기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon S3에 대한 Security Hub 제어

이러한 AWS Security Hub 제어는 Amazon Simple Storage Service(Amazon S3) 서비스 및 리소스를 평가합니다.

이러한 제어는 일부 에서 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.1.4, CIS AWS Foundations Benchmark v1.4.0/2.1.5, PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, NIST.800-53.r5 AC-21 NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: s3-account-level-public-access-blocks-periodic

스케줄 유형: 주기적

파라미터:

이 제어는 이전 Amazon S3 블록 퍼블릭 액세스 설정이 S3 범용 버킷의 계정 수준에서 구성되어 있는지 확인합니다. 하나 이상의 퍼블릭 액세스 차단 설정이 로 설정된 경우 제어가 실패합니다false.

설정 중 하나라도 false으로 설정되어 있거나 설정이 구성되지 않은 경우 제어가 실패합니다.

Amazon S3 퍼블릭 액세스 블록은 객체에 퍼블릭 액세스가 없도록 전체 AWS 계정 또는 개별 S3 버킷 수준에서 제어를 제공하도록 설계되었습니다. 퍼블릭 액세스는 액세스 제어 목록(ACLs), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 부여됩니다.

S3 버킷에 대한 퍼블릭 액세스를 가능하도록 하려는 경우가 아니면 계정 수준의 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 퍼블릭 액세스 차단 사용을 참조하십시오.

이제 Security Hub가 와 통합되었습니다

에 대해 Amazon S3 퍼블릭 액세스 차단을 활성화하려면 Amazon Simple Storage Service 사용 설명서의 계정에 대한 퍼블릭 액세스 차단 설정 구성을 AWS 계정참조하세요. https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-account.html

[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7,, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-public-read-prohibited

스케줄 유형: 주기적이며 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 퍼블릭 읽기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록()을 평가합니다ACL. 버킷이 퍼블릭 읽기 액세스를 허용하는 경우 제어가 실패합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에서 읽을 수 있어야 합니다. 그러나 이러한 상황은 드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 읽을 수 없습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷에 대한 퍼블릭 읽기 액세스를 차단하려면 Amazon 심플 스토리지 서비스 사용 설명서의 S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성을 참조하십시오.

[S3.3] S3 범용 버킷은 퍼블릭 쓰기 액세스를 차단해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/1.2.1, PCI DSS v3.2.1/1.3.1, PCI DSS v3.2.1/1.3.2, PCI DSS v3.2.1/1.3.4, PCI DSS v3.2.1/1.3.6, PCI DSS v3.2.1/7.2.1, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3,, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6 NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7,(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 네트워크 구성

심각도: 심각

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-public-write-prohibited

스케줄 유형: 주기적이며 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 퍼블릭 쓰기 액세스를 허용하는지 여부를 확인합니다. 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록()을 평가합니다ACL. 버킷이 퍼블릭 쓰기 액세스를 허용하는 경우 제어가 실패합니다.

일부 사용 사례에서는 인터넷의 모든 사용자가 S3 버킷에 쓸 수 있어야 합니다. 그러나 이러한 상황은 드뭅니다. 데이터의 무결성과 보안을 보장하기 위해 S3 버킷은 공개적으로 쓸 수 없습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷에 대한 퍼블릭 쓰기 액세스를 차단하려면 Amazon 심플 스토리지 서비스 사용 설명서의 S3 버킷에 대한 퍼블릭 액세스 차단 설정 구성을 참조하세요.

[S3.5] S3 범용 버킷을 사용하려면 요청이 필요합니다. SSL

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.1.1, CIS AWS Foundations Benchmark v1.4.0/2.1.2, PCI DSS v3.2.1/4.1, NIST.800-53.r5 AC-17(2), NIST.800-53.r5 AC-4, NIST.800-53.r5 IA-5(1), NIST.800-53.r5 SC-12(3), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-23, NIST.800-53.r5 SC-23(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-8, NIST.800-53.r5 SC-8(1), NIST.800-53.r5 SC-8(2), NIST.800-53.r5 SI-7(6)

범주: 보호 > 보안 액세스 관리

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-ssl-requests-only

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷에 사용 요청이 필요한 정책이 있는지 확인합니다SSL. 버킷 정책에 사용 요청이 필요하지 않은 경우 제어가 실패합니다SSL.

