기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon EC2에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon Elastic Compute Cloud(Amazon EC2) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::::Account

AWS Config 규칙: ebs-snapshot-public-restorable-check

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon Elastic Block Store 스냅샷이 퍼블릭이 아닌지 여부를 확인합니다. 누구나 Amazon EBS 스냅샷을 복원할 수 있는 경우, 제어가 실패합니다.

EBS 스냅샷은 특정 시점에 EBS 볼륨의 데이터를 Amazon S3에 백업하는 데 사용됩니다. 스냅샷을 사용하여 EBS 볼륨의 이전 상태를 복원할 수 있습니다. 스냅샷을 퍼블릭과 공유하는 것은 거의 허용되지 않습니다. 일반적으로 스냅샷을 공개적으로 공유하기로 결정한 것은 오류이거나 그 의미를 완전히 이해하지 못한 채 이루어졌습니다. 이 확인을 통해 이러한 모든 공유가 완전히 계획되고 의도적으로 이루어졌는지 확인할 수 있습니다.

문제 해결

퍼블릭 EBS 스냅샷을 프라이빗으로 만들려면 Amazon EC2 사용 설명서의 스냅샷 공유를 참조하세요. 작업, 권한 수정에서 비공개를 선택합니다.

[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1,PCI DSS v3.2.1/1.3.4,PCI DSS v3.2.1/2.1, CIS AWS Foundations Benchmark v1.2.0/4.3, CIS AWS Foundations Benchmark v1.4.0/5.3, CIS AWS Foundations Benchmark v3.0.0/5.4, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-75 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-default-security-group-closed

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 VPC의 기본 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 허용하는지 여부를 확인합니다. 보안 그룹이 인바운드 또는 아웃바운드 트래픽을 허용하는 경우, 제어가 실패합니다.

기본 보안 그룹의 규칙은 동일한 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)로부터의 모든 아웃바운드 및 인바운드 트래픽을 허용합니다. 기본 보안 정책을 사용하지 않는 것이 좋습니다. 기본 보안 그룹은 삭제할 수 없으므로 기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 이렇게 하면 EC2 인스턴스와 같은 리소스에 대해 기본 보안 그룹이 실수로 구성된 경우, 의도하지 않은 트래픽을 방지할 수 있습니다.

문제 해결

이 문제를 해결하려면 먼저 최소 권한의 보안 그룹을 새로 만들어야 합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 생성을 참조하세요. 그런 다음 새로운 보안 그룹을 EC2 인스턴스에 할당합니다. 지침은 Amazon EC2 사용 설명서의 인스턴스의 보안 그룹 변경을 참조하세요.

새로운 보안 그룹을 리소스에 할당한 후 기본 보안 그룹에서 모든 인바운드 및 아웃바운드 규칙을 제거합니다. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 규칙 구성을 참조하세요.

[EC2.3] 연결된 Amazon EBS 볼륨은 저장 시 암호화되어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: encrypted-volumes

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 연결 상태인 EBS 볼륨이 암호화되었는지 확인합니다. 이 확인을 통과하려면 EBS 볼륨이 사용 중이고 암호화되어야 합니다. EBS 볼륨이 연결되어 있지 않으면 이 확인 범위에 속하지 않습니다.

EBS 볼륨에서 중요한 데이터의 보안을 강화하려면 유휴 상태에서 EBS 암호화를 활성화해야 합니다. Amazon EBS 암호화는 자체 키 관리 인프라를 사용자가 직접 구축, 유지 및 보호할 필요가 없는 EBS 리소스에 대한 간단한 암호화 솔루션을 제공합니다. 암호화된 볼륨과 스냅샷을 생성할 때 KMS 키를 사용합니다.

Amazon EBS 암호화에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EBS 암호화를 참조하세요.

이제 Security Hub가 와 통합되었습니다

기존의 암호화되지 않은 볼륨 또는 스냅샷을 암호화하는 직접적인 방법은 없습니다. 새로운 볼륨이나 스냅샷을 생성할 때만 암호화할 수 있습니다.

암호화를 기본적으로 활성화한 경우, Amazon EBS는 Amazon EBS 암호화에 대한 사용자의 기본 키를 사용하여, 결과로 얻은 새로운 볼륨 또는 스냅샷을 암호화합니다. 암호화를 기본적으로 활성화하지 않은 경우라도 개별 볼륨 또는 스냅샷을 생성할 때 암호화를 활성화할 수 있습니다. 두 경우 모두 Amazon EBS 암호화의 기본 키를 재정의하고 대칭 고객 관리형 키를 선택할 수 있습니다.

자세한 내용은 Amazon EC2 사용 설명서의 Amazon EBS 볼륨 생성 및 Amazon EBS 스냅샷 복사를 참조하세요.

[EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 식별 > 인벤토리

심각도: 중간

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-stopped-instance

스케줄 유형: 주기적

파라미터:

이 제어는 Amazon EC2 인스턴스가 허용된 일수보다 오랫동안 중지되어 있는지 확인합니다. EC2 인스턴스가 최대 허용 기간보다 오랫동안 중지되면 제어가 실패합니다. 최대 허용 기간에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 Security Hub는 기본값인 30일을 사용합니다.

EC2 인스턴스를 상당 기간 실행하지 않으면 인스턴스가 활발하게 유지 관리(분석, 패치, 업데이트)되지 않아 보안 위험이 발생합니다. 나중에 시작하는 경우 적절한 유지 관리가 부족하면 AWS 환경에서 예기치 않은 문제가 발생할 수 있습니다. 일정 기간 동안 EC2 인스턴스를 비활성 상태로 안전하게 유지 관리하려면 유지 관리를 위해 주기적으로 시작한 다음 유지 관리 후에 중지하세요. 이 프로세스는 자동화된 것이 이상적입니다.

문제 해결

EC2 인스턴스 종료에 대한 자세한 내용은 Amazon EC2 사용 설명서의 인스턴스 종료를 참조하세요.

[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/2.9, CIS AWS Foundations Benchmark v1.4.0/3.9, CIS AWS Foundations Benchmark v3.0.0/3.7, PCI DSS v3.2.1/10.3.3,PCI DSS v3.2.1/10.3.4,PCI DSS v3.2.1/10.3.5,PCI DSS v3.2.1/10.3.6, NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800AU-653.r5(36.r5) AU-6 CA-7 SI-7

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: vpc-flow-logs-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 Amazon VPC 흐름 로그가 발견되어 VPC에 대해 활성화되어 있는지 확인합니다. 트래픽 유형이 Reject로 설정되어 있습니다. 계정의 VPC에 대해 VPC 흐름 로그를 활성화하지 않으면 제어가 실패합니다.

