보안 - AWS Support

설명

Amazon CloudWatch 로그 그룹 보존 기간이 365일로 설정되어 있는지 또는 기타 지정된 숫자로 설정되어 있는지 확인합니다.

기본적으로 로그는 무기한으로 저장되고 만료 기간이 없습니다. 하지만 특정 기간의 업계 규정 또는 법적 요구 사항을 준수하도록 각 로그 그룹의 보존 정책을 조정할 수 있습니다.

AWS Config 규칙의 Names 및 MinRetentionTime 매개 변수를 사용하여 최소 보존 시간 및 로그 그룹 LogGroup이름을 지정할 수 있습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

c18d2gz186

소스

AWS Config Managed Rule: cw-loggroup-retention-period-check

알림 기준

노란색: Amazon CloudWatch 로그 그룹의 보존 기간이 원하는 최소 일수보다 짧습니다.

권장 조치

규정 준수 요구 사항을 충족하려면 Amazon CloudWatch Logs에 저장된 로그 데이터의 보존 기간을 365일 이상으로 구성하십시오.

자세한 내용은 Logs의 로그 데이터 보존 변경을 참조하십시오. CloudWatch

추가 리소스

CloudWatch 로그 보존 변경

보고서 열

상태 표시기
지역
Resource
AWS Config 규칙
입력 파라미터
최종 업데이트 시간

설명

지난 24시간 동안 실행된 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스의 SQL Server 버전을 확인합니다. 이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 SQL Server 버전은 5년간의 일반 지원과 5년간의 추가 지원을 포함하여 10년간의 지원을 제공합니다. 지원이 종료되면 SQL Server 버전은 정기 보안 업데이트를 받지 못합니다. 지원되지 않는 SQL Server 버전으로 애플리케이션을 실행하면 보안 또는 규정 준수 위험이 발생할 수 있습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

Qsdfp3A4L3

알림 기준

빨간색: EC2 인스턴스에 지원이 종료된 SQL Server 버전이 있습니다.
노란색: EC2 인스턴스에 12개월 이내에 지원이 종료되는 SQL Server 버전이 있습니다.

권장 조치

SQL Server 워크로드를 현대화하려면 Amazon Aurora 같은 AWS 클라우드 네이티브 데이터베이스로 리팩토링하는 것이 좋습니다. 자세한 내용은 다음을 사용하여 Windows 워크로드 현대화를 참조하십시오. AWS

완전관리형 데이터베이스로 전환하려면 Amazon Relational Database Service(RDS)로 리플랫포밍하는 것이 좋습니다. 자세한 내용은 Amazon RDS for SQL Server를 참조하세요.

Amazon EC2 SQL Server를 업그레이드하려면 Automation 런북을 사용하여 업그레이드를 간소화하는 것이 좋습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하십시오.

Amazon EC2에서 SQL Server를 업그레이드할 수 없는 경우 Windows Server의 지원 종료 마이그레이션 프로그램(EMP)을 이용할 수 있습니다. 자세한 내용은 EMP 웹 사이트를 참조하세요.

추가 리소스

보고서 열

상태 표시기
지역
인스턴스 ID
SQL Server 버전
지원 주기
지원 종료
최종 업데이트 시간

설명

이 검사는 해당 버전이 지원 종료일에 가깝거나 도달한 경우 알림을 제공합니다. 각 Windows Server 버전은 10년간 지원을 제공합니다. 여기에는 5년간의 일반 지원과 5년간의 추가 지원이 포함됩니다. 지원이 종료되면 Windows Server 버전은 정기 보안 업데이트를 받지 못합니다. 지원되지 않는 Windows Server 버전으로 애플리케이션을 실행하면 애플리케이션의 보안 또는 규정 준수 위험이 발생합니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

Qsdfp3A4L4

알림 기준

빨간색: EC2 인스턴스에는 지원이 종료된 Windows Server 버전(Windows Server 2003, 2003 R2, 2008 및 2008 R2)이 있습니다.
노란색: EC2 인스턴스에는 18개월 이내에 지원이 종료되는 Windows Server 버전이 있습니다(Windows Server 2012 및 2012 R2).

권장 조치

Windows Server 워크로드를 현대화하려면 다음을 사용하여 Windows 워크로드 현대화에서 사용할 수 있는 다양한 옵션을 고려해 보십시오. AWS

Windows Server 워크로드를 최신 버전의 Windows Server에서 실행되도록 업그레이드하려면 자동화 런북을 사용할 수 있습니다. 자세한 내용은 AWS Systems Manager 설명서를 참조하세요.

아래 일련의 단계를 따르세요.

윈도우 서버 버전을 업그레이드하세요.
업그레이드 시 하드 중지 및 시작
EC2Config를 사용하는 경우 EC2Launch로 마이그레이션하십시오.

보고서 열

상태 표시기
지역
인스턴스 ID
Windows Server 버전
지원 주기
지원 종료
최종 업데이트 시간

설명

이 검사를 통해 버전이 표준 지원이 거의 끝나거나 지원 종료 단계에 이르렀는지 알려줍니다. 다음 LTS로 마이그레이션하거나 Ubuntu Pro로 업그레이드하여 조치를 취하는 것이 중요합니다. 지원이 종료되면 18.04 LTS 컴퓨터는 보안 업데이트를 받을 수 없습니다. 우분투 프로 구독을 통해 우분투 18.04 LTS 배포는 2028년까지 확장 보안 유지 관리 (ESM) 를 받을 수 있습니다. 패치가 적용되지 않은 상태로 남아 있는 보안 취약성은 시스템을 해커에 노출시키고 중대한 침해 가능성을 야기할 수 있습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

c1dfprch15

알림 기준

빨간색: Amazon EC2 인스턴스의 우분투 버전이 표준 지원 (우분투 18.04 LTS, 18.04.1 LTS, 18.04.2 LTS, 18.04.3 LTS, 18.04.4 LTS, 18.04.5 LTS, 18.04.6 LTS) 에 도달했습니다.

노란색: Amazon EC2 인스턴스가 6개월 이내에 표준 지원이 종료되는 우분투 버전을 사용하고 있습니다 (우분투 20.04 LTS, 20.04.1 LTS, 20.04.2 LTS, 20.04.3 LTS, 20.04.4 LTS, 20.04.5 LTS, 20.04.6 LTS).

녹색: 모든 Amazon EC2 인스턴스는 규정을 준수합니다.

권장 조치

Ubuntu 18.04 LTS 인스턴스를 지원되는 LTS 버전으로 업그레이드하려면 이 문서에 언급된 단계를 따르십시오. Ubuntu 18.04 LTS 인스턴스를 Ubuntu Pro로 업그레이드하려면 콘솔로 이동하여 사용 설명서에 나와 있는 단계를 따르십시오. AWS License ManagerAWS License Manager Ubuntu 인스턴스를 Ubuntu Pro로 업그레이드하는 단계별 데모를 보여주는 Ubuntu 블로그를 참조할 수도 있습니다.

