기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
HIPAA 보안 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 귀하는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 건강 보험 양도 및 책임에 관한 법률 (HIPAA) 과 관리형 AWS Config 규칙 간의 샘플 매핑입니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 HIPAA 컨트롤과 관련이 있습니다. HIPAA 컨트롤은 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하십시오.
이 적합성 팩은 결제 카드 업계 공인 AWS 보안 평가사 (AWSQSA), HITRUST 공인 공통 보안 프레임워크 전문가 (CCSFP) 및 다양한 산업 프레임워크에 대한 지침 및 평가를 제공하도록 인증된 규정 준수 전문가로 구성된 팀인 보안 보증 서비스 LLC (SAS) 의 검증을 받았습니다. AWS SAS 전문가들은 고객이 HIPAA의 하위 집합에 맞출 수 있도록 이 컴포먼스 팩을 설계했습니다.
| 제어 ID | 컨트롤 설명 | AWSConfig 규칙 | 지침 |
|---|---|---|---|
| 164.308 (a) (1) (ii) (A) | (A) 위험 분석 (필수). 피보험 기관이 보유한 전자 보호 의료 정보의 기밀성, 무결성 및 가용성에 대한 잠재적 위험 및 취약성을 정확하고 철저하게 평가하십시오. | annual-risk-assessment-performed (프로세스 체크) | 조직에 대한 연간 위험 평가를 수행하십시오. 위험 평가는 식별된 위험 및/또는 취약성이 조직에 영향을 미칠 가능성과 영향을 파악하는 데 도움이 될 수 있습니다. |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 아마존 Elastic Compute Cloud (Amazon EC2) Auto Scaling 그룹의 엘라스틱 로드 밸런서 (ELB) 상태 점검은 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. 로드 밸런서는 Auto Scaling 그룹에서 Amazon EC2 인스턴스 상태를 테스트하기 위해 주기적으로 ping을 보내거나 연결을 시도하거나 요청을 보냅니다. 인스턴스가 다시 보고하지 않는 경우 트래픽은 새 Amazon EC2 인스턴스로 전송됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있으며 저장된 데이터를 보호하는 데 도움이 되므로 트레일에 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | AWS CloudTrail 로그 파일 검증을 활용하여 로그의 무결성을 확인합니다. CloudTrail 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 코드빌드 프로젝트 환경 내에 존재하지 않는지 확인하십시오. AWS 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | GitHub 또는 Bitbucket 소스 리포지토리 URL에 Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 로그인 자격 증명이 포함되어 있지 않은지 확인하십시오. AWS 개인 액세스 토큰이나 로그인 자격 증명 대신 OAuth를 사용하여 Bitbucket 리포지토리 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여하십시오. GitHub | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon DynamoDB Auto AWS Scaling은 Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이를 통해 테이블 또는 글로벌 보조 인덱스는 프로비저닝된 읽기/쓰기 용량을 늘려 스로틀링 없이 갑자기 증가하는 트래픽을 처리할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하십시오. 이는 각 테이블이 지원할 수 있는 읽기/쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 AccountRCU (ThresholdPercentage 구성 기본값: 80) 및 AccountWCU (ThresholdPercentage 구성 기본값: 80) 매개변수를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 이 규칙을 활성화하면 조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일수를 초과하여 중지되었는지 확인하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스의 기본 구성을 쉽게 수행할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 오류가 발생하는 경우 최신 백업에서 데이터를 복원하는 새 클러스터를 만들 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch 서비스 (서비스) OpenSearch 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. OpenSearch | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 이 규칙은 Elastic Load Balancing이 삭제 보호를 활성화하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 필요한 고객 마스터 키 (CMK) 가 KMS (AWS키 관리 서비스) 에서 삭제되도록 예약되지 않도록 하십시오. AWS 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움이 될 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성 및 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역의 대기 인스턴스에 데이터를 동기적으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우 Amazon RDS는 예비 복제본으로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에 암호화가 활성화되어 있는지 확인하십시오. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인하십시오. 민감한 데이터가 S3 버킷에 저장되어 있을 수 있으므로 해당 데이터를 보호할 수 있도록 유휴 상태의 객체 잠금을 적용하십시오. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 (CRR) 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 보안 그룹 내의 리소스에 대한 인터넷 액세스를 제한 (0.0.0.0/0) 함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 이중화된 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 연결이 끊어지는 것을 방지하기 위해 고객 게이트웨이를 사용할 수 없게 되는 경우에 대비하여 두 번째 고객 게이트웨이를 사용하여 Amazon VPC (Virtual Private Cloud) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWSSystems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud (Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 164.308 (a) (1) (ii) (B) | (B) 위험 관리 (필수). 섹션 164.306 (a) 를 준수할 수 있도록 위험과 취약성을 합리적이고 적절한 수준으로 줄일 수 있는 충분한 보안 조치를 구현하십시오. | AWSSystems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 메서드가 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 메타데이터에 대한 액세스 및 제어를 보호하는 데 도움이 되도록 활성화되어 있는지 확인하십시오. IMDSv2 방법은 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터의 변경을 제한할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSIdentity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙에 위배될 수 있으므로 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드 액세스를 관리하십시오. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 작업 정의에 높은 권한이 부여되는 것은 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 코드빌드 프로젝트 환경 내에 존재하지 않는지 확인하십시오. AWS 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | GitHub 또는 Bitbucket 소스 리포지토리 URL에 Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 로그인 자격 증명이 포함되어 있지 않은지 확인하십시오. AWS 개인 액세스 토큰이나 로그인 자격 증명 대신 OAuth를 사용하여 Bitbucket 리포지토리 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여하십시오. GitHub | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.308 (a) (3) (i) | (3) (i) 표준: 인력 보안. 이 절의 (a) (4) 항에 따라 모든 직원이 전자 보호 의료 정보에 적절하게 접근할 수 있도록 하고, 이 절의 (a) (4) 항에 따라 접근 권한이 없는 근로자가 전자 보호 의료 정보에 접근하지 못하도록 하는 정책 및 절차를 구현하십시오. