기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Simple Storage Service 제어

이러한 제어는 Amazon S3 리소스와 관련이 있습니다.

이러한 컨트롤을 모두 사용할 수 있는 것은 아닙니다 AWS 리전. 자세한 정보는 리전별 제어 기능 사용 가능 여부을 참조하세요.

[S3.1] S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.1.4, AWS CIS 재단 벤치마크 v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21, NIST.800-53.R5 AC-3, NIST.800-53.r5 AC-3 (7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (16), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (4) 7 (9))

범주: 보호 > 보안 네트워크 구성

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: s3-account-level-public-access-blocks-periodic

스케줄 유형: 주기적

파라미터:

이 컨트롤은 이전 Amazon S3 블록 퍼블릭 액세스 설정이 S3 범용 버킷의 계정 수준에서 구성되었는지 여부를 확인합니다. 하나 이상의 블록 퍼블릭 액세스 설정이 로 false 설정된 경우 제어가 실패합니다.

설정 중 하나라도 false으로 설정되어 있거나 설정이 구성되지 않은 경우 제어가 실패합니다.

Amazon S3 퍼블릭 액세스 블록은 객체가 퍼블릭 액세스를 절대 갖지 않도록 전체 AWS 계정 또는 개별 S3 버킷 수준에서 제어를 제공하도록 설계되었습니다. 액세스 제어 목록(ACL), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다.

S3 버킷에 대한 퍼블릭 액세스를 가능하도록 하려는 경우가 아니면 계정 수준의 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 퍼블릭 액세스 차단 사용을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Amazon S3 퍼블릭 액세스 차단을 활성화하려면 Amazon 심플 스토리지 서비스 사용 설명서의 계정에 대한 블록 퍼블릭 액세스 설정 구성을 참조하십시오. AWS 계정

[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-public-read-prohibited

스케줄 유형: 주기적이며 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 공개 읽기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 ACL(액세스 제어 목록)을 평가합니다. 버킷이 공개 읽기 액세스를 허용하면 제어가 실패합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에서 읽을 수 있어야 합니다. 그러나 이러한 상황은 드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 읽을 수 없습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷에 대한 퍼블릭 읽기 액세스를 차단하려면 Amazon 심플 스토리지 서비스 사용 설명서의 S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성을 참조하십시오.

[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-public-write-prohibited

스케줄 유형: 주기적이며 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 공개 쓰기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 ACL(액세스 제어 목록)을 평가합니다. 버킷이 공개 쓰기 액세스를 허용하면 제어가 실패합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에 쓸 수 있어야 합니다. 그러나 이러한 상황은 드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 쓸 수 없습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷에 대한 퍼블릭 쓰기 액세스를 차단하려면 Amazon 심플 스토리지 서비스 사용 설명서의 S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성을 참조하세요.

[S3.5] S3 범용 버킷에는 SSL 사용 요청이 있어야 합니다.

관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.1.1, AWS CIS 재단 벤치마크 v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17 (2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5 (1), NIST.800-53.R5 SC-12 (3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-8 (1), NIST.800-53.r5 SC-8 (2)), NIST.800-53.r5 SI-7 (6)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-ssl-requests-only

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버킷에 SSL 사용 요청을 요구하는 정책이 있는지 확인합니다. 버킷 정책에 SSL 사용 요청이 필요하지 않으면 제어가 실패합니다.

S3 버킷에는 S3 리소스 정책에 있는 HTTPS를 통한 데이터 전송만 허용하도록 모든 요청(Action: S3:*)을 요구하는 정책이 있어야 하며 조건 키 aws:SecureTransport으로 표시됩니다.

이제 Security Hub가 와 통합되었습니다

비보안 전송을 거부하도록 Amazon S3 버킷 정책을 업데이트하려면 Amazon 심플 스토리지 서비스 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오.