VPC 흐름 로그 기능을 사용하면 VPC의 네트워크 인터페이스에서 들어오고 나가는 IP 주소 트래픽에 대한 정보를 캡처할 수 있습니다. 흐름 로그를 생성한 후 CloudWatch Logs에서 해당 데이터를 보고 검색할 수 있습니다. 비용을 줄이기 위해 Amazon S3로 흐름 로그를 전송할 수도 있습니다.

Security Hub에서는 VPC에 대한 패킷 거부에 대한 흐름 로깅을 활성화할 것을 권장합니다. 흐름 로그는 VPC를 통과하는 네트워크 트래픽에 대한 가시성을 제공하고 비정상적인 트래픽을 감지하거나 보안 워크플로 중에 인사이트를 제공할 수 있습니다.

기본적으로 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 주소 흐름의 다른 구성 요소에 대한 값이 포함됩니다. 로그 필드에 대한 자세한 내용 및 설명은 Amazon VPC 사용 설명서의 VPC 흐름 로그를 참조하세요.

문제 해결

VPC 흐름 로그를 생성하려면 Amazon VPC 사용 설명서의 흐름 로그 생성을 참조하세요. Amazon VPC 콘솔을 연 다음 VPC를 선택합니다. 필터에서 거부 또는 전부를 선택합니다.

[EC2.7] EBS 기본 암호화를 활성화해야 합니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.4.0/2.2.1, CIS AWS 파운데이션 벤치마크 v3.0.0/2.2.1, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: ec2-ebs-encryption-by-default

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 계정 수준 암호화가 기본적으로 활성화되어 있는지 확인합니다. 계정 수준 암호화가 EBS 볼륨에 대해 활성화되지 않은 경우 제어가 실패합니다.

계정에 암호화가 활성화되면 Amazon EBS 볼륨과 스냅샷 사본이 저장 중 암호화됩니다. 그러면 데이터 보호 계층이 하나 더 추가됩니다. 자세한 내용은 Amazon EC2 사용 설명서에서 기본적으로 암호화를 참조하세요.

문제 해결

Amazon EBS 볼륨에 대한 기본 암호화를 구성하려면 Amazon EC2 사용 설명서의 기본 암호화를 참조하세요.

[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/5.6, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6, PCI DSS v4.0.1/2.2.6

범주: 보호 > 네트워크 보안

심각도: 높음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-imdsv2-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 EC2 인스턴스 메타데이터 버전이 IMDSv2(인스턴스 메타데이터 서비스 버전 2)로 구성되어 있는지 확인합니다. IMDSv2에 대해 HttpTokens이 필수로 설정된 경우, 제어가 통과됩니다. HttpTokens을 optional로 설정하면 제어가 실패합니다.

인스턴스 메타데이터를 사용하여 실행 중인 인스턴스를 구성하거나 관리합니다. IMDS는 자주 교체되는 임시 보안 인증 정보에 대한 액세스를 제공합니다. 이러한 보안 인증을 사용하면 민감한 보안 인증 정보를 수동으로 또는 프로그래밍 방식으로 인스턴스에 하드 코딩하거나 배포할 필요가 없습니다. IMDS는 모든 EC2 인스턴스에 로컬로 연결됩니다. 이는 특수한 "링크 로컬" IP 주소 169.254.169.254에서 실행됩니다. 이 IP 주소는 인스턴스에서 실행되는 소프트웨어에서만 액세스할 수 있습니다.

IMDS 버전 2에는 다음 유형의 취약성에 대한 새로운 보호 기능이 추가되었습니다. 이러한 취약성을 이용하여 IMDS에 액세스할 수 있습니다.

Security Hub에서는 IMDSv2로 EC2 인스턴스를 구성할 것을 권장합니다.

문제 해결

IMDSv2를 사용하여 EC2 인스턴스를 구성하려면 Amazon EC2 사용 설명서의 IMDSv2를 필요로 하는 권장 경로를 참조하세요.

[EC2.9] Amazon EC2 인스턴스에는 퍼블릭 IPv4 주소가 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-instance-no-public-ip

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 EC2 인스턴스에 퍼블릭 IP 주소가 있는지 여부를 확인합니다. publicIp 필드가 EC2 인스턴스 구성 항목에 있으면 제어가 실패합니다. 이 제어는 IPv4 주소에만 적용됩니다.

퍼블릭 IPv4 주소는 인터넷을 통해 연결할 수 있는 IP 주소입니다. 퍼블릭 IP 주소로 인스턴스를 시작하는 경우, 인터넷에서 EC2 인스턴스에 연결할 수 있습니다. 프라이빗 IPv4 주소는 인터넷을 통해 연결할 수 없는 IP 주소입니다. 동일한 VPC 또는 연결된 프라이빗 네트워크에 있는 EC2 인스턴스 간의 통신에 프라이빗 IPv4 주소를 사용할 수 있습니다.

IPv6 주소는 전역적으로 고유하므로 인터넷으로 접속할 수 있습니다. 그러나 기본적으로 모든 서브넷에는 IPv6 주소 지정 속성이 false로 설정되어 있습니다. IPv6에 대한 자세한 내용은 Amazon VPC 사용 설명서의 VPC에서 IP 주소 지정을 참조하세요.

퍼블릭 IP 주소를 사용하여 EC2 인스턴스를 유지 관리하는 합법적인 사용 사례가 있는 경우, 이 제어에서 조사 결과를 숨길 수 있습니다. 프런트엔드 아키텍처 옵션에 대한 자세한 내용은 AWS 아키텍처 블로그 또는 내 아키텍처 시리즈 AWS 비디오 시리즈를 참조하세요.

문제 해결

기본적으로 인스턴스에 퍼블릭 IP 주소가 할당되지 않도록 기본이 아닌 VPC를 사용하세요.

EC2 인스턴스를 기본 VPC로 시작하면 퍼블릭 IP 주소가 할당됩니다. 기본 VPC가 아닌 VPC에서 EC2 인스턴스를 시작하는 경우, 서브넷 구성에 따라 퍼블릭 IP 주소를 수신할지 여부가 결정됩니다. 서브넷에는 서브넷의 새로운 EC2 인스턴스가 퍼블릭 IPv4 주소 풀에서 퍼블릭 IP 주소를 수신하는지 확인하는 속성이 있습니다.

EC2 인스턴스에서 자동으로 할당된 퍼블릭 IP 주소를 수동으로 연결하거나 연결 해제할 수 없습니다. 자세한 내용은 Amazon EC2 사용 설명서의 퍼블릭 IPv4 주소 및 외부 DNS 호스트 이름을 참조하세요.

