에 대한 운영 모범 사례 NBC TRMG - AWS Config

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대한 운영 모범 사례 NBC TRMG

적합성 팩은 관리형 또는 사용자 지정을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config 규칙 및 AWS Config 개선 조치. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.

다음은 캄보디아 국립은행의 (NBC) 기술 위험 관리 (TRM) 지침 프레임워크와 AWS 관리형 Config 규칙. 각 Config 규칙은 특정 항목에 적용됩니다. AWS 리소스이며 하나 이상의 NBC TRM 가이드라인과 관련이 있습니다. NBCTRM지침은 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.

이 샘플 적합성 팩 템플릿에는 캄보디아 국립은행 (NBC) 기술 위험 관리 (TRM) 지침 프레임워크 내의 제어 항목에 대한 매핑이 포함되어 있습니다. 이 지침은 캄보디아 국립은행: 기술 위험 관리 지침에서 확인할 수 있습니다.

제어 ID 제어 설명 AWS Config 규칙 지침
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-root-access-key-체크

루트 사용자에게 액세스 키가 연결되어 있지 않은지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. AWS Identity 및 Access Management (IAM) 역할. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 역할 기반 시스템을 만들어 사용하세요. AWS 계정 최소 기능이라는 원칙을 통합하는 데 도움이 되기 위해서죠.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

api-gw-execution-logging-활성화됨

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 통제는 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

cloud-trail-cloud-watch-로그 지원

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

cloudwatch-alarm-action-check

Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. 로깅이 활성화되어 있는지 확인하세요ELB. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

lambda-dlq-check

이 규칙을 활성화하면 함수가 실패했을 때 Amazon 단순 대기열 서비스 (AmazonSQS) 또는 Amazon 단순 알림 서비스 (AmazonSNS) 를 통해 담당자에게 알리는 데 도움이 됩니다.
3.1.1(d) d) 고려해야 할 중요한 통제는 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

multi-region-cloudtrail-enabled

AWS CloudTrail 기록 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 서비스. 이러한 서비스 중에는 아마존 보안 허브, 아마존 인스펙터, 아마존 마시 등이 있습니다. AWS Identity 및 Access Management (IAM) 액세스 분석기, AWS 방화벽 관리자, AWS 파트너 솔루션.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

cw-loggroup-retention-period-체크

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-user-unused-credentials-체크

AWS Identity and Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

account-part-of-organizations

중앙 집중식 관리 AWS 계정 내에서 AWS Organizations는 계정이 규정을 준수하는지 확인하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리의 원칙을 액세스 권한 및 승인과 통합하여 모든 사용자에게 차단된 작업이 포함되지 않도록 정책을 제한할 수 있습니다. AWS 키 관리 서비스 키. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-group-has-users-체크

AWS Identity and Access Management (IAM) 를 사용하면 IAM 그룹에 최소 한 명의 사용자를 지정하여 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다.
3.1.1(d) d) 고려해야 할 중요한 통제는 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-inline-policy-blocked-kms-actions

다음을 확인하십시오. AWS Identity and Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 사용자에 대해 차단된 작업을 허용하는 인라인 정책이 없습니다. AWS 키 관리 서비스 키. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-user-group-membership-체크

AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 승인을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 통제는 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

ec2- instance-profile-attached

EC2인스턴스 프로필은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

iam-policy-no-statements-with-full-access

필요한 조치로만 IAM 조치가 제한되도록 하십시오. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

ecs-task-definition-user-for-host-mode-check

작업 정의에 승격된 권한이 있는 경우는 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 제어는 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 승격된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 검사합니다.
3.1.1(d) d) 고려해야 할 중요한 통제 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용 및 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(d) d) 고려해야 할 중요한 제어 항목은 다음과 같습니다. - 사용자 IDs 및 액세스 제어 매트릭스 생성을 적용하고 승인하는 체계적인 프로세스 - 위험 평가를 수행하고 이를 기반으로 액세스 권한을 부여합니다. - 효과적인 업무 분리를 위해 설계된 역할 기반 액세스 제어 구현 - 시스템의 기본 사용자 이름 및/또는 암호 변경 IDs 및 일반 계정의 사용자 및 암호 공유 금지 - 역할 또는 책임이 변경될 때마다 액세스 권한 수정 및 고용/계약 중단 시 액세스 권한 제거 - 사용자 추가, 삭제 및 역할 변경에 대한 정보 보안 기능을 적시에 알리는 프로세스 - 사용자의 IDs 주기적인 조정 시스템에서실제 사용자에게 불필요한 IDs 정보가 있는 경우 이를 액세스 및 삭제해야 함 - 모든 사용자의 IT 자산 액세스에 대한 감사, 기록 및 모니터링 - 장기 휴가 중인 중요 애플리케이션 사용자의 IDs 비활성화 고려

