기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Elastic Load Balancing을 위한 Security Hub 제어

이러한 AWS Security Hub 제어는 Elastic Load Balancing 서비스 및 리소스를 평가합니다.

이러한 제어는 일부 에서 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[ELB.1] 모든 HTTP 요청을 로 리디렉션하도록 Application Load Balancer를 구성해야 합니다. HTTPS

관련 요구 사항: PCI DSS v3.2.1/2.3,PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 감지 > 감지 서비스

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: alb-http-to-https-redirection-check

스케줄 유형: 주기적

파라미터: 없음

이 제어는 Application Load Balancer의 모든 HTTP 리스너에 리HTTPHTTPS디렉션이 구성되어 있는지 확인합니다. Application Load Balancer의 HTTP리스너 중 어느 하나라도 구성된 리HTTPS디렉션HTTP이 필요하지 않으면 제어가 실패합니다.

Application Load Balancer를 사용하기 전에 리스너를 하나 이상 추가해야 합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 리스너는 HTTP 및 HTTPS 프로토콜을 모두 지원합니다. HTTPS 리스너를 사용하여 암호화 및 복호화 작업을 로드 밸런서에 오프로드할 수 있습니다. 전송 중 암호화를 적용하려면 Application Load Balancer에서 리디렉션 작업을 사용하여 클라이언트 HTTP 요청을 포트 443의 HTTPS 요청으로 리디렉션해야 합니다.

자세한 정보는 Application Load Balancers 사용 설명서의 Application Load Balancer용 리스너를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

HTTP 요청을 로 리디렉션하려면 Application Load Balancer 리스너 규칙을 추가하거나 기존 규칙을 편집HTTPS해야 합니다.

새 규칙을 추가하는 방법에 대한 지침은 Application Load Balancer 사용 설명서의 규칙 추가를 참조하십시오. 프로토콜 : 포트 에서 HTTP를 선택한 다음 를 입력합니다80. 추가 작업에서 로 리디렉션하고 HTTPS를 선택한 다음 를 입력합니다443.

기존 규칙을 편집하는 방법에 대한 지침은 Application Load Balancer 사용 설명서의 규칙 편집을 참조하십시오. 프로토콜 : 포트 에서 HTTP를 선택한 다음 를 입력합니다80. 추가 작업에서 로 리디렉션하고 HTTPS를 선택한 다음 를 입력합니다443.

[ELB.2] SSL/HTTPS 리스너가 있는 Classic Load Balancer는 에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(5), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: elb-acm-certificate-required

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Classic Load Balancer가 ()에서 AWS Certificate Manager 제공하는 HTTPS/SSL 인증서를 사용하는지 확인합니다ACM. HTTPS/SSL 리스너로 구성된 Classic Load Balancer가 에서 제공하는 인증서를 사용하지 않으면 제어가 실패합니다ACM.

인증서를 생성하려면 ACM 또는 열기와 같은 SSL 및 TLS 프로토콜을 지원하는 도구를 사용할 수 있습니다SSL. Security Hub는 ACM 를 사용하여 로드 밸런서에 대한 인증서를 생성하거나 가져올 것을 권장합니다.

ACM 는 로드 밸런서에 인증서를 배포할 수 있도록 Classic Load Balancer와 통합됩니다. 또한 이러한 인증서를 자동으로 갱신해야 합니다.

이제 Security Hub가 와 통합되었습니다

ACM SSL/TLS 인증서를 Classic Load Balancer 와 연결하는 방법에 대한 자세한 내용은 AWS 지식 센터 문서 ACM SSL/TLS 인증서를 Classic, Application 또는 Network Load Balancer 와 연결하려면 어떻게 해야 하나요?를 참조하세요.

[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: elb-tls-https-listeners-only

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Classic Load Balancer 리스너가 프런트엔드(클라이언트에서 로드 밸런서로) 연결을 위한 HTTPS 또는 TLS 프로토콜로 구성되어 있는지 확인합니다. 이 제어는 Classic Load Balancer에 리스너가 있는 경우에 적용할 수 있습니다. Classic Load Balancer에 리스너가 구성되어 있지 않은 경우 제어는 조사 결과를 보고하지 않습니다.

Classic Load Balancer 리스너가 프런트엔드 연결을 HTTPS 위해 TLS 또는 로 구성된 경우 제어가 전달됩니다.

리스너가 프런트엔드 연결에 HTTPS 대해 TLS 또는 로 구성되지 않은 경우 제어가 실패합니다.

