BNM RMiT 운영 모범 사례 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

BNM RMiT 운영 모범 사례

적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.



다음은 말레이시아 중앙은행 (BNM) 의 기술 분야 위험 관리 (RMit) 와 관리형 AWS Config 규칙 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 BNM RMit 컨트롤과 관련이 있습니다. BNM RMiT 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.

제어 ID 제어 설명 AWS Config 규칙 지침
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

alb-http-to-https-리디렉션 체크

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

api-gw-cache-enabled-그리고 암호화됩니다.

저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터가 캡처될 수 있으므로 저장 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

backup-recovery-point-encrypted

AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 AWS 권장되는 보안 모범 사례를 확실히 사용할 수 있도록 합니다. AWS CloudTrail 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

cmk-backing-key-rotation-활성화됨

키 로테이션을 활성화하여 암호화 기간이 종료된 후 키가 교체되도록 하세요.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

ec2- ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

efs-encrypted-check

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

kms-cmk-not-scheduled-삭제 목적

저장된 데이터를 보호하려면 필요한 고객 마스터 키 (CMK) 가 KMS ( AWS 키 관리 서비스) 에서 삭제되도록 예약되지 않도록 하십시오.AWS 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

opensearch-https-required

민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

rds-storage-encrypted

저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

redshift-cluster-kms-enabled

저장된 데이터를 보호하려면 Amazon Redshift 클러스터에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

s3- 지원 bucket-server-side-encryption

저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

s3- bucket-ssl-requests-only

전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

s3- default-encryption-kms

Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

sagemaker-endpoint-configuration-kms-키 구성

저장된 데이터를 보호하려면 엔드포인트에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

sagemaker-notebook-instance-kms-키 구성

저장된 데이터를 보호하려면 노트북에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

secretsmanager-using-cmk

저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.18 금융 기관은 정보의 기밀성, 무결성, 인증, 권한 부여, 부인 방지를 보호하기 위해 사용되는 기술과 관련된 암호화 제어를 실사하고 평가해야 합니다. 자체 암호화 키를 생성하지 않는 금융 기관은 암호화 키를 관리할 수 있는 강력한 제어 및 프로세스를 마련하기 위한 적절한 조치를 취해야 합니다. 제3자의 평가에 의존하는 것이 여기에 포함되는 경우, 금융 기관은 그러한 의존도가 금융 기관의 위험 수용 범위 및 허용 범위와 일치하는지 여부를 고려해야 합니다. 금융 기관은 암호화 제어를 지원하는 데 필요한 시스템 리소스와 암호화된 데이터의 네트워크 트래픽 가시성이 저하될 위험도 충분히 고려해야 합니다.

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.20 금융 기관은 위험 수준에 따라 인증 기관에서 발급한 인증서에 퍼블릭 암호화 키를 저장해야 합니다. 고객과 관련된 이러한 인증서는 공인 인증 기관에서 발급해야 합니다. 금융 기관은 이러한 인증서를 사용한 인증 및 서명 프로토콜의 구현을 강력히 보호함으로써 사용자 인증서에 해당하는 개인 암호화 키의 사용이 법적 구속력을 갖고 반박할 수 없도록 해야 합니다. 이러한 인증서의 최초 발급 및 후속 갱신은 업계 모범 사례 및 관련 법률/규제 사양에 부합해야 합니다.

acm-certificate-expiration-check

ACM에서 X509 인증서를 발급하도록 하여 네트워크 무결성을 보호하십시오. AWS 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 daysToExpiration (AWS 기본 보안 모범 사례 값: 90) 의 값이 필요합니다. 실제 값은 조직의 정책을 반영해야 합니다.
10.20 금융 기관은 위험 수준에 따라 인증 기관에서 발급한 인증서에 퍼블릭 암호화 키를 저장해야 합니다. 고객과 관련된 이러한 인증서는 공인 인증 기관에서 발급해야 합니다. 금융 기관은 이러한 인증서를 사용한 인증 및 서명 프로토콜의 구현을 강력히 보호함으로써 사용자 인증서에 해당하는 개인 암호화 키의 사용이 법적 구속력을 갖고 반박할 수 없도록 해야 합니다. 이러한 인증서의 최초 발급 및 후속 갱신은 업계 모범 사례 및 관련 법률/규제 사양에 부합해야 합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

autoscaling-group-elb-healthcheck-필수적

Amazon Elastic Compute Cloud(Amazon EC2) Auto Scaling 그룹의 Elastic Load Balancer(ELB) 상태 확인은 적절한 용량과 가용성의 유지 관리를 지원합니다. 로드 밸런서가 정기적으로 ping을 전송하거나, 연결을 시도하거나, 요청을 전송하여 Auto Scaling 그룹의 Amazon EC2 인스턴스 상태를 테스트합니다. 인스턴스가 다시 보고하지 않는 경우 트래픽은 새 Amazon EC2 인스턴스로 전송됩니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

beanstalk-enhanced-health-reporting-활성화됨

AWS Elastic Beanstalk의 향상된 상태 보고 기능을 사용하면 기본 인프라의 상태 변화에 보다 신속하게 대응할 수 있습니다. 이러한 변경으로 인해 애플리케이션 가용성이 떨어질 수 있습니다. Elastic Beanstalk 향상된 상태 보고는 식별된 문제의 심각도를 판단하고 조사할 가능한 원인을 식별할 수 있는 상태 설명자를 제공합니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

cloudwatch-alarm-action-check

Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

cloud-trail-cloud-watch-로그 활성화됨

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

dynamodb-throughput-limit-check

Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하세요. 이는 각 테이블에서 지원할 수 있는 읽기 및 쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 AccountRCU (ThresholdPercentage 구성 기본값: 80) 및 AccountWCU (ThresholdPercentage 구성 기본값: 80) 매개변수를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

ec2- instance-detailed-monitoring-enabled

이 규칙을 활성화하면 Amazon EC2 콘솔에서 인스턴스에 대한 1분 모니터링 그래프를 표시하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선하는 데 도움이 됩니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

lambda-concurrency-check

이 규칙은 Lambda 함수의 동시성 상한 및 하한이 설정되도록 합니다. 이는 특정 시점에 함수가 처리하는 요청 수에 대한 기준 설정에 도움이 될 수 있습니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
10.27 금융 기관은 주요 프로세스 및 서비스의 용량 사용률과 성능을 추적하는 실시간 모니터링 메커니즘을 구축해야 합니다. 이러한 모니터링 메커니즘은 관리자에게 시기적절하고 실행 가능한 알림을 제공할 수 있어야 합니다.

rds-enhanced-monitoring-enabled

Amazon Relational Database Service(RDS)를 활성화함으로써 Amazon RDS 가용성을 모니터링하는 데 도움이 됩니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 자세히 파악할 수 있습니다. Amazon RDS 스토리지가 두 개 이상의 기본 물리적 디바이스를 사용하는 경우, 향상된 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행되는 경우, 보조 호스트의 각 디바이스에 대한 데이터와 보조 호스트 지표가 수집됩니다.
10.34 금융 기관은 잠재적 네트워크 장애 및 사이버 위협으로부터 중요 시스템을 보호하기 위해 중요 시스템의 네트워크 서비스가 안정적이고 SPOF가 없는지 확인해야 합니다.