추가 리소스

요금에 대한 자세한 내용은 에 문의하세요. AWS Support

보고서 열

상태 표시기
지역
우분투 Lts 버전
예상 지원 종료 날짜
인스턴스 ID
지원 주기
최종 업데이트 시간

설명

Amazon EFS 파일 시스템이 data-in-transit 암호화를 사용하여 마운트되었는지 확인합니다. AWS 데이터가 우발적으로 노출되거나 무단으로 액세스되지 않도록 보호하기 위해 모든 데이터 흐름에 data-in-transit 암호화를 사용할 것을 고객에게 권장합니다. Amazon EFS는 클라이언트가 Amazon EFS 탑재 도우미를 사용하는 '-o tls' 탑재 설정을 사용하여 TLS v1.2를 사용하여 전송 중인 데이터를 암호화할 것을 권장합니다.

검사 ID

c1dfpnchv1

알림 기준

노란색: Amazon EFS 파일 시스템용 하나 이상의 NFS 클라이언트가 data-in-transit 암호화를 제공하는 권장 마운트 설정을 사용하지 않습니다.

녹색: Amazon EFS 파일 시스템의 모든 NFS 클라이언트는 data-in-transit 암호화를 제공하는 권장 마운트 설정을 사용하고 있습니다.

권장 조치

Amazon EFS의 data-in-transit 암호화 기능을 활용하려면 Amazon EFS 마운트 도우미와 권장 마운트 설정을 사용하여 파일 시스템을 다시 마운트하는 것이 좋습니다.

참고

일부 Linux 배포판에는 기본적으로 TLS 기능을 지원하는 stunnel 버전이 포함되어 있지 않습니다. 지원되지 않는 Linux 배포판을 사용하는 경우 (여기에서 지원되는 배포판 참조), 다시 마운트하기 전에 권장 마운트 설정으로 업그레이드하는 것이 좋습니다.

추가 리소스

전송 중인 데이터 암호화

보고서 열

상태 표시기
지역
EFS 파일 시스템 ID
암호화되지 않은 연결을 사용하는 AZ
최종 업데이트 시간

설명

Amazon Elastic Block Store (Amazon EBS) 볼륨 스냅샷의 권한 설정을 확인하고 공개적으로 액세스할 수 있는 스냅샷이 있으면 알려줍니다.

스냅샷을 퍼블릭으로 설정하면 모든 AWS 계정 사용자와 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한이 부여됩니다. 특정 사용자 또는 계정과만 스냅샷을 공유하려면 스냅샷을 비공개로 표시하세요. 그런 다음 스냅샷 데이터를 공유하려는 사용자 또는 계정을 지정합니다. 참고로 '모든 공유 차단' 모드에서 퍼블릭 액세스 차단을 활성화한 경우 퍼블릭 스냅샷은 공개적으로 액세스할 수 없으며 이 확인 결과에도 표시되지 않습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다.

검사 ID

ePs02jT06w

알림 기준

빨간색: EBS 볼륨 스냅샷은 공개적으로 액세스할 수 있습니다.

권장 조치

스냅샷의 모든 데이터를 모든 사용자 AWS 계정 및 사용자와 공유하려는 것이 확실하지 않으면 권한을 수정하십시오. 즉, 스냅샷을 비공개로 표시한 다음 권한을 부여할 계정을 지정하십시오. 자세한 내용은 Amazon EBS 스냅샷 공유를 참조하세요. EBS 스냅샷용 퍼블릭 액세스 차단을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어하십시오. 콘솔의 보기에서 이 검사를 제외할 수 없습니다. Trusted Advisor

스냅샷에 대한 권한을 직접 수정하려면 콘솔의 Runbook을 사용하십시오. AWS Systems Manager 자세한 정보는 AWSSupport-ModifyEBSSnapshotPermission을 참조하세요.

추가 리소스

Amazon EBS 스냅샷

보고서 열

상태 표시기
지역
볼륨 ID
스냅샷 ID
설명

설명

Amazon RDS는 사용자가 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 저장 중 암호화를 지원합니다. AWS Key Management Service Amazon RDS 암호화를 사용하는 활성 DB 인스턴스에서는 스토리지에 저장된 데이터가 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

Aurora DB 클러스터를 생성할 때 암호화를 켜지 않은 경우 암호화된 스냅샷을 암호화된 DB 클러스터로 복원해야 합니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

참고

DB 인스턴스 또는 DB 클러스터가 중지되면 3~5일 동안 Amazon RDS 권장 사항을 확인할 수 있습니다. Trusted Advisor 5일이 지나면 에서 Trusted Advisor권장 사항을 사용할 수 없습니다. 권장 사항을 보려면 Amazon RDS 콘솔을 열고 [권장 사항] 을 선택합니다.

DB 인스턴스 또는 DB 클러스터를 삭제하면 Amazon RDS 관리 콘솔이나 Amazon RDS 관리 콘솔에서 해당 인스턴스 Trusted Advisor 또는 클러스터와 관련된 권장 사항을 사용할 수 없습니다.

검사 ID

c1qf5bt005

알림 기준

빨간색: Amazon RDS Aurora 리소스에는 암호화가 활성화되어 있지 않습니다.

권장 조치

DB 클러스터에 저장된 데이터의 암호화를 활성화하세요.

추가 리소스

DB 인스턴스를 생성할 때 암호화를 활성화하거나, 해결 방법을 사용하여 활성 DB 인스턴스에서 암호화를 활성화할 수 있습니다. 복호화된 DB 클러스터를 암호화된 DB 클러스터로 수정할 수 없습니다. 하지만 해독된 스냅샷을 암호화된 DB 클러스터로 복원할 수 있습니다. 해독된 스냅샷에서 복원할 때는 키를 지정해야 합니다. AWS KMS

자세한 내용은 Amazon Aurora 리소스 암호화 섹션을 참조하세요.

보고서 열

상태 표시기
지역
리소스
엔진 이름
최종 업데이트 시간

설명

데이터베이스 리소스가 최신 마이너 DB 엔진 버전을 실행하지 않습니다. 최신 마이너 버전에는 최신 보안 수정 및 기타 개선 사항이 포함되어 있습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

참고

DB 인스턴스 또는 DB 클러스터가 중지되면 3~5일 동안 Amazon RDS 권장 사항을 확인할 수 있습니다. Trusted Advisor 5일이 지나면 에서 Trusted Advisor권장 사항을 사용할 수 없습니다. 권장 사항을 보려면 Amazon RDS 콘솔을 열고 [권장 사항] 을 선택합니다.

DB 인스턴스 또는 DB 클러스터를 삭제하면 Amazon RDS 관리 콘솔이나 Amazon RDS 관리 콘솔에서 해당 인스턴스 Trusted Advisor 또는 클러스터와 관련된 권장 사항을 사용할 수 없습니다.

검사 ID

c1qf5bt003

알림 기준

빨간색: Amazon RDS 리소스가 최신 마이너 DB 엔진 버전을 실행하고 있지 않습니다.

권장 조치

최신 엔진 버전으로 업그레이드하십시오.

