많았지만 HVM 가상화의 개선과 PV 드라이버의 가용성으로 인해 더 이상 그렇지 HVM AMIs 않습니다. 자세한 내용은 Amazon EC2 사용 설명서의 Linux AMI 가상화 유형을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

인스턴스를 새 EC2 인스턴스 유형으로 업데이트하려면 Amazon EC2 사용 설명서의 인스턴스 유형 변경을 참조하십시오.

[EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2 1 NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3 (7) NIST.800-53.r5 AC-4,, NIST.800-53.r5 AC-4 (21) NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형:AWS::EC2::LaunchTemplate

AWS Config 규칙: ec2-launch-template-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon EC2 시작 템플릿이 시작 시 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 구성되어 있는지 확인합니다. EC2시작 템플릿이 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 구성되어 있거나 퍼블릭 IP 주소가 있는 네트워크 인터페이스가 하나 이상 있는 경우 제어가 실패합니다.

퍼블릭 IP 주소는 인터넷을 통해 연결할 수 있는 주소입니다. 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스와 연결된 리소스에 연결할 수 있습니다. EC2리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 워크로드에 의도하지 않은 액세스가 허용될 수 있기 때문입니다.

이제 Security Hub가 와 통합되었습니다

EC2시작 템플릿을 업데이트하려면 Amazon EC2 Auto Scaling 사용 설명서의 기본 네트워크 인터페이스 설정 변경을 참조하십시오.

[EC2.28] EBS 볼륨은 백업 플랜에 포함되어야 합니다.

범주: 복구 > 복원력 > 백업 활성화

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5 (2), NIST .800-53.r5 SI-12, .800-53.r5 SI-13 (5) NIST

심각도: 낮음

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: ebs-resources-protected-by-backup-plan

스케줄 유형: 주기적

파라미터:

이 컨트롤은 in-use 상태의 Amazon EBS 볼륨이 백업 계획의 적용 대상인지 여부를 평가합니다. EBS볼륨이 백업 계획에 포함되지 않는 경우 제어가 실패합니다. backupVaultLockCheck매개 변수를 다음과 같이 설정하면 EBS 볼륨이 다음 위치에 백업된 경우에만 제어가 통과합니다. true AWS Backup 잠긴 저장소.

백업을 통해 보안 사고로부터 더 빨리 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. 백업 계획에 Amazon EBS 볼륨을 포함하면 의도하지 않은 손실 또는 삭제로부터 데이터를 보호할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

Amazon EBS 볼륨을 추가하려면 AWS Backup 백업 계획에 대한 자세한 내용은 백업 계획에 리소스 할당을 참조하십시오. AWS Backup 개발자 가이드.

[EC2.33] EC2 트랜짓 게이트웨이 첨부 파일에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGatewayAttachment

AWS Config 규칙: tagged-ec2-transitgatewayattachment (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 Transit Gateway 첨부 파일에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 트랜짓 게이트웨이 첨부 파일에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 트랜짓 게이트웨이 첨부 파일에 어떤 키로도 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2트랜짓 게이트웨이 첨부 파일에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.34] EC2 트랜짓 게이트웨이 라우팅 테이블에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGatewayRouteTable

AWS Config 규칙: tagged-ec2-transitgatewayroutetable (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 트랜짓 게이트웨이 라우팅 테이블에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 트랜짓 게이트웨이 라우팅 테이블에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 트랜짓 게이트웨이 라우팅 테이블에 키 태그가 지정되지 않으면 실패합니다. 로 aws: 시작하는 시스템 태그는 자동으로 적용되며 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2트랜짓 게이트웨이 라우팅 테이블에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.35] EC2 네트워크 인터페이스에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NetworkInterface

AWS Config 규칙: tagged-ec2-networkinterface (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 네트워크 인터페이스에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 네트워크 인터페이스에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 네트워크 인터페이스에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2네트워크 인터페이스에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.36] EC2 고객 게이트웨이에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::CustomerGateway

AWS Config 규칙: tagged-ec2-customergateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 고객 게이트웨이에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 고객 게이트웨이에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 고객 게이트웨이에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2고객 게이트웨이에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.37] EC2 엘라스틱 IP 주소에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::EIP

AWS Config 규칙: tagged-ec2-eip (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 Elastic IP 주소에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 엘라스틱 IP 주소에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 엘라스틱 IP 주소에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2엘라스틱 IP 주소에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.38] EC2 인스턴스에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: tagged-ec2-instance (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 인스턴스에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 인스턴스에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 인스턴스에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2인스턴스에 태그를 추가하려면 Amazon EC2사용 설명서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

[EC2.39] EC2 인터넷 게이트웨이에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::InternetGateway

AWS Config 규칙: tagged-ec2-internetgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 인터넷 게이트웨이에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 인터넷 게이트웨이에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 인터넷 게이트웨이에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2인터넷 게이트웨이에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.40] EC2 NAT 게이트웨이에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NatGateway

AWS Config 규칙: tagged-ec2-natgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 네트워크 주소 변환 (NAT) 게이트웨이에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. NAT게이트웨이에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 NAT 게이트웨이에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2NAT게이트웨이에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2 지정을 참조하십시오.