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | 작업 정의에 높은 권한이 부여되는 것은 고객이 해당 구성을 구체적으로 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 계정 AWS 내 API 호출 활동에 대한 세부 정보가 제공됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWS CloudTrail 관리 콘솔 작업 및 API 호출을 AWS 기록하여 부인 방지에 도움이 될 수 있습니다. AWS서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 통화 시간을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 컨텐츠에서 볼 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | 심플 스토리지 서비스 (Amazon S3) 데이터 이벤트 수집은 모든 이상 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소, 이벤트 시간이 포함됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | AWS CloudTrail AWS관리 콘솔 작업 및 API 호출을 기록합니다. 전화를 건 사용자 및 계정AWS, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 모든 AWS 지역의 로그 파일을 S3 버킷으로 전송합니다. 또한 새 지역을 AWS 시작하면 새 지역에 동일한 트레일이 생성됩니다. CloudTrail 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | 환경 내에서 로깅 및 모니터링을 지원하려면 Amazon RDS (Amazon 관계형 데이터베이스 서비스) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 서버 액세스 로깅은 잠재적인 사이버 보안 이벤트가 있는지 네트워크를 모니터링하는 방법을 제공합니다. Amazon S3 버킷에 대한 요청의 세부 레코드를 캡처하여 이벤트를 모니터링합니다. 각 액세스 로그 레코드는 단일 액세스 요청에 대한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드 (해당하는 경우) 가 포함됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | VPC 흐름 로그는 Amazon VPC (가상 사설 클라우드) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | Amazon OpenSearch 서비스 도메인에 오류 로그가 활성화되어 있는지 확인하고 보관 및 대응을 위해 Amazon CloudWatch Logs로 스트리밍하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 164.308 (a) (3) (ii) (A) | (A) 승인 및/또는 감독 (주소 지정 가능). 전자 보호 의료 정보를 다루는 작업자 또는 해당 정보에 액세스할 수 있는 위치에 있는 직원에 대한 승인 및/또는 감독 절차를 구현하십시오. | Amazon OpenSearch 서비스 도메인에 오류 로그가 활성화되어 있는지 확인하고 보관 및 대응을 위해 Amazon CloudWatch Logs로 스트리밍하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.308 (a) (3) (ii) (B) | (B) 인력 허가 절차 (주소 지정 가능). 직원이 전자 보호 의료 정보에 액세스하는 것이 적절한지 판단하는 절차를 구현하십시오. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (3) (ii) (C) | (C) 해지 절차 (주소 지정 가능). 직원의 고용이 종료될 때 또는 이 섹션의 (a) (3) (ii) (B) 항에 명시된 결정에 따라 요구되는 경우 전자 보호 의료 정보에 대한 접근을 종료하는 절차를 구현하십시오. | 조직 정책에 따라 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 순환 값이 필요합니다 (Config Default: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (4) (i) | (4) (i) 표준: 정보 액세스 관리. 이 부분의 하위 파트 E의 해당 요구 사항과 일치하는 전자 보호 건강 정보에 대한 액세스를 승인하기 위한 정책 및 절차를 구현하십시오. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 메서드가 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 메타데이터에 대한 액세스 및 제어를 보호하는 데 도움이 되도록 활성화되어 있는지 확인하십시오. IMDSv2 방법은 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터의 변경을 제한할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSIdentity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙에 위배될 수 있으므로 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드 액세스를 관리하세요. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 작업 정의에 높은 권한이 부여되는 것은 고객이 해당 구성을 구체적으로 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 코드빌드 프로젝트 환경 내에 존재하지 않는지 확인하십시오. AWS 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | GitHub 또는 Bitbucket 소스 리포지토리 URL에 Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 로그인 자격 증명이 포함되어 있지 않은지 확인하십시오. AWS 개인 액세스 토큰이나 로그인 자격 증명 대신 OAuth를 사용하여 Bitbucket 리포지토리 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여하십시오. GitHub | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (4) (ii) (A) | (A) 의료 정보 센터 기능 격리 (필수). 의료 정보 센터가 대규모 조직의 일부인 경우 정보 센터는 정보 센터의 전자 보호 건강 정보가 대규모 조직의 무단 액세스로부터 보호되는 것을 방지하는 정책과 절차를 시행해야 합니다. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 조직 정책에 따라 IAM 액세스 키가 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대한 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 순환 값이 필요합니다 (Config Default: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | ID 및 자격 증명은 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 필요에 따라 RequireUppercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireSymbols (AWS기본 보안 모범 사례 값: true), RequireNumbers (AWS기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS기본 보안 모범 사례 값: 24) 및 MaxPasswordAge (AWS기본 보안 모범 사례 값: 90) 를 설정할 수 있습니다.IAM 암호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSIdentity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙에 위배될 수 있으므로 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 이 규칙은 AWS Secrets Manager 암호에 순환이 활성화되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 이 규칙을 사용하면 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. AWS 이 규칙은 모든 사용자가 다단계 인증 (MFA) 을 사용할 수 있도록 합니다. MFA는 로그인 자격 증명 외에 추가 보호 계층을 추가합니다. 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이십시오. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (4) (ii) (B) | (B) 액세스 권한 부여 (주소 지정 가능). 예를 들어 워크스테이션, 트랜잭션, 프로그램, 프로세스 또는 기타 메커니즘에 대한 액세스를 통해 전자 보호 의료 정보에 대한 액세스 권한을 부여하는 정책 및 절차를 구현합니다. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 메서드가 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 메타데이터에 대한 액세스 및 제어를 보호하는 데 도움이 되도록 활성화되어 있는지 확인하십시오. IMDSv2 방법은 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터의 변경을 제한할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSIdentity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙에 위배될 수 있으므로 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | IAM 작업을 필요한 작업으로만 제한해야 합니다. