K-ISMS 운영 모범 사례 - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

K-ISMS 운영 모범 사례

적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙과 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 점검을 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 적합성 팩은 샘플 템플릿으로 특정 거버넌스 또는 규정 준수 표준을 완전히 준수하도록 설계되지 않았습니다. 고객은 서비스 사용이 해당 법적 및 규제 요구 사항을 충족하는지 여부를 직접 평가할 책임이 있습니다.

다음은 한국 정보 보안 관리 시스템(ISMS)과 AWS 관리형 Config 규칙 간의 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 한국 - ISMS 제어와 관련이 있습니다. 한국 - ISMS 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑에 대한 자세한 내용과 지침은 아래 표를 참조하십시오.

AWS 리전: 를 제외한 지원되는 모든 AWS 리전중동(바레인)

제어 ID AWS Config 규칙 지침
1.2.1

ec2-instance-managed-by-systems-manager

AWS Systems Manager에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다.
1.2.1

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리 작성에 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준의 기준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보를 설정할 수 있도록 합니다.
1.2.1

ec2-volume-inuse-check

이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 인스턴스 종료 시 삭제 대기 상태가 되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능 개념을 위반할 수 있습니다.
1.2.1

eip-attached

이 규칙은 Amazon Virtual Private Cloud(Amazon VPC)에 할당된 Elastic IPs가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 사용 중인 Elastic Network Interfaces에 연결되도록 합니다. 이 규칙을 사용하면 해당 환경에서 사용되지 않는 EIPs를 모니터링할 수 있습니다.
2.1.3

ec2-instance-managed-by-systems-manager

AWS Systems Manager에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다.
2.1.3

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리 작성에 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준의 기준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보를 설정할 수 있도록 합니다.
2.1.3

ec2-volume-inuse-check

이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 인스턴스 종료 시 삭제 대기 상태가 되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능 개념을 위반할 수 있습니다.
2.1.3

eip-attached

이 규칙은 Amazon Virtual Private Cloud(Amazon VPC)에 할당된 Elastic IPs가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 사용 중인 Elastic Network Interfaces에 연결되도록 합니다. 이 규칙을 사용하면 해당 환경에서 사용되지 않는 EIPs를 모니터링할 수 있습니다.
2.3.3

cloudtrail-enabled

AWS CloudTrail는 AWS Management Console 작업 및 API 호출을 기록하여 비재정의에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠 내에서 볼 수 있습니다.
2.3.3

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch를 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리합니다. AWS CloudTrail 데이터를 포함하면 AWS 계정 내 API 호출 활동에 대한 세부 정보가 제공됩니다.
2.5.1

access-keys-rotated

자격 증명은 IAM 액세스 키가 조직 정책에 따라 교체되는지 확인하여 인증된 디바이스, 사용자 및 프로세스에 대해 감사됩니다. 정기적으로 액세스 키를 변경하는 것이 보안 모범 사례입니다. 액세스 키가 활성 상태인 기간을 단축하고 키가 손상된 경우 비즈니스 영향을 줄입니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config Default: 90). 실제 값은 조직의 정책을 반영해야 합니다.
2.5.1

emr-kerberos-enabled

Amazon EMR 클러스터에 대해 Kerberos를 활성화하여 최소 권한 및 업무 분리 원칙을 통해 액세스 권한 및 권한을 관리하고 통합할 수 있습니다. Kerberos에서는 서비스와 인증해야 하는 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버를 KDC(키 배포 센터)라고 합니다. 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증을 위한 티켓을 발급하여 인증합니다. KDC는 영역 내의 보안 주체, 그들의 암호 및 각 보안 주체에 대한 기타 관리자 정보가 저장된 데이터베이스를 유지합니다.
2.5.1

iam-group-has-users-check

AWS Identity and Access Management(IAM)는 IAM 그룹에 최소 1명 이상의 IAM 사용자가 포함되도록 함으로써 업무의 최소 권한 및 분리 원칙을 액세스 권한 및 권한 부여에 통합할 수 있습니다. IAM 사용자를 연결된 권한 또는 직무에 따라 그룹으로 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다.
2.5.1

iam-root-access-key-check

루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인합니다. 대신 역할 기반 AWS 계정을 생성하고 사용하여 최소 기능 원칙을 통합할 수 있습니다.
2.5.1

iam-user-group-membership-check

AWS Identity and Access Management(IAM)는 IAM 사용자가 적어도 하나의 그룹에 속하도록 하여 액세스 권한 및 권한 부여를 제한하는 데 도움이 될 수 있습니다. 작업을 완료하는 데 필요한 것보다 많은 권한을 사용자에게 허용하면 최소 권한 및 권한 분리 원칙을 위반할 수 있습니다.
2.5.1

iam-user-mfa-enabled

이 규칙을 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 제한합니다. 이 규칙은 모든 IAM 사용자에 대해 멀티 팩터 인증(MFA)이 활성화되도록 합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에 대해 MFA를 요구하여 손상된 계정의 사고를 줄입니다.
2.5.1

iam-user-no-policies-check

이 규칙은 AWS Identity and Access Management(IAM) 정책이 시스템 및 자산에 대한 액세스를 제어하는 그룹 또는 역할에만 연결되도록 합니다. 그룹 또는 역할 수준에서 권한을 할당하면 자격 증명이 과도한 권한을 받거나 보유할 기회가 줄어듭니다.
2.5.1

iam-user-unused-credentials-check

AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않는 IAM 암호 및 액세스 키를 확인하여 액세스 권한 및 권한 부여를 지원합니다. 이러한 미사용 자격 증명이 식별되면 최소 권한의 원칙을 위반할 수 있으므로 해당 자격 증명을 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 maxCredentialUsageAge(Config Default: 90)로 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.5.1

mfa-enabled-for-iam-console-access

콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하면 손상된 계정의 인시던트를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
2.5.1