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 레코드 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

opensearch-audit-logging-enabled

Amazon OpenSearch Service 도메인에서 감사 로깅이 활성화되어 있는지 확인하십시오. 감사 로깅을 사용하면 인증 성공 및 실패, 요청, 색인 변경, 수신 검색 쿼리 등 OpenSearch 도메인에서의 사용자 활동을 추적할 OpenSearch 수 있습니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

redshift-audit-logging-enabled

Amazon Redshift 클러스터의 연결 및 사용자 활동에 대한 정보를 캡처하려면 감사 로깅이 활성화되어 있어야 합니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(f) f) 책임 규명을 위해 사용자와 IT 자산을 고유하게 식별하고 해당 활동을 감사할 수 있도록 해야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

access-keys-rotated

조직 정책에 명시된 대로 IAM 액세스 키가 순환되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다. 이렇게 하면 액세스 키가 활성화되는 기간이 단축되고 키가 손상될 경우 비즈니스에 미치는 영향을 줄일 수 있습니다. 이 규칙에는 액세스 키 교체 값이 필요합니다(Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

emr-kerberos-enabled

Amazon 클러스터용 Kerberos를 활성화하면 액세스 권한 및 권한을 관리하고 최소 권한 및 직무 분리 원칙에 따라 통합할 수 있습니다. EMR Kerberos에서는 인증이 필요한 서비스 및 사용자를 보안 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버를 키 배포 센터 () 라고 합니다. KDC 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. 는 KDC 인증을 위한 티켓을 발급하여 인증합니다. 는 해당 영역 내의 보안 주체, 암호 및 각 주체에 대한 기타 관리 정보를 데이터베이스로 KDC 유지 관리합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-password-policy

ID 및 자격 증명은 조직의 암호 정책에 따라 발급, 관리 및 검증됩니다. IAM 이들은 NIST SP 800-63에 명시된 요구 사항을 충족하거나 초과합니다. AWS 암호 강도에 대한 기본 보안 모범 사례 표준. 이 규칙을 통해 다음을 선택적으로 설정할 수 있습니다. RequireUppercaseCharacters AWS 기본 보안 모범 사례 값: true), ( RequireLowercaseCharacters AWS 기본 보안 모범 사례 값: true), ( RequireSymbols AWS 기본 보안 모범 사례 값: true), ( RequireNumbers AWS 기본 보안 모범 사례 값: true), ( MinimumPasswordLength AWS 기본 보안 모범 사례 값: 14), ( PasswordReusePrevention AWS 기본 보안 모범 사례 값: 24) 및 ( MaxPasswordAge AWS 암호 정책의 기본 보안 모범 사례 값: 90) IAM 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-policy-no-statements-with-admin-access

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합하여 정책에 “리소스”: “*” 대신 “효과”: “허용”과 “조치”: “*”를 포함하는 것을 제한할 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-root-access-key-check

루트 사용자에게 액세스 키가 연결되어 있지 않은지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. AWS Identity 및 Access Management (IAM) 역할. 루트 액세스 키가 삭제되었는지 확인하세요. 대신 역할 기반 시스템을 만들어 사용하세요. AWS 계정 최소 기능이라는 원칙을 통합하는 데 도움이 되기 위해서죠.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-user-mfa-enabled

이 규칙을 사용하면 시스템 내 리소스에 대한 액세스를 제한할 수 있습니다. AWS 클라우드. 이 규칙은 모든 사용자가 다단계 인증 (MFA) 을 사용할 수 있도록 합니다. MFA로그인 자격 증명 위에 추가 보호 계층을 추가합니다. 사용자를 등록하도록 MFA 요구하여 계정 보안 침해 사고를 줄일 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-user-no-policies-check