추가 리소스

이 버전에는 최신 보안 및 기능 수정이 포함되어 있으므로 데이터베이스를 최신 DB 엔진 마이너 버전으로 유지 관리하는 것이 좋습니다. DB 엔진 마이너 버전 업그레이드에는 동일한 메이저 버전의 DB 엔진의 이전 마이너 버전과 이전 버전과 호환되는 변경 사항만 포함됩니다.

자세한 내용은 DB 인스턴스 엔진 버전 업그레이드를 참조하세요.

보고서 열

상태 표시기
지역
리소스
엔진 이름
엔진 버전: 현재
권장 값
최종 업데이트 시간

설명

Amazon Relational Database Service(Amazon RDS) DB 스냅샷에 대한 권한 설정을 확인하고 퍼블릭 스냅샷으로 표시된 스냅샷이 있으면 알려줍니다.

스냅샷을 퍼블릭으로 설정하면 모든 AWS 계정 사용자와 사용자에게 스냅샷의 모든 데이터에 대한 액세스 권한을 부여합니다. 특정 사용자 또는 계정에만 스냅샷을 공유하려면 스냅샷을 프라이빗으로 표시합니다. 그런 다음 스냅숏 데이터를 공유할 사용자 또는 계정을 지정합니다.

참고

해당 검사의 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다.

검사 ID

rSs93HQwa1

알림 기준

빨간색: Amazon RDS 스냅샷이 퍼블릭으로 표시되어 있습니다.

권장 조치

스냅샷의 모든 데이터를 모든 사용자 AWS 계정 및 사용자와 공유하려는 것이 확실하지 않으면 권한을 수정하십시오. 즉, 스냅샷을 비공개로 표시한 다음 권한을 부여할 계정을 지정하십시오. 자세한 내용은 DB 스냅샷 또는 DB 클러스터 스냅샷 공유를 참조하세요. Trusted Advisor 콘솔의 보기에서 이 검사를 제외할 수 없습니다.

스냅샷에 대한 권한을 직접 수정하려면 콘솔의 AWS Systems Manager Runbook을 사용하면 됩니다. 자세한 정보는 AWSSupport-ModifyRDSSnapshotPermission을 참조하세요.

추가 리소스

Amazon RDS DB 인스턴스 백업 및 복원

보고서 열

상태 표시기
지역
DB 인스턴스 또는 클러스터 ID
스냅샷 ID

설명

Amazon Relational Database Service(Amazon RDS)에 대한 보안 그룹 구성을 확인하고 보안 그룹 규칙이 데이터베이스에 지나치게 방임적인 액세스 권한을 부여하면 경고합니다. 보안 그룹 규칙의 권장 구성은 특정 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹 또는 특정 IP 주소의 액세스만 허용하는 것입니다.

검사 ID

nNauJisYIT

알림 기준

노란색: DB 보안 그룹 규칙이 포트 20, 21, 22, 1433, 1434, 3306, 3389, 4333, 5432, 5500 중 하나에 대한 글로벌 액세스 권한을 부여하는 Amazon EC2 보안 그룹을 참조합니다.
노란색: DB 보안 그룹 규칙이 둘 이상의 IP 주소에 대한 액세스 권한을 부여합니다(CIDR 규칙 접미사가 /0 또는 /32가 아님).
빨간색: DB 보안 그룹 규칙이 글로벌 액세스 권한을 부여합니다(CIDR 규칙 접미사가 /0).

권장 조치

보안 그룹 규칙을 검토하고 인증된 IP 주소 또는 IP 범위에 대한 액세스를 제한합니다. 보안 그룹을 편집하려면 AuthorizedB SecurityGroup 인그레스 API 또는 를 사용하십시오. AWS Management Console자세한 내용은 DB 보안 그룹 작업을 참조하세요.

추가 리소스

보고서 열

상태 표시기
지역
RDS 보안 그룹 이름
수신 규칙
이유

설명

Amazon RDS는 사용자가 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대해 저장 중 암호화를 지원합니다. AWS Key Management Service Amazon RDS 암호화를 사용하는 활성 DB 인스턴스에서는 스토리지에 저장된 데이터가 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 암호화됩니다.

DB 인스턴스를 생성할 때 암호화가 켜져 있지 않은 경우 암호화를 켜기 전에 해독된 스냅샷의 암호화된 사본을 복원해야 합니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

참고

DB 인스턴스 또는 DB 클러스터가 중지되면 3~5일 동안 Amazon RDS 권장 사항을 확인할 수 있습니다. Trusted Advisor 5일이 지나면 에서 Trusted Advisor권장 사항을 사용할 수 없습니다. 권장 사항을 보려면 Amazon RDS 콘솔을 열고 [권장 사항] 을 선택합니다.

DB 인스턴스 또는 DB 클러스터를 삭제하면 Amazon RDS 관리 콘솔이나 Amazon RDS 관리 콘솔에서 해당 인스턴스 Trusted Advisor 또는 클러스터와 관련된 권장 사항을 사용할 수 없습니다.

검사 ID

c1qf5bt006

알림 기준

빨간색: Amazon RDS 리소스에는 암호화가 활성화되어 있지 않습니다.

권장 조치

DB 인스턴스에 저장된 데이터의 암호화를 활성화하세요.

추가 리소스

DB 인스턴스를 생성할 때만 DB 인스턴스를 암호화할 수 있습니다. 기존 활성 DB 인스턴스를 암호화하려면:

원본 DB 인스턴스의 암호화된 사본 생성

DB 인스턴스의 DB 스냅샷을 만듭니다.
1단계에서 만든 스냅샷의 암호화된 사본을 생성합니다.
암호화된 스냅샷에서 DB 인스턴스를 복원합니다.

자세한 정보는 다음 자료를 참조하십시오.

보고서 열

상태 표시기
지역
리소스
엔진 이름
최종 업데이트 시간

설명

Amazon S3 버킷 호스트 이름을 직접 가리키는 CNAME 레코드가 있는 Amazon Route 53 호스팅 영역을 확인하고 CNAME이 S3 버킷 이름과 일치하지 않는 경우 경고합니다.

검사 ID

c1ng44jvbm

알림 기준

빨간색: Amazon Route 53 호스팅 영역에 일치하지 않는 S3 버킷 호스트 이름을 가리키는 CNAME 레코드가 있습니다.

녹색: Amazon Route 53 호스팅 영역에서 일치하지 않는 CNAME 레코드를 찾을 수 없습니다.

권장 조치

CNAME 레코드를 S3 버킷 호스트 이름으로 지정할 때는 구성한 모든 CNAME 또는 별칭 레코드와 일치하는 버킷이 존재하는지 확인해야 합니다. 이렇게 하면 CNAME 레코드가 스푸핑될 위험을 피할 수 있습니다. 또한 인증되지 않은 AWS 사용자가 도메인에 결함이 있거나 악의적인 웹 콘텐츠를 호스팅하는 것을 방지할 수 있습니다.

CNAME 레코드가 S3 버킷 호스트 이름을 직접 가리키지 않도록 하려면 원본 액세스 제어 (OAC) 를 사용하여 Amazon을 통해 S3 버킷 웹 자산에 액세스하는 것이 좋습니다. CloudFront

CNAME을 Amazon S3 버킷 호스트 이름과 연결하는 방법에 대한 자세한 내용은 CNAME 레코드로 Amazon S3 URL 사용자 지정을 참조하십시오.