다음 정책에 있는 것과 유사한 정책 설명을 추가하십시오. DOC-EXAMPLE-BUCKET를 수정하려는 버킷의 이름으로 바꿉니다.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

자세한 내용은 AWS Config 규칙 s3- 를 준수하려면 어떤 S3 버킷 정책을 사용해야 합니까? 를 참조하십시오. bucket-ssl-requests-only AWS 공식 지식 센터에서.

[S3.6] S3 범용 버킷 정책은 다른 버킷에 대한 액세스를 제한해야 합니다. AWS 계정

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 보호 > 보안 액세스 관리 > 민감한 API 작업 작업 제한

심각도: 높음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-blacklisted-actions-prohibited

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷 정책이 다른 AWS 계정 사람의 보안 주체가 S3 버킷의 리소스에 대해 거부된 작업을 수행하는 것을 방지하는지 확인합니다. 버킷 정책에서 다른 보안 주체의 이전 작업 중 하나 이상을 허용하는 경우 제어가 실패합니다. AWS 계정

최소 권한 액세스를 구현하는 것은 보안 위험과 오류 또는 악의적 의도의 영향을 줄이는 데 필수적입니다. S3 버킷 정책에서 외부 계정으로부터의 액세스를 허용하는 경우 내부자 위협이나 공격자에 의한 데이터 유출이 발생할 수 있습니다.

blacklistedactionpatterns 파라미터를 사용하면 S3 버킷의 규칙을 성공적으로 평가할 수 있습니다. 파라미터는 blacklistedactionpatterns 목록에 포함되지 않은 작업 패턴에 대해 외부 계정에 대한 액세스 권한을 부여합니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷 정책을 업데이트하여 권한을 제거하려면 Amazon Simple Storage Service 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오.

버킷 정책 편집 페이지의 정책 편집 텍스트 상자에서 다음 작업 중 하나를 수행하십시오.

[S3.7] S3 범용 버킷은 지역 간 복제를 사용해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2), NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 보호 > 보안 액세스 관리

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-cross-region-replication-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버킷에 지역 간 복제가 활성화되어 있는지 확인합니다. 버킷에 교차 리전 복제가 활성화되어 있지 않으면 제어가 실패합니다.

복제는 같거나 다른 버킷에 있는 객체를 비동기식으로 자동 복사하는 것입니다. AWS 리전복제는 새로 생성된 객체와 객체 업데이트를 소스 버킷에서 대상 버킷으로 복사합니다. AWS 모범 사례에서는 동일한 AWS 계정소유의 소스 및 대상 버킷에 대한 복제를 권장합니다. 가용성 외에도 다른 시스템 보안 강화 설정을 고려해야 합니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에서 크로스 리전 복제를 활성화하려면 Amazon Simple Storage Service 사용 설명서의 동일한 계정이 소유한 소스 및 대상 버킷에 대한 복제 구성을 참조하십시오. 소스 버킷의 경우 버킷의 모든 객체에 적용을 선택합니다.

[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.1.4, CIS AWS 재단 벤치마크 v1.4.0/2.1.5, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.R5 AC-3 (7), NIST.800-53.r5 AC-4 (21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7 (11), NIST.800-53.r5 SC-7 (20), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 SC-7 (21), NIST.800-53.r5 53.r5 SC-7 (3), NIST.800-53.r5 SC-7 (4), NIST.800-53.r5 SC-7 (9)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 높음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-level-public-access-prohibited

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷이 버킷 수준에서 퍼블릭 액세스를 차단하는지 여부를 확인합니다. 다음 설정 중 하나라도 로 설정된 경우 제어가 실패합니다false.

S3 버킷 수준에서의 퍼블릭 액세스 차단은 객체에 퍼블릭 액세스가 없도록 제어하는 기능을 제공합니다. 액세스 제어 목록(ACL), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 퍼블릭 액세스 권한이 부여됩니다.

S3 버킷에 대한 퍼블릭 액세스를 가능하도록 하려는 경우가 아니면 버킷 수준의 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

이제 Security Hub가 와 통합되었습니다

버킷 수준에서 퍼블릭 액세스를 제거하는 방법에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하십시오.

