에 대한 Security Hub 제어 AWS KMS - AWS Security Hub
[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대해 복호화 작업을 허용하지 않아야 합니다.[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대해 복호화 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.[KMS.3]의도하지 않게 삭제해서는 AWS KMS keys 안 됩니다.[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.[KMS.5] KMS 키는 공개적으로 액세스할 수 없어야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 Security Hub 제어 AWS KMS

이러한 AWS Security Hub 제어는 AWS Key Management Service (AWS KMS) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부만 사용할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[KMS.1] IAM 고객 관리형 정책은 모든 KMS 키에 대해 복호화 작업을 허용하지 않아야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::IAM::Policy

AWS Config 규칙: iam-customer-policy-blocked-kms-actions

스케줄 유형: 변경이 트리거됨

파라미터:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음)

  • excludePermissionBoundaryPolicy: True(사용자 지정할 수 없음)

IAM 고객 관리형 정책의 기본 버전이 보안 주체가 모든 리소스에서 AWS KMS 복호화 작업을 사용하도록 허용하는지 확인합니다. 정책이 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 충분히 열려 있으면 제어가 실패합니다.

제어는 리소스 요소의 KMS 키만 확인하고 정책의 조건 요소에 있는 어떤 조건도 고려하지 않습니다. 또한 제어는 연결된 고객 관리형 정책과 연결되지 않은 고객 관리형 정책을 모두 평가합니다. 인라인 정책 또는 AWS 관리형 정책은 확인하지 않습니다.

AWS KMS를 사용하면 누가 KMS 키를 사용하고 암호화된 데이터에 액세스할 수 있는지 제어할 수 있습니다. IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에서 수행할 수 있는 작업을 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용하는 것이 AWS 좋습니다. 즉, ID에 kms:Decrypt 또는 kms:ReEncryptFrom 권한만 부여하고 작업을 수행하는 데 필요한 키에 대해서만 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.

모든 키에 대한 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정합니다. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 않습니다. 대신 계정의 특정 리전에 있는 키에만 kms:Decrypt를 허용하세요. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.

문제 해결

IAM 고객 관리형 정책을 수정하려면 IAM 사용 설명서고객 관리형 정책 편집을 참조하세요. 정책을 편집할 때 Resource 필드에 복호화 작업을 허용할 특정 키의 Amazon 리소스 이름(ARN)을 입력합니다.

[KMS.2] IAM 보안 주체에는 모든 KMS 키에 대해 복호화 작업을 허용하는 IAM 인라인 정책이 없어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2, NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-5, NIST.800-53.r5 AC-6, NIST.800-53.r5 AC-6(3)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형:

  • AWS::IAM::Group

  • AWS::IAM::Role

  • AWS::IAM::User

AWS Config 규칙: iam-inline-policy-blocked-kms-actions

스케줄 유형: 변경이 트리거됨

파라미터:

  • blockedActionsPatterns: kms:ReEncryptFrom, kms:Decrypt(사용자 지정할 수 없음)

이 제어는 IAM 자격 증명(역할, 사용자 또는 그룹)에 포함된 인라인 정책이 모든 KMS 키에 대해 AWS KMS 복호화 및 재암호화 작업을 허용하는지 확인합니다. 정책이 모든 KMS 키에 대해 kms:Decrypt 또는 kms:ReEncryptFrom 작업을 허용할 만큼 충분히 열려 있으면 제어가 실패합니다.

제어는 리소스 요소의 KMS 키만 확인하고 정책의 조건 요소에 있는 어떤 조건도 고려하지 않습니다.

AWS KMS를 사용하면 누가 KMS 키를 사용하고 암호화된 데이터에 액세스할 수 있는지 제어할 수 있습니다. IAM 정책은 자격 증명(사용자, 그룹 또는 역할)이 어떤 리소스에서 수행할 수 있는 작업을 정의합니다. 보안 모범 사례에 따라 최소 권한을 허용하는 것이 AWS 좋습니다. 즉, 필요한 권한과 작업을 수행하는 데 필요한 키만 ID에 부여해야 합니다. 그렇지 않으면 사용자가 데이터에 적합하지 않은 키를 사용할 수 있습니다.

모든 키에 권한을 부여하는 대신 사용자가 암호화된 데이터에 액세스하는 데 필요한 최소 키 세트를 결정하세요. 그런 다음 사용자가 해당 키만 사용하도록 허용하는 정책을 설계합니다. 예를 들어 모든 KMS 키에 대한 kms:Decrypt 권한을 허용하지 않습니다. 대신 계정에 대한 특정 리전의 특정 키에 대해서만 권한을 허용하세요. 최소 권한 원칙을 채택하면 데이터가 의도하지 않게 공개될 위험을 줄일 수 있습니다.