S3 버킷에는 조건 키 로 표시된 S3 리소스 정책HTTPS에서 를 통한 데이터 전송만 수락하도록 모든 요청(Action: S3:*)을 요구하는 정책이 있어야 합니다aws:SecureTransport.

이제 Security Hub가 와 통합되었습니다

비보안 전송을 거부하도록 Amazon S3 버킷 정책을 업데이트하려면 Amazon Simple Storage Service 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하세요.

다음 정책에 있는 것과 유사한 정책 설명을 추가하십시오. amzn-s3-demo-bucket를 수정하려는 버킷의 이름으로 바꿉니다.

{
    "Id": "ExamplePolicy",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSSLRequestsOnly",
            "Action": "s3:*",
            "Effect": "Deny",
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ],
            "Condition": {
                "Bool": {
                     "aws:SecureTransport": "false"
                }
            },
           "Principal": "*"
        }
    ]
}

자세한 내용은 AWS 공식 지식 센터의 AWS Config 규칙 sS3-bucket-ssl-requests-only?를 준수하기 위해 사용해야 하는 S3 버킷 정책을 참조하세요.

[S3.6] S3 범용 버킷 정책은 다른 에 대한 액세스를 제한해야 합니다. AWS 계정

관련 요구 사항: NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2

범주: 보호 > 보안 액세스 관리 > 민감한 API 작업 작업 제한

심각도: 높음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-blacklisted-actions-prohibited

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷 정책이 다른 AWS 계정 보안 주체가 S3 버킷의 리소스에 대해 거부된 작업을 수행하지 못하도록 하는지 확인합니다. 버킷 정책이 다른 의 보안 주체에 대해 이전 작업 중 하나 이상을 허용하는 경우 제어가 실패합니다 AWS 계정.

최소 권한 액세스를 구현하는 것은 보안 위험과 오류 또는 악의적 의도의 영향을 줄이는 데 필수적입니다. S3 버킷 정책에서 외부 계정으로부터의 액세스를 허용하는 경우 내부자 위협이나 공격자에 의한 데이터 유출이 발생할 수 있습니다.

blacklistedactionpatterns 파라미터를 사용하면 S3 버킷의 규칙을 성공적으로 평가할 수 있습니다. 파라미터는 blacklistedactionpatterns 목록에 포함되지 않은 작업 패턴에 대해 외부 계정에 대한 액세스 권한을 부여합니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷 정책을 업데이트하여 권한을 제거하려면 Amazon Simple Storage Service 사용 설명서의 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오.

버킷 정책 편집 페이지의 정책 편집 텍스트 상자에서 다음 작업 중 하나를 수행하십시오.

[S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다.

관련 요구 사항: PCI DSS v3.2.1/2.2, NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-36(2), NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 보호 > 보안 액세스 관리

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-cross-region-replication-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷에 리전 간 복제가 활성화되어 있는지 확인합니다. 버킷에 교차 리전 복제가 활성화되지 않은 경우 제어가 실패합니다.

복제는 동일하거나 다른 의 버킷 간에 객체를 자동으로 비동기식으로 복사하는 것입니다 AWS 리전. 복제는 새로 생성된 객체와 객체 업데이트를 소스 버킷에서 대상 버킷으로 복사합니다. AWS 모범 사례에서는 동일한 AWS 계정소유의 소스 및 대상 버킷에 대한 복제를 권장합니다. 가용성 외에도 다른 시스템 보안 강화 설정을 고려해야 합니다.

이 제어는 교차 리전 복제가 활성화되지 않은 복제 대상 버킷에 대한 FAILED 결과를 생성합니다. 대상 버킷이 교차 리전 복제를 활성화할 필요가 없는 합법적인 이유가 있는 경우 이 버킷에 대한 조사 결과를 숨길 수 있습니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에서 크로스 리전 복제를 활성화하려면 Amazon Simple Storage Service 사용 설명서의 동일한 계정이 소유한 소스 및 대상 버킷에 대한 복제 구성을 참조하십시오. 소스 버킷의 경우 버킷의 모든 객체에 적용을 선택합니다.