추가 리소스

보고서 열

상태 표시기
호스팅 영역 ID
호스팅 영역 ARN
일치하는 CNAME 레코드
일치하지 않는 CNAME 레코드
최종 업데이트 시간

설명

각 MX 리소스 레코드 세트에 대해 TXT 또는 SPF 리소스 레코드 세트에 유효한 SPF 레코드가 포함되어 있는지 확인합니다. 레코드는 ‘v=spf1’로 시작해야합니다. SPF 레코드는 귀하의 도메인에 이메일을 보내고, 이는 이메일 주소 스푸핑을 탐지 및 중지하는 데 도움이 되며, 스팸을 줄이기 위해 승인된 서버를 지정합니다. Route 53은 SPF 레코드 대신 TXT 레코드를 사용할 것을 권장합니다. Trusted Advisor 각 MX 리소스 레코드 세트에 하나 이상의 SPF 또는 TXT 레코드가 있는 경우 이 검사를 녹색으로 보고합니다.

검사 ID

c9D319e7sG

알림 기준

노란색: MX 리소스 레코드 세트에 유효한 SPF 값을 포함하는 TXT 또는 SPF 리소스 레코드가 없습니다.

권장 조치

각 MX 리소스 레코드 세트에 대해 유효한 SPF 값이 포함된 TXT 레코드 세트를 생성합니다. 자세한 내용은 Sender Policy Framework: SPF 레코드 구문 및 Amazon Route 53 콘솔을 사용하여 리소스 레코드 세트 생성을 참조하세요.

추가 리소스

보고서 열

호스팅 영역 이름
호스팅 영역 ID
리소스 레코드 세트 이름
상태 표시기

설명

공개 액세스 권한이 있거나 인증된 모든 사용자에게 액세스를 허용하는 Amazon Simple Storage Service (Amazon S3) 의 버킷을 검사합니다. AWS

이 검사는 명시적 버킷 권한과 해당 권한을 재정의할 수 있는 버킷 정책을 검사합니다. Amazon S3 버킷의 모든 사용자에게 목록 액세스 권한을 부여하는 것은 권장하지 않습니다. 이러한 권한을 사용하면 의도하지 않은 사용자가 높은 빈도로 버킷의 객체를 나열할 수 있으며, 이로 인해 예상보다 높은 요금이 발생할 수 있습니다. 모든 사람에게 업로드 및 삭제 액세스 권한을 부여하면 버킷의 보안 취약성을 유발할 수 있습니다.

검사 ID

Pfx0RwqBli

알림 기준

노란색: 버킷 ACL이 모든 사용자 또는 인증된 모든 AWS 사용자에게 나열 액세스 권한을 허용합니다.
노란색: 버킷 정책이 모든 종류의 공개 액세스를 허용합니다.
노란색: 버킷 정책에 공개 액세스를 허용하는 문이 있습니다. 퍼블릭 정책이 있는 버킷에 대한 퍼블릭 및 교차 계정 액세스 차단(Block public and cross-account access to buckets that have public policies) 설정이 켜져 있고 퍼블릭 문이 삭제될 때까지 해당 계정의 승인된 사용자만 액세스할 수 있도록 제한되었습니다.
노란색: Trusted Advisor 정책을 확인할 권한이 없거나 다른 이유로 정책을 평가할 수 없습니다.
빨간색: 버킷 ACL이 모든 사용자 또는 인증된 모든 AWS 사용자에게 업로드 및 삭제 액세스 권한을 허용합니다.

권장 조치

버킷이 공개 액세스를 허용하는 경우, 공개 액세스가 정말로 필요한지 확인합니다. 그렇지 않은 경우, 버킷 권한을 업데이트하여 소유자 또는 특정 사용자에 대한 액세스를 제한합니다. Amazon S3 퍼블릭 액세스 차단 기능을 사용하여 데이터에 대한 퍼블릭 액세스를 허용하는 설정을 제어합니다. 버킷 및 객체 액세스 권한 설정을 참조하세요.

추가 리소스

Amazon S3 리소스에 대한 액세스 권한 관리

보고서 열

상태 표시기
리전 이름
리전 API 파라미터
버킷 이름
ACL이 나열 허용
ACL이 업로드/삭제 허용
정책이 액세스 허용

설명

Amazon 심플 스토리지 서비스 버킷의 로깅 구성을 확인합니다.

서버 액세스 로깅이 활성화되면 세부 액세스 로그가 선택한 버킷에 매시간 전송됩니다. 액세스 로그 레코드에는 요청 유형, 요청과 관련된 리소스, 요청 처리 시간과 날짜 같은 각 요청에 관한 세부 정보가 포함됩니다. 기본적으로 버킷 로깅은 활성화되지 않습니다. 보안 감사를 수행하거나 사용자 및 사용 패턴에 대해 자세히 알아보려면 로깅을 사용하도록 활성화해야 합니다.

로깅을 처음 활성화하면 구성이 자동으로 검증됩니다. 그러나 나중에 수정하면 로깅 오류가 발생할 수 있습니다. 이 검사는 명시적인 Amazon S3 버킷 권한을 검사합니다. 버킷 정책을 사용하여 버킷 권한을 제어하는 것이 가장 좋지만 ACL도 사용할 수 있습니다.

검사 ID

c1fd6b96l4

알림 기준

노란색: 버킷에 서버 액세스 로깅이 활성화되어 있지 않습니다.
노란색: 대상 버킷 권한에 루트 계정이 포함되어 있지 않아 Trusted Advisor 가 로깅 상태를 확인할 수 없습니다.
빨간색: 대상 버킷이 존재하지 않습니다.
빨간색: 대상 버킷과 소스 버킷의 소유자가 다릅니다.
빨간색: 로그 전달자에 대상 버킷에 대한 쓰기 권한이 없습니다.
녹색: 버킷에 서버 액세스 로깅이 활성화되어 있고, 대상이 존재하며, 대상에 쓸 수 있는 권한이 있습니다.

권장 조치

대부분의 버킷에 대해 버킷 로깅을 활성화합니다. 콘솔을 이용하여 로깅 활성화와 프로그래밍 방식으로 로깅 활성화를 참조하세요.

대상 버킷 권한에 루트 계정이 포함되지 않은 경우 Trusted Advisor 가 로깅 상태를 확인하게 하려면 루트 계정을 피부여자로 추가합니다. 버킷 권한 편집을 참조하세요.

대상 버킷이 없는 경우 기존 버킷을 대상으로 선택하거나, 새 버킷을 생성하여 대상으로 선택합니다. 버킷 로깅 관리를 참조하세요.

대상과 소스의 소유자가 서로 다른 경우, 대상 버킷을 소스 버킷과 소유자가 같은 버킷으로 변경합니다. 버킷 로깅 관리를 참조하세요.

로그 전달자에게 대상에 대한 쓰기 권한이 없는 경우 (쓰기 사용 안 함), Log Delivery 그룹에 업로드/삭제 권한을 부여하십시오. ACL보다 버킷 정책을 사용하는 것이 좋습니다. 로그 전송을 위한 버킷 권한 및 권한 편집을 참조하십시오.