root-account-hardware-mfa-enabled

루트 사용자에 대해 하드웨어 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.1

root-account-mfa-enabled

루트 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.1

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check를 활성화하여 AWS 클라우드에 대한 액세스를 관리합니다. 이 규칙은 사용자가 제공하는 AWS 보안 주체, 연동 사용자, 서비스 보안 주체, IP 주소 또는 Amazon Virtual Private Cloud(Amazon VPC) IDs에 의해 Amazon S3 버킷에서 부여한 액세스가 제한되는지 확인합니다.
2.5.1

secretsmanager-rotation-enabled-check

이 규칙은 AWS Secrets Manager 보안 암호에 교체가 활성화되어 있는지 확인합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며 보안 암호가 손상된 경우 비즈니스에 미치는 영향이 줄어들 수 있습니다.
2.5.1

secretsmanager-scheduled-rotation-success-check

이 규칙은 AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되도록 합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며, 손상될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다.
2.5.1

iam-고객-정책-차단-kms-활동

AWS Identity and Access Management(IAM)는 업무의 최소 권한 및 분리 원칙을 액세스 권한 및 권한 부여와 통합하여 정책이 모든 AWS Key Management Service 키에서 차단된 작업을 포함하지 못하게 제한하는 데 도움이 됩니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한이 있으면 최소 권한 및 업무 분리 원칙을 위반할 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 파라미터를 설정할 수 있습니다. (AWS 기반 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다.
2.5.1

iam-인라인-정책-차단-kms-활동

AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 AWS Key Management Service 키에 대해 차단된 작업을 허용하는 인라인 정책이 없는지 확인합니다. AWS는 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책은 재사용성, 버전 관리, 롤백 및 위임 권한 관리를 허용합니다. 이 규칙을 사용하면 blockedActionsPatterns 파라미터를 설정할 수 있습니다. (AWS 기반 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다.
2.5.3

iam-user-mfa-enabled

이 규칙을 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 제한합니다. 이 규칙은 모든 IAM 사용자에 대해 멀티 팩터 인증(MFA)이 활성화되도록 합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에 대해 MFA를 요구하여 손상된 계정의 사고를 줄입니다.
2.5.3

mfa-enabled-for-iam-console-access

콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하면 손상된 계정의 인시던트를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
2.5.3

root-account-hardware-mfa-enabled

루트 사용자에 대해 하드웨어 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.3

root-account-mfa-enabled

루트 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.4

iam-password-policy

자격 증명과 자격 증명은 조직 IAM 암호 정책에 따라 발급, 관리 및 확인됩니다. 이는 NIST SP 800-63 및 CIS(Centers for Internet Security) AWS Foundations 벤치마크에 명시된 암호 강도 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 선택적으로 RequireUppercaseCharacters(AWS 기반 보안 모범 사례 값: true), RequireLowercaseCharacters(AWS 기반 보안 모범 사례 값: true), RequireSymbols(AWS 기반 보안 모범 사례 값: true), RequireNumbers(AWS 기반 보안 모범 사례 값: true), MinimumPasswordLength(AWS 기반 보안 모범 사례 값: 14), PasswordReusePrevention(AWS 기반 보안 모범 사례: AWS 기반 보안 모범 사례) 암호 정책MaxPasswordAge 실제 값은 조직의 정책을 반영해야 합니다.
2.5.5

iam-root-access-key-check

루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인합니다. 대신 역할 기반 AWS 계정을 생성하고 사용하여 최소 기능 원칙을 통합할 수 있습니다.
2.5.5

root-account-hardware-mfa-enabled

루트 사용자에 대해 하드웨어 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.5

root-account-mfa-enabled

루트 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.5.5

secretsmanager-rotation-enabled-check

이 규칙은 AWS Secrets Manager 보안 암호에 교체가 활성화되어 있는지 확인합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며 보안 암호가 손상된 경우 비즈니스에 미치는 영향이 줄어들 수 있습니다.
2.5.5

secretsmanager-scheduled-rotation-success-check

이 규칙은 AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되도록 합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며, 손상될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다.
2.6

alb-waf-enabled(alb-waf-enabled)

웹 애플리케이션을 보호하기 위해 Elastic Load Balancer(ELB)에서 AWS WAF가 활성화되어 있는지 확인합니다. WAF는 일반적인 웹 도용으로부터 웹 애플리케이션 또는 APIs를 보호하는 데 도움이 됩니다. 이러한 웹 악용은 가용성에 영향을 미치거나, 보안을 손상시키거나, 환경 내에서 과도한 리소스를 소비할 수 있습니다.
2.6

dms-replication-not-public

DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 보장하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6

ebs-snapshot-public-restorable-check

EBS 스냅샷을 공개적으로 복원할 수 없도록 보장하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 그러한 계정에는 액세스 제어가 필요합니다.
2.6

ec2-instance-no-public-ip

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 보장하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6

elasticsearch-in-vpc-only

Amazon Elasticsearch Service(Amazon ES) 도메인이 Amazon Virtual Private Cloud(Amazon VPC) 내에 있는지 확인하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon VPC 내의 Amazon ES 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon ES와 Amazon VPC 내의 다른 서비스 간에 보안 통신이 가능합니다.
2.6

emr-master-no-public-ip

Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 보장하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6

iam-user-mfa-enabled

이 규칙을 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 제한합니다. 이 규칙은 모든 IAM 사용자에 대해 멀티 팩터 인증(MFA)이 활성화되도록 합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에 대해 MFA를 요구하여 손상된 계정의 사고를 줄입니다.
2.6

restricted-ssh

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리할 수 있습니다. 0.0.0.0/0에서 리소스의 포트 22로의 수신(또는 원격) 트래픽 허용 안 함은 원격 액세스를 제한하는 데 도움이 됩니다.
2.6

ec2-instances-in-vpc

Amazon Virtual Private Cloud(Amazon EC2) 인스턴스는 Amazon Virtual Private Cloud(Amazon VPC) 내에 배포하여 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내에서 인스턴스와 다른 서비스 간에 보안 통신을 가능하게 합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적 격리로 인해 anAmazon VPC에 상주하는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인에 비해 보안 계층이 하나 더 추가됩니다. 액세스를 적절히 관리하기 위해 Amazon VPC에 Amazon EC2 인스턴스를 할당합니다.
2.6