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 작업 정의에 높은 권한이 있는 것은 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 코드빌드 프로젝트 환경 내에 존재하지 않는지 확인하십시오. AWS 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | GitHub 또는 Bitbucket 소스 리포지토리 URL에 Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 로그인 자격 증명이 포함되어 있지 않은지 확인하십시오. AWS 개인 액세스 토큰이나 로그인 자격 증명 대신 OAuth를 사용하여 Bitbucket 리포지토리 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여하십시오. GitHub | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.308 (a) (4) (ii) (C) | (C) 액세스 설정 및 수정 (주소 지정 가능). 엔티티의 액세스 권한 부여 정책을 기반으로 워크스테이션, 트랜잭션, 프로그램 또는 프로세스에 대한 사용자의 액세스 권한을 수립, 문서화, 검토 및 수정하는 정책 및 절차를 구현합니다. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.308 (a) (5) (ii) (A) | (A) 보안 알림 (주소 지정 가능). 정기 보안 업데이트. | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud (Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 164.308 (a) (5) (ii) (A) | (A) 보안 알림 (주소 지정 가능). 정기 보안 업데이트. | Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다. | |
| 164.308 (a) (5) (ii) (A) | (A) 보안 알림 (주소 지정 가능). 정기 보안 업데이트. | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히, 데이터베이스에 대해 선호하는 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있다는 점입니다. 이 규칙을 설정하려면 를 설정해야 합니다 allowVersionUpgrade. 기본값은 true입니다. 또한 선택적으로 기간 preferredMaintenanceWindow (기본값은 토: 16:00 -토: 16:30) 과 automatedSnapshotRetention 기간 (기본값은 1) 을 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (5) (ii) (A) | (A) 보안 알림 (주소 지정 가능). 정기 보안 업데이트. | Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에서 자동 마이너 버전 업그레이드를 활성화하여 관계형 데이터베이스 관리 시스템 (RDBMS) 에 대한 최신 마이너 버전 업데이트가 설치되도록 합니다. 여기에는 보안 패치 및 버그 수정이 포함될 수 있습니다. | |
| 164.308 (a) (5) (ii) (B) | (B) 악성 소프트웨어로부터의 보호 (주소 지정 가능). 악성 소프트웨어로부터 보호, 탐지 및 신고하기 위한 절차. | Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWSSystems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 164.308 (a) (5) (ii) (B) | (B) 악성 소프트웨어로부터의 보호 (주소 지정 가능). 악성 소프트웨어로부터 보호, 탐지 및 신고하기 위한 절차. | AWSSystems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다. | |
| 164.308 (a) (5) (ii) (B) | (B) 악성 소프트웨어로부터의 보호 (주소 지정 가능). 악성 소프트웨어로부터 보호, 탐지 및 신고하기 위한 절차. | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud (Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 164.308 (a) (5) (ii) (C) | (C) 로그인 모니터링 (주소 지정 가능). 로그인 시도를 모니터링하고 불일치를 보고하는 절차. | Amazon은 GuardDuty 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 164.308 (a) (5) (ii) (C) | (C) 로그인 모니터링 (주소 지정 가능). 로그인 시도를 모니터링하고 불일치를 보고하는 절차. | AWS CloudTrail 관리 콘솔 작업 및 API 호출을 AWS 기록하여 부인 방지에 도움이 될 수 있습니다. AWS서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 통화 시간을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 컨텐츠에서 볼 수 있습니다. | |
| 164.308 (a) (5) (ii) (C) | (C) 로그인 모니터링 (주소 지정 가능). 로그인 시도를 모니터링하고 불일치를 보고하는 절차. | 환경 내에서 로깅 및 모니터링을 지원하려면 Amazon RDS (Amazon 관계형 데이터베이스 서비스) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 164.308 (a) (5) (ii) (D) | (D) 암호 관리 (주소 지정 가능). 비밀번호 생성, 변경 및 보호 절차. | 자격 증명과 자격 증명은 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 필요에 따라 RequireUppercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireSymbols (AWS기본 보안 모범 사례 값: true), RequireNumbers (AWS기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS기본 보안 모범 사례 값: 24) 및 MaxPasswordAge (AWS기본 보안 모범 사례 값: 90) 를 설정할 수 있습니다.IAM 암호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (6) (i) | (6) (i) 표준: 보안 사고 절차. 보안 사고를 해결하기 위한 정책 및 절차를 구현하십시오. | AWSSecurity Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 아마존 보안 허브, 아마존 인스펙터, 아마존 AWS 마시, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS | |
| 164.308 (a) (6) (ii) | (ii) 구현 사양: 응답 및 보고 (필수). 의심되거나 알려진 보안 사고를 식별하여 이에 대응하고, 해당 주체에 알려진 보안 사고의 유해한 영향을 실행 가능한 범위 내에서 완화하고, 보안 사고 및 그 결과를 문서화하십시오. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon DynamoDB Auto AWS Scaling은 Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이를 통해 테이블 또는 글로벌 보조 인덱스는 프로비저닝된 읽기/쓰기 용량을 늘려 스로틀링 없이 갑자기 증가하는 트래픽을 처리할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Elastic Load Balancer (ELB) 의 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 부하 분산을 사용하면 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지할 필요성이 줄어듭니다. 또한 하나 이상의 인스턴스 손실을 처리하는 애플리케이션의 능력도 향상됩니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 이 규칙은 Elastic Load Balancing이 삭제 보호를 활성화하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하십시오. 삭제 보호를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성 및 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역의 대기 인스턴스에 데이터를 동기적으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우 Amazon RDS는 예비 복제본으로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 이중화된 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 연결이 끊어지는 것을 방지하기 위해 고객 게이트웨이를 사용할 수 없게 되는 경우에 대비하여 두 번째 고객 게이트웨이를 사용하여 Amazon VPC (Virtual Private Cloud) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon RDS의 백업 기능은 데이터베이스와 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 테이블이 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 오류가 발생하는 경우 최신 백업에서 데이터를 복원하는 새 클러스터를 만들 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | 데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하십시오. 클러스터에 자동 스냅샷이 활성화되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 8시간마다 또는 데이터 변경 노드당 5GB마다 또는 둘 중 먼저 발생하는 날짜에 스냅샷을 생성합니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 (CRR) 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.308 (a) (7) (i) | (7) (i) 표준: 비상 계획. 