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing이 삭제 방지 기능을 사용하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
10.34 금융 기관은 잠재적 네트워크 장애 및 사이버 위협으로부터 중요 시스템을 보호하기 위해 중요 시스템의 네트워크 서비스가 안정적이고 SPOF가 없는지 확인해야 합니다.

vpc-vpn-2-tunnels-up

중복되는 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 달성할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우를 대비하고 계속적인 연결을 보장합니다. 고객 게이트웨이를 사용할 수 없을 때 연결이 끊어지지 않도록, 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud(VPC)와 가상 프라이빗 게이트웨이에 대한 두 번째 Site-to-Site VPN 연결을 설정할 수 있습니다.
10.35 금융 기관은 실시간 네트워크 대역폭 모니터링 프로세스와 이에 상응하는 네트워크 서비스 복원력 지표를 수립하여 대역폭 과다 사용과 대역폭 혼잡 및 네트워크 장애로 인한 시스템 장애에 플래그를 지정해야 합니다. 여기에는 추세와 이상 현상을 탐지하기 위한 트래픽 분석이 포함됩니다.

api-gw-xray-enabled

AWS X-Ray는 애플리케이션이 처리하는 요청에 대한 데이터를 수집하고, 해당 데이터를 보고, 필터링하고, 통찰력을 확보하여 최적화를 위한 문제와 기회를 식별하는 데 사용할 수 있는 도구를 제공합니다. 요청 및 응답뿐만 아니라 애플리케이션이 다운스트림 AWS 리소스, 마이크로서비스, 데이터베이스 및 HTTP 웹 API에 대해 수행하는 호출에 대한 세부 정보도 볼 수 있도록 X-Ray가 활성화되었는지 확인하십시오.
10.35 금융 기관은 실시간 네트워크 대역폭 모니터링 프로세스와 이에 상응하는 네트워크 서비스 복원력 지표를 수립하여 대역폭 과다 사용과 대역폭 혼잡 및 네트워크 장애로 인한 시스템 장애에 플래그를 지정해야 합니다. 여기에는 추세와 이상 현상을 탐지하기 위한 트래픽 분석이 포함됩니다.

cloudwatch-alarm-action-check

Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다.
10.35 금융 기관은 실시간 네트워크 대역폭 모니터링 프로세스와 이에 상응하는 네트워크 서비스 복원력 지표를 수립하여 대역폭 과다 사용과 대역폭 혼잡 및 네트워크 장애로 인한 시스템 장애에 플래그를 지정해야 합니다. 여기에는 추세와 이상 현상을 탐지하기 위한 트래픽 분석이 포함됩니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
10.35 금융 기관은 실시간 네트워크 대역폭 모니터링 프로세스와 이에 상응하는 네트워크 서비스 복원력 지표를 수립하여 대역폭 과다 사용과 대역폭 혼잡 및 네트워크 장애로 인한 시스템 장애에 플래그를 지정해야 합니다. 여기에는 추세와 이상 현상을 탐지하기 위한 트래픽 분석이 포함됩니다.

vpc-flow-logs-enabled

VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
10.36 금융 기관의 중요 시스템을 지원하는 네트워크 서비스는 데이터의 기밀성, 무결성, 가용성을 보장하도록 설계되고 구현되어야 합니다.

alb-http-to-https-리디렉션 체크

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.36 금융 기관의 중요 시스템을 지원하는 네트워크 서비스는 데이터의 기밀성, 무결성, 가용성을 보장하도록 설계되고 구현되어야 합니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
10.36 금융 기관의 중요 시스템을 지원하는 네트워크 서비스는 데이터의 기밀성, 무결성, 가용성을 보장하도록 설계되고 구현되어야 합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다.
10.36 금융 기관의 중요 시스템을 지원하는 네트워크 서비스는 데이터의 기밀성, 무결성, 가용성을 보장하도록 설계되고 구현되어야 합니다.

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing이 삭제 방지 기능을 사용하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
10.36 금융 기관의 중요 시스템을 지원하는 네트워크 서비스는 데이터의 기밀성, 무결성, 가용성을 보장하도록 설계되고 구현되어야 합니다.

nlb-cross-zone-load-밸런싱 활성화

Network Load Balancer(NLB)의 영역 간 로드 밸런싱 활성화는 적절한 용량 및 가용성 유지에 도움이 됩니다. 영역 간 로드 밸런싱을 사용하면 활성화된 각 가용성 영역에서 동일한 수의 인스턴스를 유지해야 할 필요성이 줄어듭니다. 또한 애플리케이션이 보다 효과적으로 하나 이상의 인스턴스 손실을 처리할 수 있습니다.
10.38 금융 기관은 조사 및 포렌식 목적으로 충분하고 관련성이 높은 네트워크 디바이스 로그를 최소 3년 동안 유지해야 합니다.

cw-loggroup-retention-period-체크

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

access-keys-rotated

조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

account-part-of-organizations

AWS Organizations AWS 계정 내의 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

alb-http-to-https-리디렉션 체크

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

api-gw-cache-enabled-그리고 암호화되었습니다

저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터가 캡처될 수 있으므로 저장 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

autoscaling-launch-config-public-ip-비활성화됨

퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2 리소스에는 공개적으로 액세스할 수 없어야 합니다. 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

backup-recovery-point-encrypted

AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용하는 데 도움이 됩니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

cmk-backing-key-rotation-활성화됨

키 로테이션을 활성화하여 암호화 기간이 종료된 후 키가 교체되도록 하세요.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

dms-replication-not-public

DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

ebs-snapshot-public-restorable-체크

EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

ec2- ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

ec2- instance-no-public-ip

Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

efs-encrypted-check

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

emr-kerberos-enabled

Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버는 키 배포 센터(KDC)로 알려져 있습니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

emr-master-no-public-ip

Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-customer-policy-blocked-kms-액션

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 파라미터를 설정할 수 있습니다. blockedActionsPatterns (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-no-inline-policy-체크

AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-root-access-key-체크

루트 사용자의 AWS Identity 및 Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-user-group-membership-체크

AWS Identity 및 Access Management (IAM) 를 사용하면 IAM 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-user-mfa-enabled

이 규칙을 활성화하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-user-no-policies-체크

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

iam-user-unused-credentials-체크

AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

internet-gateway-authorized-vpc전용

인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

kms-cmk-not-scheduled-삭제를 위해

저장된 데이터를 보호하려면 필요한 고객 마스터 키 (CMK) 가 KMS ( AWS 키 관리 서비스) 에서 삭제되도록 예약되지 않도록 하십시오.AWS 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

lambda-function-public-access- 금지됨

AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

lambda-inside-vpc

Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

no-unrestricted-route-to-igw

Amazon EC2 라우팅 테이블에는 인터넷 게이트웨이에 대한 무제한 경로가 없어야 합니다. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

opensearch-https-required

민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

opensearch-in-vpc-only

Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

rds-instance-public-access-체크

Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

rds-snapshots-public-prohibited

Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

rds-storage-encrypted

저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

redshift-cluster-kms-enabled

저장된 데이터를 보호하려면 Amazon Redshift 클러스터에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

redshift-cluster-public-access-체크

Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

redshift-enhanced-vpc-routing-활성화됨

향상된 VPC 라우팅은 클러스터와 데이터 리포지토리 간의 모든 COPY 및 UNLOAD 트래픽이 Amazon VPC를 통과하도록 강제합니다. 그런 다음, 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크 트래픽을 보호할 수 있습니다. VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수도 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

root-account-hardware-mfa-활성화됨

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- 블록 - account-level-public-access 주기적

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- bucket-public-read-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- bucket-public-write-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- 활성화됨 bucket-server-side-encryption

저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- bucket-ssl-requests-only

전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

s3- default-encryption-kms

Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

sagemaker-endpoint-configuration-kms-키 구성

저장된 데이터를 보호하려면 엔드포인트에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

sagemaker-notebook-instance-kms-키 구성

저장된 데이터를 보호하려면 노트북에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

sagemaker-notebook-no-direct-인터넷 액세스

Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

ssm-document-not-public

AWS Systems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 퍼블릭 SSM 문서를 통해 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다.
10.51 금융 기관은 클라우드 서비스를 사용할 때 고객 및 거래 상대방 정보와 독점 데이터에 대한 적절한 보호 조치를 구현하여 무단 공개 및 액세스를 방지해야 합니다. 여기에는 관련 암호화 키 관리를 비롯하여 클라우드에 호스팅되는 고객 및 거래 상대방 정보, 독점 데이터, 서비스와 관련된 모든 데이터의 소유권, 제어, 관리를 유지하는 것이 포함됩니다.