internet-gateway-authorized-vpc-only

인터넷 게이트웨이가 권한 있는 Amazon Virtual Private Cloud(Amazon VPC)에만 연결되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 인터넷 게이트웨이는 Amazon VPC와의 양방향 인터넷 액세스를 허용하므로 Amazon VPC 리소스에 대한 무단 액세스가 발생할 수 있습니다.
2.6

lambda-function-public-access-prohibited

AWS Lambda 함수에 공개적으로 액세스할 수 없도록 보장하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 리소스 가용성 저하로 이어질 수 있습니다.
2.6

lambda-inside-vpc

Amazon VPC 내에서 함수와 다른 서비스 간의 보안 통신을 위해 Amazon Virtual Private Cloud(Amazon VPC) 내에 AWS Lambda 함수를 배포합니다. 이 구성에서는 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon VPC에 상주하는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교하여 보안 계층이 추가됩니다. 액세스를 적절히 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다.
2.6

mfa-enabled-for-iam-console-access

콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA를 통해 사용자 이름 및 암호 외에 보호 계층이 한 단계 더 추가됩니다. IAM 사용자에게 MFA를 요구하면 손상된 계정의 인시던트를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
2.6

rds-instance-public-access-check

Amazon Relational Database Service(Amazon RDS) 인스턴스가 퍼블릭이 아니도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며, 이러한 계정에는 원칙과 액세스 제어가 필요합니다.
2.6

rds-snapshots-public-prohibited

Amazon Relational Database Service(Amazon RDS) 인스턴스가 퍼블릭이 아니도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6

redshift-cluster-public-access-check

Amazon Redshift 클러스터가 퍼블릭이 아닌지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6

restricted-common-ports

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 포트에 대한 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 선택적으로 blockedPort1 - blockedPort5 파라미터(Config Defaults: 20,21,3389,3306,43333)를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.6

root-account-hardware-mfa-enabled

루트 사용자에 대해 하드웨어 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.6

root-account-mfa-enabled

루트 사용자에 대해 MFA를 활성화하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 루트 사용자는 AWS 계정에서 권한이 가장 많은 사용자입니다. MFA는 사용자 이름 및 암호에 보호 계층을 추가합니다. 루트 사용자에게 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
2.6

s3-account-level-public-access-blocks

Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙을 사용하면 퍼블릭 액세스를 방지하여 민감한 데이터를 권한이 없는 원격 사용자로부터 안전하게 유지할 수 있습니다. 이 규칙을 사용하면 선택적으로 ignorePublicAcls(Config Default: True), blockPublicPolicy(Config Default: True), blockPublicAcls(Config Default: True) 및 restrictPublicBuckets 파라미터(Config Default: True)를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.6

s3-bucket-policy-grantee-check

s3_ bucket_policy_grantee_check를 활성화하여 AWS 클라우드에 대한 액세스를 관리합니다. 이 규칙은 사용자가 제공하는 AWS 보안 주체, 연동 사용자, 서비스 보안 주체, IP 주소 또는 Amazon Virtual Private Cloud(Amazon VPC) IDs에 의해 Amazon S3 버킷에서 부여한 액세스가 제한되는지 확인합니다.
2.6

s3-bucket-public-read-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷에 대한 권한 있는 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
2.6

s3-bucket-public-write-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷에 대한 권한 있는 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
2.6

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker 노트북이 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지하여 권한이 없는 사용자가 민감한 데이터에 액세스하지 못하도록 할 수 있습니다.
2.6

vpc-default-security-group-closed

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 기본 보안 그룹에서 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다.
2.6

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 포트에 대한 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0) 원격 액세스에서 보안 그룹 내 리소스에 대한 액세스를 제한하면 내부 시스템에 대해 액세스를 제어할 수 있습니다.
2.6.4

secretsmanager-rotation-enabled-check

이 규칙은 AWS Secrets Manager 보안 암호에 교체가 활성화되어 있는지 확인합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며 보안 암호가 손상된 경우 비즈니스에 미치는 영향이 줄어들 수 있습니다.
2.6.4

secretsmanager-scheduled-rotation-success-check

이 규칙은 AWS Secrets Manager 보안 암호가 교체 일정에 따라 성공적으로 교체되도록 합니다. 정기적으로 보안 암호를 교체하면 보안 암호가 활성 상태인 기간이 단축될 수 있으며, 손상될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다.
2.6.6

restricted-common-ports

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 포트에 대한 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 선택적으로 blockedPort1 - blockedPort5 파라미터(Config Defaults: 2021,3389,3306,43333)를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.6.6

s3-account-level-public-access-blocks

Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙을 사용하면 퍼블릭 액세스를 방지하여 민감한 데이터를 권한이 없는 원격 사용자로부터 안전하게 유지할 수 있습니다. 이 규칙을 사용하면 선택적으로 ignorePublicAcls(Config Default: True), blockPublicPolicy(Config Default: True), blockPublicAcls(Config Default: True) 및 restrictPublicBuckets 파라미터(Config Default: True)를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.6.6

s3-bucket-public-read-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷에 대한 권한 있는 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
2.6.6

s3-bucket-public-write-prohibited

Amazon Simple Storage Service(Amazon S3) 버킷에 대한 권한 있는 사용자, 프로세스 및 디바이스 액세스만 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
2.6.6

sagemaker-notebook-no-direct-internet-access

Amazon SageMaker 노트북이 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지하여 권한이 없는 사용자가 민감한 데이터에 액세스하지 못하도록 할 수 있습니다.
2.6.6

vpc-default-security-group-closed

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 발신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 기본 보안 그룹에서 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다.
2.6.6

vpc-sg-open-only-to-authorized-ports

Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 포트에 대한 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0) 원격 액세스에서 보안 그룹 내 리소스에 대한 액세스를 제한하면 내부 시스템에 대해 액세스를 제어할 수 있습니다.
2.6.6

rds-instance-public-access-check

Amazon Relational Database Service(Amazon RDS) 인스턴스가 퍼블릭이 아니도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며, 이러한 계정에는 원칙과 액세스 제어가 필요합니다.
2.6.6

