CIS AWS 재단의 운영 모범 사례 벤치마크 v1.4 레벨 1 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

CIS AWS 재단의 운영 모범 사례 벤치마크 v1.4 레벨 1

적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.

다음은 인터넷 보안 센터 (CIS) Amazon Web Services Foundation v1.4 레벨 1과 AWS 관리형 구성AWS Config 규칙/프로세스 검사 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 CIS Amazon Web Services Foundation v1.4 레벨 1 컨트롤과 관련이 있습니다. CIS Amazon Web Services Foundation v1.4 레벨 1 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.

프로세스 확인에 관한 자세한 내용은 process-checks를 참조하세요.

제어 ID 제어 설명 AWS Config 규칙 지침
1.1 현재 연락처 세부 정보 유지 account-contact-details-configured (프로세스 확인) AWS 계정의 연락처 이메일과 전화 번호가 최신 정보에 해당되며 조직 내 두 명 이상의 개인에게 매핑되는지 확인합니다. 콘솔의 내 계정 섹션에서 연락처 정보 섹션에 올바른 정보가 지정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.2 보안 연락처 정보가 등록되는지 확인 account-security-contact-configured (프로세스 체크) 조직 보안팀의 연락처 이메일과 전화번호가 최신 정보인지 확인합니다. AWS 관리 콘솔의 내 계정 섹션에서 보안 섹션에 올바른 정보가 지정되어 있는지 확인하십시오. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.4 '루트' 사용자 액세스 키가 없는지 확인하세요.

iam-root-access-key-check

루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
1.5 '루트' 사용자에 대해 MFA가 활성화되었는지 확인

root-account-mfa-enabled

루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 권한이 가장 많은 AWS 계정사용자입니다. MFA를 통해 사용자 이름 및 암호에 보호 계층이 한 단계 더 추가됩니다. 루트 사용자에게 MFA를 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정
1.7 관리 및 일상 작업에 '루트' 사용자를 사용하지 않아도 됩니다. root-account-regular-use (프로세스 체크) 일상적인 작업에 루트 계정을 사용하지 않도록 하세요. IAM 내에서 보안 인증 보고서를 실행하여 루트 사용자를 마지막으로 사용한 시기를 조사하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.8 IAM 암호 정책에서 최소한 14자 이상을 요구하는지 확인

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
1.9 IAM 암호 정책에서 암호 재사용 방지하는지 확인

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
1.10 콘솔 암호가 있는 모든 사용자에 대해 다중 인증(MFA)이 활성화되었는지 확인

mfa-enabled-for-iam-console-access

콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
1.11 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키를 설정해서는 안 됨 iam-user-console-and- (프로세스 체크) api-access-at-creation 콘솔 암호가 있는 모든 사용자에 대해 초기 사용자 설정 중 액세스 키가 설정되지 않았는지 확인합니다. 콘솔 액세스 권한이 있는 모든 사용자에 대해 사용자의 '생성 시간'을 액세스 키 '생성' 날짜와 비교하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.12 45일 이상 사용하지 않은 보안 인증이 비활성화되어 있는지 확인

iam-user-unused-credentials-check

AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙에서는 값을 maxCredentialUsage Age (CIS 표준 값: 45) 로 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다.
1.13 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인 iam- user-single-access-key (프로세스 체크) 단일 사용자가 사용할 수 있는 활성 액세스 키가 단 하나뿐인지 확인하세요. 모든 사용자에 대해서는 IAM 내 각 사용자에 대한 보안 자격 증명 탭 내에서 활성 키가 하나만 사용되는지 확인하세요. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.14 90일 또는 그보다 짧은 주기마다 액세스 키가 교체되는지 확인

access-keys-rotated

조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
1.15 사용자가 그룹을 통해서만 권한을 받는지 확인

iam-user-no-policies-check

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
1.15 사용자가 그룹을 통해서만 권한을 받는지 확인

iam-no-inline-policy-check

AWS ID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다.
1.15 사용자가 그룹을 통해서만 권한을 받는지 확인

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
1.16 전체 ‘*:*’ 관리자 권한을 허용하는 IAM 정책이 연결되지 않도록 되어 있는지 확인

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 사용자가 갖도록 허용하는 것은 최소 권한 및 업무 분리의 원칙에 위배될 수 있습니다.
1.17 Support와 함께 인시던트를 관리할 AWS 지원 역할이 생성되었는지 확인하십시오.