[EC2.10] Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 네트워크 구성 > API 프라이빗 액세스

심각도: 중간

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: service-vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 각 VPC에 대해 Amazon EC2용 서비스 엔드포인트가 생성되었는지 여부를 확인합니다. Amazon EC2 서비스용으로 생성된 VPC 엔드포인트가 VPC에 없으면 제어가 실패합니다.

이 제어는 단일 계정의 리소스를 평가합니다. 계정 외부에 있는 리소스는 설명할 수 없습니다. AWS Config 및 Security Hub는 교차 계정 확인을 수행하지 않으므로 계정 간에 공유되는 VPCs에 대한 FAILED 조사 결과가 표시됩니다. Security Hub는 이러한 FAILED 조사 결과를 숨길 것을 권장합니다.

VPC의 보안 상태를 개선하기 위해 인터페이스 VPC 엔드포인트를 사용하도록 Amazon EC2를 구성할 수 있습니다. 인터페이스 엔드포인트는 Amazon EC2 API 작업에 비공개로 액세스할 수 있는 AWS PrivateLink기술로 구동됩니다. 이는 VPC 및 Amazon ECR 간의 모든 네트워크 트래픽을 Amazon 네트워크로 제한합니다. 엔드포인트는 동일한 리전 내에서만 지원되므로 VPC와 다른 리전의 서비스 간에 엔드포인트를 생성할 수 없습니다. 이렇게 하면 다른 리전에 대한 의도하지 않은 Amazon EC2 API 호출을 방지할 수 있습니다.

Amazon EC2용 VPC 엔드포인트 생성에 대한 자세한 내용은 Amazon EC2 사용 설명서의 Amazon EC2 및 인터페이스 VPC 엔드포인트를 참조하세요.

문제 해결

Amazon VPC 콘솔에서 Amazon EC2에 대한 인터페이스 엔드포인트를 생성하려면 AWS PrivateLink 안내서의 VPC 엔드포인트 생성을 참조하세요. 서비스 이름에 com.amazonaws.region.ec2를 선택합니다.

또한 엔드포인트 정책을 생성하고 VPC 엔드포인트에 연결하여 Amazon EC2 API에 대한 액세스를 제어할 수도 있습니다. VPC 엔드포인트 정책 생성에 대한 지침은 Amazon EC2 사용 설명서의 엔드포인트 정책 생성을 참조하세요.

[EC2.12] 사용하지 않는 Amazon EC2 EIP는 제거해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.4, NIST.800-53.r5 CM-8(1)

범주: 보호 > 보안 네트워크 구성

심각도: 낮음

리소스 유형: AWS::EC2::EIP

AWS Config 규칙: eip-attached

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 VPC에 할당된 탄력적 IP(EIP) 주소가 EC2 인스턴스 또는 사용 중인 탄력적 네트워크 인터페이스(ENI)에 연결되어 있는지 확인합니다.

실패한 조사 결과는 사용되지 않은 EC2 EIP가 있을 수 있음을 나타냅니다.

이는 카드 소지자 데이터 환경(CDE)에서 EIP의 정확한 자산 목록을 유지하는 데 도움이 됩니다.

문제 해결

사용하지 않은 EIP를 해제하려면 Amazon EC2 사용 설명서의 탄력적 IP 주소 해제를 참조하세요.

[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v1.2.0/4.1, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/2.2.2, NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: restricted-ssh

스케줄 유형: 변경이 트리거되며 주기적임

파라미터: 없음

이 제어는 Amazon EC2 보안 그룹이 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하는지 확인합니다. 보안 그룹에서 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하면 제어가 실패합니다.

보안 그룹을 통해 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다. 어떤 보안 그룹에서도 포트 22에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. SSH와 같은 원격 콘솔 서비스에 대한 불가항력적인 연결성을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다.

문제 해결

포트 22에 대한 수신을 금지하려면 VPC와 연결된 각 보안 그룹에 대해 이러한 액세스를 허용하는 규칙을 제거하세요. 자세한 내용은 Amazon EC2 사용 설명서의 보안 그룹 규칙 업데이트를 참조하세요. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS Foundations Benchmark v1.2.0/4.2, PCI DSS v4.0.1/1.3.1

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: restricted-common-ports (생성된 규칙은 restricted-rdp)

스케줄 유형: 변경이 트리거되며 주기적임

파라미터: 없음

이 제어는 Amazon EC2 보안 그룹이 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하는지 확인합니다. 보안 그룹에서 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹을 통해 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다. 어떤 보안 그룹에서도 포트 3389에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. RDP와 같은 원격 콘솔 서비스에 대한 불가항력적인 연결성을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다.

문제 해결

포트 3389에 대한 수신을 금지하려면 VPC와 연결된 각 보안 그룹에 대해 이러한 액세스를 허용하는 규칙을 제거하세요. 자세한 내용은 Amazon VPC 사용 설명서의 보안 그룹 규칙 업데이트를 참조하세요. Amazon VPC 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 네트워크 보안

심각도: 중간

리소스 유형: AWS::EC2::Subnet

AWS Config 규칙: subnet-auto-assign-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Virtual Private Cloud(VPC) 서브넷의 퍼블릭 IP 할당 시 MapPublicIpOnLaunch이 FALSE으로 설정되어 있는지 확인합니다. 플래그가 FALSE로 설정되면 제어가 전달됩니다.

모든 서브넷에는 해당 서브넷에 생성된 네트워크 인터페이스가 퍼블릭 IPv4 주소를 자동으로 수신하는지 여부를 결정하는 속성이 있습니다. 이 속성이 활성화된 서브넷에서 시작되는 인스턴스에는 기본 네트워크 인터페이스에 퍼블릭 IP 주소가 할당됩니다.

문제 해결

퍼블릭 IP 주소를 할당하지 않도록 서브넷을 구성하려면 Amazon VPC 사용 설명서의 서브넷에 대한 퍼블릭 IPv4 주소 지정 속성 수정을 참조하세요. 퍼블릭 IPv4 주소 자동 할당 활성화 확인란의 선택을 취소합니다.

[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

관련 요구 사항: NIST.800-53.r5 CM-8(1), PCI DSS v4.0.1/1.2.7

범주: 보호 > 네트워크 보안

심각도: 낮음

리소스 유형: AWS::EC2::NetworkAcl

AWS Config 규칙: vpc-network-acl-unused-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 가상 프라이빗 클라우드(VPC)에 사용되지 않은 네트워크 액세스 제어 목록(ACL)이 있는지 확인합니다. 네트워크 ACL이 서브넷과 연결되어 있지 않으면 제어가 실패합니다. 제어는 미사용 기본 네트워크 ACL에 대한 조사 결과를 생성하지 않습니다.

