Gramm Leach Bliley 법(GLBA) 운영 모범 사례 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Gramm Leach Bliley 법(GLBA) 운영 모범 사례

적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 귀하는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.

다음은 Gramm Leach Bliley 법(GLBA)과 AWS 관리형 Config 규칙 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 GLBA 컨트롤과 관련이 있습니다. GLBA 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.

제어 ID 제어 설명 AWS 구성 규칙 지침
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

dms-replication-not-public

DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

ebs-snapshot-public-restorable-check

EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

ec2-instance-no-public-ip

Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

elasticsearch-in-vpc-only

Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

emr-master-no-public-ip

Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

ec2-instances-in-vpc

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

internet-gateway-authorized-vpc-only

인터넷 게이트웨이가 승인된 Amazon VPC (가상 사설 AWS 클라우드) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

lambda-function-public-access-prohibited

AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

lambda-inside-vpc

Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

rds-instance-public-access-check

Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

rds-snapshots-public-prohibited

Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

redshift-cluster-public-access-check

Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

s3-account-level-public-access-blocks-periodic

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

s3-bucket-public-read-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

autoscaling-launch-config-public-ip-disabled

퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2 리소스에는 공개적으로 액세스할 수 없어야 합니다. 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

s3-bucket-level-public-access-prohibited

Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

s3-bucket-public-write-prohibited

승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

ssm-document-not-public

AWS Systems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 퍼블릭 SSM 문서를 통해 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

subnet-auto-assign-public-ip-disabled

Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
GLBA-SEC.501(b) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립해야 합니다.

opensearch-in-vpc-only

Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

api-gw-cache-enabled-and-encrypted

저장 데이터를 보호하려면 API Gateway 단계의 캐시에 암호화가 활성화되어 있어야 합니다. API 메서드에서 민감한 데이터를 캡처할 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

cloud-trail-encryption-enabled

민감한 데이터가 존재할 수 있으며 저장된 데이터를 보호하는 데 도움이 되므로 트레일에 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

efs-encrypted-check

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

elasticsearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service (OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인하십시오.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

encrypted-volumes

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS)에 대해 암호화가 활성화되어 있는지 확인합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

rds-storage-encrypted

저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

s3-bucket-server-side-encryption-enabled

저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

sagemaker-endpoint-configuration-kms-key-configured

저장된 데이터를 보호하려면 엔드포인트에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

sagemaker-notebook-instance-kms-key-configured

저장된 데이터를 보호하려면 SageMaker 노트북에AWS KMS ( AWS 키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS ) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

ec2-ebs-encryption-by-default

저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유한 고객 마스터 키 (CMK) 로 암호화됩니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

rds-snapshot-encrypted

Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

s3-default-encryption-kms

Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

backup-recovery-point-encrypted

AWS Backup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

elasticsearch-node-to-node-encryption-check

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

codebuild-project-s3-logs-encrypted

저장된 민감한 데이터를 보호하려면 Amazon S3에 저장된 AWS CodeBuild 로그에 암호화가 활성화되어 있는지 확인하십시오.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

codebuild-project-artifact-encryption

저장된 민감한 데이터를 보호하려면 AWS CodeBuild 아티팩트에 암호화가 활성화되어 있는지 확인하십시오.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

opensearch-node-to-node-encryption-check

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
GLBA-SEC.501(b)(1) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 고객 레코드와 정보의 보안과 기밀을 보장해야 합니다.

kinesis-stream-encrypted

민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Kinesis Streams에 암호화가 활성화되어 있는지 확인합니다.
GLBA-SEC.501(b)(2) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (2) 이러한 레코드의 보안이나 무결성에 대해 예상되는 위협 또는 위험을 차단해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS
GLBA-SEC.501(b)(2) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (2) 이러한 레코드의 보안이나 무결성에 대해 예상되는 위협 또는 위험을 차단해야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

secretsmanager-rotation-enabled-check

이 규칙은 AWS Secrets Manager 암호에 순환이 활성화되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

access-keys-rotated

조직 정책에 지정된 대로 IAM 액세스 키가 교체되도록 하여 인증된 디바이스, 사용자 및 프로세스에 대한 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-group-has-users-check

AWS Identity and Access Management (IAM) 를 사용하면 IAM 그룹에 최소 한 명의 사용자를 지정하여 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-password-policy

ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-root-access-key-check

루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 기능 최소화 원칙을 AWS 계정 통합하는 데 도움이 되도록 역할 기반 솔루션을 만들어 사용하세요.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-user-no-policies-check

이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-user-unused-credentials-check

AWS Identity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check를 활성화하여 AWS 클라우드에 대한 액세스를 관리하세요. 이 규칙은 Amazon S3 버킷에서 부여하는 액세스가 사용자가 제공한 AWS 보안 주체, 연동 사용자, 서비스 보안 주체, IP 주소 또는 Amazon VPC (Virtual Private Cloud) ID에 의해 제한되는지 확인합니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

iam-policy-no-statements-with-full-access

IAM 작업을 필요한 작업으로만 제한해야 합니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

mfa-enabled-for-iam-console-access

콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 로그인 보안 인증 외에 보호 계층이 한 단계 더 추가됩니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

opensearch-access-control-enabled

Amazon OpenSearch Service 도메인에서 세밀한 액세스 제어가 활성화되어 있는지 확인하십시오. 세분화된 액세스 제어는 Amazon Service 도메인에 대한 액세스 권한을 최소화하기 위한 향상된 권한 부여 메커니즘을 제공합니다. OpenSearch 이를 통해 도메인에 대한 역할 기반 액세스 제어는 물론 인덱스, 문서 및 필드 수준의 보안, OpenSearch 서비스 대시보드 멀티테넌시 지원, Service 및 Kibana에 대한 HTTP 기본 인증이 가능합니다. OpenSearch
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

ecs-containers-readonly-access

Amazon Elastic Container Service(ECS) 컨테이너에 대한 읽기 전용 액세스를 활성화하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 명시적인 읽기-쓰기 권한이 없는 한, 이 옵션은 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

efs-access-point-enforce-root-directory

Amazon Elastic File System(Amazon EFS) 액세스 포인트에 루트 디렉터리를 적용하면 액세스 포인트의 사용자가 지정된 하위 디렉터리의 파일에만 액세스할 수 있도록 하여 데이터 액세스를 제한하는 데 도움이 됩니다.
GLBA-SEC.501(b)(3) (a) 항의 정책에 따라, 섹션 505(a)에 기술된 각 기관 또는 당국은 관할 대상 금융 기관에 대해 행정적, 기술적, 물리적 보호 조치와 관련된 적절한 표준을 수립하여 (3) 이러한 레코드 또는 정보에 대한 무단 액세스 또는 사용을 차단해야 합니다. 고객에게 상당한 악영향 또는 불편을 초래할 수 있기 때문입니다.

efs-access-point-enforce-user-identity

최소 권한 원칙을 구현하는 데 도움이 되도록 Amazon Elastic File System(Amazon EFS)에 대해 사용자 적용이 활성화되어 있어야 합니다. 활성화되면 Amazon EFS는 NFS 클라이언트의 사용자 및 그룹 ID를 모든 파일 시스템 작업의 액세스 포인트에 구성된 ID로 대체하고, 적용된 이 사용자 ID에 대한 액세스 권한만 부여합니다.

템플릿

템플릿은 GLBA (그램 리치 빌리 법) 의 운영 모범 사례 (GLBA) 에서 사용할 수 있습니다 GitHub.