subnet-auto-assign-public-ip-비활성화됨

Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

access-keys-rotated

조직 정책에 명시된 대로 IAM 액세스 키를 교체하여 인증된 장치, 사용자 및 프로세스에 대한 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

account-part-of-organizations

AWS Organizations AWS 계정 내의 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

ec2- instance-profile-attached

EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

emr-kerberos-enabled

Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버는 키 배포 센터(KDC)로 알려져 있습니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 파라미터를 설정할 수 있습니다. blockedActionsPatterns (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-no-inline-policy-체크

AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-root-access-key-체크

루트 사용자의 AWS Identity 및 Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-user-group-membership-체크

AWS Identity 및 Access Management (IAM) 를 사용하면 IAM 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-user-mfa-enabled

이 규칙을 활성화하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-user-no-policies-체크

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

iam-user-unused-credentials-체크

AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

root-account-hardware-mfa-활성화됨

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.52 금융 기관은 사용자 (제3자 서비스 제공자와 같은 내부 및 외부 사용자) 의 식별, 인증 및 권한 부여를 위한 적절한 액세스 제어 정책을 구현해야 합니다. 이 액세스 제어 정책은 기술 시스템에 대한 무단 액세스 위험 수준에 상응하는 논리적 액세스 제어와 물리적 기술 액세스 제어를 모두 해결해야 합니다.

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.53(b)(h)(i) 10.52항을 준수하면서 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 권한만 부여하는 need-to-have '기준' 사용, (h) 여러 사용자 간의 사용자 ID 및 암호 공유를 제한 및 통제하고, (i) 개인 식별을 강화하기 위해 일반 사용자 ID 명명 규칙의 사용을 통제해야 합니다. 가능한 ID.

iam-root-access-key-체크

루트 사용자의 AWS Identity 및 Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
10.53(b) 10.52항을 준수할 때 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 권한만 부여하는 need-to-have '” 기준에 따라 사용해야 합니다.

ec2- instance-profile-attached

EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
10.53(b) 10.52항을 준수하면서 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) '최소 권한' 액세스 권한을 사용하거나 'need-to-have' 기준으로 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 권한만 부여합니다.

emr-kerberos-enabled

Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 업무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버는 키 배포 센터(KDC)로 알려져 있습니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다.
10.53(b) 10.52항을 준수하면서 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 권한만 부여하는 need-to-have '기준' 접근 권한을 사용해야 합니다.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 파라미터를 설정할 수 있습니다. blockedActionsPatterns (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
10.53(b) 10.52항을 준수할 때 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 충분한 권한만 need-to-have '” 기준으로 부여합니다.

iam-no-inline-policy-확인

AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다.
10.53(b) 10.52항을 준수할 때 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나, 합법적인 사용자에게 역할 수행에 필요한 최소한의 권한만 부여하는 need-to-have '” 기준에 따라 사용해야 합니다.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.53(b) 10.52항을 준수하면서 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 권한만 부여하는 need-to-have '기준' 접근 권한을 사용해야 합니다.

iam-user-group-membership-확인

AWS Identity 및 Access Management (IAM) 를 사용하면 IAM 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.53(b) 10.52항을 준수할 때 금융 기관은 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (b) “최소 권한” 액세스 권한을 사용하거나 합법적인 사용자에게 역할을 수행할 수 있는 최소한의 충분한 권한만 부여하는 need-to-have '” 기준에 따라 사용해야 합니다.

iam-user-no-policies-확인

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
10.53(c)(f) 금융 기관은 10.52항을 준수할 때 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (c) 서비스 제공자에게 부여된 액세스 권한을 포함하여 특정 기간으로 액세스를 제한하는 시간 제한 액세스 권한을 사용하고, (f) 원격 액세스를 포함한 중요한 활동에 대해서는 더 강력한 인증을 채택합니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이는 NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
10.53(f)(h) 금융 기관은 10.52항을 준수할 때 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (f) 원격 액세스를 포함한 중요한 활동에 대해서는 더 강력한 인증을 채택하고, (h) 여러 사용자의 사용자 ID 및 암호 공유를 제한 및 제어합니다.

iam-user-mfa-enabled

이 규칙을 활성화하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
10.53(f)(h) 금융 기관은 10.54항을 준수할 때 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (f) 원격 액세스를 포함한 중요한 활동에 대해서는 더 강력한 인증을 채택하고, (h) 여러 사용자의 사용자 ID 및 암호 공유를 제한 및 제어합니다.

root-account-hardware-mfa-활성화됨

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.53(f)(h) 금융 기관은 10.54항을 준수할 때 액세스 제어 정책에서 다음 원칙을 고려해야 합니다. (f) 원격 액세스를 포함한 중요한 활동에 대해서는 더 강력한 인증을 채택하고, (h) 여러 사용자의 사용자 ID 및 암호 공유를 제한 및 제어합니다.

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.54 금융 기관은 강력한 인증 프로세스를 사용하여 사용 중인 자격 증명의 신뢰성을 보장해야 합니다. 인증 메커니즘은 기능의 중요도에 비례해야 하며 이 세 가지 기본 인증 요소 중 하나 이상을 채택해야 합니다. 즉, 사용자가 알고 있는 것 (예: 암호, PIN), 사용자가 가지고 있는 것 (예: 스마트 카드, 보안 장치), 사용자가 가지고 있는 것 (예: 지문 또는 망막 패턴).

iam-user-mfa-enabled

이 규칙을 사용하면 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. AWS 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
10.54 금융 기관은 강력한 인증 프로세스를 사용하여 사용 중인 자격 증명의 신뢰성을 보장해야 합니다. 인증 메커니즘은 기능의 중요도에 비례해야 하며 이 세 가지 기본 인증 요소 중 하나 이상을 채택해야 합니다. 즉, 사용자가 알고 있는 것 (예: 암호, PIN), 사용자가 가지고 있는 것 (예: 스마트 카드, 보안 장치) 및 사용자가 가지고 있는 것 (예: 지문 또는 망막 패턴).

root-account-hardware-mfa-지원

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.54 금융 기관은 강력한 인증 프로세스를 사용하여 사용 중인 자격 증명의 신뢰성을 보장해야 합니다. 인증 메커니즘은 기능의 중요도에 비례해야 하며 이 세 가지 기본 인증 요소 중 하나 이상을 채택해야 합니다. 즉, 사용자가 알고 있는 것 (예: 암호, PIN), 사용자가 가지고 있는 것 (예: 스마트 카드, 보안 장치), 사용자가 가지고 있는 것 (예: 지문 또는 망막 패턴).

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.55 금융 기관은 진화하는 공격에 대한 복원력을 강화하기 위해 암호 관행을 정기적으로 검토 및 조정해야 합니다. 여기에는 효과적이고 안전한 암호 생성이 포함됩니다. 생성된 암호가 강력한지 확인할 수 있는 적절한 제어 기능이 있어야 합니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
10.56 둘 이상의 요소에 의존하는 인증 방법은 일반적으로 단일 요소 시스템보다 손상시키기가 더 어렵습니다. 이러한 점을 고려할 때 금융 기관은 특히 고위험 시스템이나 'Single Sign-On' 시스템에서 보다 신뢰할 수 있고 강력한 사기 방지 기능을 제공하는 다중 인증(MFA)을 적절하게 설계하고 구현하는 것이 좋습니다.

iam-user-mfa-enabled

이 규칙을 활성화하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
10.56 둘 이상의 요소에 의존하는 인증 방법은 일반적으로 단일 요소 시스템보다 손상시키기가 더 어렵습니다. 이러한 점을 고려할 때 금융 기관은 특히 고위험 시스템이나 'Single Sign-On' 시스템에서 보다 신뢰할 수 있고 강력한 사기 방지 기능을 제공하는 다중 인증(MFA)을 적절하게 설계하고 구현하는 것이 좋습니다.

root-account-hardware-mfa-활성화됨

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.56 둘 이상의 요소에 의존하는 인증 방법은 일반적으로 단일 요소 시스템보다 손상시키기가 더 어렵습니다. 이러한 점을 고려할 때 금융 기관은 특히 고위험 시스템이나 'Single Sign-On' 시스템에서 보다 신뢰할 수 있고 강력한 사기 방지 기능을 제공하는 다중 인증(MFA)을 적절하게 설계하고 구현하는 것이 좋습니다.