제어는 리소스 AWS::EC2::NetworkAcl의 항목 구성을 확인하고 네트워크 ACL의 관계를 결정합니다.

유일한 관계가 네트워크 ACL의 VPC인 경우, 제어가 실패합니다.

다른 관계가 나열되면 제어가 통과합니다.

문제 해결

사용하지 않는 네트워크 ACL 삭제에 대한 지침은 Amazon VPC 사용 설명서의 네트워크 ACL 삭제를 참조하세요. 기본 네트워크 ACL 또는 서브넷에 연결된 ACL은 삭제할 수 없습니다.

[EC2.17] Amazon EC2 인스턴스는 여러 ENI를 사용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4(21)

범주: 보호 > 네트워크 보안

심각도: 낮음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: ec2-instance-multiple-eni-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 EC2 인스턴스가 여러 탄력적 네트워크 인터페이스(ENI) 또는 Elastic Fabric Adapter(EFA)를 사용하는지 여부를 확인합니다. 이 제어는 단일 네트워크 어댑터를 사용하는 경우, 통과됩니다. 제어에는 허용되는 ENI를 식별하기 위한 선택적 파라미터 목록이 포함되어 있습니다. Amazon EKS 클러스터에 속하는 EC2 인스턴스가 둘 이상의 ENI를 사용하는 경우에도 이 제어는 실패합니다. EC2 인스턴스에 Amazon EKS 클러스터의 일부로서 여러 ENI가 있어야 하는 경우, 이러한 제어 조사 결과를 숨길 수 있습니다.

ENI가 여러 개이면 듀얼 홈 인스턴스, 즉 서브넷이 여러 개 있는 인스턴스가 발생할 수 있습니다. 이로 인해 네트워크 보안이 복잡해지고 의도하지 않은 네트워크 경로와 액세스가 발생할 수 있습니다.

문제 해결

EC2 인스턴스에서 네트워크 인터페이스를 분리하려면 Amazon EC2 사용 설명서의 인스턴스에서 네트워크 인터페이스 분리를 참조하세요.

[EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-open-only-to-authorized-ports

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 보안 그룹이 승인되지 않은 포트로부터의 무제한 수신 트래픽을 허용하는지 확인합니다. 제어 상태는 다음과 같이 결정합니다.

보안 그룹은 AWS에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공합니다. 보안 그룹 규칙은 최소 권한 액세스 원칙을 따라야 합니다. 무제한 액세스(접미사가 /0인 IP 주소)는 해킹, 서비스 거부 공격, 데이터 손실과 같은 악의적인 활동의 가능성을 높입니다. 포트가 특별히 허용되지 않는 한, 포트는 무제한 액세스를 거부해야 합니다.

문제 해결

보안 그룹을 수정하려면 Amazon VPC 사용 설명서에서 보안 그룹 작업을 참조하세요.

[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(5)

범주: 보호 > 제한된 네트워크 액세스

심각도: 심각

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: restricted-common-ports (생성된 규칙은 vpc-sg-restricted-common-ports)

스케줄 유형: 변경이 트리거되며 주기적임

파라미터: "blockedPorts": "20,21,22,23,25,110,135,143,445,1433,1434,3000,3306,3389,4333,5000,5432,5500,5601,8080,8088,8888,9200,9300"(사용자 지정할 수 없음)

이 제어는 Amazon EC2 보안 그룹에 대한 무제한 수신 트래픽이 가장 위험이 높은 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 하나라도 '0.0.0.0/0' 또는 '::/0'에서 해당 포트로의 수신 트래픽을 허용하는 경우, 이 제어는 실패합니다.

보안 그룹을 통해 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽을 상태 저장 필터링할 수 있습니다. 무제한 액세스(0.0.0.0/0) 때문에 악의적인 활동(해킹, 서비스 거부 공격, 데이터 손실)의 기회가 늘어납니다. 어떤 보안 그룹도 다음 포트에 대한 무제한 수신 액세스를 허용해서는 안 됩니다.

문제 해결

보안 그룹에서 규칙을 삭제하려면 Amazon EC2 사용 설명서의 보안 그룹에서 규칙 삭제를 참조하세요.

[EC2.20] AWS Site-to-Site VPN 연결을 위한 두 VPN 터널이 모두 작동해야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형:AWS::EC2::VPNConnection

AWS Config 규칙: vpc-vpn-2-tunnels-up

스케줄 유형: 변경이 트리거됨

파라미터: 없음

VPN 터널은 고객 네트워크에서 AWS Site-to-Site VPN 연결 AWS 로 또는 내에서 데이터를 전달할 수 있는 암호화된 링크입니다. 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 두 개의 VPN 터널이 포함되어 있습니다. AWS VPC와 원격 네트워크 간의 안전하고 가용성이 높은 연결을 확인하려면 VPN 연결을 위해 두 VPN 터널을 모두 준비해야 합니다.

이 제어는 AWS Site-to-Site VPN에서 제공하는 두 VPN 터널이 모두 UP 상태인지 확인합니다. 터널 중 하나 또는 두 개가 DOWN 상태인 경우, 제어가 실패합니다.

문제 해결

VPN 터널 옵션을 수정하려면Site-to-Site VPN 사용 설명서의 Site-to-Site VPN 터널 옵션 수정을 참조하세요. AWS Site-to-Site

[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.

관련 요구 사항: CIS AWS Foundations Benchmark v1.4.0/5.1, CIS AWS Foundations Benchmark v3.0.0/5.1, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(5), PCIS v4.0.1.1.1.1

범주: 보호 > 보안 네트워크 구성

심각도: 중간

리소스 유형:AWS::EC2::NetworkAcl

AWS Config 규칙: nacl-no-unrestricted-ssh-rdp

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 네트워크 액세스 제어 목록(네트워크 ACL)이 SSH/RDP 수신 트래픽의 기본 TCP 포트에 대한 무제한 액세스를 허용하는지 여부를 확인합니다. 네트워크 ACL 인바운드 항목이 TCP 포트 22 또는 3389에 대해 '0.0.0.0/0' 또는 '::/0'의 소스 CIDR 블록을 허용하는 경우, 규칙이 실패합니다. 제어는 기본 네트워크 ACL에 대한 조사 결과를 생성하지 않습니다.

포트 22(SSH) 및 포트 3389(RDP)와 같은 원격 서버 관리 포트에 대한 액세스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 VPC 내의 리소스에 의도하지 않은 액세스가 허용될 수 있습니다.

문제 해결

네트워크 ACL 트래픽 규칙을 편집하려면 Amazon VPC 사용 설명서의 네트워크 ACL 작업을 참조하세요.