iam-policy-in-use

AWS Identity and Access Management (IAM) 는 IAM 정책이 적절한 사용자, 역할 또는 그룹에 할당되도록 하여 액세스 권한 및 권한 부여를 관리하는 데 도움이 될 수 있습니다. 이러한 정책을 제한하는 것은 최소 권한 및 업무 분리의 원칙도 포함합니다. 이 규칙을 사용하려면 Support를 통한 인시던트 관리를 위해 PolicyARN을 arn:aws:iam: :aws:policy/로 설정해야 합니다. AWSSupportAccess AWS
1.19 AWS IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인 iam-expired-certificates (프로세스 체크) IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인합니다. AWS CLI가 설치된 명령줄에서 'AWS iam list-server-certificates' 명령을 실행하고 만료된 서버 인증서가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
1.20 AWS IAM 액세스 분석기가 활성화되어 있는지 확인 iam-access-analyzer-enabled (프로세스 체크) IAM Access Analyzer가 활성화되어 있는지 확인합니다. 콘솔의 IAM 섹션 내에서 Access Analyzer를 선택하고 상태가 활성으로 설정되어 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
2.1.3 S3 버킷에서 MFA 삭제가 활성화되어 있는지 확인

s3-bucket-versioning-enabled

Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 버전을 유지할 수 있습니다. S3 버킷에 다중 인증(MFA) 삭제를 추가할 때 버킷의 버전 상태를 변경하거나 객체 버전을 삭제하려면 추가 인증 요소가 필요합니다. 보안 자격 증명이 손상되거나 무단 액세스가 허용될 경우, MFA 삭제는 보안 계층을 한층 더 보강할 수 있습니다.
2.1.5 S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.1.5 S3 버킷이 '퍼블릭 액세스 차단(버킷 설정)'으로 구성되어 있는지 확인

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다.
2.2.1 EBS 볼륨 암호화가 활성화되어 있는지 확인

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
2.2.1 EBS 볼륨 암호화가 활성화되어 있는지 확인

ec2-ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
2.3.1 RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요.

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
2.3.1 RDS 인스턴스에 암호화가 활성화되어 있는지 확인하세요.

rds-storage-encrypted

저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1 모든 지역에서 CloudTrail 활성화되어 있는지 확인하십시오.

multi-region-cloudtrail-enabled

AWS CloudTrail AWS 관리 콘솔 작업 및 API 호출을 기록합니다. 전화를 건 사용자 및 계정 AWS, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 모든 AWS 지역의 로그 파일을 S3 버킷으로 전송합니다. 또한 새 지역을 AWS 시작하면 새 지역에 동일한 트레일이 생성됩니다. CloudTrail 따라서 별도의 조치를 취하지 않아도 새 리전의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.3 CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오.

s3-bucket-public-read-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.3 CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오.

s3-bucket-public-write-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.3 CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오.

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다.
3.4 CloudTrail 트레일이 로그와 통합되었는지 확인하십시오. CloudWatch

cloud-trail-cloud-watch-logs-enabled

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정
3.6 S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인하십시오. CloudTrail

s3-bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
4.1 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인 alarm-unauthorized-api-calls (프로세스 확인) 무단 API 직접 호출에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.2 MFA 없는 Management Console 로그인에 대해 로그 지표 필터 및 경보가 존재하는지 확인 알람- sign-in-without-mfa (프로세스 체크) 다중 인증(MFA)을 사용하지 않는 AWS Management Console 로그인에 대한 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.3 '루트' 계정 사용에 대해 로그 지표 필터 및 경보가 존재하는지 확인 alarm-root-account-use (프로세스 체크) 루트 계정 사용에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.4 IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 alarm-iam-policy-change (프로세스 체크) IAM 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.5 CloudTrail구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인 alarm-cloudtrail-config-change (프로세스 체크) AWS CloudTrail 구성 변경에 대한 로그 메트릭 필터와 경보가 있는지 확인하십시오. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.8 S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 알람-s3- bucket-policy-change (프로세스 체크) Amazon S3 버킷 정책 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.12 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 알람- vpc-network-gateway-change (프로세스 체크) 네트워크 게이트웨이 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.13 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 알람- vpc-route-table-change (프로세스 체크) 라우팅 테이블 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.14 VPC 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 alarm-vpc-change (프로세스 체크) Amazon Virtual Private Cloud(VPC) 변경에 대한 로그 지표 필터와 경보가 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
4.15 AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인 alarm-organizations-change (프로세스 체크) AWS Organizations 변경 사항에 대해 로그 지표 필터와 경보가 존재하는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
5.1 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 네트워크 ACL이 없는지 확인

nacl-no-unrestricted-ssh-rdp

원격 서버 관리 포트로의 공개 수신을 허용하는 네트워크 ACL이 없는지 확인합니다. 콘솔의 VPC 섹션 내에서 원격 서버 관리 포트를 포함해 허용하는 포트 또는 포트 범위가 있으면서 소스가 '0.0.0.0/0'인 네트워크 ACL이 있는지 확인합니다. 이 제어 기능의 감사에 관한 자세한 내용은 CIS Amazon Web Services Foundations Benchmark 버전 1.4.0 문서(웹사이트 https://www.cisecurity.org/benchmark/amazon_web_services/에서 확인 가능)를 참조하세요.
5.2 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인

restricted-ssh

Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다.
5.2 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용하는 보안 그룹은 없는지 확인

restricted-common-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터(CIS 표준 값: 3389)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.

템플릿

템플릿은 CIS AWS 재단의 운영 모범 사례 벤치마크 v1.4 레벨 1에서 사용할 수 GitHub 있습니다.