전자적으로 보호되는 의료 정보가 포함된 시스템을 손상시키는 비상 상황 또는 기타 상황 (예: 화재, 기물 파손, 시스템 장애, 자연 재해) 에 대응하기 위한 정책 및 절차를 수립 (및 필요에 따라 구현) 합니다. | Amazon S3 수명 주기 정책이 객체 수명 주기 동안 Amazon S3에서 수행할 작업 (예: 객체를 다른 스토리지 클래스로 이전, 보관 또는 지정된 기간 후 삭제) 을 정의하는 데 도움이 되도록 구성되어 있는지 확인하십시오. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 테이블이 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 오류가 발생하는 경우 최신 백업에서 데이터를 복원하는 새 클러스터를 만들 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하십시오. 클러스터에 자동 스냅샷이 활성화되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 8시간마다 또는 데이터 변경 노드당 5GB마다 또는 둘 중 먼저 발생하는 날짜에 스냅샷을 생성합니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 (CRR) 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | Amazon S3 수명 주기 정책이 객체 수명 주기 동안 Amazon S3에서 수행할 작업 (예: 객체를 다른 스토리지 클래스로 이전, 보관 또는 지정된 기간 후 삭제) 을 정의하는 데 도움이 되도록 구성되어 있는지 확인하십시오. | |
| 164.308 (a) (7) (ii) (A) | (A) 데이터 백업 계획 (필수). 전자 보호 의료 정보의 검색 가능한 정확한 사본을 만들고 유지하기 위한 절차를 수립하고 구현하십시오. | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히, 데이터베이스에 대해 선호하는 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있다는 점입니다. 이 규칙을 설정하려면 를 설정해야 합니다 allowVersionUpgrade. 기본값은 true입니다. 또한 선택적으로 기간 preferredMaintenanceWindow (기본값은 토: 16:00 -토: 16:30) 과 automatedSnapshotRetention 기간 (기본값은 1) 을 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 테이블이 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 오류가 발생하는 경우 최신 백업에서 데이터를 복원하는 새 클러스터를 만들 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하십시오. 클러스터에 자동 스냅샷이 활성화되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 8시간마다 또는 데이터 변경 노드당 5GB마다 또는 둘 중 먼저 발생하는 날짜에 스냅샷을 생성합니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 (CRR) 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.308 (a) (7) (ii) (B) | (B) 재해 복구 계획 (필수). 데이터 손실을 복원하기 위한 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon S3 수명 주기 정책이 객체 수명 주기 동안 Amazon S3에서 수행할 작업 (예: 객체를 다른 스토리지 클래스로 이전, 보관 또는 지정된 기간 후 삭제) 을 정의하는 데 도움이 되도록 구성되어 있는지 확인하십시오. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon DynamoDB Auto AWS Scaling은 Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이를 통해 테이블 또는 글로벌 보조 인덱스는 프로비저닝된 읽기/쓰기 용량을 늘려 스로틀링 없이 갑자기 증가하는 트래픽을 처리할 수 있습니다. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | 엘라스틱 로드 밸런서 (ELB) 의 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 부하 분산을 사용하면 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지할 필요성이 줄어듭니다. 또한 하나 이상의 인스턴스 손실을 처리하는 애플리케이션의 능력도 향상됩니다. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | 이 규칙은 Elastic Load Balancing이 삭제 보호를 활성화하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하십시오. 삭제 보호를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성 및 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역의 대기 인스턴스에 데이터를 동기적으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우 Amazon RDS는 예비 복제본으로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다. | |
| 164.308 (a) (7) (ii) (C) | (C) 비상 모드 운영 계획 (필수). 비상 모드에서 운영하는 동안 전자 보호 의료 정보의 보안을 보호하기 위한 중요한 비즈니스 프로세스를 지속할 수 있는 절차를 수립 (및 필요에 따라 구현) 하십시오. | 이중화된 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 연결이 끊어지는 것을 방지하기 위해 고객 게이트웨이를 사용할 수 없게 되는 경우에 대비하여 두 번째 고객 게이트웨이를 사용하여 Amazon VPC (Virtual Private Cloud) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다. | |
| 164.308 (a) (8) | (8) 표준: 평가. 주기적인 기술 및 비기술적 평가를 수행하여 처음에는 이 규칙에 따라 구현된 표준을 기반으로 하고, 이후에는 전자 보호 의료 정보의 보안에 영향을 미치는 환경 또는 운영상의 변화에 대응하여 기관의 보안 정책 및 절차가 이 하위 부분의 요구 사항을 충족하는 정도를 결정합니다. | AWSSecurity Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 아마존 보안 허브, 아마존 인스펙터, 아마존 AWS 마시, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS | |
| 164.308 (a) (8) | (8) 표준: 평가. 주기적인 기술 및 비기술적 평가를 수행하여 처음에는 이 규칙에 따라 구현된 표준을 기반으로 하고, 이후에는 전자 보호 의료 정보의 보안에 영향을 미치는 환경 또는 운영상의 변화에 대응하여 기관의 보안 정책 및 절차가 이 하위 부분의 요구 사항을 충족하는 정도를 결정합니다. | Amazon은 GuardDuty 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 인스턴스 메타데이터 서비스 버전 2 (IMDSv2) 메서드가 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스 메타데이터에 대한 액세스 및 제어를 보호하는 데 도움이 되도록 활성화되어 있는지 확인하십시오. IMDSv2 방법은 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터의 변경을 제한할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon EMR 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서는 Kerberos 서버를 키 배포 센터 (KDC) 라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSID 및 액세스 관리 (IAM) 사용자, IAM 역할 또는 IAM 그룹에 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없는지 확인하십시오. AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리 및 롤백, 권한 위임 관리가 가능합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSIdentity 및 Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙에 위배될 수 있으므로 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | EC2 인스턴스 프로필은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스 프로필을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 작업 정의에 높은 권한이 부여되는 것은 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 코드빌드 프로젝트 환경 내에 존재하지 않는지 확인하십시오. AWS 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생할 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | GitHub 또는 Bitbucket 소스 리포지토리 URL에 Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 로그인 자격 증명이 포함되어 있지 않은지 확인하십시오. AWS 개인 액세스 토큰이나 로그인 자격 증명 대신 OAuth를 사용하여 Bitbucket 리포지토리 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여하십시오. GitHub | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 허용하면 최소 권한 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. 