[EC2.22] 사용하지 않는 Amazon EC2 보안 그룹을 제거해야 합니다.

범주: 식별 > 인벤토리

심각도: 중간

리소스 유형:AWS::EC2::NetworkInterface, AWS::EC2::SecurityGroup

AWS Config 규칙: ec2-security-group-attached-to-eni-periodic

스케줄 유형: 주기적

파라미터: 없음

이 제어는 보안 그룹이 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 탄력적 네트워크 인터페이스에 연결되어 있는지 확인합니다. 보안 그룹이 Amazon EC2 인스턴스 또는 탄력적 네트워크 인터페이스와 연결되어 있지 않으면 제어가 실패합니다.

문제 해결

보안 그룹을 생성, 할당 및 삭제하려면 Amazon EC2 사용 설명서의 보안 그룹을 참조하세요.

[EC2.23] Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 보호 > 보안 네트워크 구성

심각도: 높음

리소스 유형:AWS::EC2::TransitGateway

AWS Config 규칙: ec2-transit-gateway-auto-vpc-attach-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 EC2 전송 게이트웨이가 공유 VPC 연결을 자동으로 수락하는지 확인합니다. 공유된 VPC 연결 요청을 자동으로 수락하는 전송 게이트웨이에서는 이 제어가 실패합니다.

AutoAcceptSharedAttachments을 켜면 요청 또는 연결이 시작된 계정을 확인하지 않고 모든 교차 계정 VPC 연결 요청을 자동으로 수락하도록 전송 게이트웨이가 구성됩니다. 권한 부여 및 인증의 모범 사례를 따르려면 승인된 VPC 연결 요청만 허용되도록 이 기능을 끄는 것이 좋습니다.

문제 해결

전송 게이트웨이를 수정하려면 Amazon VPC 개발자 안내서의 전송 게이트웨이 수정을 참조하세요.

[EC2.24] Amazon EC2 반가상화 인스턴스 유형은 사용할 수 없습니다.

관련 요구 사항: NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2)

범주: 식별 > 취약성, 패치 및 버전 관리

심각도: 중간

리소스 유형:AWS::EC2::Instance

AWS Config 규칙: ec2-paravirtual-instance-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 EC2 인스턴스의 가상화 유형이 반가상화인지 여부를 확인합니다. EC2 인스턴스의 virtualizationType가 paravirtual로 설정된 경우, 제어가 실패합니다.

Linux Amazon Machine Image(AMI)는 PV(반가상화) 또는 HVM(하드웨어 가상 머신)의 두 가지 유형의 가상화를 사용합니다. PV AMI와 HVM AMI의 주요 차이점은 부팅 방법과 더 나은 성능을 위해 특수 하드웨어 확장(CPU, 네트워크, 스토리지)을 활용할 수 있는지 여부에 있습니다.

이전에는 대부분의 경우, PV 게스트가 HVM 게스트보다 더 나은 성능을 제공했지만, HVM 가상화 기능이 향상되고 HVM AMI용 PV 드라이버가 제공되는 현재는 더 이상 그렇지 않습니다. 자세한 내용은 Amazon EC2 사용 설명서의 Linux AMI 가상화 유형을 참조하세요.

문제 해결

EC2 인스턴스를 새로운 인스턴스 유형으로 업데이트하려면 Amazon EC2 사용 설명서의 인스턴스 유형 변경을 참조하세요.

[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형:AWS::EC2::LaunchTemplate

AWS Config 규칙: ec2-launch-template-public-ip-disabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon EC2 시작 템플릿이 시작 시 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 구성되어 있는지 확인합니다. 네트워크 인터페이스에 퍼블릭 IP 주소를 할당하도록 EC2 시작 템플릿이 구성되어 있거나 퍼블릭 IP 주소가 있는 네트워크 인터페이스가 하나 이상 있는 경우, 제어가 실패합니다.

퍼블릭 IP 주소는 인터넷을 통해 연결할 수 있는 주소입니다. 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스와 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 워크로드에 대한 의도하지 않은 액세스를 허용할 수 있으므로 공개적으로 액세스하면 안 됩니다.

문제 해결

EC2 시작 템플릿을 업데이트하려면 Amazon EC2 Auto Scaling 사용 설명서의 기본 네트워크 인터페이스 설정 변경을 참조하세요.

[EC2.28] EBS 볼륨에는 백업 계획이 적용되어야 합니다.

범주: 복구 > 복원력 > 백업 활성화

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

심각도: 낮음

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: ebs-resources-protected-by-backup-plan

스케줄 유형: 주기적

파라미터:

이 제어는 in-use 상태의 Amazon EBS 볼륨이 백업 계획에 포함되는지 여부를 평가합니다. EBS 볼륨에 백업 계획이 적용되지 않는 경우, 제어가 실패합니다. backupVaultLockCheck 파라미터를와 동일하게 설정하면 EBS 볼륨이 AWS Backup 잠긴 볼트에 백업된 경우에만 true제어가 전달됩니다.

백업을 통해 보안 사고로부터 더 빨리 복구할 수 있습니다. 또한 시스템의 복원력을 강화합니다. 백업 계획에 Amazon EBS 볼륨을 포함하면 의도하지 않은 손실 또는 삭제로부터 데이터를 보호할 수 있습니다.

문제 해결

Amazon EBS 볼륨을 AWS Backup 백업 계획에 추가하려면 AWS Backup 개발자 안내서의 백업 계획에 리소스 할당을 참조하세요.

[EC2.33] EC2 전송 게이트웨이 연결에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGatewayAttachment

AWS Config 규칙: tagged-ec2-transitgatewayattachment (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 Transit Gateway Attachment에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. Transit Gateway Attachment에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 전송 게이트웨이 연결 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 전송 게이트웨이 연결에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.34] EC2 전송 게이트웨이 라우팅 테이블에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGatewayRouteTable

AWS Config 규칙: tagged-ec2-transitgatewayroutetable (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 전송 게이트웨이 라우팅 테이블이 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 전송 게이트웨이 라우팅 테이블에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 전송 게이트웨이 라우팅 테이블이 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 전송 게이트웨이 라우팅 테이블에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.35] EC2 네트워크 인터페이스에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NetworkInterface

AWS Config 규칙: tagged-ec2-networkinterface (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 네트워크 인터페이스에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 네트워크 인터페이스에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 네트워크 인터페이스에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 네트워크 인터페이스에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.36] EC2 고객 게이트웨이에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::CustomerGateway

AWS Config 규칙: tagged-ec2-customergateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 고객 게이트웨이에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 고객 게이트웨이에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 고객 게이트웨이에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 고객 게이트웨이에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.37] EC2 탄력적 IP 주소에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::EIP