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

access-keys-rotated

조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

account-part-of-organizations

AWS Organizations AWS 계정 내의 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

api-gw-execution-logging-활성화됨

API Gateway 로깅에는 API에 액세스한 사용자 및 액세스 방식에 관한 세부 정보 보기가 표시됩니다. 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 AWS 계정 정보에는 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간이 포함됩니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용하는 데 도움이 됩니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

cloud-trail-cloud-watch-로그 활성화됨

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

cw-loggroup-retention-period-체크

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

ec2- instance-profile-attached

EC2 인스턴스 프로파일은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-customer-policy-blocked-kms-액션

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 파라미터를 설정할 수 있습니다. blockedActionsPatterns (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-root-access-key-체크

루트 사용자의 AWS Identity 및 Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-user-group-membership-체크

AWS Identity 및 Access Management (IAM) 를 사용하면 IAM 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

iam-user-no-policies-체크

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

rds-logging-enabled

환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
10.59 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 액세스 제어를 효과적으로 관리 및 모니터링하고, (b) 감사 및 조사를 위해 중요 시스템에서의 사용자 활동을 기록해야 합니다. 활동 로그는 최소 3년 동안 유지되어야 하며 시기적절하게 정기적으로 검토해야 합니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석된 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다.
10.60 10.59항에 따른 요구 사항을 충족하기 위해 대형 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 사용자 액세스를 효과적으로 관리 및 모니터링할 수 있는 자격 증명 액세스 관리 시스템을 구축하고, (b) 이상 현상을 플래그 지정하기 위한 자동화된 감사 도구를 배포해야 합니다.

cloud-trail-cloud-watch-로그 활성화됨

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
10.60 10.61항에 따른 요구 사항을 충족하기 위해 대형 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 사용자 액세스를 효과적으로 관리 및 모니터링할 수 있는 자격 증명 액세스 관리 시스템을 구축하고, (b) 이상 현상을 플래그 지정하기 위한 자동화된 감사 도구를 배포해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
10.60 10.61항에 따른 요구 사항을 충족하기 위해 대형 금융 기관은 (a) 엔터프라이즈 전체 시스템에 대한 사용자 액세스를 효과적으로 관리 및 모니터링할 수 있는 자격 증명 액세스 관리 시스템을 구축하고, (b) 이상 현상을 플래그 지정하기 위한 자동화된 감사 도구를 배포해야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
10.61 금융 기관은 중요 시스템이 알려진 보안 취약성 또는 end-of-life (EOL) 기술 시스템을 갖춘 오래된 시스템에서 실행되지 않도록 해야 합니다. 이와 관련하여 금융 기관은 식별된 기능, 즉 (a) 최신 패치 릴리스를 지속적으로 모니터링하고 적시에 구현하며, (b) 추가 개선 조치를 위해 EOL에 가까워지고 있는 중요 기술 시스템을 식별하는 기능에 책임을 명확히 할당해야 합니다.

ec2- -매니저 instance-managed-by-systems

Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다.
10.61 금융 기관은 중요 시스템이 알려진 보안 취약성 또는 end-of-life (EOL) 기술 시스템을 갖춘 오래된 시스템에서 실행되지 않도록 해야 합니다. 이와 관련하여 금융 기관은 식별된 기능, 즉 (a) 최신 패치 릴리스를 지속적으로 모니터링하고 적시에 구현하며, (b) 추가 개선 조치를 위해 EOL에 가까워지고 있는 중요 기술 시스템을 식별하는 기능에 책임을 명확히 할당해야 합니다.

ec2- 체크 managedinstance-association-compliance-status

AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다.
10.61 금융 기관은 중요 시스템이 알려진 보안 취약성 또는 end-of-life (EOL) 기술 시스템을 갖춘 오래된 시스템에서 실행되지 않도록 해야 합니다. 이와 관련하여 금융 기관은 식별된 기능, 즉 (a) 최신 패치 릴리스를 지속적으로 모니터링하고 적시에 구현하며, (b) 추가 개선 조치를 위해 EOL에 가까워지고 있는 중요 기술 시스템을 식별하는 기능에 책임을 명확히 할당해야 합니다.

ec2- 체크 managedinstance-patch-compliance-status

이 규칙을 활성화하면 Amazon Elastic Compute Cloud(Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다.
10.61 금융 기관은 중요 시스템이 알려진 보안 취약성 또는 end-of-life (EOL) 기술 시스템을 갖춘 오래된 시스템에서 실행되지 않도록 해야 합니다. 이와 관련하여 금융 기관은 식별된 기능, 즉 (a) 최신 패치 릴리스를 지속적으로 모니터링하고 적시에 구현하며, (b) 추가 개선 조치를 위해 EOL에 가까워지고 있는 중요 기술 시스템을 식별하는 기능에 책임을 명확히 할당해야 합니다.

elastic-beanstalk-managed-updates-지원

Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다.
10.61 금융 기관은 중요 시스템이 알려진 보안 취약성 또는 end-of-life (EOL) 기술 시스템을 갖춘 오래된 시스템에서 실행되지 않도록 해야 합니다. 이와 관련하여 금융 기관은 식별된 기능, 즉 (a) 최신 패치 릴리스를 지속적으로 모니터링하고 적시에 구현하며, (b) 추가 개선 조치를 위해 EOL에 가까워지고 있는 중요 기술 시스템을 식별하는 기능에 책임을 명확히 할당해야 합니다.

redshift-cluster-maintenancesettings-check

이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙을 설정하려면 를 설정해야 합니다. allowVersionUpgrade 기본값은 true입니다. 또한 선택적으로 기간 preferredMaintenanceWindow (기본값은 토: 16:00 -토: 16:30) 과 automatedSnapshotRetention 기간 (기본값은 1) 을 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

alb-http-to-https-리디렉션 체크

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

api-gw-cache-enabled-그리고 암호화됨

저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터가 캡처될 수 있으므로 저장 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

backup-recovery-point-encrypted

AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되어 있는지 확인하여 AWS 권장 보안 모범 사례를 사용할 AWS CloudTrail 수 있도록 합니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

ec2- ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

efs-encrypted-check

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

opensearch-https-required

민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

rds-storage-encrypted

저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

redshift-cluster-kms-enabled

저장된 데이터를 보호하려면 Amazon Redshift 클러스터에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

redshift-require-tls-ssl

Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

s3- 지원 bucket-server-side-encryption

저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

s3- bucket-ssl-requests-only

전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

sagemaker-endpoint-configuration-kms-키 구성

저장된 데이터를 보호하려면 엔드포인트에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

sagemaker-notebook-instance-kms-키 구성

저장된 데이터를 보호하려면 노트북에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

secretsmanager-using-cmk

저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(a) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (a) 고객과 거래 상대방 정보 및 거래의 기밀성과 무결성

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 디바이스에서 제공되는 서비스의 안정성을 보장해야 합니다.

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto AWS Scaling은 Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 따라서 테이블 또는 글로벌 보조 인덱스에 따라 할당된 읽기/쓰기 용량을 늘려 제한 없이 갑작스러운 트래픽 증가를 처리할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 디바이스에서 제공되는 서비스의 안정성을 보장해야 합니다.

ec2-stopped-instance

이 규칙을 활성화하면 조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일수를 초과하여 중지되었는지 확인하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 기본 구성을 쉽게 수행할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 장치를 통해 제공되는 서비스의 신뢰성을 보장해야 합니다.