164.308 (a) (4) 에 명시된 대로 접근 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근을 허용하도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.312 (a) (1) | (a) (1) 표준: 액세스 제어. ¤164.308 (a) (4) 에 명시된 대로 액세스 권한이 부여된 사람 또는 소프트웨어 프로그램에만 접근할 수 있도록 전자 보호 건강 정보를 유지하는 전자 정보 시스템에 대한 기술 정책 및 절차를 구현하십시오. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.312 (a) (2) (i) | (2) 구현 사양: (i) 고유한 사용자 식별 (필수). 사용자 신원을 식별하고 추적하기 위해 고유한 이름 및/또는 번호를 할당하십시오. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 오류가 발생하는 경우 최신 백업에서 데이터를 복원하는 새 클러스터를 만들 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 (CRR) 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon DynamoDB 테이블이 Backup 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨이 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (Amazon EFS) 파일 시스템이 AWS 백업 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하십시오. 클러스터에 자동 스냅샷이 활성화되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 8시간마다 또는 데이터 변경 노드당 5GB마다 또는 둘 중 먼저 발생하는 날짜에 스냅샷을 생성합니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스가 백업 계획의 일부인지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스를 지원하려면 Amazon Elastic Compute Cloud (Amazon EC2) 리소스가 백업 플랜에 포함되어 있는지 확인하십시오. AWS AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스에 도움이 되도록 Amazon Aurora 리소스가 AWS Backup 플랜에 포함되어 있는지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | 데이터 백업 프로세스를 지원하려면 AWS 백업 계획이 최소 빈도 및 보존 기간으로 설정되어 있는지 확인하세요. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다. 이 규칙을 사용하면 (구성 기본값: 1), requiredFrequencyValue (구성 기본값: 35) 및 ( requiredRetentionDays requiredFrequencyUnit 구성 기본값: 일) 매개변수를 설정할 수 있습니다. 실제 값은 조직의 요구 사항을 반영해야 합니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | AWS백업 복구 지점에 복구 지점 삭제를 방지하는 연결된 리소스 기반 정책이 있는지 확인하십시오. 리소스 기반 정책을 사용하여 복구 지점의 삭제를 방지하면 우발적 또는 의도적인 삭제를 방지하는 데 도움이 될 수 있습니다. | |
| 164.312 (a) (2) (ii) | (ii) 긴급 접근 절차 (필수). 응급 상황 발생 시 필요한 전자 보호 건강 정보를 확보하기 위한 절차를 수립 (및 필요에 따라 시행) 하십시오. | AWSBackup 복구 지점에 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 트레일에 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 클래식 Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하세요. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결을 설정할 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와의 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 리스너에 대해 미리 정의된 보안 정책을 설정해야 합니다. 기본 보안 정책은 SecurityPolicy ELB -TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에 암호화가 활성화되어 있는지 확인하십시오. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Secrets Manager 비밀에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하여 해당 데이터를 보호하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon Service 도메인 연결에 HTTPS를 활성화해야 합니다. OpenSearch | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (a) (2) (iv) | (iv) 암호화 및 복호화 (주소 지정 가능). 전자적으로 보호되는 의료 정보를 암호화하고 해독하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Kinesis Streams에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | API Gateway 로깅에는 API에 액세스한 사용자 및 API에 액세스한 방식에 대한 세부 정보가 표시됩니다. 이러한 통찰력을 통해 사용자 활동을 파악할 수 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 아마존 Elastic Compute Cloud (Amazon EC2) Auto Scaling 그룹의 엘라스틱 로드 밸런서 (ELB) 상태 점검은 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. 로드 밸런서는 Auto Scaling 그룹에서 Amazon EC2 인스턴스 상태를 테스트하기 위해 주기적으로 ping을 보내거나 연결을 시도하거나 요청을 보냅니다. 인스턴스가 다시 보고하지 않는 경우 트래픽은 새 Amazon EC2 인스턴스로 전송됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 계정 AWS 내 API 호출 활동에 대한 세부 정보가 제공됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | AWS CloudTrail 관리 콘솔 작업 및 API 호출을 AWS 기록하여 부인 방지에 도움이 될 수 있습니다. AWS서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 통화 시간을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 컨텐츠에서 볼 수 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 심플 스토리지 서비스 (Amazon S3) 데이터 이벤트 수집은 모든 이상 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소, 이벤트 시간이 포함됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 지표가 지정된 평가 기간 동안 임계값을 위반하면 Amazon에서 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 알람 동작을 반영해야 합니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하십시오. 이는 각 테이블이 지원할 수 있는 읽기/쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 AccountRCU (ThresholdPercentage 구성 기본값: 80) 및 AccountWCU (ThresholdPercentage 구성 기본값: 80) 매개변수를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Elastic Load Balancing 활동은 환경 내 커뮤니케이션의 중심 지점입니다. ELB 로깅이 활성화되어 있는지 확인하세요. 수집된 데이터는 ELB로 전송된 요청에 대한 세부 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | AWS CloudTrail 기록 AWS 관리 콘솔 작업 및 API 호출 전화를 건 사용자 및 계정AWS, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. CloudTrail MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 모든 AWS 지역의 로그 파일을 S3 버킷으로 전송합니다. 또한 새 지역을 AWS 시작하면 새 지역에 동일한 트레일이 생성됩니다. CloudTrail 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon RDS (관계형 데이터베이스 서비스) 를 활성화하면 Amazon RDS 가용성을 모니터링하는 데 도움이 됩니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 자세히 파악할 수 있습니다. Amazon RDS 스토리지가 두 개 이상의 기본 물리적 디바이스를 사용하는 경우 향상된 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행되는 경우 보조 호스트의 각 디바이스에 대한 데이터와 보조 호스트 지표가 수집됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 환경 내에서 로깅 및 모니터링을 지원하려면 Amazon RDS (Amazon 관계형 데이터베이스 서비스) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 서버 액세스 로깅은 잠재적인 사이버 보안 이벤트가 있는지 네트워크를 모니터링하는 방법을 제공합니다. Amazon S3 버킷에 대한 요청의 세부 레코드를 캡처하여 이벤트를 모니터링합니다. 