AWS Config 규칙: tagged-ec2-eip (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 탄력적 IP 주소에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 탄력적 IP 주소에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 탄력전 IP 주소에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 탄력적 IP 주소에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.38] EC2 인스턴스에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Instance

AWS Config 규칙: tagged-ec2-instance (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 인스턴스에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 인스턴스에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 인스턴스에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 인스턴스는 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.39] EC2 인터넷 게이트웨이에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::InternetGateway

AWS Config 규칙: tagged-ec2-internetgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 인터넷 게이트웨이에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 인터넷 게이트웨이에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 인터넷 게이트웨이에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 인터넷 게이트웨이에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.40] EC2 NAT 게이트웨이에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NatGateway

AWS Config 규칙: tagged-ec2-natgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 네트워크 주소 변환(NAT) 게이트웨이에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. NAT 게이트웨이에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 NAT 게이트웨이에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 NAT 게이트웨이에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.41] EC2 네트워크 ACL에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::NetworkAcl

AWS Config 규칙: tagged-ec2-networkacl (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 네트워크 액세스 제어 목록(네트워크 ACL)에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 네트워크 ACL에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 네트워크 ACL에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 네트워크 ACL에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.42] EC2 라우팅 테이블에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::RouteTable

AWS Config 규칙: tagged-ec2-routetable (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 라우팅 테이블에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 라우팅 테이블에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 라우팅 테이블에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 라우팅 테이블에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.43] EC2 보안 그룹에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: tagged-ec2-securitygroup (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 보안 그룹에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 보안 그룹에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 보안 그룹에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 보안 그룹에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.44] EC2 서브넷에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Subnet

AWS Config 규칙: tagged-ec2-subnet (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 서브넷에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 서브넷에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 서브넷에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 서브넷에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.45] EC2 볼륨에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::Volume

AWS Config 규칙: tagged-ec2-subnet (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 볼륨에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 볼륨에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 볼륨에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 볼륨에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.46] Amazon VPC에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPC

AWS Config 규칙: tagged-ec2-vpc (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon Virtual Private Cloud(Amazon VPC)에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. Amazon VPC에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 Amazon VPC에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

VPC에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.47] Amazon VPC 엔드포인트 서비스에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPCEndpointService

AWS Config 규칙: tagged-ec2-vpcendpointservice (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon VPC 엔드포인트 서비스에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 엔드포인트 서비스에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 엔드포인트에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

Amazon VPC 엔드포인트 서비스에 태그를 추가하려면 AWS PrivateLink 가이드의 엔드포인트 서비스 구성 섹션에서 태그 관리를 참조하세요.

[EC2.48] Amazon VPC 흐름 로그에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::FlowLog

AWS Config 규칙: tagged-ec2-flowlog (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon VPC 흐름 로그에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 흐름 로그에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 흐름 로그에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

Amazon VPC 흐름 로그에 태그를 추가하려면 Amazon VPC 사용 설명서의 흐름 로그 태깅을 참조하세요.

[EC2.49] Amazon VPC 피어링 연결에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPCPeeringConnection

AWS Config 규칙: tagged-ec2-vpcpeeringconnection (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon VPC 피어링 연결에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 피어링 연결에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 피어링 연결에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

Amazon VPC 피어링 연결에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.50] EC2 VPN 게이트웨이에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::VPNGateway

AWS Config 규칙: tagged-ec2-vpngateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 VPN 게이트웨이에 파라미터 에 정의된 특정 키가 있는 태그가 있는지 확인합니다requiredTagKeys. VPN 게이트웨이에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 VPN 게이트웨이에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 VPN 게이트웨이에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스에 태깅을 참조하세요.

[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(12), NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.80-53.r5 AU-9 CA-7 NIST.800-53.r5 SC-7 SI-3 SI-4 SI-4 SI-710.2.1

범주: 식별 > 로깅

심각도: 낮음

리소스 유형: AWS::EC2::ClientVpnEndpoint

AWS Config 규칙: ec2-client-vpn-connection-log-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 AWS Client VPN 엔드포인트에 클라이언트 연결 로깅이 활성화되어 있는지 확인합니다. 엔드포인트에 클라이언트 연결 로깅이 활성화되어 있지 않으면 제어가 실패합니다.

클라이언트 VPN 엔드포인트를 사용하면 원격 클라이언트가 AWS의 Virtual Private Cloud(VPC) 리소스에 안전하게 연결할 수 있습니다. 연결 로그를 사용하면 VPN 엔드포인트에서 사용자 활동을 추적하고 가시성을 제공할 수 있습니다. 연결 로깅을 활성화하면 로그 그룹에서 로그 스트림의 이름을 지정할 수 있습니다. 로그 스트림을 지정하지 않으면 Client VPN 서비스에서 자동으로 로그 스트림을 생성합니다.

문제 해결

연결 로깅을 활성화하려면 AWS Client VPN 관리자 안내서의 기존 Client VPN 엔드포인트에 연결 로깅 활성화를 참조하세요.

[EC2.52] EC2 전송 게이트웨이에 태그를 지정해야 합니다.

범주: 식별 > 인벤토리 > 태깅

심각도: 낮음

리소스 유형: AWS::EC2::TransitGateway

AWS Config 규칙: tagged-ec2-transitgateway (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 전송 게이트웨이에 파라미터 requiredTagKeys에 정의된 특정 키가 있는 태그가 있는지 확인합니다. 전송 게이트웨이에 태그 키가 없거나 파라미터 requiredTagKeys에 지정된 모든 키가 없는 경우, 제어가 실패합니다. 파라미터 requiredTagKeys이 제공되지 않은 경우, 제어는 태그 키의 존재만 확인하고 전송 게이트웨이에 키로 태그가 지정되지 않은 경우 제어가 실패합니다. 자동으로 적용되고 aws:로 시작하는 시스템 태그는 무시됩니다.

태그는 AWS 리소스에 할당하는 레이블이며 키와 선택적 값으로 구성됩니다. 태그를 생성하여 용도, 소유자, 환경 또는 기타 기준으로 리소스를 분류할 수 있습니다. 태그를 사용하면 리소스를 식별, 정리, 검색 및 필터링하는 데 도움을 줍니다. 태깅은 또한 작업 및 알림에 대한 책임 리소스 소유자를 추적하는 데도 도움이 됩니다. 태깅을 사용하는 경우, 속성 기반 액세스 제어(ABAC)를 태그를 기반으로 권한을 정의하는 권한 부여 전략으로 구현할 수 있습니다. IAM 엔터티(사용자 또는 역할) 및 AWS 리소스에 태그를 연결할 수 있습니다. IAM 보안 주체에 대해 단일 ABAC 정책 또는 별도의 정책 세트를 생성할 수 있습니다. 이러한 ABAC 정책은 보안 주체의 태그가 리소스 태그와 일치할 때 작업을 허용하도록 설계할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 ABAC란 무엇입니까 AWS?를 참조하세요.