추가 리소스

보고서 열

상태 표시기
지역
리소스 ARN
버킷 이름
대상 이름
대상 존재 여부
소유자가 동일한지 여부
쓰기가 활성화되어 있는지 여부
이유
최종 업데이트 시간

설명

VPC 피어링 연결에 수락자 및 요청자 VPC 모두에 대해 DNS 확인이 켜져 있는지 확인합니다.

VPC 피어링 연결의 DNS 확인은 VPC가 쿼리를 보낼 때 퍼블릭 DNS 호스트 이름을 프라이빗 IPv4 주소로 확인하도록 합니다. 이렇게 하면 피어링된 VPC의 리소스 간 통신에 DNS 이름을 사용할 수 있습니다. VPC 피어링 연결의 DNS 확인은 애플리케이션 개발 및 관리를 단순화하고 오류 발생을 줄이며, 리소스가 항상 VPC 피어링 연결을 통해 비공개로 통신하도록 합니다.

규칙의 vPCID 파라미터를 사용하여 VPC ID를 지정할 수 있습니다. AWS Config

자세한 정보는 VPC 피어링 연결에 대해 DNS 확인 사용 설정을 참조하세요.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

c18d2gz124

소스

AWS Config Managed Rule: vpc-peering-dns-resolution-check

알림 기준

노란색: VPC 피어링 연결의 수락자 및 요청자 VPC 모두에 대해 DNS 확인이 활성화되지 않았습니다.

권장 조치

VPC 피어링 연결에 대한 DNS 확인을 활성화합니다.

추가 리소스

보고서 열

상태 표시기
지역
Resource
AWS Config 규칙
입력 파라미터
최종 업데이트 시간

설명

AWS Backup 저장소에 복구 지점 삭제를 방지하는 리소스 기반 정책이 첨부되어 있는지 확인합니다.

리소스 기반 정책은 복구 지점의 예기치 않은 삭제를 방지하므로 백업 데이터에 대해 최소한의 권한으로 액세스를 제어할 수 있습니다.

규칙의 주요 ArnList 매개변수에서 해당 규칙이 체크인하지 않도록 하려는 AWS Identity and Access Management ARN을 지정할 수 있습니다. AWS Config

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

c18d2gz152

소스

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

알림 기준

노란색: 복구 지점 삭제를 방지하는 리소스 기반 정책이 없는 AWS Backup 저장소도 있습니다.

권장 조치

AWS Backup 저장소에 대한 리소스 기반 정책을 만들어 복구 지점의 예기치 않은 삭제를 방지하십시오.

정책에는 백업 (DeleteRecovery지점, 백업: 권한), 백업: UpdateRecovery PointLifecycle 권한과 함께 “거부” 문구가 포함되어야 합니다. PutBackupVaultAccessPolicy

자세한 내용은 백업 볼트에 대한 액세스 정책 설정을 참조하세요.

보고서 열

상태 표시기
지역
Resource
AWS Config 규칙
입력 파라미터
최종 업데이트 시간

설명

사용 현황을 확인합니다 AWS CloudTrail. CloudTrail 계정에서 이루어진 AWS API 호출에 대한 정보를 AWS 계정 기록하여 내 활동에 대한 가시성을 높입니다. 이러한 로그를 사용하여 예를 들어, 특정 사용자가 지정한 기간 동안 수행한 작업 또는 지정된 기간 동안 특정 리소스에 대해 작업을 수행한 사용자를 확인할 수 있습니다.

Amazon Simple Storage Service (Amazon S3) 버킷으로 로그 파일을 전송하기 때문에 CloudTrail CloudTrail 버킷에 대한 쓰기 권한이 있어야 합니다. 모든 리전을 추적하는 경우(새 추적을 생성할 때 기본값) Trusted Advisor 보고서에서 추적이 여러 번 나타납니다.

검사 ID

vjafUGJ9H0

알림 기준

노란색: 트레일의 로그 전송 오류를 CloudTrail 보고합니다.
빨간색: 리전에 대한 트레일이 생성되지 않았거나 트레일에 대한 로깅이 해제되었습니다.

권장 조치

트레일을 생성하고 콘솔에서 로깅을 시작하려면 AWS CloudTrail 콘솔로 이동합니다.

로깅을 시작하려면 추적에 대한 로깅 중단 및 시작을 참조하세요.

로그 전송 오류가 발생할 경우 버킷이 있는지, 그리고 필요한 정책이 버킷에 연결되어 있는지 확인합니다. Amazon S3 버킷 정책을 참조하세요.

추가 리소스

보고서 열

상태 표시기
지역
트레일 이름
로깅 상태
버킷 이름
최종 전송 날짜

설명

사용 중단에 가까워지거나 더 이상 사용되지 않는 런타임을 사용하도록 $LATEST 버전이 구성된 Lambda 함수를 확인합니다. 지원 중단된 런타임은 보안 업데이트나 기술 지원을 받을 수 없습니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

게시된 Lambda 함수 버전은 변경할 수 없습니다. 즉, 호출할 수는 있지만 업데이트할 수는 없습니다. Lambda 함수의 $LATEST 버전만 업데이트할 수 있습니다. 자세한 내용은 Lambda 함수 버전을 참조하세요.

검사 ID

L4dfs2Q4C5

알림 기준

빨간색: 함수의 $LATEST 버전은 이미 지원이 중단된 런타임을 사용하도록 구성되었습니다.
노란색: 함수의 $LATEST 버전은 180일 이내에 지원이 중단될 런타임에서 실행 중입니다.

권장 조치

사용 중단된 런타임에서 실행 중인 함수가 있는 경우, 지원되는 런타임으로 마이그레이션할 준비를 해야 합니다. 자세한 내용은 런타임 지원 정책을 참조하세요.

더 이상 사용하지 않는 이전 함수 버전은 삭제하는 것이 좋습니다.

추가 리소스

Lambda 런타임

보고서 열

상태 표시기
지역
함수 ARN
런타임
사용 중단까지 남은 일수
사용 중단 날짜
평균 일일 호출 건수
최종 업데이트 시간

설명

보안 기반에서 워크로드의 위험도 높음 문제(HRI)를 확인합니다. 이 검사는 사용자 AWS-Well Architected 리뷰를 기반으로 합니다. AWS Well-Architected에서 워크로드 평가를 완료했는지 여부에 따라 검사 결과가 달라집니다.

참고

이 검사 결과는 매일 여러 번 자동으로 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 변경 사항이 표시되는 데 몇 시간이 걸릴 수도 있습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

검사 ID

Wxdfp4B1L3

알림 기준

빨간색: AWS Well-Architected의 보안 기둥에서 하나 이상의 활성 고위험 문제가 확인되었습니다.
녹색: AWS Well-Architected의 보안 원칙에서 활발한 고위험 문제는 발견되지 않았습니다.

권장 조치

AWS Well-Architected는 워크로드 평가 중에 고위험 문제를 감지했습니다. 이러한 문제는 위험을 줄이고 비용을 절감할 수 있는 기회를 나타냅니다. AWS Well-Architected 도구에 로그인하여 답변을 검토하고 활성 문제를 해결하기 위한 조치를 취하세요.