redshift-cluster-public-access-check

Amazon Redshift 클러스터가 퍼블릭이 아닌지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
2.6.6

ec2-imdsv2-check

Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터의 액세스 및 제어를 보호하려면 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 메서드가 활성화되어 있는지 확인합니다. 메서드는 세션 기반 제어를 사용합니다.IMDSv2 를 사용하면 컨트롤을 구현하여 인스턴스 메타데이터에 대한 변경을 제한할 수 있습니다.IMDSv2
2.6.6

lambda-function-public-access-prohibited

AWS Lambda 함수에 공개적으로 액세스할 수 없도록 보장하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 리소스 가용성 저하로 이어질 수 있습니다.
2.7

acm-certificate-expiration-check

X509 인증서가 AWS ACM에서 발급되도록 하여 네트워크 무결성을 보호합니다. 이러한 인증서는 유효하고 만료되지 않아야 합니다. 이 규칙에는 daysToExpiration의 값이 필요합니다(AWS 기반 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
2.7

alb-http-drop-invalid-header-enabled

http 헤더를 삭제하도록 Elastic Load Balancer(ELB)가 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

alb-http-to-https-redirection-check

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 HTTPS로 자동으로 리디렉션하는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

api-gw-cache-enabled-and-encrypted

유휴 데이터를 보호하려면 API 게이트웨이 단계의 캐시에 대해 암호화가 활성화되어 있는지 확인합니다. API 메서드에 대해 민감한 데이터를 캡처할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

cloud-trail-encryption-enabled

민감한 데이터가 존재하고 유휴 데이터를 보호할 수 있으므로 AWS CloudTrail 추적에 대해 암호화가 활성화되어 있는지 확인하십시오.
2.7

cloudwatch-log-group-encrypted

유휴 시 민감한 데이터를 보호하려면 Amazon CloudWatch 로그 그룹에 대해 암호화가 활성화되어 있는지 확인합니다.
2.7

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되어 있는지 확인합니다. 이러한 테이블에 민감한 데이터가 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유 고객 마스터 키(CMK)로 암호화됩니다.
2.7

ec2-ebs-encryption-by-default

유휴 데이터를 보호하려면 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화가 활성화되어 있는지 확인합니다. 중요한 데이터가 이러한 볼륨에 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.
2.7

efs-encrypted-check

민감한 데이터가 존재할 수 있으며 유휴 데이터를 보호하기 위해 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인합니다.
2.7

elasticsearch-encrypted-at-rest

민감한 데이터가 존재할 수 있으며 유휴 데이터를 보호할 수 있으므로 Amazon Elasticsearch Service(Amazon ES) 도메인에 대해 암호화가 활성화되어 있는지 확인하십시오.
2.7

elasticsearch-node-to-node-encryption-check

Amazon Elasticsearch Service에 대한 노드 간 암호화가 활성화되어 있는지 확인합니다. 노드 간 암호화를 사용하면 Amazon Virtual Private Cloud(Amazon VPC) 내의 모든 통신에 대해 TLS 1.2 암호화를 사용할 수 있습니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

elb-acm-certificate-required

중요한 데이터가 존재할 수 있으며 전송 중 데이터를 보호하기 위해 Elastic Load Balancing에 대해 암호화가 활성화되어 있는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스를 포함하는 퍼블릭 및 프라이빗 SSL/TLS 인증서를 관리, 프로비저닝 및 배포합니다.
2.7

elb-tls-https-listeners-only

Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

encrypted-volumes

민감한 데이터가 존재할 수 있고 유휴 데이터를 보호하기 때문에 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화가 활성화되어 있는지 확인합니다.
2.7

rds-snapshot-encrypted

Amazon Relational Database Service(Amazon RDS) 스냅샷에 대해 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터는 유휴 시 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.
2.7

rds-storage-encrypted

유휴 데이터를 보호하려면 Amazon Relational Database Service(Amazon RDS) 인스턴스에 대해 암호화가 활성화되어 있는지 확인합니다. 중요한 데이터는 Amazon RDS 인스턴스에 유휴 시 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.
2.7

redshift-cluster-configuration-check

유휴 데이터를 보호하려면 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필요한 구성이 Amazon Redshift 클러스터에 배포되도록 해야 합니다. 데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 clusterDbEncrypted(Config Default : TRUE) 및 loggingEnabled(Config Default: TRUE)에 대한 값을 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.7

redshift-require-tls-ssl

Amazon Redshift 클러스터에서 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

s3-bucket-server-side-encryption-enabled

유휴 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터는 Amazon S3 버킷에 유휴 상태로 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

s3-bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 SSL(Secure Socket Layer)을 사용하기 위한 요청이 필요한지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.7

sagemaker-endpoint-configuration-kms-key-configured

유휴 데이터를 보호하려면 SageMaker 엔드포인트에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. 민감한 데이터는 SageMaker 엔드포인트에 유휴 시 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.
2.7

sagemaker-notebook-instance-kms-key-configured

유휴 데이터를 보호하려면 SageMaker 노트북에서 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. 노트북에는 민감한 데이터가 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.SageMaker
2.7

sns-encrypted-kms

유휴 데이터를 보호하려면 Amazon Simple Notification Service(Amazon SNS) 주제에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 필요한지 확인합니다. 민감한 데이터는 게시된 메시지에 유휴 시 존재할 수 있으므로 유휴 시 암호화를 활성화하여 해당 데이터를 보호합니다.
2.7.2

cmk-backing-key-rotation-enabled

키 교체를 활성화하여 암호화 기간이 끝나면 키가 교체되도록 합니다.
2.7.2

kms-cmk-not-scheduled-for-deletion

유휴 데이터를 보호하기 위해 필요한 고객 마스터 키(CMK)가 AWS Key Management Service(AWS KMS)에서 삭제가 예약되지 않도록 합니다. 키 삭제가 필요할 때가 있으므로 이 규칙은 키가 의도치 않게 예약된 경우 삭제되도록 모든 키를 확인하는 데 도움이 될 수 있습니다.
2.8.5