로드 밸런서 사용을 시작하기 전에 하나 이상의 리스너를 추가해야 합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 리스너는 HTTP 및HTTPS/TLS또는 프로토콜을 모두 지원할 수 있습니다. 로드 밸런서가 전송 중 암호화 및 복호화 작업을 수행할 수 있도록 항상 HTTPS 또는 TLS 리스너를 사용해야 합니다.

이제 Security Hub가 와 통합되었습니다

이 문제를 해결하려면 TLS 또는 HTTPS 프로토콜을 사용하도록 리스너를 업데이트합니다.

[ELB.4] 잘못된 http 헤더를 삭제하도록 Application Load Balancer를 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8(2)

범주: 보호 > 네트워크 보안

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: alb-http-drop-invalid-header-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Application Load Balancer가 잘못된 HTTP 헤더를 삭제하도록 구성되어 있는지 평가합니다. routing.http.drop_invalid_header_fields.enabled 값이 false로 설정되면 제어가 실패합니다.

기본적으로 Application Load Balancer는 잘못된 HTTP 헤더 값을 삭제하도록 구성되지 않습니다. 이러한 헤더 값을 제거하면 HTTP 비동기화 공격이 방지됩니다.

이제 Security Hub가 와 통합되었습니다

이 문제를 해결하려면 잘못된 헤더 필드를 삭제하도록 로드 밸런서를 구성하십시오.

[ELB.5] 애플리케이션 및 Classic Load Balancer 로깅을 활성화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-7(8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer, AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: elb-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Application Load Balancer와 Classic Load Balancer의 로깅이 활성화되었는지 확인합니다. access_logs.s3.enabled 이 false이면 제어는 실패합니다.

Elastic Load Balancing은 로드 밸런서에 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

자세한 정보는 Classic Load Balancer 사용 설명서의 Classic Load Balancer에 대한 액세스 로그를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

액세스 로그를 활성화하려면 Application Load Balancer 사용 설명서의 3단계: 액세스 로그 구성을 참조하십시오.

[ELB.6] 애플리케이션, 게이트웨이 및 네트워크 로드 밸런서에 삭제 방지가 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: elb-deletion-protection-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Application, Gateway 또는 Network Load Balancer에 삭제 보호가 활성화되어 있는지 확인합니다. 삭제 보호가 비활성화되면 제어가 실패합니다.

삭제 방지를 활성화하여 Application, Gateway 또는 Network Load Balancer가 삭제되지 않도록 보호합니다.

이제 Security Hub가 와 통합되었습니다

로드 밸런서가 실수로 삭제되지 않도록 삭제 방지 기능을 활성화할 수 있습니다. 기본 설정상 로드 밸런서에 대한 삭제 방지 기능은 비활성화되어 있습니다.

로드 밸런서용 삭제 방지 기능을 활성화하는 경우 로드 밸런서를 삭제하기 전에 삭제 방지를 먼저 비활성화해야 합니다.

Application Load Balancer에 대한 삭제 보호를 활성화하려면 Application Load Balancer 사용 설명서의 삭제 보호를 참조하세요. Gateway Load Balancer에 대한 삭제 방지를 활성화하려면 Gateway Load Balancer 사용 설명서의 삭제 방지를 참조하세요. Network Load Balancer에 대한 삭제 보호를 활성화하려면 Network Load Balancer 사용 설명서의 삭제 보호를 참조하세요.

[ELB.7] Classic Load Balancer에는 연결 드레이닝이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 복구 > 복원력

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config규칙: elb-connection-draining-enabled (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Classic Load Balancer connection draining닝 활성화 여부를 확인합니다.

Classic Load Balancer connection draining닝을 활성화하면 로드 밸런서가 등록 취소 중이거나 비정상 상태인 인스턴스로의 요청 전송을 중지합니다. 이는 기존 연결을 열린 상태로 유지합니다. 이는 Auto Scaling 그룹의 인스턴스에서 연결이 갑자기 끊어지지 않도록 하는 데 특히 유용합니다.

이제 Security Hub가 와 통합되었습니다

Classic Load Balancer connection draining닝을 활성화하려면 Classic Load Balancer 사용 설명서의 Classic Load Balancer connection draining닝 구성을 참조하십시오.

[ELB.8] SSL 리스너가 있는 Classic Load Balancer는 강력한 AWS Config절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 암호화 data-in-transit

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: elb-predefined-security-policy-ssl-check

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Classic Load BalancerHTTPS/SSL리스너가 사전 정의된 정책 을 사용하는지 확인합니다ELBSecurityPolicy-TLS-1-2-2017-01. Classic Load BalancerHTTPS/SSL리스너가 를 사용하지 않으면 제어가 실패합니다ELBSecurityPolicy-TLS-1-2-2017-01.