각 액세스 로그 레코드는 단일 액세스 요청에 대한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 조치, 응답 상태, 오류 코드 (해당하는 경우) 가 포함됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | AWSSecurity Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 아마존 보안 허브, 아마존 인스펙터, 아마존 AWS 마시, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | VPC 흐름 로그는 Amazon VPC (가상 사설 클라우드) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 환경 내에서 로깅 및 모니터링을 지원하려면 지역 및 글로벌 웹 ACL에서 AWS WAF (V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다. 로그에는 AWS WAF가 AWS 리소스로부터 요청을 받은 시간, 요청에 대한 정보, 각 요청이 일치하는 규칙에 대한 조치가 기록됩니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스 도메인에 오류 로그가 활성화되어 있고 보존 및 대응을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에 암호화가 활성화되어 있는지 확인하십시오. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon S3 이벤트 알림은 버킷 객체가 우발적이거나 의도적으로 수정된 경우 관련 담당자에게 알릴 수 있습니다. 알림의 예로는 새 객체 생성, 객체 제거, 객체 복원, 분실 및 복제 객체 등이 있습니다. | |
| 164.312 (b) | (b) 표준: 감사 통제. 전자 보호 의료 정보를 포함하거나 사용하는 정보 시스템의 활동을 기록하고 검사하는 하드웨어, 소프트웨어 및/또는 절차적 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스 도메인에 오류 로그가 활성화되어 있고 보존 및 대응을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다. | |
| 164.312 (c) (1) | (c) (1) 표준: 무결성. 전자 보호 의료 정보가 부적절한 변경 또는 파괴되지 않도록 보호하기 위한 정책 및 절차를 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인하십시오. 민감한 데이터가 S3 버킷에 저장되어 있을 수 있으므로 해당 데이터를 보호할 수 있도록 유휴 상태의 객체 잠금을 적용하십시오. | |
| 164.312 (c) (1) | (c) (1) 표준: 무결성. 전자 보호 의료 정보가 부적절한 변경 또는 파괴되지 않도록 보호하기 위한 정책 및 절차를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.312 (c) (1) | (c) (1) 표준: 무결성. 전자 보호 의료 정보가 부적절한 변경 또는 파괴되지 않도록 보호하기 위한 정책 및 절차를 구현하십시오. | AWS CloudTrail 로그 파일 검증을 활용하여 로그의 무결성을 확인합니다. CloudTrail 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 164.312 (c) (1) | (c) (1) 표준: 무결성. 전자 보호 의료 정보가 부적절한 변경 또는 파괴되지 않도록 보호하기 위한 정책 및 절차를 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다. | |
| 164.312 (c) (1) | (c) (1) 표준: 무결성. 전자 보호 의료 정보가 부적절한 변경 또는 파괴되지 않도록 보호하기 위한 정책 및 절차를 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (c) (2) | (2) 구현 사양: 전자적으로 보호되는 건강 정보를 인증하는 메커니즘 (주소 지정 가능). 전자 보호 의료 정보가 무단으로 변경 또는 파괴되지 않았음을 확인하는 전자 메커니즘을 구현하십시오. | AWS CloudTrail 로그 파일 검증을 활용하여 로그의 무결성을 확인합니다. CloudTrail 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 164.312 (c) (2) | (2) 구현 사양: 전자적으로 보호되는 건강 정보를 인증하는 메커니즘 (주소 지정 가능). 전자 보호 의료 정보가 무단으로 변경 또는 파괴되지 않았음을 확인하는 전자 메커니즘을 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인하십시오. 민감한 데이터가 S3 버킷에 저장되어 있을 수 있으므로 해당 데이터를 보호할 수 있도록 유휴 상태의 객체 잠금을 적용하십시오. | |
| 164.312 (c) (2) | (2) 구현 사양: 전자적으로 보호되는 건강 정보를 인증하는 메커니즘 (주소 지정 가능). 전자 보호 의료 정보가 무단으로 변경 또는 파괴되지 않았음을 확인하는 전자 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (c) (2) | (2) 구현 사양: 전자적으로 보호되는 건강 정보를 인증하는 메커니즘 (주소 지정 가능). 전자 보호 의료 정보가 무단으로 변경 또는 파괴되지 않았음을 확인하는 전자 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (c) (2) | (2) 구현 사양: 전자적으로 보호되는 건강 정보를 인증하는 메커니즘 (주소 지정 가능). 전자 보호 의료 정보가 무단으로 변경 또는 파괴되지 않았음을 확인하는 전자 메커니즘을 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 의 버킷 버전 관리를 사용하면 객체의 여러 변형을 동일한 Amazon S3 버킷에 보관할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원할 수 있습니다. 버전 관리를 통해 의도하지 않은 사용자 작업 및 애플리케이션 장애를 쉽게 복구할 수 있습니다. | |
| 164.312 (d) | (d) 표준: 개인 또는 법인 인증. 전자 보호 의료 정보에 대한 접근을 원하는 개인 또는 단체가 소유권을 주장한 사람인지 확인하는 절차를 구현하십시오. | ID 및 자격 증명은 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 필요에 따라 RequireUppercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireSymbols (AWS기본 보안 모범 사례 값: true), RequireNumbers (AWS기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS기본 보안 모범 사례 값: 24) 및 MaxPasswordAge (AWS기본 보안 모범 사례 값: 90) 를 설정할 수 있습니다.IAM 암호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (d) | (d) 표준: 개인 또는 법인 인증. 전자 보호 의료 정보에 대한 접근을 원하는 개인 또는 단체가 소유권을 주장한 사람인지 확인하는 절차를 구현하십시오. | 이 규칙을 사용하면 AWS 클라우드의 리소스에 대한 액세스를 제한할 수 있습니다. 이 규칙은 모든 사용자가 다단계 인증 (MFA) 을 사용할 수 있도록 합니다. MFA는 로그인 자격 증명 외에 추가 보호 계층을 추가합니다. 사용자에게 MFA를 요구하여 계정 보안 침해 사고를 줄이십시오. | |
| 164.312 (d) | (d) 표준: 개인 또는 법인 인증. 전자 보호 의료 정보에 대한 접근을 원하는 개인 또는 단체가 소유권을 주장한 사람인지 확인하는 절차를 구현하십시오. | 콘솔 암호가 있는 모든 AWS Identity 및 Access Management (IAM) 사용자가 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA는 로그인 자격 증명 외에 추가 보호 계층을 추가합니다. 사용자에게 MFA를 요구하면 계정이 침해되는 사고를 줄이고 승인되지 않은 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.312 (d) | (d) 표준: 개인 또는 법인 인증. 전자 보호 의료 정보에 대한 접근을 원하는 개인 또는 단체가 소유권을 주장한 사람인지 확인하는 절차를 구현하십시오. | 루트 사용자가 하드웨어 MFA를 사용하도록 설정하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 계정에서 가장 권한이 많은 사용자입니다. AWS MFA는 로그인 자격 증명에 대한 추가 보호 계층을 추가합니다. 루트 사용자에 대한 MFA를 요구하면 계정 보안 침해 사고를 줄일 수 있습니다. AWS | |