codebuild-project-envvar-awscred-check

인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 AWS Codebuild 프로젝트 환경 내에 없는지 확인합니다. 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생합니다.
2.8.5

codebuild-project-source-repo-url-check

또는 Bitbucket 소스 리포지토리 URL에 AWS Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 사용자 이름 및 암호가 포함되어 있지 않은지 확인합니다.GitHub 개인 액세스 토큰 또는 사용자 이름과 암호 대신 OAuth를 사용하여 GitHub 또는 Bitbucket 리포지토리에 액세스하기 위한 권한을 부여합니다.
2.8.6

codebuild-project-envvar-awscred-check

인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 AWS Codebuild 프로젝트 환경 내에 없는지 확인합니다. 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출 및 무단 액세스가 발생합니다.
2.8.6

codebuild-project-source-repo-url-check

또는 Bitbucket 소스 리포지토리 URL에 AWS Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 사용자 이름 및 암호가 포함되어 있지 않은지 확인합니다.GitHub 개인 액세스 토큰 또는 사용자 이름과 암호 대신 OAuth를 사용하여 GitHub 또는 Bitbucket 리포지토리에 액세스하기 위한 권한을 부여합니다.
2.9.1

account-part-of-organizations

AWS Organizations 내의 AWS 계정 중앙 집중식 관리를 통해 계정이 규정을 준수하는지 확인할 수 있습니다. 중앙 집중식 계정 거버넌스가 부족하면 일관되지 않은 계정 구성이 발생하여 리소스와 중요한 데이터가 노출될 수 있습니다.
2.9.1

cloud-trail-log-file-validation-enabled

AWS CloudTrail 로그 파일 검증을 사용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증을 통해 CloudTrail에서 로그 파일을 전송한 후 해당 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 이 기능은 업계 표준 알고리즘을 사용하여 빌드되었습니다. 해싱의 경우 SHA-256 및 디지털 서명의 경우 RSA가 있는 SHA-256입니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다.
2.9.1

CloudTrail-security-trail-enabled

이 규칙을 통해 여러 설정의 활성화 여부를 확인하여 AWS CloudTrail에 대해 AWS 권장 보안 모범 사례를 사용할 수 있습니다. 여기에는 로그 암호화 사용, 로그 검증 및 여러 리전에서 AWS CloudTrail 활성화가 포함됩니다.
2.9.1

redshift-cluster-maintenancesettings-check

이 규칙은 Amazon Redshift 클러스터가 조직에 대해 기본 설정인지 확인합니다. 특히 데이터베이스에 대해 기본 유지 관리 기간 및 자동 스냅샷 보존 기간이 있습니다. 이 규칙을 사용하려면 allowVersionUpgrade를 설정해야 합니다. 기본값은 true입니다. 또한 선택적으로 preferredMaintenanceWindow(기본값은 Sat:16:00-sat:16:30) 및 automatedSnapshotRetentionPeriod(기본값은 1)를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.9.2

autoscaling-group-elb-healthcheck-required

Amazon Elastic Compute Cloud(Amazon EC2) Auto Scaling 그룹에 대한 Elastic Load Balancer(ELB) 상태 확인은 적절한 용량 및 가용성에 대한 유지 관리를 지원합니다. 로드 밸런서는 ping을 주기적으로 전송하거나, 연결을 시도하거나, Auto Scaling 그룹에서 Amazon EC2 인스턴스 상태를 테스트하기 위한 요청을 전송합니다. 인스턴스가 다시 보고되지 않으면 트래픽이 새 Amazon EC2 인스턴스로 전송됩니다.
2.9.2

cloudwatch-alarm-action-check

Amazon CloudWatch는 지표가 지정된 수의 평가 기간에 대한 임계값을 위반할 경우 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired(Config Default: True), insufficientDataActionRequired(Config Default: True), okActionRequired(Config Default: False) 값이 필요합니다. 실제 값은 환경의 경보 작업을 반영해야 합니다.
2.9.2

dynamodb-throughput-limit-check

이 규칙을 활성화하여 Amazon DynamoDB 테이블에서 프로비저닝된 처리 능력을 확인합니다. 이것은 각 테이블이 지원할 수 있는 읽기/쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객의 계정에 대한 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 선택적으로 accountRCUThresholdPercentage(Config Default: 80) 및 accountWCUThresholdPercentage(Config Default: 80) 파라미터를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
2.9.2

ec2-instance-detailed-monitoring-enabled

이 규칙을 활성화하면 Amazon EC2 콘솔에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선할 수 있습니다. 이 콘솔은 인스턴스에 대해 1분 기간의 모니터링 그래프를 표시합니다.
2.9.2

lambda-concurrency-check

이 규칙은 Lambda 함수의 동시성 높은 한도와 낮은 한도가 설정되도록 합니다. 이렇게 하면 지정된 시간에 함수가 제공하는 요청 수를 기준대로 조정하는 데 도움이 될 수 있습니다.
2.9.2

lambda-dlq-check

이 규칙을 활성화하면 함수가 실패할 때 Amazon Simple Queue Service(Amazon SQS) 또는 Amazon Simple Notification Service(Amazon SNS)를 통해 담당자에게 알릴 수 있습니다.
2.9.2

rds-enhanced-monitoring-enabled

Amazon Relational Database Service(Amazon RDS)를 활성화하여 Amazon RDS 가용성을 모니터링할 수 있습니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 세부적으로 파악할 수 있습니다. Amazon RDS 스토리지가 둘 이상의 기본 물리적 디바이스를 사용하는 경우 확장 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행 중인 경우 보조 호스트의 각 디바이스에 대한 데이터가 수집되고 보조 호스트 지표가 보조 호스트입니다.
2.9.3

db-instance-backup-enabled

Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 전체 DB 인스턴스를 백업하여 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성합니다. 이 시스템에서는 복원력 요구 사항을 충족하기 위해 특정 보존 기간을 설정할 수 있습니다.
2.9.3