보고서 열

상태 표시기
지역
워크로드 ARN
워크로드 이름
검토자 이름
워크로드 유형
워크로드 시작 날짜
워크로드 마지막 수정 날짜
보안에 대해 식별된 HRI 수
보안에 대해 해결된 HRI 수
보안에 대한 질문 수
보안 원칙의 총 질문 수
최종 업데이트 시간

설명

IAM 인증서 저장소의 CloudFront 대체 도메인 이름에 대한 SSL 인증서를 확인합니다. 이 검사는 인증서가 만료되었거나, 곧 만료되거나, 오래된 암호화를 사용하거나, 배포에 대해 올바르게 구성되지 않은 경우 알림을 표시합니다.

대체 도메인 이름의 사용자 지정 인증서가 만료되면 CloudFront 콘텐츠를 표시하는 브라우저에 웹 사이트 보안에 대한 경고 메시지가 표시될 수 있습니다. SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 웹 브라우저에서 더는 사용되지 않습니다.

인증서에는 최종 사용자 요청의 호스트 헤더에 있는 Origin Domain Name 또는 도메인 이름과 일치하는 도메인 이름이 포함되어야 합니다. 일치하지 않는 경우 사용자에게 HTTP 상태 코드 502 (잘못된 게이트웨이) 를 CloudFront 반환합니다. 자세한 내용은 대체 도메인 이름 및 HTTPS 사용을 참조하십시오.

검사 ID

N425c450f2

알림 기준

빨간색: 사용자 지정 SSL 인증서가 만료되었습니다.
노란색: 사용자 지정 SSL 인증서가 앞으로 7일 내에 만료됩니다.
노란색: SHA-1 해싱 알고리즘을 사용하여 암호화된 사용자 지정 SSL 인증서가 있습니다.
노란색: 배포에 있는 대체 도메인 이름 중 하나 이상이 일반 이름(Common Name) 필드 또는 주체 대체 이름(Subject Alternative Names) 필드에 표시되지 않습니다.

권장 조치

만료된 인증서 또는 곧 만료될 인증서를 갱신합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 교체합니다.

인증서를 일반 이름(Common Name) 필드 또는 주체 대체 이름(Subject Alternative Names) 필드에 해당하는 값이 포함된 인증서로 바꿉니다.

추가 리소스

HTTPS 연결을 사용하여 객체에 액세스

보고서 열

상태 표시기
배포 ID
배포 도메인 이름
인증서 이름
이유

설명

만료되었거나, 곧 만료되거나, 누락되었거나, 오래된 암호화를 사용하는 SSL 인증서가 있는지 원본 서버에서 확인합니다. 인증서에 이러한 문제 중 하나가 있는 경우 HTTP 상태 코드 502, Bad Gateway로 콘텐츠 요청에 CloudFront 응답합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서는 Chrome 및 Firefox와 같은 웹 브라우저에서 더는 사용되지 않습니다. CloudFront배포에 연결한 SSL 인증서의 수에 따라 이 확인을 통해 웹 호스팅 공급자의 청구서에 매월 몇 센트가 추가될 수 있습니다. 예를 들어 Amazon EC2 또는 Elastic Load Balancing을 배포의 오리진으로 사용하는 AWS 경우 말입니다. CloudFront 이 검사에서는 오리진 인증서 체인이나 인증 기관의 유효성을 검사하지 않습니다. 구성에서 확인할 수 있습니다. CloudFront

검사 ID

N430c450f2

알림 기준

빨간색: 오리진의 SSL 인증서가 만료되었거나 누락되었습니다.
노란색: 오리진의 SSL 인증서가 향후 30일 내에 만료됩니다.
노란색: 오리진에 SHA-1 해싱 알고리즘을 사용하여 암호화된 SSL 인증서가 있습니다.
노란색: 오리진에서 SSL 인증서를 찾을 수 없습니다. 시간 초과 또는 기타 HTTPS 연결 문제로 인해 연결이 실패했을 수 있습니다.

권장 조치

인증서가 만료되었거나 곧 만료되는 경우 오리진의 인증서를 갱신합니다.

인증서가 없는 경우에는 인증서를 추가합니다.

SHA-1 해싱 알고리즘을 사용하여 암호화된 인증서를 SHA-256 해싱 알고리즘을 사용하여 암호화된 인증서로 교체합니다.

추가 리소스

대체 도메인 이름과 HTTPS 사용

보고서 열

상태 표시기
배포 ID
배포 도메인 이름
오리진(Origin)
이유

설명

암호화된 통신을 위한 권장 보안 구성을 사용하지 않는 리스너가 있는 로드 밸런서가 있는지 확인합니다. AWS 보안 프로토콜 (HTTPS 또는 SSL), up-to-date 보안 정책, 안전한 암호 및 프로토콜을 사용할 것을 권장합니다.

프런트 엔드 연결(클라이언트에서 로드 밸런서)에 보안 프로토콜을 사용하면 클라이언트와 로드 밸런서 간에 요청이 암호화되어 더 안전한 환경을 만듭니다. Elastic Load Balancing은 보안 모범 사례를 준수하는 암호 및 프로토콜과 함께 사전 정의된 AWS 보안 정책을 제공합니다. 새 구성을 사용할 수 있게 되면 미리 정의된 정책의 새 버전이 공개됩니다.

검사 ID

a2sEc6ILx

알림 기준

노란색: 로드 밸런서에 보안 프로토콜(HTTPS 또는 SSL)을 사용하는 리스너가 없습니다.
노란색: 로드 밸런서 리스너가 오래된 사전 정의된 SSL 보안 정책을 사용합니다.
노란색: 로드 밸런서 리스너가 권장되지 않는 암호 또는 프로토콜을 사용합니다.
빨간색: 로드 밸런서 리스너가 안전하지 않은 암호 또는 프로토콜을 사용합니다.

권장 조치

로드 밸런서에 대한 트래픽의 보안을 보장해야 하는 경우, 프런트엔드 연결에 HTTPS 또는 SSL 프로토콜을 사용합니다.

로드 밸런서를 사전 정의된 SSL 보안 정책의 최신 버전으로 업그레이드합니다.

권장 암호 및 프로토콜만 사용합니다.

자세한 내용은 Elastic Load Balancing의 리스너 구성을 참조하세요.

추가 리소스

보고서 열

상태 표시기
지역
로드 밸런서 이름
로드 밸런서 포트
이유

설명

누락된 보안 그룹으로 구성된 로드 밸런서 또는 로드 밸런서에 대해 구성되지 않은 포트에 액세스하도록 허용하는 보안 그룹을 확인합니다.

로드 밸런서와 연결된 보안 그룹을 삭제하되면 로드 밸런서가 예상대로 작동하지 않습니다. 보안 그룹이 로드 밸런서에 대해 구성되지 않은 포트에 액세스하도록 허용하는 경우 데이터 손실 또는 악의적인 공격의 위험이 증가합니다.

