기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Payment Card Industry Data Security Standard(PCI DSS)는 신용카드 및 직불카드 정보를 안전하게 처리하기 위한 일련의 규칙 및 지침을 제공하는 타사 규정 준수 프레임워크입니다. PCI 보안 표준 위원회(SSC)는이 프레임워크를 생성하고 업데이트합니다.
AWS Security Hub 에는이 타사 프레임워크를 준수하는 데 도움이 되는 PCI DSS 표준이 있습니다. 이 표준을 사용하여 카드 소지자 데이터를 처리하는 AWS 리소스의 보안 취약성을 발견할 수 있습니다. 카드 소지자 데이터 또는 민감한 인증 데이터를 저장, 처리 또는 전송하는 리소스가 AWS 계정 있는에서이 표준을 활성화하는 것이 좋습니다. PCI SSC의 평가는이 표준을 검증했습니다.
Security Hub는 PCI DSS v3.2.1과 PCI DSS v4.0.1을 모두 지원합니다. v4.0.1을 사용하여 보안 모범 사례를 최신 상태로 유지하는 것이 좋습니다. 두 표준 버전을 동시에 활성화할 수 있습니다. 표준을 활성화하는 방법에 대한 지침은 Security Hub에서 보안 표준 활성화 섹션을 참조하세요. 현재 v3.2.1을 사용하고 있지만 v4.0.1만 사용하려는 경우 이전 버전을 비활성화하기 전에 최신 버전을 활성화합니다. 이렇게 하면 보안 검사의 격차를 방지할 수 있습니다. AWS Organizations 와 Security Hub 통합을 사용하고 여러 계정에서 v4.0.1을 일괄 활성화하려면 중앙 구성을 사용하여 활성화하는 것이 좋습니다.
다음 섹션에서는 PCI DSS v3.2.1 및 PCI DSS v4.0.1에 적용되는 컨트롤을 보여줍니다.
PCI DSS v3.2.1에 적용되는 제어
[PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.
[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.
[CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다.
[CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
[Config.1]을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 AWS Config 합니다.
[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.
[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.
[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.
[EC2.12] 사용하지 않는 Amazon EC2 EIP는 제거해야 합니다.
[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.
[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.
[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.
[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.
[GuardDuty.1] GuardDuty를 활성화해야 합니다.
[IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용해서는 안 됩니다.
[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.
[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.
[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.
[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.
[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.
[IAM.10] IAM 사용자의 암호 정책에 AWS Config는 강력한 요구 사항이 있어야 합니다.
[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.
[Lambda.3] Lambda 함수는 VPC에 있어야 합니다.
[Opensearch.1] OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.
[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.
[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다
[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.
[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다
[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다
[S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
[SSM.1] Amazon EC2 인스턴스는에서 관리해야 합니다. AWS Systems Manager
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
PCI DSS v4.0.1에 적용되는 제어
[ACM.1] 가져온 인증서와 ACM에서 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.
[ACM.2] ACM에서 관리하는 RSA 인증서는 최소 2,048비트의 키 길이를 사용해야 합니다.
[APIGateway.9] API Gateway V2 단계에 대한 액세스 로깅을 구성해야 합니다.
[AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다.
[AutoScaling.3] Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다.
[Autoscaling.5] Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.
[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.
[CloudFront.10] CloudFront 배포는 엣지 로케이션과 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다.
[CloudFront.12] CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다.
[CloudFront.3] CloudFront 배포에는 전송 중 암호화가 필요합니다.
[CloudFront.5] CloudFront 배포에는 로깅이 활성화되어 있어야 합니다.
[CloudFront.6] CloudFront 배포판에는 WAF가 활성화되어 있어야 합니다.
[CloudFront.9] CloudFront 배포는 사용자 지정 오리진에 대한 트래픽을 암호화해야 합니다.
[CloudTrail.2] CloudTrail에서 유휴 시 암호화를 활성화해야 합니다.
[CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 유효성 검증을 활성화해야 합니다.
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하세요.
[CloudTrail.7] CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다.
[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다.
[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다.
[CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.
[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.
[DMS.10] Neptune 데이터베이스용 DMS 엔드포인트에는 IAM 인증이 활성화되어 있어야 합니다.
[DMS.11] MongoDB용 DMS 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다.
[DMS.12] Redis OSS용 DMS 엔드포인트에는 TLS가 활성화되어 있어야 합니다.
[DMS.6] DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[DMS.7] 대상 데이터베이스에 대한 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.
[DMS.8] 소스 데이터베이스의 DMS 복제 작업에는 로깅이 활성화되어 있어야 합니다.
[DMS.9] DMS 엔드포인트는 SSL을 사용해야 합니다.
[DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.
[DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.
[DocumentDB.4] Amazon DocumentDB 클러스터는 CloudWatch Logs에 감사 로그를 게시해야 합니다.
[DynamoDB.7] DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다
[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.
[EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
[EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.
[EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.
[EC2.170] EC2 런치 템플릿은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
[EC2.171] EC2 VPN 연결에는 로깅이 활성화되어 있어야 합니다.
[EC2.21] 네트워크 ACL은 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용해서는 안 됩니다.