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling은 AWS Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이렇게 하면 테이블 또는 글로벌 보조 인덱스가 할당된 읽기/쓰기 용량을 늘려 병목 현상 없이 갑작스러운 트래픽 증가를 처리할 수 있습니다.
2.9.3

dynamodb-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon DynamoDB 테이블이 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.9.3

dynamodb-pitr-enabled

이 규칙을 활성화하여 정보가 백업되었는지 확인합니다. 또한 Amazon DynamoDB에서 특정 시점으로 복구가 활성화되도록 하여 백업을 유지합니다. 복구는 지난 35일 동안 테이블의 연속 백업을 유지합니다.
2.9.3

ebs-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store(Amazon EBS) 볼륨이 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.9.3

ebs-optimized-instance

Amazon Elastic Block Store(Amazon EBS)의 최적화된 인스턴스는 Amazon EBS I/O 작업을 위한 추가 전용 용량을 제공합니다. 이 최적화는 Amazon EBS I/O 작업과 인스턴스의 다른 트래픽 간의 경합을 최소화하여 EBS 볼륨에 가장 효율적인 성능을 제공합니다.
2.9.3

EFS-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Elastic File System(Amazon EFS) 파일 시스템이 AWS Backup 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.9.3

elasticache-redis-cluster-automatic-backup-check

자동 백업이 활성화되면 Amazon ElastiCache는 매일 클러스터 백업을 생성합니다. 조직에서 지정한 일수만큼 백업을 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 장애가 발생하면 새 클러스터를 생성하여 최신 백업에서 데이터를 복원할 수 있습니다.
2.9.3

elb-cross-zone-load-balancing-enabled

Elastic Load Balancer(ELB)에 대한 교차 영역 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지할 수 있습니다. 교차 영역 로드 밸런싱을 사용하면 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지할 필요가 줄어듭니다. 또한 애플리케이션이 하나 이상의 인스턴스 손실을 처리할 수 있는 기능도 개선합니다.
2.9.3

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing에 삭제 방지가 활성화되어 있는지 확인합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되는 것을 방지하여 애플리케이션의 가용성이 손실될 수 있습니다.
2.9.3

rds-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Relational Database Service(Amazon RDS) 인스턴스가 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.9.3

rds-instance-deletion-protection-enabled

Amazon Relational Database Service(Amazon RDS) 인스턴스에서 삭제 방지가 활성화되어 있는지 확인합니다. 삭제 방지를 사용하여 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되지 않도록 방지하므로 애플리케이션의 가용성이 손실될 수 있습니다.
2.9.3

rds-multi-az-support

Amazon Relational Database Service(Amazon RDS)의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성과 내구성을 강화합니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝할 때 Amazon RDS는 자동으로 기본 데이터베이스 인스턴스를 생성하고 데이터를 다른 가용 영역의 대기 인스턴스에 동기식으로 복제합니다. 각 가용 영역은 물리적으로 구분된 독립 인프라를 기반으로 실행되며 높은 안정성을 제공하도록 설계되었습니다. 인프라 장애의 경우 Amazon RDS는 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있도록 스탠바이로 자동 장애 조치를 수행합니다.
2.9.3

s3-bucket-default-lock-enabled

Amazon Simple Storage Service(Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인합니다. 민감한 데이터는 S3 버킷에 저장 시 존재할 수 있으므로 해당 데이터를 보호하기 위해 유휴 시 객체 잠금을 적용합니다.
2.9.3

s3-bucket-replication-enabled

Amazon Simple Storage Service(Amazon S3) 교차 리전 복제(CRR)는 적절한 용량 및 가용성 유지를 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 비동기식으로 자동 복사할 수 있으므로 데이터 가용성을 유지하는 데 도움이 됩니다.
2.9.3

s3-bucket-versioning-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷에서 객체의 여러 변형을 유지할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리를 사용하면 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 쉽게 복구할 수 있습니다.
2.9.3

vpc-vpn-2-tunnels-up

중복 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 사이트 간 VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 고객 게이트웨이를 사용할 수 없는 경우 연결이 끊어지지 않도록 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud(Amazon VPC) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다.
2.9.4

api-gw-execution-logging-enabled

API Gateway 로깅은 API에 액세스한 사용자의 상세 보기와 API에 액세스한 방법을 보여줍니다. 이 통찰력을 통해 사용자 활동을 확인할 수 있습니다.
2.9.4

cloud-trail-cloud-watch-logs-enabled

Amazon CloudWatch를 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리합니다. AWS CloudTrail 데이터를 포함하면 AWS 계정 내 API 호출 활동에 대한 세부 정보가 제공됩니다.
2.9.4

cloudtrail-enabled

AWS CloudTrail는 AWS Management Console 작업 및 API 호출을 기록하여 비재정의에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠 내에서 볼 수 있습니다.
2.9.4

cloudtrail-s3-dataevents-enabled

Simple Storage Service(Amazon S3) 데이터 이벤트의 모음은 변칙적인 활동을 감지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소 및 이벤트 시간이 포함됩니다.
2.9.4

cw-loggroup-retention-period-check

문제 해결 및 과학 수사에 도움이 되도록 로그 그룹에 대해 이벤트 로그 데이터의 최소 기간을 보존해야 합니다. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기 어렵습니다.
2.9.4

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내에서의 중앙 통신 지점입니다. ELB 로깅이 활성화되어 있는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 대한 세부 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
2.9.4

multi-region-CloudTrail 지원

AWS CloudTrail는 AWS Management Console 작업 및 API 호출을 기록합니다. AWS를 호출한 사용자 및 계정, 호출이 발생한 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다. MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 CloudTrail가 모든 AWS 리전의 로그 파일을 S3 버킷으로 전송합니다. 또한 AWS에서 새 리전을 시작할 때 CloudTrail은 새 리전에 동일한 추적을 생성합니다. 따라서 별도의 조치 없이 새 리전에 대한 API 활동이 포함된 로그 파일을 받게 됩니다.
2.9.4

rds-logging-enabled

환경 내 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(Amazon RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 쿼리된 연결, 연결 해제, 쿼리 또는 테이블과 같은 이벤트를 캡처할 수 있습니다.
2.9.4