[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

관련 요구 사항: CIS AWS 파운데이션 벤치마크 v3.0.0/2.1.4, CIS AWS 파운데이션 벤치마크 v1.4.0/2.1.5, NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7, NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 높음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-level-public-access-prohibited

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷이 버킷 수준에서 퍼블릭 액세스를 차단하는지 여부를 확인합니다. 다음 설정 중 하나가 로 설정된 경우 제어가 실패합니다false.

S3 버킷 수준에서의 퍼블릭 액세스 차단은 객체에 퍼블릭 액세스가 없도록 제어하는 기능을 제공합니다. 퍼블릭 액세스는 액세스 제어 목록(ACLs), 버킷 정책 또는 둘 다를 통해 버킷 및 객체에 부여됩니다.

S3 버킷에 대한 퍼블릭 액세스를 가능하도록 하려는 경우가 아니면 버킷 수준의 Amazon S3 퍼블릭 액세스 차단 기능을 구성해야 합니다.

이제 Security Hub가 와 통합되었습니다

버킷 수준에서 퍼블릭 액세스를 제거하는 방법에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 스토리지에 대한 퍼블릭 액세스 차단을 참조하십시오.

[S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-2(4), NIST.800-53.r5 AC-4(26), NIST.800-53.r5 AC-6(9), NIST.800-53.r5 AU-10, NIST.800-53.r5 AU-12, NIST.800-53.r5 AU-2, NIST.800-53.r5 AU-3, NIST.800-53.r5 AU-6(3), NIST.800-53.r5 AU-6(4), NIST.800-53.r5 CA-7, NIST.800-53.r5 SC-7(9), NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4(20), NIST.800-53.r5 SI-7(8)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-logging-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷에 대해 서버 액세스 로깅이 활성화되어 있는지 확인합니다. 서버 액세스 로깅을 활성화하지 않으면 제어가 실패합니다. 로깅을 사용하도록 설정하면 Amazon S3는 소스 버킷에 대한 액세스 로그를 선택한 대상 버킷으로 전달합니다. 대상 버킷은 소스 버킷과 AWS 리전 동일해야 하며 기본 보존 기간이 구성되지 않아야 합니다. 대상 로깅 버킷에는 서버 액세스 로깅을 활성화할 필요가 없으며 이 버킷에 대한 조사 결과를 표시하지 않아야 합니다.

서버 액세스 로깅은 버킷에 대한 요청에 대한 자세한 기록을 제공합니다. 서버 액세스 로그는 보안 및 액세스 감사에 도움이 될 수 있습니다. 자세한 내용은 Amazon S3 보안 모범 사례: Amazon S3 서버 액세스 로깅 활성화를 참조하십시오.

이제 Security Hub가 와 통합되었습니다

Amazon S3 서버 액세스 로깅을 활성화하려면 Amazon S3 사용 설명서의 Amazon S3 서버 액세스 로깅 활성화를 참조하십시오.

[S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-version-lifecycle-policy-check

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버전 버킷에 수명 주기 구성이 있는지 확인합니다. 버킷에 수명 주기 구성이 없는 경우 제어가 실패합니다.

객체의 수명 기간 동안 Amazon S3가 수행할 작업을 정의하는 데 도움이 되도록 S3 버킷에 대한 수명 주기 구성을 생성하는 것이 좋습니다. Amazon S3

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷의 수명 주기 구성에 대한 자세한 내용은 버킷의 수명 주기 구성 설정 및 스토리지 수명 주기 관리를 참조하십시오.

[S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CA-7, NIST.800-53.r5 SI-3(8), NIST.800-53.r5 SI-4, NIST.800-53.r5 SI-4(4)

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-event-notifications-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷에서 Amazon S3 이벤트 알림이 활성화되었는지 여부를 확인합니다. 버킷에서 S3 이벤트 알림을 활성화하지 않으면 제어가 실패합니다. eventTypes 파라미터에 사용자 지정 값을 제공하는 경우 지정된 유형의 이벤트에 대해 이벤트 알림이 활성화된 경우에만 제어가 전달됩니다.