이 규칙은 다음을 보장합니다. AWS Identity 및 Access Management (IAM) 정책은 그룹 또는 역할에만 연결되어 시스템 및 자산에 대한 액세스를 제어합니다. 그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 보유할 기회를 줄이는 데 도움이 됩니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-user-unused-credentials-check

AWS Identity and Access Management (IAM) 는 지정된 기간 동안 사용되지 않은 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 보안 인증 정보가 발견되면 최소 권한의 원칙에 위배될 수 있으므로 해당 보안 인증 정보를 비활성화 및/또는 제거해야 합니다. 이 규칙을 사용하려면 값을 Age로 설정해야 합니다 maxCredentialUsage (Config 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

mfa-enabled-for-iam-콘솔 액세스

내 리소스에 대한 액세스를 관리합니다. AWS 모든 사용자가 사용할 수 있도록 MFA 하여 클라우드를 구현합니다. AWS 콘솔 암호가 있는 Identity 및 Access Management (IAM) 사용자 MFA로그인 자격 증명 위에 추가 보호 계층을 추가합니다. 사용자에게 권한을 MFA 요청하면 계정이 침해되는 사고를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

root-account-hardware-mfa-활성화됨

내 리소스에 대한 액세스 관리 AWS 루트 사용자가 하드웨어를 MFA 사용할 수 있도록 하여 클라우드를 사용하십시오. 루트 사용자는 사용자 중 가장 권한이 많은 사용자입니다. AWS 계정. 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자를 MFA 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

root-account-mfa-enabled

내 리소스에 대한 액세스를 관리합니다. AWS 루트 사용자가 클라우드를 사용하도록 설정하여 MFA 클라우드를 활성화합니다. 루트 사용자는 사용자 중 가장 권한이 많은 사용자입니다. AWS 계정. 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자를 MFA 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-no-inline-policy-check

확인 및 AWS Identity and Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에는 시스템 및 자산에 대한 액세스를 제어하는 인라인 정책이 없습니다. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

api-gw-execution-logging-활성화됨

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

cloud-trail-cloud-watch-로그 지원

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB로깅이 활성화되어 있는지 확인하세요. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

multi-region-cloudtrail-enabled

AWS CloudTrail 기록 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

cw-loggroup-retention-period-check

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

account-part-of-organizations

중앙 집중식 관리 AWS 계정 내에서 AWS Organizations는 계정이 규정을 준수하는지 확인하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리의 원칙을 액세스 권한 및 승인과 통합하여 모든 사용자에게 차단된 작업이 포함되지 않도록 정책을 제한할 수 있습니다. AWS 키 관리 서비스 키. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-group-has-users-check

AWS Identity and Access Management (IAM) 를 사용하면 IAM 그룹에 최소 한 명의 사용자를 지정하여 최소 권한 및 직무 분리 원칙을 액세스 권한 및 승인과 통합할 수 있습니다. 관련 권한 또는 직무에 따라 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-inline-policy-blocked-kms-actions

다음을 확인하십시오. AWS Identity and Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 사용자에 대해 차단된 작업을 허용하는 인라인 정책이 없습니다. AWS 키 관리 서비스 키. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-user-group-membership-check

AWS Identity and Access Management (IAM) 를 사용하면 사용자가 하나 이상의 그룹에 속하도록 하여 액세스 권한 및 승인을 제한할 수 있습니다. 사용자에게 작업을 완료하는 데 필요한 것보다 더 많은 권한을 허용하면 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

ec2- instance-profile-attached

EC2인스턴스 프로필은 EC2 인스턴스에 IAM 역할을 전달합니다. 인스턴스 프로파일을 인스턴스에 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

iam-policy-no-statements-with-full-access

IAM조치가 필요한 조치로만 제한되도록 하십시오. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

ecs-task-definition-user-for-host-mode-check

작업 정의에 승격된 권한이 있는 경우는 고객이 해당 구성을 특별히 선택했기 때문입니다. 이 제어는 작업 정의에 호스트 네트워킹이 활성화되어 있지만 고객이 승격된 권한을 선택하지 않은 경우 예상치 못한 권한 에스컬레이션을 검사합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

