기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub 제어 참조
이 제어 참조는 각 AWS Security Hub 제어에 대한 자세한 정보 링크가 포함된 사용 가능한 제어 목록을 제공합니다. 개요 테이블에는 제어 ID별로 알파벳 순서로 제어가 표시됩니다. Security Hub에서 활성으로 사용하는 제어만 여기에 포함됩니다. 사용 중지된 제어는 이 목록에서 제외됩니다. 이 테이블은 각 제어에 대해 다음 정보가 표시됩니다.
-
보안 제어 ID - 이 ID는 표준에 적용되며 제어와 관련된 AWS 서비스 및 리소스를 나타냅니다. Security Hub 콘솔에는 통합 제어 조사 결과가 계정에서 활성화되었는지 여부에 IDs관계없이 보안 제어가 표시됩니다. 제어 결과 통합 그러나 Security Hub 조사 결과는 계정에서 통합 제어 조사 결과가 켜져 있는 IDs 경우에만 보안 제어를 참조합니다. 계정에서 통합 제어 조사 결과가 꺼져 있는 경우 일부 제어는 제어 조사 결과에서 표준에 따라 IDs 다릅니다. 보안 제어에 대한 표준별 제어의 매핑은 섹션을 IDs참조IDs하세요통합이 제어 IDs 및 제목에 미치는 영향.
보안 제어를 위한 자동화를 설정하려는 경우 제목이나 설명보다는 제어 ID를 기준으로 필터링하는 것이 좋습니다. Security Hub는 때때로 제어 제목 또는 설명을 업데이트할 수 있지만 제어는 동일하게 IDs 유지됩니다.
제어IDs는 숫자를 건너뛸 수 있습니다. 이는 향후 제어를 위한 자리표시자입니다.
-
적용 가능한 표준 - 제어가 적용되는 표준을 나타냅니다. 제어를 선택하면 타사 규정 준수 프레임워크의 특정 요구 사항을 확인할 수 있습니다.
-
보안 제어 제목 - 이 제목은 여러 표준에 적용됩니다. Security Hub 콘솔에는 계정에서 통합 제어 조사 결과가 켜져 있는지 또는 사용 중지되었는지에 관계없이 보안 제어 제목이 표시됩니다. 그러나 Security Hub 조사 결과는 계정에 통합 제어 조사 결과가 설정된 경우에만 보안 제어 제목을 참조합니다. 계정에서 통합 제어 결과가 해제된 경우 일부 제어 목록은 제어 결과의 표준에 따라 다릅니다. 보안 제어에 대한 표준별 제어의 매핑은 섹션을 IDs참조IDs하세요통합이 제어 IDs 및 제목에 미치는 영향.
-
심각도 - 제어의 심각도는 보안 관점에서 그 중요성을 식별합니다. Security Hub에서 제어 심각도를 결정하는 방법에 대한 자세한 내용은 제어 조사 결과에 심각도 할당을 참조하십시오.
-
일정 유형 - 제어가 평가되는 시기를 나타냅니다. 자세한 내용은 보안 검사 실행 예약 단원을 참조하십시오.
-
사용자 지정 파라미터 지원 - 제어가 하나 이상의 파라미터에 대한 사용자 지정 값을 지원하는지 여부를 나타냅니다. 제어를 선택하면 파라미터 세부 정보를 볼 수 있습니다. 자세한 내용은 Security Hub의 제어 매개변수 이해 단원을 참조하십시오.
제어를 선택하면 추가 세부 정보를 볼 수 있습니다. 제어는 서비스 이름의 알파벳순으로 나열됩니다.
| 보안 제어 ID | 보안 제어 제목 | 적용 가능한 표준 | 심각도 | 사용자 지정 파라미터를 지원합니다. | 일정 유형 |
|---|---|---|---|---|---|
| Account.1 | 에 대한 보안 연락처 정보를 제공해야 합니다. AWS 계정 | CIS AWS 파운데이션 벤치마크 v3.0.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| Account.2 | AWS 계정 AWS Organizations 조직의 일부여야 합니다. | NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| ACM.1 | 가져온 인증서와 ACM발급된 인증서는 지정된 기간 이후에 갱신해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거되고 주기적입니다. |
| ACM.2 | RSA 에서 관리하는 인증서ACM는 최소 2,048비트의 키 길이를 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | |
변경이 트리거됨 |
| ACM.3 | ACM 인증서에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| APIGateway.1 | API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| APIGateway.2 | API 게이트웨이 REST API 단계는 백엔드 인증에 SSL 인증서를 사용하도록 구성되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| APIGateway.3 | API 게이트웨이 REST API 스테이지에는 AWS X-Ray 추적이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| APIGateway.4 | API Gateway는 WAF 웹과 연결되어야 합니다. ACL | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| APIGateway.5 | API 게이트웨이 REST API 캐시 데이터는 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| APIGateway.8 | API 게이트웨이 경로는 권한 부여 유형을 지정해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| APIGateway.9 | API Gateway V2 스테이지에 대한 액세스 로깅을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| AppSync.2 | AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | |
변경이 트리거됨 |
| AppSync.4 | AWS AppSync GraphQL에 태그를 지정해야 APIs 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| AppSync.5 | AWS AppSync GraphQL은 API 키로 인증해서는 APIs 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| Athena.2 | Athena 데이터 카탈로그에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Athena.3 | Athena 작업 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Athena.4 | Athena 작업 그룹에 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| AutoScaling.1 | 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| AutoScaling.2 | Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| AutoScaling.3 | Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)가 필요하도록 EC2 인스턴스를 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| Autoscaling.5 | Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| AutoScaling.6 | Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| AutoScaling.9 | EC2 Auto Scaling 그룹은 EC2 시작 템플릿을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| AutoScaling.10 | EC2 Auto Scaling 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Backup.1 | AWS Backup 복구 시점은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Backup.2 | AWS Backup 복구 지점에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Backup.3 | AWS Backup 볼트에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| 백업.4 | AWS Backup 보고서 계획에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| 백업.5 | AWS Backup 백업 계획에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| CloudFormation.2 | CloudFormation 스택에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| CloudFront.1 | CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | 변경이 트리거됨 | |
| CloudFront.3 | CloudFront 배포에는 전송 중 암호화가 필요합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.4 | CloudFront 배포에는 오리진 장애 조치가 구성되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| CloudFront.5 | CloudFront 배포에는 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.6 | CloudFront 배포가 WAF 활성화되었어야 함 | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.7 | CloudFront 배포는 사용자 지정 SSL/TLS 인증서를 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.8 | CloudFront 배포는 HTTPS 요청을 처리하는 SNI 데 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| CloudFront.9 | CloudFront 배포는 트래픽을 사용자 지정 오리진으로 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.10 | CloudFront 배포는 엣지 위치와 사용자 지정 오리진 간에 더 이상 사용되지 않는 SSL 프로토콜을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.12 | CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| CloudFront.13 | CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | |