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing이 삭제 방지 기능을 사용하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 장치를 통해 제공되는 서비스의 신뢰성을 보장해야 합니다.

nlb-cross-zone-load-밸런싱 지원

NetworkLoad 밸런서 (NLB) 에 대한 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 로드 밸런싱을 사용하면 활성화된 각 가용성 영역에서 동일한 수의 인스턴스를 유지해야 할 필요성이 줄어듭니다. 또한 애플리케이션이 보다 효과적으로 하나 이상의 인스턴스 손실을 처리할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 장치를 통해 제공되는 서비스의 신뢰성을 보장해야 합니다.

rds-instance-deletion-protection-활성화됨

Amazon Relational Database Service(RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하세요. 삭제 방지를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 장치를 통해 제공되는 서비스의 신뢰성을 보장해야 합니다.

rds-multi-az-support

Amazon Relational Database Service(RDS)의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성과 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역에 있는 대기 인스턴스에 데이터를 동기식으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우, Amazon RDS는 대기 인프라로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다.
10.64(b) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (b) 서비스 중단을 최소화하면서 채널 및 장치를 통해 제공되는 서비스의 신뢰성을 보장해야 합니다.

vpc-vpn-2-tunnels-up

중복되는 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 달성할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우를 대비하고 계속적인 연결을 보장합니다. 고객 게이트웨이를 사용할 수 없을 때 연결이 끊어지지 않도록, 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud(VPC)와 가상 프라이빗 게이트웨이에 대한 두 번째 Site-to-Site VPN 연결을 설정할 수 있습니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

api-gw-execution-logging-활성화됨

API Gateway 로깅에는 API에 액세스한 사용자 및 액세스 방식에 관한 세부 정보 보기가 표시됩니다. 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

autoscaling-group-elb-healthcheck-필수

Amazon Elastic Compute Cloud(Amazon EC2) Auto Scaling 그룹의 Elastic Load Balancer(ELB) 상태 확인은 적절한 용량과 가용성의 유지 관리를 지원합니다. 로드 밸런서가 정기적으로 ping을 전송하거나, 연결을 시도하거나, 요청을 전송하여 Auto Scaling 그룹의 Amazon EC2 인스턴스 상태를 테스트합니다. 인스턴스가 다시 보고하지 않는 경우 트래픽은 새 Amazon EC2 인스턴스로 전송됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 AWS 계정 정보에는 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간이 포함됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용할 수 있도록 도와줍니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

cloudwatch-alarm-action-check

Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

dynamodb-throughput-limit-check

Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하세요. 이는 각 테이블에서 지원할 수 있는 읽기 및 쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 AccountRCU (ThresholdPercentage 구성 기본값: 80) 및 AccountWCU (ThresholdPercentage 구성 기본값: 80) 매개변수를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

ec2- instance-detailed-monitoring-enabled

이 규칙을 활성화하면 Amazon EC2 콘솔에서 인스턴스에 대한 1분 모니터링 그래프를 표시하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선하는 데 도움이 됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

rds-enhanced-monitoring-enabled

Amazon Relational Database Service(RDS)를 활성화함으로써 Amazon RDS 가용성을 모니터링하는 데 도움이 됩니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 자세히 파악할 수 있습니다. Amazon RDS 스토리지가 두 개 이상의 기본 물리적 디바이스를 사용하는 경우, 향상된 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행되는 경우, 보조 호스트의 각 디바이스에 대한 데이터와 보조 호스트 지표가 수집됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

rds-logging-enabled

환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

vpc-flow-logs-enabled

VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
10.64(d) 금융 기관은 디지털 서비스를 제공할 때 다음을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (d) 충분한 감사 추적 및 변칙 거래 모니터링

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석된 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

aurora-resources-protected-by-백업 계획

데이터 백업 프로세스에 도움이 되도록 Amazon Aurora 리소스가 AWS Backup 플랜에 포함되어 있는지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

db-instance-backup-enabled

Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 전체 DB 인스턴스를 백업하여 DB 인스턴스의 스토리지 볼륨 스냅샷을 생성합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

dynamodb-pitr-enabled

이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구를 통해 지난 35일 동안의 테이블 연속 백업이 유지됩니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

dynamodb-resources-protected-by-백업 계획

데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 리소스가 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

ebs-optimized-instance

Amazon Elastic Block Store(Amazon EBS)의 최적화된 인스턴스는 Amazon EBS I/O 작업을 위한 추가 전용 용량을 제공합니다. 이 최적화는 Amazon EBS I/O 작업과 인스턴스의 기타 트래픽 간의 경합을 최소화하여 EBS 볼륨에 가장 효율적인 성능을 제공합니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

ebs-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 리소스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

ec2- -플랜 resources-protected-by-backup

데이터 백업 프로세스를 지원하려면 Amazon Elastic Compute Cloud (Amazon EC2) 리소스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

efs-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

elasticache-redis-cluster-automatic-백업 확인

자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 유지할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 장애가 발생할 경우 새로운 클러스터를 생성해 최신 백업에서 모든 데이터를 복원할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

rds-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 리소스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

redshift-backup-enabled

데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하세요. 클러스터에 자동 스냅샷이 사용되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 각 데이터 변경 노드에 대해 8시간마다 또는 5GB마다 또는 둘 중 먼저 발생하는 시점에 스냅샷을 생성합니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

s3- bucket-versioning-enabled

Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다.
10.64(e) 금융 기관은 디지털 서비스를 제공할 때 다음 사항을 보장하는 강력한 기술 보안 제어를 구현해야 합니다. (e) 인시던트 또는 서비스 중단 전에 복구 지점을 식별하고 되돌릴 수 있는 능력

s3- resources-protected-by-backup -플랜

데이터 백업 프로세스를 지원하려면 Amazon Simple Storage Service (S3) 버킷이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
11.7 금융 기관은 기술 인프라의 이상 활동을 지속적이고 사전 예방적으로 모니터링하고 적시에 탐지할 수 있도록 지원하는 효과적인 도구를 배포해야 합니다. 모니터링 범위는 지원 인프라를 포함한 모든 중요 시스템을 포함해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
11.7 금융 기관은 기술 인프라의 이상 활동을 지속적이고 사전 예방적으로 모니터링하고 적시에 탐지할 수 있도록 지원하는 효과적인 도구를 배포해야 합니다. 모니터링 범위는 지원 인프라를 포함한 모든 중요 시스템을 포함해야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
11.8 금융 기관은 사이버 보안 운영이 보안 통제의 잠재적 침해나 보안 태세 약화를 지속적으로 예방하고 탐지하도록 해야 합니다. 대형 금융 기관의 경우, 여기에는 모든 중요 시스템을 지원하는 외부 및 내부 네트워크 구성 요소에 대한 분기별 취약성 평가 수행이 포함되어야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
11.8 금융 기관은 사이버 보안 운영이 보안 통제의 잠재적 침해나 보안 태세 약화를 지속적으로 예방하고 탐지하도록 해야 합니다. 대형 금융 기관의 경우, 여기에는 모든 중요 시스템을 지원하는 외부 및 내부 네트워크 구성 요소에 대한 분기별 취약성 평가 수행이 포함되어야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
11.18(c)(f) SOC는 다음 기능을 수행할 수 있어야 합니다. (c) 취약성 관리, (f) 위협 인텔리전스 분석 및 운영과 침해 지표(IOC) 모니터링을 포함한 공격자 및 위협 탐지를 위한 상황 인식 제공. 여기에는 서명이 없고 파일이 없는 맬웨어를 탐지하고 엔드포인트 및 네트워크 계층을 포함하여 보안 위협이 될 수 있는 이상 징후를 식별하기 위한 고급 행동 분석이 포함됩니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
11.18(c)(f) SOC는 다음 기능을 수행할 수 있어야 합니다. (c) 취약성 관리, (f) 위협 인텔리전스 분석 및 운영과 침해 지표(IOC) 모니터링을 포함한 공격자 및 위협 탐지를 위한 상황 인식 제공. 여기에는 서명이 없고 파일이 없는 맬웨어를 탐지하고 엔드포인트 및 네트워크 계층을 포함하여 보안 위협이 될 수 있는 이상 징후를 식별하기 위한 고급 행동 분석이 포함됩니다.