S3 이벤트 알림을 활성화하면 S3 버킷에 영향을 미치는 특정 이벤트가 발생할 때 알림을 받게 됩니다. 예를 들어 개체 생성, 개체 제거, 개체 복원에 대한 알림을 받을 수 있습니다. 이러한 알림은 무단 데이터 액세스로 이어질 수 있는 우발적이거나 의도적인 수정에 대해 관련 팀에 경고할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷 및 객체 변경 감지에 대한 자세한 내용은 Amazon S3 사용 설명서의 Amazon S3 이벤트 알림을 참조하십시오.

[S3.12]는 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 사용해서는 ACLs 안 됩니다.

관련 요구 사항: NIST.800-53.r5 AC-2(1), NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(15), NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-6

범주: 보호 > 보안 액세스 관리 > 액세스 제어

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-acl-prohibited

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 사용자에게 액세스 제어 목록()을 제공하는지 확인합니다ACL. ACL 가 버킷에서 사용자 액세스를 관리하도록 구성된 경우 제어가 실패합니다.

ACLs 는 이전 레거시 액세스 제어 메커니즘입니다IAM. 대신 S3 버킷 정책 또는 AWS Identity and Access Management (IAM) 정책을 사용하여 S3 버킷에 대한 액세스를 관리하는 ACLs것이 좋습니다.

이제 Security Hub가 와 통합되었습니다

이 제어를 전달하려면 S3 버킷에 ACLs 대해 를 비활성화해야 합니다. 지침은 Amazon Simple Storage Service 사용 설명서의 객체 소유권 제어 및 버킷 비활성화를 참조ACLs하세요.

S3 버킷 정책을 생성하려면 Amazon S3 콘솔을 사용하여 버킷 정책 추가를 참조하십시오. S3 버킷에서 IAM 사용자 정책을 생성하려면 사용자 정책을 사용하여 버킷에 대한 액세스 제어를 참조하세요.

[S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-13(5)

범주: 보호 > 데이터 보호

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-lifecycle-policy-check

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷에 수명 주기 구성이 있는지 확인합니다. 버킷에 수명 주기 구성이 없는 경우 제어가 실패합니다. 위 파라미터 중 하나 이상에 사용자 지정 값을 제공하는 경우 정책에 지정된 스토리지 클래스, 삭제 시간 또는 전환 시간이 포함된 경우에만 제어가 통과합니다.

S3 버킷에 대한 수명 주기 구성을 생성하면 객체의 수명 주기 동안 Amazon S3가 수행할 작업을 정의합니다. 예를 들어, 객체를 다른 스토리지 클래스로 전환하거나, 보관하거나, 지정된 기간 후에 삭제할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3 버킷의 수명 주기 정책 구성에 대한 자세한 내용은 Amazon S3 사용 설명서의 버킷에 수명 주기 구성 설정 및 스토리지 수명 주기 관리를 참조하십시오.

[S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다.

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

관련 요구 사항: NIST.800-53.r5 AU-9(2), NIST.800-53.r5 CP-10, NIST.800-53.r5 CP-6, NIST.800-53.r5 CP-6(1), NIST.800-53.r5 CP-6(2), NIST.800-53.r5 CP-9, NIST.800-53.r5 SC-5(2), NIST.800-53.r5 SI-12, NIST.800-53.r5 SI-13(5)

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-versioning-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷에 버전 관리가 활성화되어 있는지 확인합니다. 버킷에 대한 버전 관리가 일시 중지되면 제어가 실패합니다.

버전 관리는 동일한 S3 버킷에 객체의 여러 변형을 유지합니다. 버전 관리를 사용하여 S3 버킷에 저장된 객체의 이전 버전을 보존, 검색 및 복원할 수 있습니다. S3 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애 모두로부터 복구하는 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에서 버전 관리를 사용하려면 Amazon S3 사용 설명서의 버킷 버전 관리 활성화를 참조하십시오.

[S3.15] S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다.