s3-bucket-logging-enabled

Amazon Simple Storage Service(Amazon S3) 서버 액세스 로깅은 네트워크에서 잠재적 사이버 보안 이벤트를 모니터링하는 방법을 제공합니다. Amazon S3 버킷에 대해 이루어진 요청의 세부 레코드를 캡처하여 이벤트를 모니터링합니다. 각 액세스 로그 레코드는 단일 액세스 요청에 대한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태 및 오류 코드(해당되는 경우)가 포함됩니다.
2.9.4

vpc-flow-logs-enabled

VPC 흐름 로그는 Amazon Virtual Private Cloud(Amazon VPC)의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 레코드를 제공합니다. 기본적으로 흐름 로그 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
2.9.4

wafv2-logging-enabled

환경 내 로깅 및 모니터링에 도움이 되도록 리전 및 글로벌 웹 ACLs에서 AWS WAF(V2) 로깅을 활성화합니다. AWS WAF 로깅은 웹 ACL에 의해 분석되는 트래픽에 대한 자세한 정보를 제공합니다. 로그는 AWS WAF가 AWS 리소스에서 요청을 수신한 시간, 요청에 대한 정보 및 각 요청이 일치하는 규칙에 대한 작업을 기록합니다.
2.10.3

ec2-instance-managed-by-systems-manager

AWS Systems Manager에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다.
2.10.3

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리 작성에 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준의 기준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보를 설정할 수 있도록 합니다.
2.10.3

ec2-stopped-instance

조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일수보다 오래 중지되었는지 여부를 확인하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 기준 구성에 도움이 되도록 이 규칙을 활성화합니다.
2.10.3

ec2-volume-inuse-check

이 규칙은 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 인스턴스 종료 시 삭제 대기 상태가 되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능 개념을 위반할 수 있습니다.
2.10.3

guardduty-enabled-centralized

Amazon GuardDuty는 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 감지할 수 있습니다. 여기에는 AWS 클라우드 환경에서 예기치 않은, 승인되지 않은 및 악의적인 활동을 식별하기 위한 악의적인 IPs 및 기계 학습 목록이 포함됩니다.
2.10.3

guardduty-non-archived-findings

Amazon GuardDuty를 사용하면 심각도(낮음, 중간 및 높음)별로 결과를 분류하여 인시던트의 영향을 파악할 수 있습니다. 이러한 분류를 사용하여 문제 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 결과에 대해 선택적으로 daysLowSev(Config Default: 30), daysMediumSev(Config Default: 7) 및 daysHighSev(Config Default: 1)를 설정할 수 있습니다.
2.10.3

ec2-security-group-attached-to-eni

이 규칙은 보안 그룹이 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 ENI에 연결되도록 합니다. 이 규칙을 통해 인벤토리의 사용되지 않는 보안 그룹을 모니터링하고 환경을 관리할 수 있습니다.
2.10.5

alb-http-drop-invalid-header-enabled

http 헤더를 삭제하도록 Elastic Load Balancer(ELB)가 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.5

alb-http-to-https-redirection-check

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 HTTPS로 자동으로 리디렉션하는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.5

elasticsearch-node-to-node-encryption-check

Amazon Elasticsearch Service에 대한 노드 간 암호화가 활성화되어 있는지 확인합니다. 노드 간 암호화를 사용하면 Amazon Virtual Private Cloud(Amazon VPC) 내의 모든 통신에 대해 TLS 1.2 암호화를 사용할 수 있습니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.5

elb-acm-certificate-required

중요한 데이터가 존재할 수 있으며 전송 중 데이터를 보호하기 위해 Elastic Load Balancing에 대해 암호화가 활성화되어 있는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스를 포함하는 퍼블릭 및 프라이빗 SSL/TLS 인증서를 관리, 프로비저닝 및 배포합니다.
2.10.5

elb-tls-https-listeners-only

Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.5

redshift-require-tls-ssl

Amazon Redshift 클러스터에서 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.5

s3-bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 SSL(Secure Socket Layer)을 사용하기 위한 요청이 필요한지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호할 수 있습니다.
2.10.8

ec2-instance-managed-by-systems-manager

AWS Systems Manager에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 환경에 대한 기타 세부 정보를 제공합니다.
2.10.8

ec2-managedinstance-association-compliance-status-check

AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리 작성에 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준의 기준, 소프트웨어 설치, 애플리케이션 구성 및 기타 환경 세부 정보를 설정할 수 있도록 합니다.
2.10.8

ec2-managedinstance-patch-compliance-status-check

이 규칙을 활성화하면 Amazon Elastic Compute Cloud(Amazon EC2) 취약성의 식별 및 문서화에 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수가 있는지 확인합니다.
2.11.2

guardduty-non-archived-findings

Amazon GuardDuty를 사용하면 심각도(낮음, 중간 및 높음)별로 결과를 분류하여 인시던트의 영향을 파악할 수 있습니다. 이러한 분류를 사용하여 문제 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 결과에 대해 선택적으로 daysLowSev(Config Default: 30), daysMediumSev(Config Default: 7), daysHighSev(Config Default: 1)를 설정할 수 있습니다.
2.11.3

cloudwatch-alarm-action-check

Amazon CloudWatch는 지표가 지정된 수의 평가 기간에 대한 임계값을 위반할 경우 알림을 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired(Config Default: True), insufficientDataActionRequired(Config Default: True), okActionRequired(Config Default: False) 값이 필요합니다. 실제 값은 환경의 경보 작업을 반영해야 합니다.
2.11.3

ec2-instance-detailed-monitoring-enabled

이 규칙을 활성화하면 Amazon EC2 콘솔에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선할 수 있습니다. 이 콘솔은 인스턴스에 대해 1분 기간의 모니터링 그래프를 표시합니다.
2.11.3

guardduty-enabled-centralized

Amazon GuardDuty는 위협 인텔리전스 피드를 사용하여 잠재적 사이버 보안 이벤트를 모니터링하고 감지할 수 있습니다. 여기에는 AWS 클라우드 환경에서 예기치 않은, 승인되지 않은 및 악의적인 활동을 식별하기 위한 악의적인 IPs 및 기계 학습 목록이 포함됩니다.
2.11.3