guardduty-non-archived-findings

GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다.
11.18(c)(f) SOC는 다음 기능을 수행할 수 있어야 합니다. (c) 취약성 관리, (f) 위협 인텔리전스 분석 및 운영과 침해 지표(IOC) 모니터링을 포함한 공격자 및 위협 탐지를 위한 상황 인식 제공. 여기에는 서명이 없고 파일이 없는 맬웨어를 탐지하고 엔드포인트 및 네트워크 계층을 포함하여 보안 위협이 될 수 있는 이상 징후를 식별하기 위한 고급 행동 분석이 포함됩니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
부록 5.1 모든 보안 디바이스의 구성 및 규칙 설정을 정기적으로 검토하세요. 자동화된 도구를 사용하여 구성 및 규칙 설정의 변경 사항을 검토하고 모니터링할 수 있습니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
부록 5.1 모든 보안 디바이스의 구성 및 규칙 설정을 정기적으로 검토하세요. 자동화된 도구를 사용하여 구성 및 규칙 설정의 변경 사항을 검토하고 모니터링할 수 있습니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 가상 사설망 (VPN) IPsec과 같은 보안 터널 사용

alb-http-to-https-리디렉션 검사

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 VPN (가상 사설망) IPsec과 같은 보안 터널 사용

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 VPN (가상 사설망) IPsec과 같은 보안 터널 사용

opensearch-https-required

민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다.
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 VPN (가상 사설망) IPsec과 같은 보안 터널 사용

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 VPN (가상 사설망) IPsec과 같은 보안 터널 사용

redshift-require-tls-ssl

Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.5(b) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (b) 전송 계층 보안 (TLS) 및 VPN (가상 사설망) IPsec과 같은 보안 터널 사용

s3- bucket-ssl-requests-only

전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.5(c) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (c) 방화벽, IPS 및 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 스테이징 서버 배포.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
부록 5.5(c) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (c) 방화벽, IPS 및 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 스테이징 서버 배포.

vpc-default-security-group-폐쇄

Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS
부록 5.5(c) server-to-server 외부 네트워크 연결에 대한 보안 제어에는 다음이 포함되는지 확인하십시오. (c) 방화벽, IPS 및 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 스테이징 서버 배포.

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

alb-http-to-https-리디렉션 검사

전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하세요.
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

opensearch-https-required

민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다.
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

vpc-default-security-group-닫혔습니다.

Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS
부록 5.6 서버 원격 액세스 보안 제어에 다음이 포함되어야 합니다. (a) 보안이 강화되고 잠긴 엔드포인트 디바이스로만 액세스 제한, (b) TLS 및 VPN IPSec과 같은 보안 터널 사용, (c) 방화벽, IPS, 바이러스 백신과 같은 적절한 경계 방어 및 보호 기능을 갖춘 '게이트웨이' 서버 배포, (d) 원격 액세스가 만료되면 즉시 관련 포트 닫기.

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
부록 10 파트 B - 1 (a) 금융 기관은 강력한 클라우드 아키텍처를 설계하고 해당 설계가 의도한 애플리케이션의 관련 국제 표준을 준수하는지 확인해야 합니다.

account-part-of-organizations

AWS Organizations AWS 계정 내의 중앙 집중식 관리는 계정이 규정을 준수하도록 하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
부록 10 파트 B - 1 (b) 금융 기관은 제로 트러스트 원칙을 채택하여 사이버 복원력이 뛰어난 아키텍처를 제공하기 위해 “보안 침해 가정” 사고 방식을 채택하고, 마이크로 세분화, ““, “최소 권한” 액세스 권한을 계층화하고, 해당하는 경우 심층적인 검사와 defense-in-depth 지속적인 검증을 실시하는 것이 좋습니다. deny-by-default

alb-waf-enabled

Elastic Load Balancer (ELB) 에서 AWS WAF를 활성화하여 웹 애플리케이션을 보호해야 합니다. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다.
부록 10 파트 B - 1 (b) 금융 기관은 제로 트러스트 원칙을 채택하여 사이버 복원력이 뛰어난 아키텍처를 제공하기 위해 “보안 침해 가정” 사고 방식을 채택하고, 마이크로 세분화, ““““, “최소 권한” 액세스 권한을 계층화하고, 해당하는 경우 심층적인 검사와 defense-in-depth 지속적인 검증을 실시하는 것이 좋습니다. deny-by-default

subnet-auto-assign-public-ip-disabled

Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다.
부록 10 파트 B - 1 (b) 금융 기관은 제로 트러스트 원칙을 채택하여 사이버 복원력이 뛰어난 아키텍처를 제공하기 위해 “보안 침해 가정” 사고 방식을 채택하고, 마이크로 세분화, “““, “최소 권한” 액세스 권한을 계층화하고, 해당하는 경우 심층적인 검사와 defense-in-depth 지속적인 검증을 실시하는 것이 좋습니다. deny-by-default

vpc-default-security-group-폐쇄

Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS
부록 10 파트 B - 1 (b) 금융 기관은 제로 트러스트 원칙을 채택하여 사이버 복원력이 뛰어난 아키텍처를 제공하기 위해 “보안 침해 가정” 사고 방식을 채택하고, 마이크로 세분화, ““““““최소 권한” 액세스 권한을 계층화하고, 해당하는 경우 심층적인 검사와 defense-in-depth 지속적인 검증을 실시하는 것이 좋습니다. deny-by-default

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
부록 10 파트 B - 1 (c) 금융 기관은 클라우드 네트워크 환경의 복잡성을 관리할 때 세분화된 네트워크 보안 및 중앙 집중식 네트워크 제공을 관리하고 모니터링하기 위한 최신 네트워크 아키텍처 접근 방식과 적절한 네트워크 설계 개념 및 솔루션을 사용해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
부록 10 파트 B - 1 (c) 금융 기관은 클라우드 네트워크 환경의 복잡성을 관리할 때 세분화된 네트워크 보안 및 중앙 집중식 네트워크 제공을 관리하고 모니터링하기 위한 최신 네트워크 아키텍처 접근 방식과 적절한 네트워크 설계 개념 및 솔루션을 사용해야 합니다.

vpc-flow-logs-enabled

VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
부록 10 파트 B - 1 (d) 금융 기관은 물리적 서버, 애플리케이션 또는 데이터를 클라우드 플랫폼으로 마이그레이션하기 위해 안전하고 암호화된 통신 채널을 구축하고 활용해야 합니다.

dms-replication-not-public

DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
부록 10 파트 B - 1 (d) 금융 기관은 물리적 서버, 애플리케이션 또는 데이터를 클라우드 플랫폼으로 마이그레이션하기 위해 안전하고 암호화된 통신 채널을 구축하고 활용해야 합니다.

s3- bucket-ssl-requests-only

전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 1 (f) i) 외부 애플리케이션 서비스 제공자와의 상호 연결을 위한 금융 기관의 애플리케이션 프로그래밍 인터페이스(API) 사용이 늘어나면 새로운 서비스 제공의 효율성을 높일 수 있습니다. 그러나 이로 인해 사이버 공격 표면이 확대되고 잘못된 관리로 인해 정보 보안 인시던트의 영향이 증폭될 수 있습니다. 금융 기관은 다음을 비롯한 엄격한 관리 및 제어 메커니즘을 API에 적용해야 합니다. i) API는 단일 장애 지점의 위험을 피할 수 있도록 서비스 복원력을 고려하여 설계되고 적절한 액세스 제어를 통해 안전하게 구성되어야 합니다.