[EC2.41] EC2 네트워크에는 태그가 ACLs 지정되어야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NetworkAcl

AWS Config 규칙: tagged-ec2-networkacl (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 네트워크 액세스 제어 목록 (네트워크ACL) 에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 네트워크에 ACL 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 네트워크에 키 태그가 ACL 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2네트워크에 ACL 태그를 추가하려면 Amazon EC2사용 설명서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

[EC2.42] EC2 라우팅 테이블에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::RouteTable

AWS Config 규칙: tagged-ec2-routetable (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 라우팅 테이블에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 라우팅 테이블에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 라우팅 테이블에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2라우팅 테이블에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.43] EC2 보안 그룹에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: tagged-ec2-securitygroup (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 보안 그룹에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 보안 그룹에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 보안 그룹에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2보안 그룹에 태그를 추가하려면 Amazon EC2사용 설명서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

[EC2.44] EC2 서브넷에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Subnet

AWS Config 규칙: tagged-ec2-subnet (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 서브넷에 requiredTagKeys 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다. 서브넷에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredTagKeys 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 서브넷에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2서브넷에 태그를 추가하려면 Amazon EC2사용 설명서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

[EC2.45] EC2 볼륨에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: tagged-ec2-subnet (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 볼륨에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 볼륨에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 볼륨에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2볼륨에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2 지정을 참조하십시오.

[EC2.46] 아마존에는 태그가 VPCs 지정되어야 합니다

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: tagged-ec2-vpc (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon Virtual Private Cloud (AmazonVPC) 에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. VPCAmazon에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 Amazon에 키 태그가 VPC 지정되지 않으면 실패합니다. 로 aws: 시작하는 시스템 태그는 자동으로 적용되며 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

에 태그를 추가하려면 VPC Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2 지정을 참조하십시오.

[EC2.47] Amazon VPC 엔드포인트 서비스는 태그가 지정되어야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPCEndpointService

AWS Config 규칙: tagged-ec2-vpcendpointservice (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon VPC 엔드포인트 서비스에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 엔드포인트 서비스에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 엔드포인트 서비스에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

Amazon VPC 엔드포인트 서비스에 태그를 추가하려면 의 엔드포인트 서비스 구성 섹션에서 태그 관리를 참조하십시오. AWS PrivateLink 가이드.

[EC2.48] Amazon VPC 플로우 로그는 태그가 지정되어야 합니다

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::FlowLog

AWS Config 규칙: tagged-ec2-flowlog (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon VPC 흐름 로그에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 흐름 로그에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 제공하지 requiredTagKeys 않는 경우 컨트롤은 태그 키의 존재 여부만 확인하고 흐름 로그에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

Amazon VPC 흐름 로그에 태그를 추가하려면 Amazon 사용 설명서의 흐름 로그에 태그 VPC지정을 참조하십시오.

[EC2.49] Amazon VPC 피어링 연결에는 태그가 지정되어야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPCPeeringConnection

AWS Config 규칙: tagged-ec2-vpcpeeringconnection (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon VPC 피어링 연결에 파라미터에 requiredTagKeys 정의된 특정 키가 포함된 태그가 있는지 확인합니다. 피어링 연결에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 실패합니다. requiredTagKeys 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 피어링 연결에 키 태그가 지정되지 않으면 실패합니다. 로 aws: 시작하는 시스템 태그는 자동으로 적용되며 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

Amazon VPC 피어링 연결에 태그를 추가하려면 Amazon EC2사용 설명서의 Amazon EC2 리소스 태그 지정을 참조하십시오.

[EC2.50] EC2 VPN 게이트웨이에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPNGateway

AWS Config 규칙: tagged-ec2-vpngateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 VPN Gateway에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. VPN게이트웨이에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 매개 변수를 requiredTagKeys 제공하지 않으면 컨트롤은 태그 키의 존재 여부만 확인하고 VPN 게이트웨이에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2VPN게이트웨이에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2 지정을 참조하십시오.

[EC2.51] EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2 (12), NIST.800-53.r5 AC-2 (4), (26), NIST.800-53.r5 AC-4 (9),, NIST.800-53.r5 AC-6 (9) NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 AU-9(7), NIST.800-53.r5 CA-7, NIST .800-53.r5 SI-3 NIST.800-53.r5 SC-7 (8), .800-53.r5 SI-4, NIST .800-53.r5 SI-7 (8) NIST NIST

범주: 식별 > 로깅

심각도: 낮음

리소스 유형: AWS::EC2::ClientVpnEndpoint

AWS Config 규칙: ec2-client-vpn-connection-log-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 다음을 확인합니다. AWS Client VPN 엔드포인트에 클라이언트 연결 로깅이 활성화되어 있습니다. 엔드포인트에 클라이언트 연결 로깅이 활성화되어 있지 않으면 제어가 실패합니다.