[S3.9] S3 범용 버킷은 서버 액세스 로깅을 활성화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷에 대해 서버 액세스 로깅이 활성화되었는지 여부를 확인합니다. 서버 액세스 로깅이 활성화되지 않은 경우 제어가 실패합니다. 로깅을 사용하도록 설정하면 Amazon S3는 소스 버킷에 대한 액세스 로그를 선택한 대상 버킷으로 전달합니다. 대상 버킷은 원본 버킷과 AWS 리전 동일해야 하며 기본 보존 기간을 구성하지 않아야 합니다. 대상 로깅 버킷에는 서버 액세스 로깅을 활성화할 필요가 없으며 이 버킷에 대한 조사 결과를 표시하지 않아야 합니다.

서버 액세스 로깅은 버킷에 대한 요청에 대한 자세한 기록을 제공합니다. 서버 액세스 로그는 보안 및 액세스 감사에 도움이 될 수 있습니다. 자세한 내용은 Amazon S3 보안 모범 사례: Amazon S3 서버 액세스 로깅 활성화를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Amazon S3 서버 액세스 로깅을 활성화하려면 Amazon S3 사용 설명서의 Amazon S3 서버 액세스 로깅 활성화를 참조하십시오.

[S3.10] 버전 관리가 활성화된 S3 범용 버킷은 수명 주기 구성을 가져야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-version-lifecycle-policy-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버전 관리 버킷에 수명 주기 구성이 있는지 여부를 확인합니다. 버킷에 수명 주기 구성이 없으면 제어가 실패합니다.

Amazon S3가 객체 수명 주기 동안 수행할 작업을 정의하는 데 도움이 되도록 S3 버킷의 수명 주기 구성을 생성하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷의 수명 주기 구성에 대한 자세한 내용은 버킷의 수명 주기 구성 설정 및 스토리지 수명 주기 관리를 참조하십시오.

[S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(4)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-event-notifications-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon S3 범용 버킷에서 S3 이벤트 알림이 활성화되었는지 여부를 확인합니다. 버킷에서 S3 이벤트 알림을 활성화하지 않으면 제어가 실패합니다. eventTypes파라미터에 사용자 지정 값을 제공하는 경우 지정된 유형의 이벤트에 대해 이벤트 알림이 활성화된 경우에만 제어가 전달됩니다.

S3 이벤트 알림을 활성화하면 S3 버킷에 영향을 미치는 특정 이벤트가 발생할 때 알림을 받게 됩니다. 예를 들어 개체 생성, 개체 제거, 개체 복원에 대한 알림을 받을 수 있습니다. 이러한 알림은 무단 데이터 액세스로 이어질 수 있는 우발적이거나 의도적인 수정에 대해 관련 팀에 경고할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷 및 객체 변경 감지에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 이벤트 알림을 참조하십시오.

[S3.12] ACL은 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 사용해서는 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-acl-prohibited

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 액세스 제어 목록 (ACL) 과 함께 사용자 권한을 제공하는지 여부를 확인합니다. 버킷에 대한 사용자 액세스를 관리하도록 ACL이 구성된 경우 제어가 실패합니다.

ACL은 IAM 이전의 레거시 액세스 제어 메커니즘입니다. ACL 대신 S3 버킷 정책 또는 AWS Identity and Access Management (IAM) 정책을 사용하여 S3 버킷에 대한 액세스를 관리하는 것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

이 제어를 통과하려면 S3 버킷에 대한 ACL을 비활성화해야 합니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 객체 소유권 제어 및 버킷에 대해 ACL 비활성화를 참조하십시오.

S3 버킷 정책을 생성하려면 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오. S3 버킷에 IAM 사용자 정책을 생성하려면 사용자 정책을 사용한 버킷 액세스 제어를 참조하십시오.