변경이 트리거됨 |
| CloudFront.14 | CloudFront 배포에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| CloudTrail.1 | CloudTrail 읽기 및 쓰기 관리 이벤트를 포함하는 다중 리전 추적을 하나 이상 활성화하고 구성해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | 주기적 | |
| CloudTrail.2 | CloudTrail 저장 시 암호화가 활성화되어 있어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| CloudTrail.3 | 하나 이상의 CloudTrail 추적을 활성화해야 합니다. | PCI DSS v3.2.1 | HIGH | 주기적 | |
| CloudTrail.4 | CloudTrail 로그 파일 검증을 활성화해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | LOW | |
주기적 |
| CloudTrail.5 | CloudTrail 추적은 Amazon CloudWatch Logs와 통합되어야 합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | LOW | |
주기적 |
| CloudTrail.6 | CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | CRITICAL | |
변경이 트리거되고 주기적입니다. |
| CloudTrail.7 | S3 버킷에서 CloudTrail S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudTrail.9 | CloudTrail 추적에는 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| CloudWatch.1 | 루트 사용자 사용을 위한 로그 지표 필터 및 경보가 있는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.2 | 무단 API 호출에 대한 로그 지표 필터 및 경보가 있는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0 | LOW | |
주기적 |
| CloudWatch.3 | 다음 없이 Management Console 로그인에 대한 로그 지표 필터 및 경보가 존재하는지 확인합니다. MFA | CIS AWS 파운데이션 벤치마크 v1.2.0 | LOW | |
주기적 |
| CloudWatch.4 | IAM 정책 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.5 | CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.6 | AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.7 | 생성된 고객 삭제를 비활성화하거나 예약하기 위한 로그 지표 필터 및 경보가 있는지 확인합니다. CMKs | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.8 | S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.9 | AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.10 | 보안 그룹 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.11 | 네트워크 액세스 제어 목록(NACL) 변경에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.12 | 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.13 | 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.14 | VPC 변경 사항에 대한 로그 지표 필터 및 경보가 있는지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | LOW | |
주기적 |
| CloudWatch.15 | CloudWatch 경보에는 지정된 작업이 구성되어 있어야 합니다. | NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| CloudWatch.16 | CloudWatch 로그 그룹은 지정된 기간 동안 보존해야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| CloudWatch.17 | CloudWatch 경보 작업을 활성화해야 합니다. | NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| CodeArtifact.1 | CodeArtifact 리포지토리에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| CodeBuild.1 | CodeBuild Bitbucket 소스 리포지토리에는 민감한 보안 인증 정보가 포함되어URLs서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | 변경이 트리거됨 | |
| CodeBuild.2 | CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| CodeBuild.3 | CodeBuild S3 로그를 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| CodeBuild.4 | CodeBuild 프로젝트 환경에는 로깅 구성이 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| CodeBuild.7 | CodeBuild 보고서 그룹 내보내기는 저장 시 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| Config.1 | AWS Config 를 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5, PCI DSS v3.2.1 | MEDIUM | 주기적 | |
| DataFirehose.1 | Firehose 전송 스트림은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| DataSync.1 | DataSync 태스크에 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| Detective.1 | 탐지 동작 그래프에는 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DMS.1 | Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| DMS.2 | DMS 인증서에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DMS.3 | DMS 이벤트 구독에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DMS.4 | DMS 복제 인스턴스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DMS.5 | DMS 복제 서브넷 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DMS.6 | DMS 복제 인스턴스에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DMS.7 | DMS 대상 데이터베이스에 대한 복제 작업에는 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DMS.8 | DMS 소스 데이터베이스에 대한 복제 작업에는 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DMS.9 | DMS 엔드포인트는 SSL | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DMS.10 | DMS Neptune 데이터베이스용 엔드포인트에는 IAM 인증이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| DMS.11 | DMS MongoDB용 엔드포인트에는 인증 메커니즘이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| DMS.12 | DMS Redis용 엔드포인트가 TLS 활성화되어 OSS 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| DocumentDB.1 | Amazon DocumentDB 클러스터는 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| DocumentDB.2 | Amazon DocumentDB 클러스터는 적절한 백업 보존 기간을 가져야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| DocumentDB.3 | Amazon DocumentDB 수동 클러스터 스냅샷은 퍼블릭이 아니어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| DocumentDB.4 | Amazon DocumentDB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DocumentDB.5 | Amazon DocumentDB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DynamoDB.1 | DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| DynamoDB.2 | DynamoDB 테이블에 복구가 point-in-time 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DynamoDB.3 | DynamoDB Accelerator(DAX) 클러스터는 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| DynamoDB.4 | DynamoDB 테이블은 백업 계획에 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| DynamoDB.5 | DynamoDB 