rds-snapshot-encrypted

Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

rds-storage-encrypted

저장된 데이터를 보호하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. Amazon RDS 인스턴스에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

ec2- ebs-encryption-by-default

저장된 데이터를 보호하려면 Amazon Elastic Block Store (AmazonEBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.1(h) h) 시스템 관리자, 보안 책임자, 프로그래머 및 중요한 작업을 수행하는 직원은 맡은 직무와 접근 권한 때문에 항상 자신이 유지 관리하거나 운영하는 재무 시스템에 심각한 피해를 입힐 수 있습니다. 시스템 액세스 권한이 높은 직원은 시스템 제어 및 보안 절차를 우회할 수 있는 내부 지식과 자원을 보유하고 있으므로 이들의 모든 시스템 활동을 기록하여 면밀히 감독해야 합니다. 아래 열거된 몇 가지 제어 및 보안 관행을 고려해야 합니다. - 권한이 있는 사용자에 대한 2단계 인증 구현 - 권한이 있는 사용자의 원격 액세스에 대한 강력한 제어 구현 - 권한이 있는 사용자 수 제한 - '또는 need-to-haveneed-to-do' 기반으로 권한 있는 액세스 권한 부여 - 권한이 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅 유지 - 권한이 있는 사용자가 자신의 활동이 캡처되는 시스템 로그에 액세스할 수 없도록 보장 - 실행 정기 감사 또는 관리 검토로그 - 권한 있는 권한 IDs 및 액세스 코드의 공유 금지 - 공급업체 및 계약업체가 면밀한 감독 및 모니터링 없이 시스템에 대한 권한 있는 액세스를 획득하는 것을 금지하고 _ 무단 액세스로부터 백업 데이터 보호

efs-encrypted-check

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오.
3.1.2(a) a) 네트워크 경계를 보호하기 위해 IT 인프라의 중요한 지점에 방화벽, 안티바이러스/멀웨어 방지 소프트웨어, 침입 탐지 및 방지 시스템과 같은 네트워크 보안 디바이스를 BFI 설치해야 합니다.

alb-waf-enabled

다음을 확인합니다. AWS WAFElastic Load Balancers () 에서 활성화되어 웹 애플리케이션을 보호하는 데 도움이 됩니다. ELB A는 웹 애플리케이션을 보호하거나 APIs 일반적인 웹 공격으로부터 보호하는 WAF 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다.
3.1.2(a) a) 네트워크 경계를 보호하기 위해 IT 인프라의 중요한 지점에 방화벽, 안티바이러스/멀웨어 방지 소프트웨어, 침입 탐지 및 방지 시스템과 같은 네트워크 보안 장치를 BFI 설치해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.1.2(a) a) 네트워크 경계를 보호하기 위해 IT 인프라의 중요한 시점에 방화벽, 안티바이러스/멀웨어 방지 소프트웨어, 침입 탐지 및 방지 시스템과 같은 네트워크 보안 장치를 BFI 설치해야 합니다.

api-gw-associated-with-와프

AWS WAF정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 액세스 제어 목록 (웹ACL)) 를 구성할 수 있습니다. Amazon API Gateway 단계가 WAF ACL 웹과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

acm-certificate-expiration-check

다음 기관에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 하십시오. AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 다음과 같은 값이 필요합니다 daysToExpiration .AWS 기본 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

alb-http-to-https-리디렉션 검사

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 요청을 로 자동으로 리디렉션하도록 해야 합니다. HTTP HTTPS 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elb-acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 클라이언트에 연결하려면 TLS SSL SQL /암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 보안 소켓 계층 () 사용 요청이 있어야 합니다. SSL 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

alb-http-drop-invalid-헤더 활성화

엘라스틱 로드 밸런서 (ELB) 가 http 헤더를 삭제하도록 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elasticsearch-node-to-node-암호화-검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elb-tls-https-listeners전용