[S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 보호 > 데이터 보호

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-lifecycle-policy-check

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon S3 범용 버킷에 수명 주기 구성이 있는지 여부를 확인합니다. 버킷에 수명 주기 구성이 없는 경우 제어가 실패합니다. 위 파라미터 중 하나 이상에 사용자 지정 값을 제공하는 경우 정책에 지정된 스토리지 클래스, 삭제 시간 또는 전환 시간이 포함된 경우에만 제어가 통과합니다.

S3 버킷의 수명 주기 구성을 생성하면 객체 수명 주기 동안 Amazon S3가 수행할 작업이 정의됩니다. 예를 들어, 객체를 다른 스토리지 클래스로 전환하거나, 보관하거나, 지정된 기간 후에 삭제할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷의 수명 주기 정책 구성에 대한 자세한 내용은 Amazon S3 사용 설명서의 버킷에 수명 주기 구성 설정 및 스토리지 수명 주기 관리를 참조하십시오.

[S3.14] S3 범용 버킷은 버전 관리를 활성화해야 합니다.

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

관련 요구 사항: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-versioning-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버킷에 버전 관리가 활성화되어 있는지 여부를 확인합니다. 버킷의 버전 관리가 일시 중단되면 제어가 실패합니다.

버전 관리는 동일한 S3 버킷에 객체의 여러 변형을 유지합니다. 버전 관리를 사용하여 S3 버킷에 저장된 객체의 이전 버전을 보존, 검색 및 복원할 수 있습니다. S3 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애 모두로부터 복구하는 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에서 버전 관리를 사용하려면 Amazon S3 사용 설명서의 버킷 버전 관리 활성화를 참조하십시오.

[S3.15] S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다.

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

관련 요구 사항: NIST.800-53.r5 CP-6(2)

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-default-lock-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

이 컨트롤은 Amazon S3 범용 버킷에 객체 잠금이 활성화되어 있는지 확인합니다. 버킷에 대해 객체 잠금이 활성화되지 않은 경우 제어가 실패합니다. mode 파라미터에 사용자 지정 값을 제공하면 S3 객체 잠금이 지정된 보존 모드를 사용하는 경우에만 제어가 통과합니다.

S3 오브젝트 잠금을 사용하여 write-once-read-many (WORM) 모델을 사용하여 객체를 저장할 수 있습니다. 객체 잠금은 S3 버킷의 객체가 고정된 시간 동안 또는 무기한 삭제되거나 덮어쓰이는 것을 방지하는 데 도움이 됩니다. S3 객체 잠금을 사용하면 WORM 스토리지가 필요한 규제 요구 사항을 충족하거나 객체 변경 및 삭제에 대한 보호 계층을 추가할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

신규 및 기존 S3 버킷의 객체 잠금을 구성하려면 Amazon S3 사용 설명서의 S3 객체 잠금 구성을 참조하세요.

[S3.17] S3 범용 버킷은 저장 시 다음을 사용하여 암호화해야 합니다. AWS KMS keys

카테고리: 보호 > 데이터 보호 > 암호화 data-at-rest

관련 요구 사항: NIST.800-53.r5 SC-12(2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 SI-7(6), NIST.800-53.r5 AU-9

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-default-encryption-kms

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버킷이 AWS KMS key (SSE-KMS 또는 DSSE-KMS) 로 암호화되었는지 여부를 확인합니다. 버킷을 기본 암호화 (SSE-S3) 로 암호화하면 제어가 실패합니다.

서버 측 암호화(SSE)는 데이터를 받는 애플리케이션 또는 서비스에 의해 해당 대상에서 데이터를 암호화하는 것입니다. 달리 지정하지 않는 한, S3 버킷은 서버 측 암호화에 기본적으로 Amazon S3 관리형 키(SSE-S3)를 사용합니다. 하지만 제어를 강화하기 위해 대신 AWS KMS keys (SSE-KMS 또는 DSSE-KMS) 를 통한 서버 측 암호화를 사용하도록 버킷을 구성할 수 있습니다. Amazon S3는 데이터 센터의 디스크에 데이터를 쓸 때 객체 수준에서 데이터를 암호화하고, AWS 데이터에 액세스할 때 자동으로 복호화합니다.

