기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CIS AWS 재단의 운영 모범 사례 벤치마크 v1.4 레벨 1
적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 인터넷 보안 센터 (CIS) Amazon Web Services Foundation v1.4 레벨 1과 AWS 관리형 구성AWS Config 규칙/프로세스 검사 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 CIS Amazon Web Services Foundation v1.4 레벨 1 컨트롤과 관련이 있습니다. CIS Amazon Web Services Foundation v1.4 레벨 1 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
프로세스 확인에 관한 자세한 내용은 process-checks를 참조하세요.
제어 ID | 제어 설명 | AWS Config 규칙 | 지침 |
---|---|---|---|
1.1 | 현재 연락처 세부 정보 유지 | account-contact-details-configured (프로세스 확인) | AWS 계정의 연락처 이메일과 전화 번호가 최신 정보에 해당되며 조직 내 두 명 이상의 개인에게 매핑되는지 확인합니다. 콘솔의 내 계정 섹션에서 연락처 정보 섹션에 올바른 정보가 지정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.2 | 보안 연락처 정보가 등록되는지 확인 | account-security-contact-configured (프로세스 체크) | 조직 보안팀의 연락처 이메일과 전화번호가 최신 정보인지 확인합니다. AWS 관리 콘솔의 내 계정 섹션에서 보안 섹션에 올바른 정보가 지정되어 있는지 확인하십시오. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.4 | '루트' 사용자 액세스 키가 없는지 확인하세요. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요. | |
1.5 | '루트' 사용자에 대해 MFA가 활성화되었는지 확인 | 루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정 | |
1.7 | 관리 및 일상 작업에 '루트' 사용자를 사용하지 않아도 됩니다. | root-account-regular-use (프로세스 체크) | 일상적인 작업에 루트 계정을 사용하지 않도록 하세요. IAM 내에서 보안 인증 보고서를 실행하여 루트 사용자를 마지막으로 사용한 시기를 조사하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.8 | IAM 암호 정책에서 최소한 14자 이상을 요구하는지 확인 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
1.9 | IAM 암호 정책에서 암호 재사용 방지하는지 확인 | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
1.10 | 콘솔 암호가 있는 모든 사용자에 대해 다중 인증(MFA)이 활성화되었는지 확인 | 콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
1.11 | 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키를 설정해서는 안 됨 | iam-user-console-and- (프로세스 체크) api-access-at-creation | 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키가 설정되지 않았는지 확인합니다. 콘솔 액세스 권한이 있는 모든 사용자에 대해 사용자의 '생성 시간'을 액세스 키 '생성' 날짜와 비교하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.12 | 45일 이상 사용하지 않은 보안 인증이 비활성화되어 있는지 확인 | AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙에서는 값을 maxCredentialUsage Age (CIS 표준 값: 45) 로 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
1.13 | 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인 | iam- user-single-access-key (프로세스 체크) | 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인하세요. 모든 사용자에 대해서는 IAM 내 각 사용자에 대한 보안 자격 증명 탭 내에서 활성 키가 하나만 사용되는지 확인하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.14 | 90일 또는 그보다 짧은 주기마다 액세스 키가 교체되는지 확인 | 조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. | |
1.15 | 사용자가 그룹을 통해서만 권한을 받는지 확인 | AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. | |
1.16 | 전체 ‘*:*’ 관리자 권한을 허용하는 IAM 정책이 연결되지 않도록 되어 있는지 확인 | AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 사용자가 갖도록 허용하는 것은 최소 권한 및 업무 분리의 원칙에 위배될 수 있습니다. | |
1.17 | Support와 함께 인시던트를 관리할 AWS 지원 역할이 생성되었는지 확인하십시오. | AWS Identity and Access Management (IAM) 는 IAM 정책이 적절한 사용자, 역할 또는 그룹에 할당되도록 하여 액세스 권한 및 권한 부여를 관리하는 데 도움이 될 수 있습니다. 이러한 정책을 제한하는 것은 최소 권한 및 업무 분리의 원칙도 포함합니다. 이 규칙을 사용하려면 Support를 통한 인시던트 관리를 위해 PolicyARN을 arn:aws:iam: :aws:policy/로 설정해야 합니다. AWSSupportAccess AWS | |
1.19 | AWS IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인 | iam-expired-certificates (프로세스 체크) | IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인합니다. AWS CLI가 설치된 명령줄에서 'AWS iam list-server-certificates' 명령을 실행하고 만료된 서버 인증서가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
1.20 | AWS IAM 액세스 분석기가 활성화되어 있는지 확인 | iam-access-analyzer-enabled (프로세스 체크) | IAM Access Analyzer가 활성화되어 있는지 확인합니다. 콘솔의 IAM 섹션 내에서 Access Analyzer를 선택하고 상태가 활성으로 설정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