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

관련 요구 사항: NIST.800-53.r5 CP-6(2)

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-default-lock-enabled

스케줄 유형: 변경이 트리거됨

파라미터:

이 제어는 Amazon S3 범용 버킷에 객체 잠금이 활성화되어 있는지 확인합니다. 버킷에 객체 잠금이 활성화되지 않은 경우 제어가 실패합니다. mode 파라미터에 사용자 지정 값을 제공하면 S3 객체 잠금이 지정된 보존 모드를 사용하는 경우에만 제어가 통과합니다.

S3 객체 잠금을 사용하여 (WORM) 모델을 사용하여 객체를 write-once-read-many 저장할 수 있습니다. 객체 잠금은 S3 버킷의 객체가 고정된 시간 동안 또는 무기한 삭제되거나 덮어쓰이는 것을 방지하는 데 도움이 됩니다. S3 객체 잠금을 사용하여 WORM 스토리지가 필요한 규제 요구 사항을 충족하거나 객체 변경 및 삭제에 대한 추가 보호 계층을 추가할 수 있습니다.

이제 Security Hub가 와 통합되었습니다

신규 및 기존 S3 버킷의 객체 잠금을 구성하려면 Amazon S3 사용 설명서의 S3 객체 잠금 구성을 참조하세요.

[S3.17] S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys

범주: 보호 > 데이터 보호 > 암호화 data-at-rest

관련 요구 사항: NIST.800-53.r5 SC-12(2), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 CA-9(1), NIST.800-53.r5 SI-7(6), NIST.800-53.r5 AU-9

심각도: 중간

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-default-encryption-kms

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버킷이 AWS KMS key (SSE-KMS 또는 -)로 암호화되었는지 확인합니다DSSEKMS. 버킷이 기본 암호화(SSE-S3)로 암호화되면 제어가 실패합니다.

서버 측 암호화(SSE)는 대상에서 데이터를 수신하는 애플리케이션 또는 서비스에 의한 데이터의 암호화입니다. 달리 지정하지 않는 한 S3 버킷은 기본적으로 서버 측 암호화에 Amazon S3 관리형 키(-SSE-S3)를 사용합니다. 그러나 추가 제어를 위해 대신 AWS KMS keys (SSE-KMS 또는 -DSSEKMS)를 사용하여 서버 측 암호화를 사용하도록 버킷을 구성할 수 있습니다. Amazon S3는 데이터 센터의 디스크에 데이터를 쓸 때 객체 수준에서 AWS 데이터를 암호화하고 액세스 시 데이터를 복호화합니다.

이제 Security Hub가 와 통합되었습니다

SSE-를 사용하여 S3 버킷을 암호화하려면 Amazon S3 사용 설명서의 AWS KMS (SSE-KMS)를 사용하여 서버 측 암호화 지정을 KMS참조하세요. DSSE-를 사용하여 S3 버킷을 암호화하려면 Amazon S3 사용 설명서의 AWS KMS keys (-DSSEKMS)를 사용하여 이중 계층 서버 측 암호화 지정을 KMS참조하세요.

[S3.19] S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

관련 요구 사항: NIST.800-53.r5 AC-21, NIST.800-53.r5 AC-3, NIST.800-53.r5 AC-3(7), NIST.800-53.r5 AC-4, NIST.800-53.r5 AC-4(21), NIST.800-53.r5 AC-6, NIST.800-53.r5 SC-7 NIST.800-53.r5 SC-7(11), NIST.800-53.r5 SC-7(16), NIST.800-53.r5 SC-7(20), NIST.800-53.r5 SC-7(21), NIST.800-53.r5 SC-7(3), NIST.800-53.r5 SC-7(4), NIST.800-53.r5 SC-7(9)

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 심각

리소스 유형: AWS::S3::AccessPoint

AWS Config 규칙: s3-access-point-public-access-blocks

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되었는지 확인합니다. 액세스 포인트에 대해 퍼블릭 액세스 차단 설정을 활성화하지 않으면 제어가 실패합니다.