api-gwv2- authorization-type-configured

Amazon API Gateway v2 API 경로에 기본 백엔드 리소스에 대한 무단 액세스를 방지하도록 설정된 권한 부여 유형이 있어야 합니다.
부록 10 파트 B - 1 (f) ii) 외부 애플리케이션 서비스 제공자와의 상호 연결을 위한 금융 기관의 애플리케이션 프로그래밍 인터페이스(API) 사용이 늘어나면 새로운 서비스 제공의 효율성을 높일 수 있습니다. 그러나 이로 인해 사이버 공격 표면이 확대되고 잘못된 관리로 인해 정보 보안 인시던트의 영향이 증폭될 수 있습니다. 금융 기관은 다음을 비롯한 엄격한 관리 및 제어 메커니즘을 API에 적용해야 합니다. ii) 적절한 인시던트 대응 조치를 통해 사이버 공격에 맞서 API를 추적 및 모니터링하고 더 이상 사용하지 않을 때는 적시에 폐기해야 합니다.

api-gw-associated-with-와프

AWS WAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 ACL)) 를 구성할 수 있습니다. 악의적인 공격으로부터 보호하기 위해 Amazon API Gateway 스테이지가 WAF 웹 ACL과 연결되어 있도록 합니다.
부록 10 파트 B - 1 (f) ii) 외부 애플리케이션 서비스 제공자와의 상호 연결을 위한 금융 기관의 애플리케이션 프로그래밍 인터페이스(API) 사용이 늘어나면 새로운 서비스 제공의 효율성을 높일 수 있습니다. 그러나 이로 인해 사이버 공격 표면이 확대되고 잘못된 관리로 인해 정보 보안 인시던트의 영향이 증폭될 수 있습니다. 금융 기관은 다음을 비롯한 엄격한 관리 및 제어 메커니즘을 API에 적용해야 합니다. ii) 적절한 인시던트 대응 조치를 통해 사이버 공격에 맞서 API를 추적 및 모니터링하고 더 이상 사용하지 않을 때는 적시에 폐기해야 합니다.

api-gw-execution-logging-enabled

API Gateway 로깅에는 API에 액세스한 사용자 및 액세스 방식에 관한 세부 정보 보기가 표시됩니다. 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
부록 10 파트 B - 2 (b) ii) 금융 기관은 클라우드 서비스의 보안을 개선하기 위해 지속적으로 향상된 클라우드 기능을 활용해야 하며, 특히 금융 기관은 다음이 권장됩니다. ii) 서비스 배포 시 변경 불가능한 인프라 관행을 사용하고 안정적인 최신 소프트웨어 버전으로 새로운 환경을 생성하여 실패 위험을 줄입니다. 클라우드 환경에 대한 지속적인 모니터링에는 변경 불가능한 인프라의 변경 감지 자동화를 통한 규정 준수 검토 개선과 진화하는 사이버 공격 대응이 포함되어야 합니다.

cloudformation-stack-notification-check

기본 AWS 리소스의 의도하지 않은 변경을 감지하려면 Amazon SNS 주제에 이벤트 알림을 보내도록 CloudFormation 스택을 구성해야 합니다.
부록 10 파트 B - 3 (b) vi) 금융 기관은 가상 머신 및 컨테이너 이미지가 적절하게 구성, 강화 및 모니터링되도록 해야 합니다. 여기에는 다음이 포함됩니다. vi) 저장된 이미지는 무단 액세스 및 변경이 있는지 보안 모니터링을 받습니다.

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용할 수 있도록 도와줍니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

aurora-resources-protected-by-백업 계획

데이터 백업 프로세스에 도움이 되도록 Amazon Aurora 리소스가 AWS Backup 플랜에 포함되어 있는지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

dynamodb-resources-protected-by-백업 계획

데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 리소스가 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

ebs-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 리소스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

efs-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

rds-resources-protected-by-백업 계획

데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 리소스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (a) i) 효과적인 복구 역량의 일환으로 금융 기관은 클라우드 서비스를 포함하도록 기존 백업 및 복구 절차를 확장해야 합니다. 여기에는 다음이 포함됩니다. i) 클라우드 도입 계획 단계에서 백업 및 복구 전략을 정의하고 공식화

s3- -플랜 resources-protected-by-backup

데이터 백업 프로세스를 지원하려면 Amazon Simple Storage Service (S3) 버킷이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
부록 10 파트 B - 5 (b) 금융 기관은 백업 및 복원 절차를 정기적으로 테스트하여 복구 기능을 검증해야 합니다. 백업 절차의 빈도는 시스템의 중요도 및 시스템의 Recovery Point Object(RPO)에 상응해야 합니다. 금융 기관은 백업 실패 시 신속하게 수정 조치를 취해야 합니다.

backup-plan-min-frequency-and-min-retention-check

데이터 AWS 백업 프로세스에 도움이 되도록 Backup 계획이 최소 빈도 및 보존 기간으로 설정되어 있는지 확인하세요. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 이 규칙을 사용하면 (구성 기본값: 1), requiredFrequencyValue (구성 기본값: 35) 및 ( requiredRetentionDays requiredFrequencyUnit 구성 기본값: 일) 매개변수를 설정할 수 있습니다. 실제 값은 조직의 요구 사항을 반영해야 합니다.
부록 10 파트 B - 5 (c) i) 금융 기관은 다음을 포함하는 백업 구성 설정 (해당하는 경우 IaaS 및 PaaS용) 을 포함하여 가상 시스템 및 컨테이너의 충분한 백업 및 복구를 보장해야 합니다. i) 비즈니스 복구 목표에 지정된 point-in-time 대로 가상 시스템 및 컨테이너를 복원할 수 있는 기능을 보장해야 합니다.

backup-plan-min-frequency-and-min-retention-check

데이터 AWS 백업 프로세스에 도움이 되도록 Backup 계획이 최소 빈도 및 보존 기간으로 설정되어 있는지 확인하세요. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 이 규칙을 사용하면 (구성 기본값: 1), requiredFrequencyValue (구성 기본값: 35) 및 ( requiredRetentionDays requiredFrequencyUnit 구성 기본값: 일) 매개변수를 설정할 수 있습니다. 실제 값은 조직의 요구 사항을 반영해야 합니다.
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

autoscaling-multiple-az

고가용성을 보장하려면 오토 스케일링이 여러 가용 영역에 걸쳐 있도록 구성되어야 합니다.
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

elbv2-multiple-az

Elastic Load Balancing(ELB)은 하나의 가용 영역에서 EC2 인스턴스, 컨테이너, IP 주소 등 여러 대상에 걸쳐 수신되는 트래픽을 자동으로 분산합니다. 고가용성을 보장하려면 ELB에 여러 가용 영역의 인스턴스가 등록되어 있어야 합니다.
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

lambda-vpc-multi-az-check

AWS Lambda 함수가 계정의 가상 사설 클라우드 (VPC) 에 연결하도록 구성된 경우, 최소 두 개의 다른 가용 영역에 Lambda 함수를 배포하여 단일 영역에서 서비스가 중단되는 경우 함수를 사용하여 이벤트를 처리할 수 있도록 하십시오. AWS
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

nlb-cross-zone-load-밸런싱 지원

NetworkLoad 밸런서 (NLB) 에 대한 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 로드 밸런싱을 사용하면 활성화된 각 가용성 영역에서 동일한 수의 인스턴스를 유지해야 할 필요성이 줄어듭니다. 또한 애플리케이션이 보다 효과적으로 하나 이상의 인스턴스 손실을 처리할 수 있습니다.
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

rds-cluster-multi-az-활성화됨

Amazon Relational Database Service(RDS) 클러스터에는 저장된 데이터의 가용성을 지원하기 위해 다중 AZ 복제가 활성화되어 있어야 합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우, Amazon RDS는 대기 인프라로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다.
부록 10 파트 B - 5 (d) i) 금융 기관은 클라우드 서비스의 복원력 요구 사항을 평가하고 시스템의 중요도에 상응하는 적절한 조치를 식별하여 극도로 불리한 시나리오에서도 서비스 가용성을 보장해야 합니다. 금융 기관은 서비스 가용성을 보장하고 집중 위험을 완화하기 위해 위험 기반 접근법을 고려하고 적절한 완화 조치를 점진적으로 채택해야 합니다. 실행 가능한 옵션은 다음과 같습니다. i) 클라우드 서비스의 고가용성 및 이중화 기능을 활용하여 운영 데이터 센터가 다양한 가용 영역에서 중복 용량 확보