2.1.3 | S3 버킷에서 MFA 삭제가 활성화되어 있는지 확인 | Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 버전을 유지할 수 있습니다. S3 버킷에 다중 인증(MFA) 삭제를 추가할 때 버킷의 버전 상태를 변경하거나 객체 버전을 삭제하려면 추가 인증 요소가 필요합니다. 보안 자격 증명이 손상되거나 무단 액세스가 허용될 경우, MFA 삭제는 보안 계층을 한층 더 보강할 수 있습니다. | |
2.1.5 | S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
2.1.5 | S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인 | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
2.2.1 | EBS 볼륨 암호화가 활성화되어 있는지 확인 | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다. | |
2.2.1 | EBS 볼륨 암호화가 활성화되어 있는지 확인 | 저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
2.3.1 | RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요. | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
2.3.1 | RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요. | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
3.1 | 모든 지역에서 CloudTrail 활성화되어 있는지 확인하십시오. | AWS CloudTrail AWS 관리 콘솔 작업 및 API 호출을 기록합니다. 전화를 건 사용자 및 계정 AWS, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 모든 AWS 지역의 로그 파일을 S3 버킷으로 전송합니다. 또한 새 지역을 AWS 시작하면 새 지역에 동일한 트레일이 생성됩니다. CloudTrail 따라서 별도의 조치를 취하지 않아도 새 리전의 API 활동이 포함된 로그 파일을 받게 됩니다. | |
3.3 | CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
3.3 | CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
3.3 | CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
3.4 | CloudTrail 트레일이 로그와 통합되었는지 확인하십시오. CloudWatch | CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정 | |
3.6 | S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인하십시오. CloudTrail | Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다. | |
4.1 | 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-unauthorized-api-calls (프로세스 확인) | 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.2 | MFA 없는 Management Console 로그인에 대해 로그 지표 필터 및 경보가 존재하는지 확인 | 알람- sign-in-without-mfa (프로세스 체크) | 다중 인증(MFA)을 사용하지 않는 AWS Management Console 로그인에 대한 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.3 | '루트' 계정 사용에 대해 로그 지표 필터 및 경보가 존재하는지 확인 | alarm-root-account-use (프로세스 체크) | 루트 계정 사용에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.4 | IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-iam-policy-change (프로세스 체크) | IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.5 | CloudTrail구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인 | alarm-cloudtrail-config-change (프로세스 체크) | AWS CloudTrail 구성 변경에 대한 로그 메트릭 필터와 경보가 있는지 확인하십시오. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.8 | S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | 알람-s3- bucket-policy-change (프로세스 체크) | Amazon S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.12 | 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | 알람- vpc-network-gateway-change (프로세스 체크) | 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.13 | 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | 알람- vpc-route-table-change (프로세스 체크) | 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.14 | VPC 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-vpc-change (프로세스 체크) | Amazon Virtual Private Cloud(VPC) 변경에 대한 로그 지표 필터와 경보가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
4.15 | AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 | alarm-organizations-change (프로세스 체크) | AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. |
5.1 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 네트워크 ACL이 없는지 확인 | 원격 서버 관리 포트로의 공개 수신을 허용하는 네트워크 ACL이 없는지 확인합니다. 콘솔의 VPC 섹션 내에서 원격 서버 관리 포트를 포함해 허용하는 포트 또는 포트 범위가 있으면서 소스가 '0.0.0.0/0'인 네트워크 ACL이 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요. | |
5.2 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인 | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
5.2 | 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인 | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터(CIS 표준 값: 3389)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. |
템플릿
템플릿은 CIS AWS 재단의 운영 모범 사례 벤치마크 v1.4