검사 ID

xSqX82fQu

알림 기준

노란색: 로드 밸런서와 연결된 Amazon VPC 보안 그룹의 인바운드 규칙이 로드 밸런서의 리스너 구성에 정의되지 않은 포트에 대한 액세스를 허용합니다.
빨간색: 로드 밸런서와 연결된 보안 그룹이 존재하지 않습니다.

권장 조치

로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜과 경로 MTU 검색을 지원하는 ICMP 프로토콜만으로 액세스를 제한하도록 보안 그룹 규칙을 구성합니다. Classic Load Balancer의 리스너 및 VPC의 로드 밸런서를 위한 보안 그룹을 참조하세요.

보안 그룹이 존재하지 않는 경우에는 로드 밸런서에 새 보안 그룹을 적용합니다. 로드 밸런서 리스너 구성에 정의된 포트 및 프로토콜만으로 액세스를 제한하는 보안 그룹 규칙을 생성합니다. VPC의 로드 밸런서를 위한 보안 그룹을 참조하세요.

추가 리소스

보고서 열

상태 표시기
지역
로드 밸런서 이름
보안 그룹 ID
이유

설명

널리 사용되는 코드 리포지토리에서 공개된 액세스 키와 액세스 키가 손상될 수 있는 불규칙한 Amazon Elastic Compute Cloud(Amazon EC2) 사용을 확인합니다.

액세스 키는 액세스 키 ID와 해당 비밀 액세스 키로 구성됩니다. 유출 액세스 키는 계정 및 다른 사용자에게 보안 위험을 초래할 수 있으며, 무단 활동 또는 남용으로 인해 과도한 요금이 부과될 수 있으며 AWS 고객 계약을 위반할 수 있습니다.

액세스 키가 노출된 경우 즉시 조치를 취하여 계정을 보호하십시오. 계정에 과도한 요금이 부과되지 않도록 일부 리소스를 생성할 수 있는 권한을 AWS 일시적으로 제한하십시오. AWS 이렇게 한다고 해서 계정이 안전하게 보호되는 것은 아닙니다. 요금이 부과될 수 있는 무단 사용량을 부분적으로만 제한합니다.

참고

이 검사는 유출 액세스 키 또는 손상된 EC2 인스턴스의 식별을 보장하지 않습니다. 액세스 키와 AWS 리소스의 안전과 보안에 대한 궁극적인 책임은 사용자에게 있습니다.

해당 검사의 결과는 새로 고쳐지며 새로 고침 요청은 허용되지 않습니다. 현재 이 검사에서 리소스를 제외할 수 없습니다.

액세스 키 기한이 표시된 경우 해당 날짜까지 무단 사용이 중지되지 AWS 계정 않으면 액세스 키가 일시 AWS 중단될 수 있습니다. 알림이 잘못되었다고 판단되면 AWS Support에 문의하세요.

에 표시된 정보는 계정의 최신 상태를 반영하지 Trusted Advisor 않을 수 있습니다. 노출된 액세스 키는 계정에서 노출된 모든 액세스 키가 해결될 때까지 해결된 것으로 표시되지 않습니다. 이 데이터 동기화에는 최대 1주일이 걸릴 수 있습니다.

검사 ID

12Fnkpl8Y5

알림 기준

빨간색: 보안 침해 가능성 — 인터넷에 노출되어 도용 (사용) AWS 되었을 수 있는 액세스 키 ID와 해당 비밀 액세스 키를 식별했습니다.
빨간색: 노출됨 — AWS 인터넷에 노출된 액세스 키 ID와 해당 보안 액세스 키를 식별했습니다.
빨간색: 의심됨 - 액세스 키가 손상되었을 가능성이 있지만, 인터넷에서 노출된 것으로 식별되지 않았음을 나타내는 변칙적인 Amazon EC2 사용이 있습니다.

권장 조치

영향을 받는 액세스 키를 최대한 빨리 삭제합니다. 키가 IAM 사용자와 연결되어 잇는 경우에는 IAM 사용자의 액세스 키 관리를 참조하세요.

계정이 무단 사용되지 않았는지 확인합니다. AWS Management Console에 로그인하여 각 서비스 콘솔에서 의심스러운 리소스를 확인합니다. Amazon EC2 인스턴스, 스팟 인스턴스 요청, 액세스 키 및 IAM 사용자를 실행 중인 경우 특히 주의해야 합니다. 과금 정보 및 비용 관리 콘솔에서 전체 사용량을 확인할 수도 있습니다.

추가 리소스

보고서 열

액세스 키 ID
사용자 이름(IAM 또는 루트)
부정 행위 유형
사례 ID
업데이트된 시간
위치
기한
사용량(일별 USD)

설명

지난 90일 동안 교체되지 않은 활성 IAM 액세스 키를 확인합니다.

액세스 키를 정기적으로 교체하면 리소스에 액세스하기 위해 알지 못한 채 손상된 키를 사용할 가능성이 줄어듭니다. 이 검사에서 마지막 순환 날짜 및 시간은 액세스 키가 생성되었거나 가장 최근에 활성화된 시간입니다. 액세스 키 번호 및 날짜는 최신 IAM 자격 증명 보고서의 access_key_1_last_rotated 및 access_key_2_last_rotated 정보를 참조하십시오.

보안 인증 보고서의 재생성 빈도가 제한되므로, 이 검사를 새로 고치면 최근 변경 사항이 반영되지 않을 수 있습니다. 자세한 내용은 AWS 계정의 자격 증명 보고서 가져오기를 참조하세요.

액세스 키를 생성하고 교체하려면 사용자에게 적절한 권한이 있어야 합니다. 자세한 내용은 사용자가 자신의 암호, 액세스 키 및 SSH 키를 관리할 수 있도록 허용을 참조하세요.

검사 ID

DqdJqYeRm5

알림 기준

녹색: 액세스 키가 활성 상태이며 지난 90일 중에 교체되었습니다.
노란색: 액세스 키가 활성 상태이며 지난 2년 중에 교체되었지만 교체된 지 90일이 넘었습니다.
빨간색: 액세스 키가 활성 상태이며 지난 2년 동안 교체되지 않았습니다.

권장 조치

액세스 키를 주기적으로 교체합니다. 액세스 키 교체 및 IAM 사용자의 액세스 키 관리를 참조하세요.

추가 리소스

보고서 열

상태 표시기
IAM 사용자
액세스 키
키를 마지막으로 교체한 날짜
이유

설명

계정의 암호 정책을 확인하여 암호 정책이 활성화되지 않았거나 암호 콘텐츠 요구 사항이 활성화되지 않은 경우 경고합니다.

암호 콘텐츠 요구 사항은 AWS 환경에서 강력한 사용자 암호를 생성하게 하여 사용자의 전반적인 보안을 강화합니다. 암호 정책을 생성하거나 변경하면 새 사용자에게 변경 사항이 즉시 적용되지만 기존 사용자는 암호를 변경하지 않아도 됩니다.

검사 ID

Yw2K9puPzl

알림 기준

노란색: 암호 정책이 활성화되어 있지만 하나 이상의 콘텐츠 요구 사항이 활성화되어 있지 않습니다.
빨간색: 활성화된 암호 정책이 없습니다.