문제 해결

EC2 전송 게이트웨이에 태그를 추가하려면 Amazon EC2 사용 설명서의 Amazon EC2 리소스 태깅을 참조하세요.

[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/5.2, PCI DSS v4.0.1/1.3.1

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-port-restriction-check

스케줄 유형: 주기적

파라미터:

이 제어는 Amazon EC2 보안 그룹이 0.0.0.0/0 또는 ::/0에서 포트(ports 22 and 3389)로의 수신을 허용하는지 확인합니다. 보안 그룹에서 0.0.0.0/0에서 포트 22 또는 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽을 상태 저장 방식으로 필터링합니다. 어떤 보안 그룹도 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용하여 SSH에서 포트 22로, RDP에서 포트 3389로 등 원격 서버 관리 포트에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. 이러한 포트에 대한 퍼블릭 액세스를 허용하면 리소스 공격 표면과 리소스 손상 위험이 증가합니다.

문제 해결

지정된 포트로의 수신 트래픽을 금지하도록 EC2 보안 그룹 규칙을 업데이트하려면 Amazon EC2 사용 설명서의 보안 그룹 규칙 업데이트을 참조하세요. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22 또는 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/1.3.1

범주: 보호 > 보안 네트워크 구성 > 보안 그룹 구성

심각도: 높음

리소스 유형: AWS::EC2::SecurityGroup

AWS Config 규칙: vpc-sg-port-restriction-check

스케줄 유형: 주기적

파라미터:

이 제어는 Amazon EC2 보안 그룹이 ::/0에서 원격 서버 관리 포트(포트 22 및 3389)로의 수신을 허용하는지 확인합니다. 보안 그룹에서 ::/0에서 포트 22 또는 3389로의 수신을 허용하면 제어가 실패합니다.

보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽을 상태 저장 방식으로 필터링합니다. 어떤 보안 그룹도 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용하여 SSH에서 포트 22로, RDP에서 포트 3389로 등 원격 서버 관리 포트에 대한 무제한 수신 액세스를 허용하지 않는 것이 좋습니다. 이러한 포트에 대한 퍼블릭 액세스를 허용하면 리소스 공격 표면과 리소스 손상 위험이 증가합니다.

문제 해결

지정된 포트로의 수신 트래픽을 금지하도록 EC2 보안 그룹 규칙을 업데이트하려면 Amazon EC2 사용 설명서의 보안 그룹 규칙 업데이트을 참조하세요. Amazon EC2 콘솔에서 보안 그룹을 선택한 후 작업, 인바운드 규칙 편집을 선택합니다. 포트 22 또는 포트 3389에 대한 액세스를 허용하는 규칙을 제거합니다.

[EC2.55] VPCs ECR API용 인터페이스 엔드포인트로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config 규칙: vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 관리하는 Virtual Private Cloud(VPC)에 Amazon ECR API용 인터페이스 VPC 엔드포인트가 있는지 확인합니다. VPC에 ECR API용 인터페이스 VPC 엔드포인트가 없는 경우 제어가 실패합니다. 이 제어는 단일 계정의 리소스를 평가합니다.

AWS PrivateLink 를 사용하면 고객은 가용성과 확장성이 뛰어난 방식으로 AWS 에서 호스팅되는 서비스에 액세스하면서 AWS 네트워크 내에서 모든 네트워크 트래픽을 유지할 수 있습니다. 서비스 사용자는 퍼블릭 IPs를 사용하지 않고 트래픽이 인터넷을 통과할 필요 없이 VPC 또는 온프레미스에서 PrivateLink로 구동되는 서비스에 비공개로 액세스할 수 있습니다.

문제 해결

VPC 엔드포인트를 구성하려면 AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여에 액세스를 참조하세요.

[EC2.56] VPCs Docker Registry용 인터페이스 엔드포인트로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config 규칙: vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 관리하는 Virtual Private Cloud(VPC)에 Docker Registry용 인터페이스 VPC 엔드포인트가 있는지 확인합니다. VPC에 Docker Registry용 인터페이스 VPC 엔드포인트가 없는 경우 제어가 실패합니다. 이 제어는 단일 계정의 리소스를 평가합니다.

AWS PrivateLink 를 사용하면 고객은 가용성과 확장성이 뛰어난 방식으로 AWS 에서 호스팅되는 서비스에 액세스하면서 AWS 네트워크 내에서 모든 네트워크 트래픽을 유지할 수 있습니다. 서비스 사용자는 퍼블릭 IPs를 사용하지 않고 트래픽이 인터넷을 통과할 필요 없이 VPC 또는 온프레미스에서 PrivateLink로 구동되는 서비스에 비공개로 액세스할 수 있습니다.

문제 해결

VPC 엔드포인트를 구성하려면 AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여 액세스를 참조하세요.

[EC2.57] VPCs Systems Manager용 인터페이스 엔드포인트로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config 규칙: vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 관리하는 Virtual Private Cloud(VPC)에 인터페이스 VPC 엔드포인트가 있는지 확인합니다 AWS Systems Manager. VPC에 Systems Manager용 인터페이스 VPC 엔드포인트가 없는 경우 제어가 실패합니다. 이 제어는 단일 계정의 리소스를 평가합니다.

AWS PrivateLink 를 사용하면 고객은 가용성과 확장성이 뛰어난 방식으로 AWS 에서 호스팅되는 서비스에 액세스하면서 AWS 네트워크 내에서 모든 네트워크 트래픽을 유지할 수 있습니다. 서비스 사용자는 퍼블릭 IPs를 사용하지 않고 트래픽이 인터넷을 통과할 필요 없이 VPC 또는 온프레미스에서 PrivateLink로 구동되는 서비스에 비공개로 액세스할 수 있습니다.

문제 해결

VPC 엔드포인트를 구성하려면 AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여에 액세스를 참조하세요.

[EC2.58] VPCs Systems Manager Incident Manager Contacts에 대한 인터페이스 엔드포인트로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config 규칙: vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 관리하는 Virtual Private Cloud(VPC)에 AWS Systems Manager Incident Manager Contacts에 대한 인터페이스 VPC 엔드포인트가 있는지 확인합니다. VPC에 Systems Manager Incident Manager Contacts에 대한 인터페이스 VPC 엔드포인트가 없는 경우 제어가 실패합니다. 이 제어는 단일 계정의 리소스를 평가합니다.