이제 Security Hub가 와 통합되었습니다

SSE-KMS를 사용하여 S3 버킷을 암호화하려면 Amazon S3 사용 설명서의 AWS KMS (SSE-KMS) 를 사용하여 서버 측 암호화 지정을 참조하십시오. DSSE-KMS를 사용하여 S3 버킷을 암호화하려면 Amazon S3 사용 설명서의 (DSSE-KMS) 를 사용하여 이중 계층 서버 측 암호화 지정을 참조하십시오. AWS KMS keys

[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::S3::AccessPoint

AWS Config 규칙: s3-access-point-public-access-blocks

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되었는지 확인합니다. 액세스 포인트에 대해 퍼블릭 액세스 차단 설정을 활성화하지 않으면 제어가 실패합니다.

Amazon S3 퍼블릭 액세스 차단 기능을 사용하면 계정, 버킷 및 액세스 포인트 수준의 세 가지 수준에서 S3 리소스에 대한 액세스를 관리할 수 있습니다. 각 수준의 설정을 독립적으로 구성할 수 있으므로 데이터에 대해 다양한 수준의 퍼블릭 액세스 제한을 적용할 수 있습니다. 액세스 포인트 설정은 상위 수준(액세스 포인트에 할당된 계정 수준 또는 버킷)에서 더 제한적인 설정을 개별적으로 재정의할 수 없습니다. 대신 액세스 포인트 수준의 설정은 추가적이므로 다른 수준의 설정을 보완하고 그 설정과 연동합니다. S3 액세스 포인트를 공개적으로 액세스할 수 있도록 하려는 경우가 아니라면 퍼블릭 액세스 차단 설정을 활성화해야 합니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3에서는 현재 액세스 포인트가 생성된 후 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경하도록 지원하지 않습니다. 신규 액세스 포인트를 생성하면 기본적으로 모든 퍼블릭 액세스 차단 설정이 활성화되어 있습니다. 특정 설정을 사용 중지해야 하는 경우가 아니면 모든 설정을 그대로 유지하는 것이 좋습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 액세스 포인트에 대한 퍼블릭 액세스 관리를 참조하세요.

[S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS 재단 벤치마크 v3.0.0/2.1.2, CIS AWS 재단 벤치마크 v1.4.0/2.1.3, NIST.800-53.r5 CA-9 (1), NIST.800-53.r5 CM-2 (2), NIST.800-53.r5 SC-5 SC-5 (2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-mfa-delete-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 컨트롤은 Amazon S3 범용 버전 관리 버킷에서 멀티 팩터 인증 (MFA) 삭제가 활성화되었는지 여부를 확인합니다. 버킷에서 MFA Delete가 활성화되지 않은 경우 제어가 실패합니다. 컨트롤은 수명 주기 구성이 있는 버킷에 대한 검색 결과를 생성하지 않습니다.

Amazon S3 버킷에서 S3 버전 관리를 사용하는 경우 선택적으로 MFA Delete를 사용 설정하도록 버킷을 구성하여 다른 보안 계층을 추가할 수 있습니다. 이렇게 하면 버킷 소유자가 버전을 삭제하거나 버킷의 버전 관리 상태를 변경하는 모든 요청에 두 가지 형식의 인증을 포함해야 합니다. MFA Delete는 보안 인증이 손상된 경우에 대비하여 보안을 강화합니다. 또한 MFA Delete는 삭제 작업을 시작하는 사용자에게 MFA 코드를 통해 MFA 디바이스의 물리적 소유를 증명할 것을 요구하고 삭제 작업에 추가 마찰 및 보안 계층을 추가합니다. 따라서 실수로 인한 버킷 삭제를 방지하는 데 도움이 될 수 있습니다.