테이블에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| DynamoDB.6 | DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| DynamoDB.7 | DynamoDB Accelerator 클러스터는 전송 중에 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| EC2.1 | EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| EC2.2 | VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.3 | 연결된 EBS 볼륨은 유휴 시 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EC2.4 | 중지된 EC2 인스턴스는 지정된 기간 후에 제거해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EC2.6 | VPC 흐름 로깅을 모두 활성화해야 합니다. VPCs | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EC2.7 | EBS 기본 암호화를 활성화해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EC2.8 | EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.9 | EC2 인스턴스에는 퍼블릭 IPv4 주소가 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.10 | Amazon EC2 서비스에 대해 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 EC2 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EC2.12 | 사용하지 않는 는 제거해야 EC2 EIPs 합니다. | PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| EC2.13 | 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | HIGH | 변경이 트리거되고 주기적입니다. | |
| EC2.14 | 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0 | HIGH | 변경이 트리거되고 주기적입니다. | |
| EC2.15 | EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EC2.16 | 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| EC2.17 | EC2 인스턴스는 여러 를 사용해서는 안 됩니다. ENIs | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| EC2.18 | 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.19 | 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | CRITICAL | 변경이 트리거되고 주기적입니다. | |
| EC2.20 | 연결을 위한 AWS Site-to-Site VPN 두 VPN 터널이 모두 작동해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EC2.21 | 네트워크ACLs는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 허용하지 않아야 합니다. | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EC2.22 | 사용하지 않는 EC2 보안 그룹은 제거해야 합니다. | 서비스 관리형 표준: AWS Control Tower | MEDIUM | 주기적 | |
| EC2.23 | EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락하지 않아야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.24 | EC2 파라가상 인스턴스 유형을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EC2.25 | EC2 시작 템플릿은 네트워크 인터페이스IPs에 퍼블릭을 할당해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EC2.28 | EBS 볼륨은 백업 계획에 있어야 합니다. | NIST SP 800-53 개정 5 | LOW | |
주기적 |
| EC2.33 | EC2 전송 게이트웨이 연결에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.34 | EC2 전송 게이트웨이 라우팅 테이블에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.35 | EC2 네트워크 인터페이스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.36 | EC2 고객 게이트웨이에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.37 | EC2 탄력적 IP 주소에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.38 | EC2 인스턴스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.39 | EC2 인터넷 게이트웨이에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.40 | EC2 NAT 게이트웨이에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.41 | EC2 네트워크에 태그를 지정해야 ACLs 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.42 | EC2 라우팅 테이블에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.43 | EC2 보안 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.44 | EC2 서브넷에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.45 | EC2 볼륨에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.46 | Amazon에 태그를 지정해야 VPCs 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.47 | Amazon VPC 엔드포인트 서비스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.48 | Amazon VPC 흐름 로그에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.49 | Amazon VPC 피어링 연결에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.50 | EC2 VPN 게이트웨이에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.51 | EC2 클라이언트 VPN 엔드포인트에는 클라이언트 연결 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| EC2.52 | EC2 전송 게이트웨이에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EC2.53 | EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | HIGH | 주기적 | |
| EC2.54 | EC2 보안 그룹은 ::/0에서 원격 서버 관리 포트로의 수신을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | HIGH | 주기적 | |
| ECR.1 | ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| ECR.2 | ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ECR.3 | ECR 리포지토리에는 하나 이상의 수명 주기 정책이 구성되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ECR.4 | ECR 퍼블릭 리포지토리에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| ECS.1 | Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.2 | ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.3 | ECS 태스크 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.4 | ECS 컨테이너는 권한이 없는 로 실행되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.5 | ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.8 | 암호는은 컨테이너 환경 변수로 전달되어서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.9 | ECS 작업 정의에는 로깅 구성이 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ECS.10 | ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ECS.12 | ECS 클러스터는 Container Insights를 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ECS.13 | ECS 서비스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| ECS.14 | ECS 클러스터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| ECS.15 | ECS 태스크 정의에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| ECS.16 | ECS 작업 세트는 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 변경이 트리거됨 | |