lambda-concurrency-check

이 규칙은 Lambda 함수의 동시성 높은 한도와 낮은 한도가 설정되도록 합니다. 이렇게 하면 지정된 시간에 함수가 제공하는 요청 수를 기준대로 조정하는 데 도움이 될 수 있습니다.
2.11.3

lambda-dlq-check

이 규칙을 활성화하면 함수가 실패할 때 Amazon Simple Queue Service(Amazon SQS) 또는 Amazon Simple Notification Service(Amazon SNS)를 통해 담당자에게 알릴 수 있습니다.
2.11.3

rds-enhanced-monitoring-enabled

Amazon Relational Database Service(Amazon RDS)를 활성화하여 Amazon RDS 가용성을 모니터링할 수 있습니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 세부적으로 파악할 수 있습니다. Amazon RDS 스토리지가 둘 이상의 기본 물리적 디바이스를 사용하는 경우 확장 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행 중인 경우 보조 호스트의 각 디바이스에 대한 데이터가 수집되고 보조 호스트 지표가 보조 호스트입니다.
2.11.3

securityhub-enabled

AWS Security Hub는 권한이 없는 사람, 연결, 디바이스 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 AWS 서비스에서 보안 알림 또는 결과를 집계하고 구성하고 우선 순위를 지정합니다. 이러한 서비스 중에는 Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management(IAM) 액세스 분석기, AWS Firewall Manager, AWS 파트너 솔루션 등이 있습니다.
2.12

db-instance-backup-enabled

Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 전체 DB 인스턴스를 백업하여 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성합니다. 이 시스템에서는 복원력 요구 사항을 충족하기 위해 특정 보존 기간을 설정할 수 있습니다.
2.12

dynamodb-autoscaling-enabled

Amazon DynamoDB Auto Scaling은 AWS Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이렇게 하면 테이블 또는 글로벌 보조 인덱스가 할당된 읽기/쓰기 용량을 늘려 병목 현상 없이 갑작스러운 트래픽 증가를 처리할 수 있습니다.
2.12

dynamodb-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon DynamoDB 테이블이 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.12

dynamodb-pitr-enabled

이 규칙을 활성화하여 정보가 백업되었는지 확인합니다. 또한 Amazon DynamoDB에서 특정 시점으로 복구가 활성화되도록 하여 백업을 유지합니다. 복구는 지난 35일 동안 테이블의 연속 백업을 유지합니다.
2.12

ebs-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store(Amazon EBS) 볼륨이 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.12

ebs-optimized-instance

Amazon Elastic Block Store(Amazon EBS)의 최적화된 인스턴스는 Amazon EBS I/O 작업을 위한 추가 전용 용량을 제공합니다. 이 최적화는 Amazon EBS I/O 작업과 인스턴스의 다른 트래픽 간의 경합을 최소화하여 EBS 볼륨에 가장 효율적인 성능을 제공합니다.
2.12

EFS-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Elastic File System(Amazon EFS) 파일 시스템이 AWS Backup 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.12

elasticache-redis-cluster-automatic-backup-check

자동 백업이 활성화되면 Amazon ElastiCache는 매일 클러스터 백업을 생성합니다. 조직에서 지정한 일수만큼 백업을 보존할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 장애가 발생하면 새 클러스터를 생성하여 최신 백업에서 데이터를 복원할 수 있습니다.
2.12

elb-cross-zone-load-balancing-enabled

Elastic Load Balancer(ELB)에 대한 교차 영역 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지할 수 있습니다. 교차 영역 로드 밸런싱을 사용하면 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지할 필요가 줄어듭니다. 또한 애플리케이션이 하나 이상의 인스턴스 손실을 처리할 수 있는 기능도 개선합니다.
2.12

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing에 삭제 방지가 활성화되어 있는지 확인합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되는 것을 방지하여 애플리케이션의 가용성이 손실될 수 있습니다.
2.12

rds-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Relational Database Service(Amazon RDS) 인스턴스가 AWS 백업 계획의 일부인지 확인합니다. AWS 백업은 정책 기반 백업 솔루션을 사용하는 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 간소화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
2.12

rds-instance-deletion-protection-enabled

Amazon Relational Database Service(Amazon RDS) 인스턴스에서 삭제 방지가 활성화되어 있는지 확인합니다. 삭제 방지를 사용하여 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되지 않도록 방지하므로 애플리케이션의 가용성이 손실될 수 있습니다.
2.12

rds-multi-az-support

Amazon Relational Database Service(Amazon RDS)의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성과 내구성을 강화합니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝할 때 Amazon RDS는 자동으로 기본 데이터베이스 인스턴스를 생성하고 데이터를 다른 가용 영역의 대기 인스턴스에 동기식으로 복제합니다. 각 가용 영역은 물리적으로 구분된 독립 인프라를 기반으로 실행되며 높은 안정성을 제공하도록 설계되었습니다. 인프라 장애의 경우 Amazon RDS는 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있도록 스탠바이로 자동 장애 조치를 수행합니다.
2.12

s3-bucket-default-lock-enabled

Amazon Simple Storage Service(Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인합니다. 민감한 데이터는 S3 버킷에 저장 시 존재할 수 있으므로 해당 데이터를 보호하기 위해 유휴 시 객체 잠금을 적용합니다.
2.12

s3-bucket-replication-enabled

Amazon Simple Storage Service(Amazon S3) 교차 리전 복제(CRR)는 적절한 용량 및 가용성 유지를 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 비동기식으로 자동 복사할 수 있으므로 데이터 가용성을 유지하는 데 도움이 됩니다.
2.12

s3-bucket-versioning-enabled

Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷에서 객체의 여러 변형을 유지할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리를 사용하면 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 쉽게 복구할 수 있습니다.
2.12

vpc-vpn-2-tunnels-up

중복 Site-to-Site VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 두 개의 터널을 사용하여 사이트 간 VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장합니다. 고객 게이트웨이를 사용할 수 없는 경우 연결이 끊어지지 않도록 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud(Amazon VPC) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다.

Template

템플릿은 GitHub에서 사용할 수 있습니다. K-ISMS 운영 모범 사례.