Amazon S3 퍼블릭 액세스 차단 기능을 사용하면 계정, 버킷 및 액세스 포인트 수준의 세 가지 수준에서 S3 리소스에 대한 액세스를 관리할 수 있습니다. 각 수준의 설정을 독립적으로 구성할 수 있으므로 데이터에 대해 다양한 수준의 퍼블릭 액세스 제한을 적용할 수 있습니다. 액세스 포인트 설정은 상위 수준(액세스 포인트에 할당된 계정 수준 또는 버킷)에서 더 제한적인 설정을 개별적으로 재정의할 수 없습니다. 대신 액세스 포인트 수준의 설정은 추가적이므로 다른 수준의 설정을 보완하고 그 설정과 연동합니다. S3 액세스 포인트를 공개적으로 액세스할 수 있도록 하려는 경우가 아니라면 퍼블릭 액세스 차단 설정을 활성화해야 합니다.

이제 Security Hub가 와 통합되었습니다

Amazon S3에서는 현재 액세스 포인트가 생성된 후 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경하도록 지원하지 않습니다. 신규 액세스 포인트를 생성하면 기본적으로 모든 퍼블릭 액세스 차단 설정이 활성화되어 있습니다. 특정 설정을 사용 중지해야 하는 경우가 아니면 모든 설정을 그대로 유지하는 것이 좋습니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 액세스 포인트에 대한 퍼블릭 액세스 관리를 참조하세요.

[S3.20] S3 범용 버킷은 MFA 삭제가 활성화되어 있어야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/2.1.2, CIS AWS Foundations Benchmark v1.4.0/2.1.3, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-2, NIST.800-53.r5 CM-2(2), NIST.800-53.r5 CM-3, NIST.800-53.r5 SC-5(2)

범주: 보호 > 데이터 보호 > 데이터 삭제 보호

심각도: 낮음

리소스 유형: AWS::S3::Bucket

AWS Config 규칙: s3-bucket-mfa-delete-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 범용 버전 버킷에서 다중 인증(MFA) 삭제가 활성화되어 있는지 확인합니다. 버킷에서 MFA 삭제가 활성화되지 않은 경우 제어가 실패합니다. 제어는 수명 주기 구성이 있는 버킷에 대한 결과를 생성하지 않습니다.

Amazon S3 버킷에서 S3 버전 관리를 사용하는 경우 MFA 삭제를 활성화하도록 버킷을 구성하여 선택적으로 다른 보안 계층을 추가할 수 있습니다. Amazon S3 이렇게 하면 버킷 소유자가 버전을 삭제하거나 버킷의 버전 관리 상태를 변경하는 모든 요청에 두 가지 형식의 인증을 포함해야 합니다. MFA 보안 자격 증명이 손상된 경우 삭제하면 보안이 강화됩니다. MFA 또한 삭제는 삭제 작업을 시작하는 사용자에게 MFA 코드로 MFA 디바이스의 물리적 소유를 증명하도록 요구하고 삭제 작업에 마찰 및 보안 계층을 추가하여 실수로 버킷이 삭제되는 것을 방지하는 데 도움이 될 수 있습니다.

이제 Security Hub가 와 통합되었습니다

S3 버전 관리를 활성화하고 버킷에서 MFA 삭제를 구성하려면 Amazon Simple Storage Service 사용 설명서의 MFA 삭제 구성을 참조하세요.

[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 로그해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/3.8

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: cloudtrail-all-write-s3-data-event-check

스케줄 유형: 주기적

파라미터: 없음

이 제어 AWS 계정 는 에 Amazon S3 버킷에 대한 모든 쓰기 데이터 이벤트를 기록하는 AWS CloudTrail 다중 리전 추적이 하나 이상 있는지 확인합니다. 계정에 S3 버킷에 대한 쓰기 데이터 이벤트를 로그하는 다중 리전 추적이 없는 경우 제어가 실패합니다.