| EFS.1 | 를 사용하여 저장 중인 파일 데이터를 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS | CIS AWS Foundations Benchmark v3.0.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EFS.2 | Amazon EFS 볼륨은 백업 계획에 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| EFS.3 | EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EFS.4 | EFS 액세스 포인트는 사용자 ID를 적용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EFS.5 | EFS 액세스 포인트에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EFS.6 | EFS 탑재 대상을 퍼블릭 서브넷과 연결해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 주기적 | |
| EFS.7 | EFS 파일 시스템에 자동 백업이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| EKS.1 | EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| EKS.2 | EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| EKS.3 | EKS 클러스터는 암호화된 Kubernetes 보안 암호를 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| EKS.6 | EKS 클러스터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EKS.7 | EKS 자격 증명 공급자 구성에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EKS.8 | EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ElastiCache.1 | ElastiCache (Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| ElastiCache.2 | ElastiCache (Redis OSS) 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| ElastiCache.3 | ElastiCache 복제 그룹에 자동 장애 조치가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ElastiCache.4 | ElastiCache 복제 그룹은 encrypted-at-rest | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ElastiCache.5 | ElastiCache 복제 그룹은 encrypted-in-transit | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ElastiCache.6 | ElastiCache 이전 버전의 (Redis OSS) 복제 그룹에는 Redis가 OSS AUTH 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ElastiCache.7 | ElastiCache 클러스터는 기본 서브넷 그룹을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| ElasticBeanstalk.1 | Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| ElasticBeanstalk.2 | Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| ElasticBeanstalk.3 | Elastic Beanstalk는 로그를 CloudWatch | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | |
변경이 트리거됨 |
| ELB.1 | 모든 HTTP 요청을 리디렉션하도록 Application Load Balancer를 구성해야 합니다. HTTPS | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ELB.2 | SSL/HTTPS 리스너가 있는 Classic Load Balancer는 에서 제공하는 인증서를 사용해야 합니다. AWS Certificate Manager | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.3 | Classic Load Balancer 리스너는 HTTPS 또는 TLS 종료로 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.4 | http 헤더를 삭제하도록 Application Load Balancer를 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.5 | Application 및 Classic Load Balancer 로깅이 활성화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.6 | Application, Gateway 및 Network Load Balancer에는 삭제 방지가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| ELB.7 | Classic Load Balancer connection draining 레이닝이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.8 | SSL 리스너가 있는 Classic Load Balancer는 강력한 구성을 가진 사전 정의된 보안 정책을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.9 | Classic Load Balancer에서 교차 영역 로드 밸런성을 사용 설정해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.10 | Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.12 | Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.13 | 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.14 | Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기화 완화 모드로 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ELB.16 | Application Load Balancer는 AWS WAF 웹과 연결되어야 합니다. ACL | NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| EMR.1 | Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| EMR.2 | Amazon 퍼블릭 액세스 EMR 차단 설정을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| ES.1 | Elasticsearch 도메인에서 저장 시 암호화를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| ES.2 | Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| ES.3 | Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ES.4 | CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ES.5 | Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ES.6 | ElasticSearch 도메인에는 최소 세 개의 데이터 노드가 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ES.7 | Elasticsearch 도메인은 최소 세 개의 전용 마스터 노드로 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| ES.8 | Elasticsearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| ES.9 | Elasticsearch 도메인에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EventBridge.2 | EventBridge 이벤트 버스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| EventBridge.3 | EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 연결되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| EventBridge.4 | EventBridge 전역 엔드포인트에는 이벤트 복제가 활성화되어 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| FSx.1 | FSx 오픈ZFS 파일 시스템의 경우 백업 및 볼륨에 태그를 복사하도록 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
주기적 |
| FSx.2 | FSx for Lustre 파일 시스템은 태그를 백업에 복사하도록 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | 주기적 | |
| Glue.1 | AWS Glue 작업에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Glue.2 | AWS Glue 작업이 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| Glue.3 | AWS Glue 기계 학습 변환은 저장 시 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| GlobalAccelerator.1 | Global Accelerator 액셀러레이터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| GuardDuty.1 | GuardDuty 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| GuardDuty.2 | GuardDuty 필터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| GuardDuty.3 | GuardDuty IPSets 태그가 지정되어야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| GuardDuty.4 | GuardDuty 감지기에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| GuardDuty.5 | GuardDuty EKS 감사 로그 모니터링을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| GuardDuty.6 | GuardDuty Lambda 보호를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| GuardDuty.7 | GuardDuty EKS 런타임 모니터링을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 주기적 | |