보안 정책은 SSL 프로토콜, 암호 및 서버 주문 기본 설정 옵션의 조합입니다. 미리 정의된 정책은 클라이언트와 로드 밸런서 간의 SSL 협상 중에 가 지원할 암호, 프로토콜 및 기본 설정 주문을 제어합니다.

를 사용하면 SSL 및 의 특정 버전을 비활성화해야 하는 규정 준수 및 보안 표준을 충족하는 데 도움이 될 ELBSecurityPolicy-TLS-1-2-2017-01 수 있습니다TLS. 자세한 내용은 Classic Load Balancer 사용 설명서의 Classic Load Balancer에 대한 사전 정의된 SSL 보안 정책을 참조하세요.

이제 Security Hub가 와 통합되었습니다

Classic Load Balancer와 함께 사전 정의된 보안 정책 ELBSecurityPolicy-TLS-1-2-2017-01을 사용하는 방법에 대한 자세한 내용은 Classic Load Balancer 사용 설명서의 보안 설정 구성을 참조하십시오.

[ELB.9] Classic Load Balancer에는 교차 영역 로드 밸런싱이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: elb-cross-zone-load-balancing-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Classic Load Balancer()에 대해 교차 영역 로드 밸런싱이 활성화되어 있는지 확인합니다CLBs. 에 대해 교차 영역 로드 밸런싱이 활성화되지 않은 경우 제어가 실패합니다CLB.

로드 밸런서 노드는 가용 영역에 등록된 대상에만 트래픽을 분산합니다. 교차 영역 로드 밸런싱을 비활성화하면 각 로드 밸런서 노드가 해당 가용 영역에 있는 등록된 대상 간에만 트래픽을 분산합니다. 등록된 대상의 수가 가용 영역 전체에 동일하지 않으면 트래픽이 균등하게 분산되지 않아 한 영역의 인스턴스가 다른 영역의 인스턴스와 비교하여 과도하게 사용될 수 있습니다. 교차 영역 로드 밸런싱이 활성화되면 Classic Load Balancer에 대한 각각의 로드 밸런서 노드가 활성화된 모든 가용 영역에 있는 등록된 인스턴스 간에 요청을 균등하게 분산합니다. 자세한 내용은 Elastic Load Balancing 사용 설명서의 교차 영역 로드 밸런싱을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Classic Load Balancer에서 교차 영역 로드 밸런싱을 활성화하려면 Classic Load Balancer 사용 설명서의 교차 영역 로드 밸런싱 활성화를 참조하십시오.

[ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: clb-multiple-az

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Classic Load Balancer가 지정된 수 이상의 가용 영역()에 걸쳐 있도록 구성되었는지 확인합니다AZs. Classic Load Balancer가 지정된 수 이상의 에 걸쳐 있지 않으면 제어가 실패합니다AZs. 최소 수에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 AZsSecurity Hub는 기본값인 2개를 사용합니다AZs.

단일 가용 영역 또는 여러 가용 영역의 Amazon EC2 인스턴스에 수신 요청을 배포하도록 Classic Load Balancer를 설정할 수 있습니다. 여러 가용 영역에 걸쳐 있지 않은 Classic Load Balancer는 단독으로 구성된 가용 영역을 사용할 수 없게 되면 트래픽을 다른 가용 영역의 대상으로 리디렉션할 수 없습니다.

이제 Security Hub가 와 통합되었습니다

Classic Load Balancer에 가용 영역을 추가하려면 Classic Load Balancer 사용 설명서에서 Classic Load Balancer에 대한 서브넷 추가 또는 제거를 참조하세요.

[ELB.12] Application Load Balancer는 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 보호 > 데이터 보호 > 데이터 무결성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: alb-desync-mode-check

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Application Load Balancer가 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어 있는지 확인합니다. Application Load Balancer가 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성되지 않은 경우 제어가 실패합니다.

HTTP 비동기화 문제로 인해 밀수 요청이 발생할 수 있으며 애플리케이션이 대기열 또는 캐시 중독을 요청하기에 취약해질 수 있습니다. 결과적으로 이러한 취약성으로 인해 보안 인증 정보가 스터핑되거나 승인되지 않은 명령이 실행될 수 있습니다. 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성된 Application Load Balancer는 HTTP 비동기화로 인해 발생할 수 있는 보안 문제로부터 애플리케이션을 보호합니다.