엘라스틱 로드 밸런서 (ELBs) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

api-gw-execution-logging-enabled

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

cloudtrail-enabled

AWS CloudTrail 녹음을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

cloudwatch-alarm-action-check

Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB로깅이 활성화되어 있는지 확인하세요. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

lambda-dlq-check

이 규칙을 활성화하면 함수가 실패했을 때 Amazon 단순 대기열 서비스 (AmazonSQS) 또는 Amazon 단순 알림 서비스 (AmazonSNS) 를 통해 담당자에게 알리는 데 도움이 됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 레코드 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 서비스. 이러한 서비스 중에는 아마존 보안 허브, 아마존 인스펙터, 아마존 마시 등이 있습니다. AWS Identity 및 Access Management (IAM) 액세스 분석기, AWS 방화벽 관리자, AWS 파트너 솔루션.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

dms-replication-not-public

에 대한 액세스 관리 AWS DMS복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드를 구현합니다. DMS복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

ebs-snapshot-public-restorable-check

에 대한 액세스 관리 AWS EBS스냅샷을 공개적으로 복원할 수 없도록 하여 클라우드를 구축하십시오. EBS볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

ec2- instance-no-public-ip

에 대한 액세스 관리 AWS 클라우드는 Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스에 공개적으로 액세스할 수 없도록 합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elasticsearch-in-vpc-only

에 대한 액세스 관리 AWS Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon Virtual Private Cloud (AmazonVPC) 내에 있도록 하여 클라우드를 구축합니다. Amazon 내의 OpenSearch 서비스 도메인을 VPC 사용하면 인터넷 게이트웨이, NAT 장치 또는 VPN 연결 VPC 없이 서비스와 Amazon 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

opensearch-in-vpc-only

에 대한 액세스 관리 AWS Amazon OpenSearch 서비스 도메인이 Amazon Virtual Private Cloud (AmazonVPC) 내에 있도록 하여 클라우드를 구축합니다. 아마존 내의 Amazon OpenSearch 서비스 도메인을 VPC 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이도 Amazon 서비스와 아마존 내 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

emr-master-no-public-ip

에 대한 액세스 관리 AWS Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 클라우드를 구현합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

ec2- instances-in-vpc

Amazon 가상 사설 클라우드 (AmazonEC2) 내에 Amazon Elastic Compute Cloud (AmazonVPC) 인스턴스를 배포하면 인터넷 게이트웨이VPC, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽은 서버 내에서 안전하게 유지됩니다. AWS 클라우드. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon에 VPC 할당하여 액세스를 적절하게 관리합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

internet-gateway-authorized-vpc전용

내 리소스에 대한 액세스 관리 AWS 인터넷 게이트웨이가 승인된 Amazon Virtual Private Cloud (AmazonVPC) 에만 연결되도록 함으로써 클라우드를 제공합니다. 인터넷 게이트웨이를 사용하면 Amazon과의 양방향 인터넷 액세스가 가능하므로 Amazon 리소스에 대한 무단 VPC 액세스가 발생할 수 있습니다. VPC
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

lambda-function-public-access-금지됨

내 리소스에 대한 액세스 관리 AWS 다음을 통한 클라우드 AWS Lambda 함수는 공개적으로 액세스할 수 없습니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

lambda-inside-vpc

Deploy AWS Lambda는 Amazon 가상 사설 클라우드 (Amazon) 내에서 기능하여 VPC Amazon 내의 다른 서비스와 함수 간의 보안 통신을 수행합니다. VPC 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 네트워크 내에 안전하게 유지됩니다. AWS 클라우드. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수는 a에 할당되어야 합니다. VPC
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

rds-instance-public-access-check

내 리소스에 대한 액세스 관리 AWS Amazon Relational Database Service (RDSAmazon) 인스턴스가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon RDS 데이터베이스 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

rds-snapshots-public-prohibited

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Relational Database Service (RDSAmazon) 인스턴스가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon RDS 데이터베이스 인스턴스는 민감한 정보와 원칙을 포함할 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

redshift-cluster-public-access-check

내 리소스에 대한 액세스 관리 AWS Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

restricted-common-ports

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹에서 공통 포트를 제한함으로써 클라우드를 구현합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 통해 blockedPort blockedPort 1~5개의 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- bucket-public-read-prohibited