AWS PrivateLink 를 사용하면 고객은 가용성과 확장성이 뛰어난 방식으로 AWS 에서 호스팅되는 서비스에 액세스하면서 AWS 네트워크 내에서 모든 네트워크 트래픽을 유지할 수 있습니다. 서비스 사용자는 퍼블릭 IPs를 사용하지 않고 트래픽이 인터넷을 통과할 필요 없이 VPC 또는 온프레미스에서 PrivateLink로 구동되는 서비스에 비공개로 액세스할 수 있습니다.

문제 해결

VPC 엔드포인트를 구성하려면 AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여에 액세스를 참조하세요.

[EC2.60] VPCs Systems Manager Incident Manager용 인터페이스 엔드포인트로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::EC2::VPC, AWS::EC2::VPCEndpoint

AWS Config 규칙: vpc-endpoint-enabled

스케줄 유형: 주기적

파라미터:

이 제어는 관리하는 Virtual Private Cloud(VPC)에 AWS Systems Manager Incident Manager용 인터페이스 VPC 엔드포인트가 있는지 확인합니다. VPC에 Systems Manager Incident Manager용 인터페이스 VPC 엔드포인트가 없는 경우 제어가 실패합니다. 이 제어는 단일 계정의 리소스를 평가합니다.

AWS PrivateLink 를 사용하면 고객은 가용성과 확장성이 뛰어난 방식으로 AWS 에서 호스팅되는 서비스에 액세스하면서 AWS 네트워크 내에서 모든 네트워크 트래픽을 유지할 수 있습니다. 서비스 사용자는 퍼블릭 IPs를 사용하지 않고 트래픽이 인터넷을 통과할 필요 없이 VPC 또는 온프레미스에서 PrivateLink로 구동되는 서비스에 비공개로 액세스할 수 있습니다.

문제 해결

VPC 엔드포인트를 구성하려면 AWS PrivateLink 가이드의 인터페이스 VPC 엔드포인트를 AWS 서비스 사용하여 액세스를 참조하세요.

[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.

관련 요구 사항: PCI DSS v4.0.1/2.2.6

범주: 보호 > 네트워크 보안

심각도: 낮음

리소스 유형: AWS::EC2::LaunchTemplate

AWS Config 규칙: ec2-launch-template-imdsv2-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon EC2 런치 템플릿이 인스턴스 메타데이터 서비스 버전 2(IMDSv2)로 구성되어 있는지 확인합니다. HttpTokens을 optional로 설정하면 제어가 실패합니다.

지원되는 소프트웨어 버전에서 리소스를 실행하면 최적의 성능, 보안 및 최신 기능에 대한 액세스를 보장할 수 있습니다. 정기 업데이트는 취약성을 방지하여 안정적이고 효율적인 사용자 경험을 보장합니다.

문제 해결

EC2 시작 템플릿에 IMDSv2가 필요하게 하려면 Amazon EC2 사용 설명서의 인스턴스 메타데이터 서비스 옵션 구성을 참조하세요.

[EC2.171] EC2 VPN 연결에는 로깅이 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/5.3, PCI DSS v4.0.1/10.4.2

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::EC2::VPNConnection

AWS Config 규칙: ec2-vpn-connection-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 AWS Site-to-Site VPN 연결에 두 터널 모두에 대해 Amazon CloudWatch Logs가 활성화되어 있는지 확인합니다. Site-to-Site VPN 연결에 두 터널 모두에 대해 CloudWatch Logs가 활성화되지 않은 경우, 제어가 실패합니다.

AWS Site-to-Site VPN 로그는 Site-to-Site VPN 배포에 대한 심층적인 가시성을 제공합니다. 이 기능을 사용하면 IPsec(IP Security) 터널 설정, IKE(Internet Key Exchange) 협상 및 DPD(Dead Peer Detection) 프로토콜 메시지에 대한 세부 정보를 제공하는 Site-to-Site VPN 연결 로그에 액세스할 수 있습니다. Site-to-Site VPN 로그는 CloudWatch Logs에 게시할 수 있습니다. 이 기능은 고객이 모든 Site-to-Site VPN 연결에 대한 세부 로그를 액세스하고 분석할 수 있는 일관된 단일 방법을 제공합니다.

문제 해결

EC2 VPN 연결에서 터널 로깅을 활성화하려면 AWS Site-to-Site VPN 사용 설명서의 AWS Site-to-Site VPN 로그를 참조하세요.

[EC2.172] EC2 VPC 퍼블릭 액세스 차단 설정은 인터넷 게이트웨이 트래픽을 차단해야 합니다.

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 중간

리소스 유형: AWS::EC2::VPCBlockPublicAccessOptions

AWS Config 규칙: ec2-vpc-bpa-internet-gateway-blocked (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon EC2 VPC 퍼블릭 액세스 차단(BPA) 설정이의 모든 Amazon VPCs에 대한 인터넷 게이트웨이 트래픽을 차단하도록 구성되어 있는지 확인합니다 AWS 계정. VPC BPA 설정이 인터넷 게이트웨이 트래픽을 차단하도록 구성되지 않은 경우 제어가 실패합니다. 컨트롤을 전달하려면 VPC BPA를 block-bidirectional 또는 로 설정해야 InternetGatewayBlockMode 합니다block-ingress. 파라미터vpcBpaInternetGatewayBlockMode가 제공된 경우의 VPC BPA 값이 파라미터InternetGatewayBlockMode와 일치하는 경우에만 제어가 전달됩니다.

에서 계정에 대한 VPC BPA 설정을 구성 AWS 리전 하면 해당 리전에서 소유한 VPCs 및 서브넷의 리소스가 인터넷 게이트웨이 및 외부 전용 인터넷 게이트웨이를 통해 인터넷에 도달하거나 인터넷에서 연결되는 것을 차단할 수 있습니다. 인터넷에서 연결할 수 있도록 특정 VPCs 및 서브넷이 필요한 경우 VPC BPA 제외를 구성하여 제외할 수 있습니다. 제외 항목 생성 및 삭제에 대한 지침은 Amazon VPC 사용 설명서의 제외 항목 생성 및 삭제를 참조하세요.

문제 해결

계정 수준에서 양방향 BPA를 활성화하려면 Amazon VPC 사용 설명서의 계정에 대한 BPA 양방향 모드 활성화를 참조하세요. 수신 전용 BPA를 활성화하려면 VPC BPA 모드를 수신 전용으로 변경을 참조하세요. 조직 수준에서 VPC BPA를 활성화하려면 조직 수준에서 VPC BPA 활성화를 참조하세요.