이제 Security Hub가 와 통합되었습니다

S3 버전 관리를 활성화하고 버킷에서 MFA Delete를 구성하려면 Amazon Simple Storage Service 사용 설명서의 MFA Delete 구성을 참조하세요.

[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.

관련 요구 사항: CIS 재단 벤치마크 v3.0.0/3.8 AWS

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: cloudtrail-all-write-s3-data-event-check

스케줄 유형: 주기적

파라미터: 없음

이 AWS 계정 컨트롤은 Amazon S3 버킷에 대한 모든 쓰기 데이터 이벤트를 기록하는 AWS CloudTrail 다중 지역 트레일이 하나 이상 있는지 확인합니다. 계정에 S3 버킷에 대한 쓰기 데이터 이벤트를 기록하는 멀티 리전 트레일이 없으면 제어가 실패합니다.

, GetObject DeleteObjectPutObject, 및 같은 S3 객체 수준 작업을 데이터 이벤트라고 합니다. 기본적으로 은 데이터 이벤트를 기록하지 CloudTrail 않지만 S3 버킷의 데이터 이벤트를 기록하도록 트레일을 구성할 수 있습니다. 쓰기 데이터 이벤트에 대한 객체 수준 로깅을 활성화하면 S3 버킷 내의 각 개별 객체 (파일) 액세스를 로깅할 수 있습니다. 객체 수준 로깅을 활성화하면 Amazon Events를 사용하여 데이터 규정 준수 요구 사항을 충족하고, 포괄적인 보안 분석을 수행하고, 사용자 행동의 특정 패턴을 모니터링하고 AWS 계정, S3 버킷 내 객체 수준 API 활동에 대한 조치를 취하는 데 도움이 될 수 있습니다. CloudWatch 이 컨트롤은 모든 S3 버킷에 대해 쓰기 전용 또는 모든 유형의 데이터 이벤트를 기록하는 다중 지역 트레일을 구성하면 PASSED 결과를 생성합니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에 대한 객체 수준 로깅을 활성화하려면 Amazon Simple Storage Service 사용 설명서의 S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 활성화를 참조하십시오.

[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.

관련 요구 사항: CIS 재단 벤치마크 v3.0.0/3.9 AWS

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: cloudtrail-all-read-s3-data-event-check

스케줄 유형: 주기적

파라미터: 없음

이 AWS 계정 컨트롤은 Amazon S3 버킷에 대한 모든 읽기 데이터 이벤트를 기록하는 AWS CloudTrail 다중 지역 트레일이 하나 이상 있는지 확인합니다. 계정에 S3 버킷에 대한 읽기 데이터 이벤트를 기록하는 멀티 리전 트레일이 없으면 제어가 실패합니다.

, GetObject DeleteObjectPutObject, 및 같은 S3 객체 수준 작업을 데이터 이벤트라고 합니다. 기본적으로 은 데이터 이벤트를 기록하지 CloudTrail 않지만 S3 버킷의 데이터 이벤트를 기록하도록 트레일을 구성할 수 있습니다. 읽기 데이터 이벤트에 대한 객체 수준 로깅을 활성화하면 S3 버킷 내의 각 개별 객체 (파일) 액세스를 로깅할 수 있습니다. 객체 수준 로깅을 활성화하면 Amazon Events를 사용하여 데이터 규정 준수 요구 사항을 충족하고, 포괄적인 보안 분석을 수행하고, 사용자 행동의 특정 패턴을 모니터링하고 AWS 계정, S3 버킷 내 객체 수준 API 활동에 대한 조치를 취하는 데 도움이 될 수 있습니다. CloudWatch 이 컨트롤은 모든 S3 버킷에 대해 읽기 전용 또는 모든 유형의 데이터 이벤트를 기록하는 다중 지역 트레일을 구성하면 PASSED 결과를 생성합니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에 대한 객체 수준 로깅을 활성화하려면 Amazon Simple Storage Service 사용 설명서의 S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 활성화를 참조하십시오.