| 164.312 (d) | (d) 표준: 개인 또는 법인 인증. 전자 보호 의료 정보에 대한 접근을 원하는 개인 또는 단체가 소유권을 주장한 사람인지 확인하는 절차를 구현하십시오. | 루트 사용자에 대해 MFA가 활성화되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 계정에서 가장 권한이 많은 사용자입니다. AWS MFA는 로그인 자격 증명에 대한 추가 보호 계층을 추가합니다. 루트 사용자에 대한 MFA를 요구하면 계정 보안 침해 사고를 줄일 수 있습니다. AWS | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하십시오. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 전송 중인 데이터를 보호하려면 클래식 Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하세요. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결을 설정할 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와의 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 리스너에 대해 미리 정의된 보안 정책을 설정해야 합니다. 기본 보안 정책은 SecurityPolicy ELB -TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon VPC (가상 사설 클라우드) 내에 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 VPC 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 인터넷 게이트웨이가 승인된 Amazon VPC (Virtual Private AWS Cloud) 에만 연결되도록 하여 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이를 사용하면 Amazon VPC와 주고받는 양방향 인터넷 액세스가 가능하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | AWSLambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인하십시오. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 BlockedPort1 - BlockedPort5 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22까지의 수신 (또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접적인 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | AWSSystems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 웹 애플리케이션을 보호하는 데 도움이 되도록 엘라스틱 로드 밸런서 (ELB) 에서 AWS WAF가 활성화되었는지 확인하세요. WAF는 일반적인 웹 공격으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 악용은 가용성에 영향을 미치거나, 보안을 손상시키거나, 환경 내에서 과도한 리소스를 소비할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | AWSWAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 ACL)) 를 구성할 수 있습니다. Amazon API Gateway 스테이지가 WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 보안 그룹 내의 리소스에 대한 인터넷 액세스를 제한 (0.0.0.0/0) 함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 연결할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인 연결에 HTTPS를 활성화해야 합니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.312 (e) (1) | (e) (1) 표준: 전송 보안. 전자 통신 네트워크를 통해 전송되는 전자 보호 건강 정보에 대한 무단 액세스를 방지하기 위한 기술적 보안 조치를 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하십시오. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 전송 중인 데이터를 보호하려면 클래식 Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하세요. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결을 설정할 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와의 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 리스너에 대해 미리 정의된 보안 정책을 설정해야 합니다. 기본 보안 정책은 SecurityPolicy ELB -TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인 연결에 HTTPS를 활성화해야 합니다. | |
| 164.312 (e) (2) (i) | (i) 무결성 제어 (주소 지정 가능). 전자적으로 전송된 전자 보호 건강 정보가 폐기될 때까지 탐지 없이 부적절하게 수정되지 않도록 보안 조치를 취하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 될 수 있으므로 트레일에 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 클래식 Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하세요. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결을 설정할 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와의 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 리스너에 대해 미리 정의된 보안 정책을 설정해야 합니다. 기본 보안 정책은 SecurityPolicy ELB -TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에 암호화가 활성화되어 있는지 확인하십시오. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 저장된 데이터를 보호하려면 AWS Secrets Manager 암호에 대해 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Secrets Manager 비밀에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하여 해당 데이터를 보호하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인 연결에 HTTPS를 활성화해야 합니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.312 (e) (2) (ii) | (ii) 암호화 (주소 지정 가능). 적절하다고 판단될 때마다 보호되는 전자 의료 정보를 암호화하는 메커니즘을 구현하십시오. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Kinesis Streams에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 될 수 있으므로 AWS CloudTrail 트레일에 암호화를 활성화해야 합니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service (OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (1) | (b) (1) 표준: 단체 건강보험 요건. 플랜 후원자에게 공개된 유일한 전자 보호 건강 정보가 ¤164.504 (f) (1) (ii) 또는 (iii) 에 따라 공개되거나 ¤ 164.508에 따라 승인된 경우를 제외하고, 그룹 건강 플랜은 플랜 후원자가 플랜 후원자를 대신하여 생성, 수신, 유지 또는 전송한 전자 보호 건강 정보를 합리적이고 적절하게 보호할 것임을 플랜 문서에 명시해야 합니다. 그룹 건강 플랜. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 민감한 데이터가 존재할 수 있으며 저장된 데이터를 보호하는 데 도움이 되므로 트레일에 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 아마존 OpenSearch 서비스 도메인 연결에 HTTPS를 활성화해야 합니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) | (2) 구현 사양 (필수). 단체 건강 계획의 계획 문서는 계획 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 계획을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 건강 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 장치를 구현하고, (ii) ¤164.504 (f) 에서 요구하는 적절한 분리를 보장해야 합니다. (2) (iii) 합리적이고 적절한 보안 조치에 의해 지원됩니다. (iii) 다음 사항을 확인하십시오.이 정보를 제공하는 하청업체를 포함한 대리인은 정보를 보호하기 위해 합리적이고 적절한 보안 조치를 시행하고 (iv) 인지한 보안 사고를 그룹 건강 보험에 보고하는 데 동의합니다. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책이 모든 키 관리 서비스 키에 대해 차단된 작업을 포함하지 못하도록 제한할 수 있습니다. AWS 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | AWSIdentity 및 Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 키 관리 서비스 키에 대한 차단된 작업을 허용하는 인라인 정책이 없는지 확인하십시오. AWS AWS인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 매개변수를 설정할 수 있습니다. blockedActionsPatterns (AWS기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | AWSIdentity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙에 위배될 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 루트 사용자의 AWS Identity and Access Management (IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오. 