권장 조치

일부 콘텐츠 요구 사항이 활성화되지 않은 경우 활성화하는 것이 좋습니다. 활성화된 암호 정책이 없는 경우 새로 생성하고 구성합니다. IAM 사용자의 계정 암호 정책 설정을 참조하세요.

추가 리소스

암호 관리

보고서 열

암호 정책
대문자
소문자
숫자
영숫자 이외의 문자

설명

루트 계정을 확인하여 멀티 팩터 인증(MFA)이 활성화되지 않은 경우 경고를 표시합니다.

보안을 강화하려면 MFA를 사용하여 계정을 보호하는 것이 좋습니다. MFA를 사용하면 사용자가 MFA 하드웨어 또는 가상 디바이스에서 가져온 고유한 인증 코드를 입력해야 하고 관련 웹 사이트와 상호 작용할 수 있습니다. AWS Management Console

검사 ID

7DAFEmoDos

알림 기준

빨간색: 루트 계정에 MFA가 활성화되어 있지 않았습니다.

권장 조치

루트 계정에 로그인하여 MFA 디바이스를 활성화합니다. MFA 상태 확인 및 MFA 디바이스 설정을 참조하세요.

추가 리소스

다음과 함께 멀티 팩터 인증 (MFA) 디바이스 사용 AWS

설명

보안 그룹에 특정 포트에 대한 무제한 액세스(0.0.0.0/0)를 허용하는 규칙이 있는지 확인합니다.

무제한 액세스는 악의적인 활동 (해킹, denial-of-service 공격, 데이터 손실) 의 기회를 증가시킵니다. 위험이 가장 높은 포트는 빨간색으로 표시되고 위험이 적은 포트는 노란색으로 표시됩니다. 녹색으로 표시된 포트는 일반적으로 HTTP 및 SMTP와 같이 무제한 액세스가 필요한 애플리케이션에서 사용합니다.

이러한 방식으로 보안 그룹을 의도적으로 구성한 경우 추가 보안 조치를 사용하여 인프라(예: IP 테이블) 를 보호하는 것이 좋습니다.

참고

이 검사는 사용자가 만든 보안 그룹과 IPv4 주소에 대한 인바운드 규칙만 확인합니다. AWS Directory Service 로 생성한 보안 그룹은 빨간색 또는 노란색으로 플래그가 지정되지만 보안 위험을 초래하지 않으며 안전한 것으로 간과하거나 제외됩니다. 자세한 내용은 Trusted Advisor FAQ를 참조하십시오.

참고

이 검사에는 고객 관리형 접두사 목록이 0.0.0.0/0에 대한 액세스 권한을 부여하고 보안 그룹에서 소스로 사용되는 사용 사례는 포함되지 않습니다.

검사 ID

HCP4007jGY

알림 기준

녹색: 포트 80, 25, 443 또는 465에 대한 액세스가 제한되지 않았습니다.
빨간색: 포트 20, 21, 1433, 1434, 3306, 3389, 4333, 5432 또는 5500에 대한 액세스가 제한되지 않았습니다.
노란색: 다른 포트에 대한 액세스가 제한되지 않았습니다.

권장 조치

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

추가 리소스

보고서 열

상태 표시기
지역
보안 그룹 이름
보안 그룹 ID
프로토콜
시작 포트
끝 포트

설명

리소스에 대한 무제한 액세스를 허용하는 규칙이 있는지 보안 그룹을 검사합니다.

무제한 액세스는 악의적인 활동 (해킹, 공격, denial-of-service 데이터 손실) 의 기회를 증가시킵니다.

참고

이 검사는 사용자가 만든 보안 그룹과 IPv4 주소에 대한 인바운드 규칙만 확인합니다. AWS Directory Service 로 생성한 보안 그룹은 빨간색 또는 노란색으로 플래그가 지정되지만 보안 위험을 초래하지 않으며 안전한 것으로 간과하거나 제외됩니다. 자세한 내용은 Trusted Advisor FAQ를 참조하십시오.

참고

이 검사에는 고객 관리형 접두사 목록이 0.0.0.0/0에 대한 액세스 권한을 부여하고 보안 그룹에서 소스로 사용되는 사용 사례는 포함되지 않습니다.

검사 ID

1iG5NDGVre

알림 기준

빨간색: 보안 그룹 규칙에 25, 80 또는 443 이외의 포트에 대해 접미사가 /0인 소스 IP 주소가 있습니다.

권장 조치

액세스가 필요한 IP 주소만으로 액세스를 제한합니다. 특정 IP 주소에 대한 액세스를 제한하려면 접미사를 /32로 설정합니다(예: 192.0.2.10/32). 보다 제한적인 규칙을 생성한 후에는 지나치게 많은 권한을 부여하는 규칙을 삭제해야 합니다.

추가 리소스

보고서 열

상태 표시기
지역
보안 그룹 이름
보안 그룹 ID
프로토콜
시작 포트
끝 포트
IP 범위

보안

참고

검사명

Amazon CloudWatch 로그 그룹 보존 기간

참고

Microsoft SQL Server를 사용하는 Amazon EC2 인스턴스 지원 종료

참고

Microsoft Windows Server를 사용하는 Amazon EC2 인스턴스 지원 종료

참고

우분투 LTS를 사용하는 Amazon EC2 인스턴스 표준 지원 종료

참고

data-in-transit 암호화를 사용하지 않는 Amazon EFS 클라이언트

참고

Amazon EBS 퍼블릭 스냅샷

참고

Amazon RDS Aurora 스토리지 암호화가 해제되었습니다

참고

참고

Amazon RDS 엔진 마이너 버전 업그레이드가 필요합니다.

참고

참고

Amazon RDS 퍼블릭 스냅샷

참고

Amazon RDS 보안 그룹 액세스 위험

Amazon RDS 스토리지 암호화가 꺼져 있습니다

참고

참고

원본 DB 인스턴스의 암호화된 사본 생성

S3 버킷을 직접 가리키는 Amazon Route 53 불일치 CNAME 레코드

Amazon Route 53 MX 리소스 레코드 세트 및 발신자 정책 프레임워크

Amazon S3 버킷 권한

Amazon S3 서버 액세스 로그가 활성화되었습니다

DNS 확인이 비활성화된 Amazon VPC 피어링 연결

참고

AWS Backup 복구 지점 삭제를 방지하기 위한 리소스 기반 정책을 사용하지 않는 Vault입니다.

참고

AWS CloudTrail 로깅

AWS Lambda 더 이상 사용되지 않는 런타임을 사용하는 함수

참고

보안에 대한 AWS Well-Architected 위험도 높음 문제

참고

CloudFrontIAM 인증서 스토어의 사용자 지정 SSL 인증서

CloudFront 오리진 서버의 SSL 인증서

ELB 리스너 보안

ELB 보안 그룹

노출된 액세스 키

참고

IAM 액세스 키 교체

IAM 암호 정책

루트 계정의 MFA

보안 그룹 — 제한 없는 특정 포트

참고

참고

보안 그룹 — 무제한 액세스

참고

참고