[EC2.25] Amazon EC2 시작 템플릿은 네트워크 인터페이스에 퍼블릭 IP를 할당해서는 안 됩니다.
[EC2.51] EC2 Client VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다.
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
[EC2.54] EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다
[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다.
[ECR.1] ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다.
[ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.
[ECS.16] ECS 작업 세트는 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.
[ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다.
[ECS.8] 암호는 컨테이너 환경 변수로 전달되어서는 안 됩니다.
[EFS.4] EFS 액세스 포인트는 사용자 자격 증명을 적용해야 합니다.
[EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.
[EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다.
[EKS.3] EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다.
[EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.
[ElastiCache.2] ElastiCache 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[ElastiCache.5] ElastiCache 복제 그룹은 전송 중 암호화되어야 합니다.
[ElastiCache.6] 이전 버전의 ElastiCache(Redis OSS) 복제 그룹에는 Redis OSS AUTH가 활성화되어 있어야 합니다.
[ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트가 활성화되어야 합니다.
[ElasticBeanstalk.3] Elastic Beanstalk는 로그를 CloudWatch로 스트리밍해야 합니다.
[ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성되어야 합니다.
[ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다.
[ELB.3] Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성되어야 합니다.
[ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다.
[ELB.8] SSL AWS Config리스너가 있는 Classic Load Balancer는 강력한 절박감이 있는 사전 정의된 보안 정책을 사용해야 합니다.
[EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다.
[EMR.2] Amazon EMR 퍼블릭 액세스 차단 설정을 활성화해야 합니다.
[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.
[ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.
[ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.
[ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다.
[EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다.
[GuardDuty.1] GuardDuty를 활성화해야 합니다.
[GuardDuty.10] GuardDuty S3 보호를 활성화해야 합니다.
[GuardDuty.6] GuardDuty Lambda 보호를 활성화해야 합니다.
[GuardDuty.7] GuardDuty EKS 런타임 모니터링을 활성화해야 합니다.
[GuardDuty.9] GuardDuty RDS 보호를 활성화해야 합니다.
[IAM.10] IAM 사용자의 암호 정책에 AWS Config는 강력한 요구 사항이 있어야 합니다.
[IAM.11] IAM 암호 정책에서 최소 1개의 대문자를 요구하는지 여부를 확인합니다.
[IAM.12] IAM 암호 정책에서 최소 1개의 소문자를 요구하는지 여부를 확인합니다.
[IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다.
[IAM.14] IAM 암호 정책에서 최소 1개의 숫자를 요구하는지 여부를 확인합니다.
[IAM.16] IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인합니다.
[IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다.
[IAM.18]를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인 지원
[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.
[IAM.3] IAM 사용자 액세스 키는 90일 이하마다 교체해야 합니다.
[IAM.5] 콘솔 암호가 있는 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.
[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.
[IAM.7] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다.
[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.
[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.
[Inspector.1] Amazon Inspector EC2 스캔을 활성화해야 합니다.
[Inspector.2] Amazon Inspector ECR 스캔을 활성화해야 합니다.
[Inspector.3] Amazon Inspector Lambda 코드 스캔을 활성화해야 합니다.
[Inspector.4] Amazon Inspector Lambda 표준 스캔을 활성화해야 합니다.
[KMS.4] AWS KMS 키 교체를 활성화해야 합니다.
[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.
[Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.
[MQ.2] ActiveMQ 브로커는 감사 로그를 CloudWatch로 스트리밍해야 합니다.
[MQ.3] Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[MSK.1] MSK 클러스터는 브로커 노드 간 전송 중 암호화되어야 합니다.
[MSK.3] MSK Connect 커넥터는 전송 중에 암호화되어야 합니다.
[Neptune.2] Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
[Neptune.3] Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다.
[Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다.
[Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.
[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.
[RDS.2] RDS DB 인스턴스는 PubliclyAccessible 구성으로 결정된 퍼블릭 액세스를 금지해야 합니다.
[RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.
[RDS.24] RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
[RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.
[RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다.
[RDS.35] RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다.
[RDS.36] RDS for PostgreSQL DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
[RDS.37] Aurora MySQL DB 클러스터는 CloudWatch Logs에 로그를 게시해야 합니다.
[RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다.
[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.
[Redshift.15] Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다.
[Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.
[Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.
[Route53.2] Route53 퍼블릭 호스팅 영역은 DNS 쿼리를 로깅해야 합니다.
[S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다
[S3.15] S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다.
[S3.17] S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys
[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.
[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.
[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.
[S3.24] S3 다중 리전 액세스 포인트에 공개 액세스 차단 설정이 활성화되어 있어야 합니다
[S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다
[SageMaker.1] Amazon SageMaker AI 노트북 인스턴스에는 인터넷에 직접 액세스할 수 없어야 합니다.
[SecretsManager.1] Secrets Manager 암호에는 자동 교체가 활성화되어 있어야 합니다.
[SecretsManager.2] 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.
[SecretsManager.4] Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다.
[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.
[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.
[StepFunctions.1] Step Functions 상태 머신에는 로깅이 켜져 있어야 합니다.
[Transfer.2] Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다.
[WAF.1] AWS WAF 클래식 글로벌 웹 ACL 로깅을 활성화해야 합니다.
[WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다.