| GuardDuty.8 | GuardDuty 에 대한 맬웨어 방지를 활성화해야 EC2 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| GuardDuty.9 | GuardDuty RDS 보호를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| GuardDuty.10 | GuardDuty S3 보호를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| IAM.1 | IAM 정책에서 전체 “*” 관리 권한을 허용하지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| IAM.2 | IAM 사용자에게 IAM 정책이 연결되지 않아야 합니다. | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.2.0, AWS Foundational Security 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| IAM.3 | IAM 사용자의 액세스 키는 90일 이하마다 교체되어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| IAM.4 | IAM 루트 사용자 액세스 키가 없어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| IAM.5 | MFA 콘솔 암호가 있는 모든 IAM 사용자에 대해 활성화되어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| IAM.6 | 루트 사용자에 대해 하드웨어를 활성화해야 MFA 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| IAM.7 | IAM 사용자를 위한 암호 정책은 강력한 구성을 가져야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| IAM.8 | 미사용 IAM 사용자 보안 인증 정보를 제거해야 합니다. | CIS AWS Foundations Benchmark v1.2.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| IAM.9 | MFA 루트 사용자에 대해 활성화되어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| IAM.10 | IAM 사용자를 위한 암호 정책은 강력한 구성을 가져야 합니다. | PCI DSS v3.2.1 | MEDIUM | |
주기적 |
| IAM.11 | IAM 암호 정책에 대문자가 하나 이상 필요한지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0 | MEDIUM | |
주기적 |
| IAM.12 | IAM 암호 정책에 소문자가 하나 이상 필요한지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0 | MEDIUM | |
주기적 |
| IAM.13 | IAM 암호 정책에 하나 이상의 기호가 필요한지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0 | MEDIUM | |
주기적 |
| IAM.14 | IAM 암호 정책에 하나 이상의 숫자가 필요한지 확인합니다. | CIS AWS 파운데이션 벤치마크 v1.2.0 | MEDIUM | |
주기적 |
| IAM.15 | IAM 암호 정책에 최소 암호 길이가 14 이상이어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0 | MEDIUM | |
주기적 |
| IAM.16 | IAM 암호 정책이 암호 재사용을 방지하는지 확인 | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0 | LOW | |
주기적 |
| IAM.17 | IAM 암호 정책이 90일 이내에 만료되는지 확인 | CIS AWS 파운데이션 벤치마크 v1.2.0 | LOW | |
주기적 |
| IAM.18 | 를 사용하여 인시던트를 관리하기 위한 지원 역할이 생성되었는지 확인합니다. AWS Support | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0 | LOW | |
주기적 |
| IAM.19 | MFA 모든 IAM 사용자에 대해 활성화되어야 합니다. | PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| IAM.21 | IAM 생성하는 고객 관리형 정책은 서비스에 와일드카드 작업을 허용하지 않아야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| IAM.22 | IAM 45일 동안 사용되지 않은 사용자 자격 증명은 제거해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0 | MEDIUM | |
주기적 |
| IAM.23 | IAM Access Analyzer 분석기에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IAM.24 | IAM 역할에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IAM.25 | IAM 사용자에게 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IAM.26 | 에서 관리되는 만료된 SSL/TLS 인증서는 제거IAM해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | MEDIUM | 주기적 | |
| IAM.27 | IAM 자격 증명에는 AWSCloudShellFullAccess 정책이 연결되지 않아야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | MEDIUM | 변경이 트리거됨 | |
| IAM.28 | IAM Access Analyzer 외부 액세스 분석기를 활성화해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | HIGH | 주기적 | |
| 검사자.1 | Amazon Inspector EC2 스캔을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| 검사자.2 | Amazon Inspector ECR 스캔을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| 검사자.3 | Amazon Inspector Lambda 코드 스캔을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| 검사자.4 | Amazon Inspector Lambda 표준 스캔을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| IoT.1 | AWS IoT Device Defender 보안 프로필에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IoT.2 | AWS IoT Core 완화 조치에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IoT.3 | AWS IoT Core 차원에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IoT.4 | AWS IoT Core 권한 부여자에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IoT.5 | AWS IoT Core 역할 별칭에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| IoT.6 | AWS IoT Core 정책에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Kinesis.1 | Kinesis 스트림은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Kinesis.2 | Kinesis 스트림에는 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Kinesis.3 | Kinesis 스트림에는 적절한 데이터 보존 기간이 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| KMS.1 | IAM 고객 관리형 정책은 모든 KMS 키에 대해 복호화 작업을 허용하지 않아야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| KMS.2 | IAM 보안 주체에는 모든 KMS 키에 대해 복호화 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| KMS.3 | AWS KMS keys 의도하지 않게 삭제해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| KMS.4 | AWS KMS key 교체를 활성화해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, CIS AWS 파운데이션 벤치마크 v1.2.0, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| Lambda.1 | Lambda 함수는 퍼블릭 액세스를 금지해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| Lambda.2 | Lambda 함수는 최신 런타임을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Lambda.3 | Lambda 함수는 에 있어야 합니다. VPC | PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| Lambda.5 | VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Lambda.6 | Lambda 함수에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Macie.1 | Amazon Macie를 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| Macie.2 | Macie의 민감한 데이터 자동 검색을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | 주기적 | |