문제 해결

IAM 인라인 정책을 수정하려면 IAM 사용 설명서인라인 정책 편집을 참조하세요. 정책을 편집할 때 Resource 필드에 복호화 작업을 허용할 특정 키의 Amazon 리소스 이름(ARN)을 입력합니다.

[KMS.3]의도하지 않게 삭제해서는 AWS KMS keys 안 됩니다.

관련 요구 사항: NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 심각

리소스 유형: AWS::KMS::Key

AWS Config 규칙: kms-cmk-not-scheduled-for-deletion-2 (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 KMS 키 삭제가 예약되어 있는지 확인합니다. KMS 키 삭제가 예약된 경우 제어가 실패합니다.

KMS 키는 삭제한 후에는 복구할 수 없습니다. KMS 키를 삭제하면 KMS 키로 암호화된 데이터도 영구적으로 복구할 수 없습니다. 삭제가 예약된 KMS 키로 의미 있는 데이터가 암호화된 경우 암호화 삭제를 의도적으로 수행하지 않는 한 데이터를 해독하거나 새 KMS 키로 데이터를 다시 암호화하는 것이 좋습니다.

KMS 키 삭제가 예약된 경우 오류로 예약된 경우 삭제를 되돌릴 시간을 허용하기 위해 필수 대기 기간이 적용됩니다. 기본 대기 기간은 30일이지만 KMS 키 삭제가 예약된 경우 짧게는 7일로 줄일 수 있습니다. 대기 기간 동안 예약된 삭제를 취소할 수 있으며 KMS 키는 삭제되지 않습니다.

KMS 키 삭제에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서 KMS 키 삭제를 참조하세요.

문제 해결

예약된 KMS 키 삭제를 취소하려면 AWS Key Management Service 개발자 안내서키 삭제 예약 및 취소(콘솔)에서 키 삭제 취소를 참조하세요.

[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/3.6, CIS AWS Foundations Benchmark v1.4.0/3.8, CIS AWS Foundations Benchmark v1.2.0/2.8, NIST.800-53.r5 SC-12, NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-28(3), PCI DSS v3.2.1/3.6.4, PCI DSS v4.0.1/3.7.4

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

심각도: 중간

리소스 유형: AWS::KMS::Key

AWS Config 규칙: cmk-backing-key-rotation-enabled

스케줄 유형: 주기적

파라미터: 없음

AWS KMS 를 사용하면에 저장된 키 구성 요소이고 키의 키 ID AWS KMS 에 연결된 지원 KMS 키를 교체할 수 있습니다. 이 백업 키는 암호화, 해독 등 암호화 작업을 수행하는 데 사용됩니다. 자동화된 키 교체는 암호화된 데이터의 해독이 투명하게 이루어질 수 있도록 하기 위해 현재 모든 이전 버전의 백업 키를 유지합니다.

CIS 에서는 KMS 키 교체를 활성화할 것을 권장합니다. 암호화 키를 교체하면 노출되었을 수 있는 이전 키로 새로운 키로는 암호화된 데이터에 액세스할 수 없으므로 침해된 키가 영향을 미칠 가능성을 줄일 수 있습니다.

문제 해결

KMS 키 교체를 활성화하려면 AWS Key Management Service 개발자 안내서자동 키 교체를 활성화 및 비활성화하는 방법을 참조하세요.

[KMS.5] KMS 키는 공개적으로 액세스할 수 없어야 합니다.

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::KMS::Key

AWS Config 규칙: kms-key-policy-no-public-access

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 AWS KMS 키에 공개적으로 액세스할 수 있는지 여부를 확인합니다. KMS 키에 공개적으로 액세스할 수 있는 경우 제어가 실패합니다.

최소 권한 액세스를 구현하는 것은 보안 위험과 오류 또는 악의적 의도의 영향을 줄이는 데 필수적입니다. KMS 키 정책이 외부 계정에서 액세스를 허용하는 경우, 이는 제3자가의 키를 사용하여 데이터를 암호화하고 해독할 수 AWS 계정 있으며 내부자 위협 또는 공격자가 키를 사용하여 모든 서비스의 데이터를 유출할 수 있음을 의미합니다.

문제 해결

KMS 키 정책을 업데이트하려면 AWS Key Management Service 개발자 안내서에서 키 정책을 AWS KMS 참조하세요.