클라이언트 VPN 엔드포인트를 사용하면 원격 클라이언트가 가상 사설 클라우드 (VPC) 의 리소스에 안전하게 연결할 수 있습니다. AWS. 연결 로그를 사용하면 VPN 엔드포인트에서 사용자 활동을 추적하고 가시성을 확보할 수 있습니다. 연결 로깅을 활성화하면 로그 그룹에서 로그 스트림의 이름을 지정할 수 있습니다. 로그 스트림을 지정하지 않으면 클라이언트 VPN 서비스가 로그 스트림을 자동으로 생성합니다.

이제 Security Hub가 와 통합되었습니다

연결 로깅을 활성화하려면 의 기존 클라이언트 VPN 엔드포인트에 대한 연결 로깅 활성화를 참조하십시오. AWS Client VPN 관리자 안내서.

[EC2.52] EC2 트랜짓 게이트웨이에는 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGateway

AWS Config 규칙: tagged-ec2-transitgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon EC2 트랜짓 게이트웨이에 파라미터에 정의된 특정 키가 포함된 태그가 있는지 확인합니다requiredTagKeys. 트랜짓 게이트웨이에 태그 키가 없거나 파라미터에 지정된 모든 키가 없는 경우 제어가 requiredTagKeys 실패합니다. 파라미터가 제공되지 requiredTagKeys 않은 경우 컨트롤은 태그 키의 존재 여부만 확인하고 트랜짓 게이트웨이에 키 태그가 지정되지 않으면 실패합니다. 자동으로 적용되고 로 aws: 시작되는 시스템 태그는 무시됩니다.

태그는 사용자가 할당하는 레이블입니다. AWS 리소스는 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 구성, 검색 및 필터링할 수 있습니다. 또한 태그를 지정하면 작업 및 알림에 대한 책임 있는 리소스 소유자를 추적할 수 있습니다. 태그 지정을 사용하면 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 속성 기반 액세스 제어 (ABAC) 를 구현할 수 있습니다. IAM엔티티 (사용자 또는 역할) 및 엔티티에 태그를 첨부할 수 있습니다. AWS 있습니다. 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 만들 수 IAM 있습니다. 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 이러한 ABAC 정책을 설계할 수 있습니다. 자세한 내용은 용도를 참조하십시오 ABAC. AWS? IAM사용 설명서에서.

이제 Security Hub가 와 통합되었습니다

EC2트랜짓 게이트웨이에 태그를 추가하려면 Amazon 사용 설명서의 Amazon EC2 리소스 태그 EC2지정을 참조하십시오.

[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v3.0.0/5.2

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-port-restriction-check

스케줄 유형: 주기적

파라미터:

이 컨트롤은 Amazon EC2 보안 그룹이 0.0.0.0/0에서 원격 서버 관리 포트 (포트 22 및 3389) 로의 수신을 허용하는지 여부를 확인합니다. 보안 그룹이 0.0.0.0/0에서 포트 22 또는 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS 있습니다. TDP(6), UDP (17) 또는 (-1) 프로토콜을 사용하여 포트 22 및 포트 3389와 같은 SSH 원격 서버 관리 포트에 대한 무제한 인그레스 액세스를 허용하는 보안 그룹은 없는 RDP 것이 좋습니다. ALL 이러한 포트에 대한 공개 액세스를 허용하면 리소스 공격 범위가 늘어나고 리소스 손상 위험이 커집니다.

이제 Security Hub가 와 통합되었습니다

지정된 포트로의 수신 트래픽을 금지하도록 EC2 보안 그룹 규칙을 업데이트하려면 Amazon EC2 User Guide의 보안 그룹 규칙 업데이트를 참조하십시오. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22 또는 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.54] EC2 보안 그룹은: :/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v3.0.0/5.3

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-port-restriction-check

스케줄 유형: 주기적

파라미터:

이 컨트롤은 Amazon EC2 보안 그룹이: :/0에서 원격 서버 관리 포트 (포트 22 및 3389) 로의 수신을 허용하는지 확인합니다. 보안 그룹이: :/0에서 포트 22 또는 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 스테이트풀 필터링을 제공합니다. AWS 있습니다. TDP(6), UDP (17) 또는 (-1) 프로토콜을 사용하여 포트 22 및 포트 3389와 같은 SSH 원격 서버 관리 포트에 대한 무제한 인그레스 액세스를 허용하는 보안 그룹은 없는 RDP 것이 좋습니다. ALL 이러한 포트에 대한 공개 액세스를 허용하면 리소스 공격 범위가 늘어나고 리소스 손상 위험이 커집니다.

이제 Security Hub가 와 통합되었습니다

지정된 포트로의 수신 트래픽을 금지하도록 EC2 보안 그룹 규칙을 업데이트하려면 Amazon EC2 User Guide의 보안 그룹 규칙 업데이트를 참조하십시오. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22 또는 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.