| MSK.1 | MSK 클러스터는 브로커 노드 간에 전송 중에 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| MSK.2 | MSK 클러스터에는 향상된 모니터링이 구성되어 있어야 합니다. | NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| MSK.3 | MSK 연결 커넥터는 전송 중에 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| MQ.2 | ActiveMQ 브로커는 감사 로그를 CloudWatch | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| MQ.3 | Amazon MQ 브로커에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| MQ.4 | Amazon MQ 브로커에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| MQ.5 | ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다. | NIST SP 800-53 개정 5, 서비스 관리형 표준: AWS Control Tower | LOW | |
변경이 트리거됨 |
| MQ.6 | RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다. | NIST SP 800-53 개정 5, 서비스 관리형 표준: AWS Control Tower | LOW | |
변경이 트리거됨 |
| Neptune.1 | Neptune DB 클러스터는 저장 시 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| Neptune.2 | Neptune DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| Neptune.3 | Neptune DB 클러스터 스냅샷은 퍼블릭이 아니어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | CRITICAL | |
변경이 트리거됨 |
| Neptune.4 | Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | LOW | |
변경이 트리거됨 |
| Neptune.5 | Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| Neptune.6 | Neptune DB 클러스터 스냅샷은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| Neptune.7 | Neptune DB 클러스터에는 IAM 데이터베이스 인증이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| Neptune.8 | 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | LOW | |
변경이 트리거됨 |
| Neptune.9 | Neptune DB 클러스터를 여러 가용 영역에 배포해야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.1 | Network Firewall 방화벽을 여러 가용 영역에 배포해야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.2 | Network Firewall 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| NetworkFirewall.3 | Network Firewall 정책에는 적어도 하나의 규칙 그룹이 연결되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.4 | 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 전체 패킷에 대해 삭제 또는 전달되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.5 | 네트워크 방화벽 정책에 대한 기본 상태 비저장 작업은 조각화된 패킷에 대해 삭제 또는 전달되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.6 | 상태 비저장 네트워크 방화벽 규칙 그룹은 비워둘 수 없습니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| NetworkFirewall.7 | 네트워크 방화벽에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| NetworkFirewall.8 | 네트워크 방화벽 정책에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| NetworkFirewall.9 | Network Firewall 방화벽에는 삭제 방지 기능이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.1 | OpenSearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.2 | OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| Opensearch.3 | OpenSearch 도메인은 노드 간에 전송된 데이터를 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.4 | OpenSearch CloudWatch Logs에 도메인 오류 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.5 | OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.6 | OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Opensearch.7 | OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| Opensearch.8 | OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| Opensearch.9 | OpenSearch 도메인에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Opensearch.10 | OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| Opensearch.11 | OpenSearch 도메인에는 최소 3개의 전용 기본 노드가 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| PCA.1 | AWS Private CA 루트 인증 기관을 비활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
주기적 |
| RDS.1 | RDS 스냅샷은 비공개여야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| RDS.2 | RDS DB 인스턴스는 PubliclyAccessible 구성에 따라 퍼블릭 액세스를 금지해야 합니다. | CIS AWS Foundations Benchmark v3.0.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| RDS.3 | RDS DB 인스턴스에는 저장 시 암호화가 활성화되어 있어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.4 | RDS 클러스터 스냅샷 및 데이터베이스 스냅샷은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.5 | RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.6 | RDS DB 인스턴스에 대해 향상된 모니터링을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.7 | RDS 클러스터에는 삭제 방지가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.8 | RDS DB 인스턴스에는 삭제 방지가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.9 | RDS DB 인스턴스는 로그에 CloudWatch 로그를 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.10 | IAM RDS 인스턴스에 대한 인증을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.11 | RDS 인스턴스에 자동 백업이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.12 | IAM RDS 클러스터에 대한 인증을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.13 | RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다. | CIS AWS Foundations Benchmark v3.0.0, AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| RDS.14 | Amazon Aurora 클러스터에는 백트래킹이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.15 | RDS DB 클러스터는 여러 가용 영역에 대해 구성되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.16 | RDS DB 클러스터는 태그를 스냅샷에 복사하도록 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.17 | RDS DB 인스턴스는 태그를 스냅샷에 복사하도록 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.18 | RDS 인스턴스는 에 배포해야 합니다. VPC | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| RDS.19 | 중요 클러스터 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.20 | 중요한 데이터베이스 인스턴스 RDS 이벤트에 대해 기존 이벤트 알림 구독을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.21 | 중요한 데이터베이스 파라미터 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.22 | 중요한 데이터베이스 보안 그룹 RDS 이벤트에 대해 이벤트 알림 구독을 구성해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.23 | RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| RDS.24 | RDS 데이터베이스 클러스터는 사용자 지정 관리자 사용자 이름을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.25 | RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.26 | RDS DB 인스턴스는 백업 계획으로 보호해야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| RDS.27 | RDS DB 클러스터는 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정판 5, 서비스 관리형 표준: AWS Control Tower | MEDIUM | |
변경이 트리거됨 |
| RDS.28 | RDS DB 클러스터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.29 | RDS DB 클러스터 스냅샷에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.30 | RDS DB 인스턴스에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.31 | RDS DB 보안 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.32 | RDS DB 스냅샷에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.33 | RDS DB 서브넷 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| RDS.34 | Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.35 | RDS DB 클러스터에는 자동 마이너 버전 업그레이드가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| RDS.36 | RDS for PostgreSQL DB 인스턴스는 로그에 CloudWatch 로그를 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| RDS.37 | Aurora PostgreSQL DB 클러스터는 로그에 CloudWatch 로그를 게시해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| Redshift.1 | Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | |
변경이 트리거됨 |
| Redshift.2 | Amazon Redshift 클러스터에 대한 연결은 전송 중에 암호화되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.3 | Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.4 | Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.6 | Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.7 | Redshift 클러스터는 향상된 VPC 라우팅을 사용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.8 | Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.9 | Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.10 | Redshift 클러스터는 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| Redshift.11 | Redshift 클러스터에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Redshift.12 | Redshift 이벤트 구독 알림에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Redshift.13 | Redshift 클러스터 스냅샷에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Redshift.14 | Redshift 클러스터 서브넷 그룹에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Redshift.15 | Redshift 보안 그룹은 제한된 오리진에서만 클러스터 포트의 수신을 허용해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 주기적 | |
| Route53.1 | Route 53 상태 확인에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Route53.2 | Route 53 퍼블릭 호스팅 영역은 DNS 쿼리를 로그해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| S3.1 | S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다. | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| S3.2 | S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | 변경이 트리거되고 주기적입니다. | |
| S3.3 | S3 범용 버킷은 퍼블릭 쓰기 액세스를 차단해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | CRITICAL | 변경이 트리거되고 주기적입니다. | |
| S3.5 | S3 범용 버킷을 사용하려면 요청이 필요합니다. SSL | CIS AWS Foundations Benchmark v3.0.0, CIS AWS Foundations Benchmark v1.4.0, AWS Foundational Security 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.6 | S3 범용 버킷 정책은 다른 에 대한 액세스를 제한해야 합니다. AWS 계정 | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | 변경이 트리거됨 | |
| S3.7 | S3 범용 버킷은 리전 간 복제를 사용해야 합니다. | PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| S3.8 | S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, AWS 파운데이션 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | 변경이 트리거됨 | |
| S3.9 | S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.10 | 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.11 | S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.12 | ACLs S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.13 | S3 범용 버킷에는 수명 주기 구성이 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| S3.14 | S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다. | NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| S3.15 | S3 범용 버킷에는 객체 잠금이 활성화되어 있어야 합니다. | NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.17 | S3 범용 버킷은 저장 시 로 암호화해야 합니다. AWS KMS keys | 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| S3.19 | S3 액세스 포인트에 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | CRITICAL | 변경이 트리거됨 | |
| S3.20 | S3 범용 버킷은 MFA 삭제가 활성화되어 있어야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0, CIS AWS 파운데이션 벤치마크 v1.4.0, NIST SP 800-53 개정 5 | LOW | 변경이 트리거됨 | |
| S3.22 | S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | MEDIUM | 주기적 | |
| S3.23 | S3 범용 버킷은 객체 수준 읽기 이벤트를 로그해야 합니다. | CIS AWS 파운데이션 벤치마크 v3.0.0 | MEDIUM | 주기적 | |
| S3.24 | S3 다중 리전 액세스 포인트에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | HIGH | 변경이 트리거됨 | |
| SageMaker.1 | Amazon SageMaker 노트북 인스턴스에는 직접 인터넷에 액세스할 수 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | HIGH | |
주기적 |