이제 Security Hub가 와 통합되었습니다

Application Load Balancer의 비동기화 완화 모드를 업데이트하려면 Application Load Balancer 사용 설명서의 비동기화 완화 모드를 참조하십시오.

[ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 SC-36, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 복구 > 복원력 > 고가용성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: elbv2-multiple-az

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Elastic Load Balancer V2(애플리케이션, 네트워크 또는 게이트웨이 Load Balancer )에 지정된 수 이상의 가용 영역()에서 인스턴스가 등록되었는지 확인합니다AZs. Elastic Load Balancer V2에 지정된 수 이상의 에 등록된 인스턴스가 없는 경우 제어가 실패합니다AZs. 최소 수에 대한 사용자 지정 파라미터 값을 제공하지 않는 한 AZsSecurity Hub는 기본값인 2개를 사용합니다AZs.

Elastic Load Balancing은 EC2 인스턴스, 컨테이너 및 IP 주소와 같은 여러 대상에 수신 트래픽을 하나 이상의 가용 영역에 자동으로 분산합니다. Elastic Load Balancing은 수신 트래픽이 시간이 지남에 따라 변경됨에 따라 로드 밸런서를 확장합니다. Elastic Load Balancer는 하나를 사용할 수 없는 경우 다른 가용성 영역으로 트래픽을 전달할 수 있으므로 서비스 가용성을 보장하기 위해 최소 두 개의 가용성 영역을 구성하는 것이 좋습니다. 가용 영역을 여러 개 구성하면 애플리케이션에 단일 장애 지점이 발생하는 것을 방지할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

Application Load Balancer에 가용 영역을 추가하려면 Application Load Balancer 사용 설명서의 Application Load Balancer의 가용 영역을 참조하십시오. Network Load Balancer에 가용 영역을 추가하려면 네트워크 로드 밸런서 사용 설명서의 Network Load Balancer 를 참조하십시오. 게이트웨이 로드 밸런서에 가용 영역을 추가하려면 게이트웨이 로드 밸런서 사용 설명서의 게이트웨이 로드 밸런서 생성을 참조하십시오.

[ELB.14] Classic Load Balancer는 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-4(21), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 보호 > 데이터 보호 > 데이터 무결성

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancing::LoadBalancer

AWS Config 규칙: clb-desync-mode-check

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Classic Load Balancer가 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어 있는지 확인합니다. Classic Load Balancer가 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성되지 않은 경우 제어가 실패합니다.

HTTP 비동기화 문제로 인해 밀수 요청이 발생할 수 있으며 애플리케이션이 대기열 또는 캐시 중독을 요청하기에 취약해질 수 있습니다. 결과적으로 이러한 취약성으로 인해 보안 인증이 도용되거나 승인되지 않은 명령이 실행될 수 있습니다. 방어적이거나 가장 엄격한 비동기화 완화 모드로 구성된 Classic Load Balancer는 HTTP 비동기화로 인해 발생할 수 있는 보안 문제로부터 애플리케이션을 보호합니다.

이제 Security Hub가 와 통합되었습니다

Classic Load Balancer에서 비동기화 완화 모드를 업데이트하려면 Classic Load Balancer 사용 설명서의 비동기화 완화 모드 수정을 참조하십시오.

[ELB.16] Application Load Balancer는 AWS WAF 웹과 연결되어야 합니다. ACL

관련 요구 사항: NIST.800-53.r5 AC-4(21)

범주: 보호 > 보호 서비스

심각도: 중간

리소스 유형: AWS::ElasticLoadBalancingV2::LoadBalancer

AWS Config 규칙: alb-waf-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Application Load Balancer가 AWS WAF Classic 또는 AWS WAF 웹 액세스 제어 목록(웹 )과 연결되어 있는지 확인합니다ACL. AWS WAF 구성에 대한 Enabled 필드가 false로 설정된 경우 제어가 실패합니다.

AWS WAF 는 웹 애플리케이션과 를 공격APIs으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 를 사용하면 정의 AWS WAF한 사용자 지정 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합ACL인 웹 을 구성할 수 있습니다. Application Load Balancer를 AWS WAF 웹과 연결하여 악의적인 공격으로부터 ACL 보호하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

Application Load Balancer를 웹 와 연결하려면 AWS WAF 개발자 안내서의 AWS 리소스ACL와 웹 연결 또는 연결 해제를 ACL참조하세요.