대신 역할 기반 AWS 계정을 만들어 사용하면 최소 기능이라는 원칙을 통합하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 이 규칙을 사용하면 AWS Identity 및 Access Management (IAM) 정책을 그룹 또는 역할에만 연결하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | IAM 조치가 필요한 조치로만 제한되도록 하십시오. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 작업 정의에 상승된 권한이 있는 것은 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 컨트롤은 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 상승된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 확인합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon Elastic Container Service (ECS) 컨테이너에 대한 읽기 전용 액세스를 활성화하면 최소 권한의 원칙을 준수하는 데 도움이 될 수 있습니다. 이 옵션은 명시적인 읽기-쓰기 권한이 없는 한 컨테이너 인스턴스의 파일 시스템을 수정할 수 없으므로 공격 벡터를 줄일 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 이 규칙은 액세스 제어 목록 (ACL) 이 Amazon S3 버킷의 액세스 제어에 사용되는지 확인합니다. ACL은 AWS ID 및 액세스 관리 (IAM) 이전의 Amazon S3 버킷용 레거시 액세스 제어 메커니즘입니다. ACL 대신 IAM 정책 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 보다 쉽게 관리하는 것이 가장 좋습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 자격 증명과 자격 증명은 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. 이들은 NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 필요에 따라 RequireUppercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS기본 보안 모범 사례 값: true), RequireSymbols (AWS기본 보안 모범 사례 값: true), RequireNumbers (AWS기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS기본 보안 모범 사례 값: 24) 및 MaxPasswordAge (AWS기본 보안 모범 사례 값: 90) 를 설정할 수 있습니다.IAM 암호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | ACM에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 하십시오. AWS 이러한 인증서는 유효하고 만료되지 않았어야 합니다. 이 규칙에는 daysToExpiration (AWS기본 보안 모범 사례 값: 90) 의 값이 필요합니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 전송 중인 데이터를 보호하려면 클래식 Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하세요. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결을 설정할 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와의 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 리스너에 대해 미리 정의된 보안 정책을 설정해야 합니다. 기본 보안 정책은 SecurityPolicy ELB -TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 엘라스틱 로드 밸런서 (ELB) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하세요. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에서 보안 소켓 계층 (SSL) 을 사용하기 위한 요청을 요구해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWSCertificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 될 수 있으므로 AWS CloudTrail 트레일에 암호화를 활성화해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 Amazon Elastic Block Store (Amazon EBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 이러한 볼륨에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service (OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (Amazon Elastic Block Store) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 Amazon RDS (관계형 데이터베이스 서비스) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터가 Amazon RDS 인스턴스에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 Amazon Redshift 클러스터에 암호화가 활성화되어 있는지 확인하십시오. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted (구성 기본값: TRUE) 에 값을 설정하고 로깅을 활성화해야 합니다 (구성 기본값: TRUE). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 엔드포인트에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 노트북에 AWS KMS (AWS키 관리 서비스) 를 통한 암호화가 활성화되어 있는지 확인하십시오. SageMaker 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 저장된 데이터를 보호하려면 Amazon Simple Notification Service (Amazon SNS) 주제에 KMS (키 관리 서비스AWS) AWS 를 사용한 암호화가 필수인지 확인하십시오. 게시된 메시지에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon DynamoDB Auto AWS Scaling은 Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이를 통해 테이블 또는 글로벌 보조 인덱스는 프로비저닝된 읽기/쓰기 용량을 늘려 스로틀링 없이 갑자기 증가하는 트래픽을 처리할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 이 규칙을 사용하여 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구 시 지난 35일 동안 테이블의 연속 백업이 유지됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 엘라스틱 로드 밸런서 (ELB) 의 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 부하 분산을 사용하면 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지할 필요성이 줄어듭니다. 또한 하나 이상의 인스턴스 손실을 처리하는 애플리케이션의 능력도 향상됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 이 규칙은 Elastic Load Balancing이 삭제 보호를 활성화하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하십시오. 삭제 보호를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실될 수 있는 것을 방지할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성 및 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 다른 가용 영역의 대기 인스턴스에 데이터를 동기적으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우 Amazon RDS는 예비 복제본으로 자동 장애 조치를 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon Simple Storage 서비스 (Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인하십시오. 민감한 데이터가 S3 버킷에 저장되어 있을 수 있으므로 해당 데이터를 보호할 수 있도록 유휴 상태의 객체 잠금을 적용하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 이중화된 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 연결이 끊어지는 것을 방지하기 위해 고객 게이트웨이를 사용할 수 없게 되는 경우에 대비하여 두 번째 고객 게이트웨이를 사용하여 Amazon VPC (Virtual Private Cloud) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인하십시오. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다. | |
| 164.314 (b) (2) (i) | (2) 구현 사양 (필수). 그룹 건강 플랜의 계획 문서는 플랜 후원자에게 다음을 요구하는 조항을 포함하도록 수정되어야 합니다. (i) 그룹 건강 플랜을 대신하여 생성, 수신, 유지 또는 전송하는 전자 보호 의료 정보의 기밀성, 무결성 및 가용성을 합리적이고 적절하게 보호하는 행정적, 물리적, 기술적 보호 조치를 시행해야 합니다. | 민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Kinesis Streams에 암호화가 활성화되어 있는지 확인하십시오. |
Template
템플릿은 HIPAA 보안을 위한 운영 모범 사례에서