| SageMaker.2 | SageMaker 노트북 인스턴스는 사용자 지정에서 시작해야 합니다. VPC | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| SageMaker.3 | 사용자는 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| SageMaker.4 | SageMaker 엔드포인트 프로덕션 변형의 초기 인스턴스 수는 1보다 커야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| SecretsManager.1 | Secrets Manager 비밀번호에는 자동 로테이션이 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| SecretsManager.2 | 자동 교체로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| SecretsManager.3 | 사용하지 않는 Secrets Manager 암호를 제거합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| SecretsManager.4 | Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| SecretsManager.5 | Secrets Manager 보안 암호에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| ServiceCatalog.1 | 서비스 카탈로그 포트폴리오는 AWS 조직 내에서만 공유해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | HIGH | 주기적 | |
| SES.1 | SES 연락처 목록에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| SES.2 | SES 구성 세트에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| SNS.1 | SNS 주제를 저장 시 암호화해야 합니다. AWS KMS | NIST SP 800-53 개정 5 | MEDIUM | 변경이 트리거됨 | |
| SNS.3 | SNS 주제에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| SQS.1 | Amazon SQS 대기열은 저장 시 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| SQS.2 | SQS 대기열에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| SSM.1 | EC2 인스턴스는 에서 관리해야 합니다. AWS Systems Manager | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| SSM.2 | EC2 Systems Manager에서 관리하는 인스턴스는 패치 설치 COMPLIANT 후 패치 규정 준수 상태가 여야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | HIGH | |
변경이 트리거됨 |
| SSM.3 | EC2 Systems Manager에서 관리하는 인스턴스의 연결 규정 준수 상태는 COMPLIANT | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, PCI DSS v3.2.1, NIST SP 800-53 개정 5 | LOW | |
변경이 트리거됨 |
| SSM.4 | SSM 문서는 공개되어서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | CRITICAL | |
주기적 |
| StepFunctions.1 | Step Functions 상태 머신은 로깅이 켜져 있어야 합니다. | AWS 기본 보안 모범 사례 | MEDIUM | |
변경이 트리거됨 |
| StepFunctions.2 | Step Functions 활동에는 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Transfer.1 | Transfer Family 워크플로에 태그를 지정해야 합니다. | AWS 리소스 태깅 표준 | LOW | 변경이 트리거됨 | |
| Transfer.2 | Transfer Family 서버는 엔드포인트 연결에 FTP 프로토콜을 사용해서는 안 됩니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | 주기적 | |
| WAF.1 | AWS WAF Classic Global Web ACL 로깅을 활성화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
주기적 |
| WAF.2 | AWS WAF 클래식 리전 규칙에는 조건이 하나 이상 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.3 | AWS WAF 클래식 리전 규칙 그룹에는 규칙이 하나 이상 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.4 | AWS WAF 클래식 리전 웹에는 규칙 또는 규칙 그룹이 하나 이상 있어야 ACLs 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.6 | AWS WAF 클래식 글로벌 규칙에는 조건이 하나 이상 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.7 | AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.8 | AWS WAF 클래식 글로벌 웹에는 규칙 또는 규칙 그룹이 하나 이상 있어야 ACLs 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.10 | AWS WAF 웹에는 규칙 또는 규칙 그룹이 하나 이상 ACLs 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, 서비스 관리형 표준: AWS Control Tower, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WAF.11 | AWS WAF 웹 ACL 로깅을 활성화해야 합니다. | NIST SP 800-53 개정 5 | LOW | |
주기적 |
| WAF.12 | AWS WAF 규칙에는 CloudWatch 지표가 활성화되어 있어야 합니다. | AWS 기본 보안 모범 사례 v1.0.0, NIST SP 800-53 개정 5 | MEDIUM | |
변경이 트리거됨 |
| WorkSpaces.1 | WorkSpaces 유휴 사용자 볼륨은 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 | |
| WorkSpaces.2 | WorkSpaces 저장 시 루트 볼륨을 암호화해야 합니다. | AWS 기본 보안 모범 사례 v1.0.0 | MEDIUM | 변경이 트리거됨 |
주제
- Security Hub 제어 대상 AWS 계정
- API게이트웨이를 위한 Security Hub 컨트롤
- Security Hub 제어 대상 AWS AppSync
- Athena용 Security Hub 컨트롤
- Security Hub 제어 대상 AWS Backup
- Security Hub 제어 대상 ACM
- Security Hub 제어 대상 AWS CloudFormation
- Security Hub 제어 대상 CloudFront
- 에 대한 Security Hub 제어 CloudTrail
- Security Hub 제어 대상 CloudWatch
- Security Hub 제어 대상 CodeArtifact
- Security Hub 제어 대상 CodeBuild
- Security Hub 제어 대상 AWS Config
- 아마존 데이터 파이어호스의 Security Hub 컨트롤
- Security Hub 제어 대상 DataSync
- Detective용 Security Hub 컨트롤
- Security Hub 제어 대상 AWS DMS
- 아마존 DocumentDB용 Security Hub 컨트롤
- DynamoDB용 Security Hub 컨트롤
- 아마존용 Security Hub 컨트롤 EC2
- Auto Scaling을 위한 Security Hub 컨트롤
- 아마존용 Security Hub 컨트롤 ECR
- Amazon용 Security Hub 제어 ECS
- 아마존용 Security Hub 컨트롤 EFS
- 아마존용 Security Hub 컨트롤 EKS
- 에 대한 Security Hub 제어 ElastiCache
- Elastic Beanstalk를 위한 Security Hub 컨트롤
- Elastic Load Balancing을 위한 Security Hub 제어
- Elasticsearch용 Security Hub
- 아마존용 Security Hub 컨트롤 EMR
- Security Hub 제어 대상 EventBridge
- Amazon용 Security Hub 제어 FSx
- 글로벌 액셀러레이터를 위한 Security Hub 컨트롤
- Security Hub 제어 대상 AWS Glue
- 에 대한 Security Hub 제어 GuardDuty
- 에 대한 Security Hub 제어 IAM
- 아마존 인스펙터용 Security Hub 컨트롤
- Security Hub 제어 대상 AWS IoT
- Kinesis에 대한 Security Hub 제어
- Security Hub 제어 대상 AWS KMS
- Lambda용 Security Hub 컨트롤
- 매시를 위한 Security Hub 컨트롤
- Amazon용 Security Hub 제어 MSK
- 아마존 MQ용 Security Hub 컨트롤
- Neptune용 Security Hub 컨트롤
- 네트워크 방화벽을 위한 Security Hub 제어
- OpenSearch 서비스를 위한 Security Hub 제어
- Security Hub 제어 대상 AWS Private CA
- Amazon용 Security Hub 제어 RDS
- 아마존 Redshift를 위한 Security Hub 컨트롤
- Route 53용 Security Hub 제어
- Amazon S3에 대한 Security Hub 제어
- Security Hub 제어 대상 SageMaker
- Secrets Manager를 위한 Security Hub 컨트롤
- 서비스 카탈로그용 Security Hub 컨트롤
- 아마존용 Security Hub 컨트롤 SES
- 아마존용 Security Hub 컨트롤 SNS
- 아마존용 Security Hub 컨트롤 SQS
- Step Functions를 위한 Security Hub 컨트롤
- Systems Manager용 Security Hub 컨트롤
- Transfer Family를 위한 Security Hub 컨트롤
- Security Hub 제어 대상 AWS WAF
- Security Hub 제어 대상 WorkSpaces