, 및 GetObjectDeleteObject와 같은 S3 객체 수준 작업을 데이터 이벤트라고 PutObject합니다. 기본적으로 CloudTrail 는 데이터 이벤트를 로깅하지 않지만 S3 버킷에 대한 데이터 이벤트를 로깅하도록 추적을 구성할 수 있습니다. 쓰기 데이터 이벤트에 대해 객체 수준 로깅을 활성화하면 S3 버킷 내에서 각 개별 객체(파일) 액세스를 로깅할 수 있습니다. 객체 수준 로깅을 활성화하면 Amazon CloudWatch Events를 사용하여 데이터 규정 준수 요구 사항을 충족하고, 포괄적인 보안 분석을 수행하고, 에서 사용자 동작의 특정 패턴을 모니터링하고 AWS 계정, S3 버킷 내의 객체 수준 API 활동에 대한 조치를 취하는 데 도움이 될 수 있습니다. 이 제어는 모든 S3 버킷에 대해 쓰기 전용 또는 모든 유형의 데이터 이벤트를 로깅하는 다중 리전 추적을 구성하는 경우 PASSED 결과를 생성합니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에 대한 객체 수준 로깅을 활성화하려면 Amazon Simple Storage Service 사용 설명서의 S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 활성화를 참조하세요.

[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 로그해야 합니다.

관련 요구 사항: CIS AWS Foundations Benchmark v3.0.0/3.9

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::::Account

AWS Config 규칙: cloudtrail-all-read-s3-data-event-check

스케줄 유형: 주기적

파라미터: 없음

이 제어 AWS 계정 는 에 Amazon S3 버킷에 대한 모든 읽기 데이터 이벤트를 기록하는 AWS CloudTrail 다중 리전 추적이 하나 이상 있는지 확인합니다. 계정에 S3 버킷에 대한 읽기 데이터 이벤트를 로그하는 다중 리전 추적이 없는 경우 제어가 실패합니다.

, 및 GetObjectDeleteObject와 같은 S3 객체 수준 작업을 데이터 이벤트라고 PutObject합니다. 기본적으로 CloudTrail 는 데이터 이벤트를 로깅하지 않지만 S3 버킷에 대한 데이터 이벤트를 로깅하도록 추적을 구성할 수 있습니다. 읽기 데이터 이벤트에 대해 객체 수준 로깅을 활성화하면 S3 버킷 내에서 각 개별 객체(파일) 액세스를 로깅할 수 있습니다. 객체 수준 로깅을 활성화하면 Amazon CloudWatch Events를 사용하여 데이터 규정 준수 요구 사항을 충족하고, 포괄적인 보안 분석을 수행하고, 에서 사용자 동작의 특정 패턴을 모니터링하고 AWS 계정, S3 버킷 내의 객체 수준 API 활동에 대한 조치를 취하는 데 도움이 될 수 있습니다. 이 제어는 모든 S3 버킷에 대해 읽기 전용 또는 모든 유형의 데이터 이벤트를 로깅하는 다중 리전 추적을 구성하는 경우 PASSED 결과를 생성합니다.

이제 Security Hub가 와 통합되었습니다

S3 버킷에 대한 객체 수준 로깅을 활성화하려면 Amazon Simple Storage Service 사용 설명서의 S3 버킷 및 객체에 대한 CloudTrail 이벤트 로깅 활성화를 참조하세요.

[S3.24] S3 다중 리전 액세스 포인트에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

범주: 보호 > 보안 네트워크 구성 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::S3::MultiRegionAccessPoint

AWS Config 규칙: s3-mrap-public-access-blocked (사용자 지정 Security Hub 규칙)

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon S3 다중 리전 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있는지 확인합니다. 다중 리전 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되지 않은 경우 제어가 실패합니다.

공개적으로 액세스할 수 있는 리소스는 무단 액세스, 데이터 침해 또는 취약성 악용으로 이어질 수 있습니다. 인증 및 권한 부여 조치를 통해 액세스를 제한하면 민감한 정보를 보호하고 리소스의 무결성을 유지하는 데 도움이 됩니다.

이제 Security Hub가 와 통합되었습니다

기본적으로 모든 퍼블릭 액세스 차단 설정은 S3 다중 리전 액세스 포인트에 대해 활성화됩니다. 자세한 내용은 Amazon Simple Storage Service 사용 설명서의 Amazon S3 다중 리전 액세스 포인트를 사용한 퍼블릭 액세스 차단을 참조하세요. 다중 리전 액세스 포인트를 만든 후에는 다중 리전 액세스 포인트의 퍼블릭 액세스 차단 설정을 변경할 수 없습니다.