rds-multi-az-support

Amazon Relational Database Service(RDS)의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성과 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역에 있는 대기 인스턴스에 데이터를 동기식으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우, Amazon RDS는 대기 인프라로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

api-gw-cache-enabled-그리고 암호화됨

저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터가 캡처될 수 있으므로 저장 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

backup-recovery-point-encrypted

AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되어 있는지 확인하여 AWS 권장 보안 모범 사례를 사용할 AWS CloudTrail 수 있도록 합니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

ec2- ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

efs-encrypted-check

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

eks-secrets-encrypted

저장 데이터를 보호하려면 Kubernetes 보안 암호를 암호화하도록 Amazon Elastic Kubernetes Service(EKS) 클러스터가 구성되어야 합니다. 이러한 볼륨에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

redshift-cluster-kms-enabled

저장된 데이터를 보호하려면 Amazon Redshift 클러스터에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

s3- default-encryption-kms

Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

secretsmanager-using-cmk

저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (a) 금융 기관은 클라우드에 저장된 민감한 데이터의 기밀성과 무결성을 보호하기 위해 적절하고 관련성 있는 암호화 기술을 구현해야 합니다.

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
부록 10 파트 B - 8 (d) 클라우드 채택이 증가함에 따라 데이터 보호에 사용되는 많은 암호화 키를 관리하는 것이 더욱 복잡해졌으며 금융 기관에 새로운 과제가 생길 수 있습니다. 금융 기관은 안전하고 확장 가능한 방식으로 키 생성, 저장, 배포를 처리할 수 있는 중앙 집중식 키 관리 시스템의 사용을 포함하여 포괄적이고 중앙 집중화된 키 관리 접근 방식을 채택해야 합니다.

cmk-backing-key-rotation-활성화됨

키 로테이션을 활성화하여 암호화 기간이 종료된 후 키가 교체되도록 하세요.
부록 10 파트 B - 8 (d) 클라우드 채택이 증가함에 따라 데이터 보호에 사용되는 많은 암호화 키를 관리하는 것이 더욱 복잡해졌으며 금융 기관에 새로운 과제가 생길 수 있습니다. 금융 기관은 안전하고 확장 가능한 방식으로 키 생성, 저장, 배포를 처리할 수 있는 중앙 집중식 키 관리 시스템의 사용을 포함하여 포괄적이고 중앙 집중화된 키 관리 접근 방식을 채택해야 합니다.

kms-cmk-not-scheduled-삭제용

저장된 데이터를 보호하려면 필요한 고객 마스터 키 (CMK) 가 KMS ( AWS 키 관리 서비스) 에서 삭제되도록 예약되지 않도록 하십시오.AWS 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다.
부록 10 파트 B - 9 (a) ii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어를 보장해야 합니다. 여기에는 다음이 포함될 수 있습니다. ii) 강력한 암호, 소프트 토큰, 권한 있는 액세스 관리 도구 및 메이커 검사기 기능과 같은 “최소 권한”과 강력한 MFA (Multi-Factor Authentication) 를 구현합니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. AWS 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
부록 10 파트 B - 9 (a) ii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어를 보장해야 합니다. 여기에는 다음이 포함될 수 있습니다. ii) 강력한 암호, 소프트 토큰, 권한 있는 액세스 관리 도구 및 메이커 검사기 기능과 같은 “최소 권한”과 강력한 MFA (Multi-Factor Authentication) 를 구현합니다.

iam-user-mfa-enabled

이 규칙을 사용하면 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. AWS 이 규칙은 모든 IAM 사용자에 대해 다중 인증(MFA)을 활성화합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이세요.
부록 10 파트 B - 9 (a) ii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어를 보장해야 합니다. 여기에는 다음이 포함될 수 있습니다. ii) 강력한 암호, 소프트 토큰, 권한 있는 액세스 관리 도구 및 메이커 검사기 기능과 같은 “최소 권한”과 강력한 MFA (Multi-Factor Authentication) 를 구현합니다.

root-account-hardware-mfa-지원

루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
부록 10 파트 B - 9 (a) ii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어를 보장해야 합니다. 여기에는 다음이 포함될 수 있습니다. ii) 강력한 암호, 소프트 토큰, 권한 있는 액세스 관리 도구 및 메이커 검사기 기능과 같은 “최소 권한”과 강력한 MFA (Multi-Factor Authentication) 를 구현합니다.

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
부록 10 파트 B - 9 (a) iii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어 기능을 사용해야 합니다. 여기에는 다음이 포함될 수 있습니다. iii) 권한이 있는 사용자에게 세분화된 권한 할당 사용

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
부록 10 파트 B - 9 (a) iii) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어 기능을 사용해야 합니다. 여기에는 다음이 포함될 수 있습니다. iii) 권한이 있는 사용자에게 세분화된 권한 할당 사용

iam-user-no-policies-체크

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
부록 10 파트 B - 9 (a) iv) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어 기능을 사용해야 합니다. 여기에는 다음이 포함될 수 있습니다. iv) 권한이 있는 사용자가 수행하는 활동을 지속적으로 모니터링

cloudtrail-security-trail-enabled

이 규칙은 여러 설정이 활성화되었는지 확인하여 에 대한 AWS AWS CloudTrail 권장 보안 모범 사례를 확실히 사용할 수 있도록 합니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 AWS CloudTrail 지역에서의 활성화 등이 포함됩니다.
부록 10 파트 B - 9 (a) iv) 관리 영역은 원격 액세스가 기본적으로 지원되는 클라우드 컴퓨팅과 기존 인프라의 주요 보안 차이점입니다. 이 액세스 계층은 사이버 공격에 취약하여 전체 클라우드 배포의 무결성을 손상시킬 수 있습니다. 이를 고려하여 금융 기관은 관리 영역 액세스에 대한 강력한 제어 기능을 사용해야 합니다. 여기에는 다음이 포함될 수 있습니다. iv) 권한이 있는 사용자가 수행하는 활동을 지속적으로 모니터링

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
부록 10 파트 B - 12 (a) 금융 기관은 이 정책 문서의 데이터 손실 방지 섹션(11.14~11.16항)에서 요구하는 대로 클라우드 서비스에 호스팅되는 데이터를 보호해야 합니다. 여기에는 직원이 자신의 디바이스를 사용하여 민감한 데이터에 액세스하도록 허용하는 경우 엔드포인트 풋프린트 확장이 포함됩니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
부록 10 파트 B - 12 (a) 금융 기관은 이 정책 문서의 데이터 손실 방지 섹션(11.14~11.16항)에서 요구하는 대로 클라우드 서비스에 호스팅되는 데이터를 보호해야 합니다. 여기에는 직원이 자신의 디바이스를 사용하여 민감한 데이터에 액세스하도록 허용하는 경우 엔드포인트 풋프린트 확장이 포함됩니다.

macie-status-check

Amazon Macie는 기계 학습(ML)과 패턴 일치를 사용하여 Amazon Simple Storage Service(S3) 버킷에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 데이터 보안 서비스입니다.
부록 10 파트 B - 14 (c) i) 금융 기관은 CIRP 개발 과정에서 다음과 같은 추가 조치를 고려해야 합니다. i) 보안 침해 인시던트 탐지 능력을 강화하여 다크 웹에서의 데이터 유출 탐지 기능을 포함하여 효과적인 인시던트 관리 달성

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
부록 10 파트 B - 14 (c) i) 금융 기관은 CIRP 개발 과정에서 다음과 같은 추가 조치를 고려해야 합니다. i) 보안 침해 인시던트 탐지 능력을 강화하여 다크 웹에서의 데이터 유출 탐지 기능을 포함하여 효과적인 인시던트 관리 달성

guardduty-non-archived-findings

GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다.

템플릿

템플릿은 BNM RMit의 운영 모범 GitHub 사례에서 사용할 수 있습니다.