내 리소스에 대한 액세스 관리 AWS 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 하여 클라우드를 구현합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- bucket-public-write-prohibited

내 리소스에 대한 액세스 관리 AWS 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 하여 클라우드를 구현합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

sagemaker-notebook-no-direct-인터넷 액세스

내 리소스에 대한 액세스를 관리합니다. AWS Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 클라우드를 구축합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

vpc-default-security-group-휴무

Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 다음 보안 그룹에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

vpc-sg-open-only-to-authorized-ports

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹에서 공통 포트를 제한함으로써 클라우드를 구현합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

no-unrestricted-route-to-igw

Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인하십시오. Amazon 내 워크로드에 대한 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 VPCs 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- 금지 bucket-level-public-access

의 리소스에 대한 액세스를 관리합니다. AWS Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 클라우드를 제공합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

subnet-auto-assign-public-ip-비활성화됨

에 대한 액세스 관리 AWS Amazon Virtual Private Cloud (VPC) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드를 구현합니다. 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 퍼블릭 IP 주소가 할당됩니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

autoscaling-launch-config-public-ip-비활성화됨

퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

redshift-enhanced-vpc-routing-활성화됨

향상된 VPC 라우팅은 클러스터와 데이터 리포지토리 간의 모든 COPY 및 UNLOAD 트래픽이 Amazon을 통과하도록 강제합니다. VPC 그런 다음 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크 트래픽을 보호할 수 있습니다. 또한 VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지는 백엔드 시스템이 Gateway에서 시작된 요청을 인증할 수 있도록 SSL 인증서로 구성되어 있는지 확인합니다. API
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

s3- 블록 - account-level-public-access 주기적

의 리소스에 대한 액세스를 관리합니다. AWS Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 클라우드를 제공합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
3.1.2(c) c) 네트워크 내 정보의 보안을 보장하고 연결된 서비스를 무단 액세스로부터 보호하기 위한 통제책을 구현해야 합니다. 특히 다음 항목을 고려해야 합니다. - 네트워킹 장비 관리에 대한 책임 및 절차를 설정해야 합니다. - 네트워크에 대한 운영 책임은 적절한 경우 컴퓨터 운영과 분리되어야 합니다. - 공용 네트워크 또는 무선 네트워크를 통해 전달되는 데이터의 기밀성과 무결성을 보호하고 연결된 시스템 및 애플리케이션을 보호하기 위한 특수한 통제책을 수립해야 합니다(신뢰할 수 없는 시스템/네트워크에 연결할 경우 네트워크 암호화 프로토콜 포함). - 정보 보안에 영향을 미칠 수 있거나 이와 관련된 조치를 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. - 조직에 대한 서비스를 최적화하고 정보 처리 인프라 전반에 통제가 일관되게 적용되도록 관리 활동을 긴밀하게 조정해야 합니다. - 네트워크상의 시스템을 인증해야 합니다. - 네트워크에 대한 신뢰할 수 없는 시스템 연결을 제한해야 합니다.

ssm-document-not-public

다음을 확인합니다. AWS Systems Manager (SSM) 문서는 공개되지 않으므로 SSM 문서에 의도치 않게 액세스할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

acm-certificate-expiration-check

에서 X509 인증서를 발급하도록 하여 네트워크 무결성을 보호하십시오. AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 다음과 같은 값이 필요합니다 daysToExpiration .AWS 기본 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN 등과 VSAT 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

alb-http-to-https-리디렉션 체크

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 요청을 로 자동으로 리디렉션하도록 해야 합니다. HTTP HTTPS 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭부터 Voice over IP VPN 등과 같은 정교한 서비스에 이르기까지 다양합니다. VSAT 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

elb-acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

redshift-require-tls-ssl

Amazon Redshift 클러스터를 클라이언트에 연결하려면 TLS SSL SQL /암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

s3- bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 보안 소켓 계층 () 사용 요청이 있어야 합니다. SSL 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양할 수 있습니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

alb-http-drop-invalid-헤더 지원

엘라스틱 로드 밸런서 (ELB) 가 http 헤더를 삭제하도록 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN 등과 VSAT 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

elasticsearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN VSAT 등과 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

elb-tls-https-listeners전용

엘라스틱 로드 밸런서 (ELBs) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN 등과 VSAT 같은 정교한 서비스에 이르기까지 다양합니다. 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지는 백엔드 시스템이 Gateway에서 시작된 요청을 인증할 수 있도록 SSL 인증서로 구성되어 있는지 확인합니다. API
3.1.2(e) e) 네트워크 서비스는 단순한 비관리형 대역폭에서부터 Voice over IP VPN 등과 같은 정교한 서비스에 이르기까지 다양할 수 있습니다. VSAT 네트워크 서비스의 보안 기능은 다음과 같아야 합니다. - 인증, 암호화 및 네트워크 연결 제어와 같은 네트워크 서비스의 보안을 위해 적용되는 기술 - 보안 및 네트워크 연결 규칙에 따라 네트워크 서비스와의 보안 연결에 필요한 기술 파라미터 - 필요한 경우 네트워크 서비스 또는 애플리케이션에 대한 액세스를 제한하기 위한 네트워크 서비스 사용 절차

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

acm-certificate-expiration-check

에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 하십시오. AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 다음과 같은 값이 필요합니다 daysToExpiration .AWS 기본 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

alb-http-to-https-리디렉션 검사

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 요청을 로 자동으로 리디렉션하도록 하십시오. HTTP HTTPS 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

elb-acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 클라이언트에 연결하려면 TLS SSL SQL /암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

s3- bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 보안 소켓 계층 () 사용 요청이 있어야 합니다. SSL 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

alb-http-drop-invalid-헤더 활성화

엘라스틱 로드 밸런서 (ELB) 가 http 헤더를 삭제하도록 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

elasticsearch-node-to-node-암호화-검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

elb-tls-https-listeners전용

엘라스틱 로드 밸런서 (ELBs) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지는 백엔드 시스템이 Gateway에서 시작된 요청을 인증할 수 있도록 SSL 인증서로 구성되어 있는지 확인합니다. API
3.1.3(e) e) 암호화를 사용하여 원격 액세스 디바이스와 기관 간의 통신 채널을 보호하여 네트워크 스푸핑과 관련된 위험을 제한합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

api-gw-execution-logging-지원

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

cloudtrail-enabled

AWS CloudTrail 녹음을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB로깅이 활성화되었는지 확인하십시오. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 레코드 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

cw-loggroup-retention-period-check

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.3(g) g) 원격 액세스 통신을 위한 로그를 유지합니다. 로그에는 원격 액세스를 통해 수행된 모든 활동을 포함하여 모든 원격 액세스의 날짜, 시간, 사용자, 사용자 위치, 기간 및 목적이 포함되어야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.1.3(i) i) 원격 액세스를 위한 2단계 인증 프로세스 적용 (예: 1회용 무작위 암호 생성기가 있는 PIN 기반 토큰 카드 또는 토큰 기반) PKI

iam-user-mfa-enabled

이 규칙을 사용하면 내부 리소스에 대한 액세스를 제한할 수 있습니다. AWS 클라우드. 이 규칙은 모든 사용자가 다단계 인증 (MFA) 을 사용할 수 있도록 합니다. MFA로그인 자격 증명 위에 추가 보호 계층을 추가합니다. 사용자를 등록하도록 MFA 요구하여 계정 보안 침해 사고를 줄일 수 있습니다.
3.1.3(i) i) 원격 액세스를 위한 2단계 인증 프로세스 적용 (예: 1회용 무작위 암호 생성기가 있는 PIN 기반 토큰 카드 또는 토큰 기반) PKI

mfa-enabled-for-iam-콘솔 액세스

내 리소스에 대한 액세스를 관리합니다. AWS 모든 사용자가 사용할 수 있도록 MFA 하여 클라우드를 구현합니다. AWS 콘솔 암호가 있는 Identity 및 Access Management (IAM) 사용자 MFA로그인 자격 증명 위에 추가 보호 계층을 추가합니다. 사용자에게 권한을 MFA 요청하면 계정이 침해되는 사고를 줄이고 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
3.1.3(i) i) 원격 액세스를 위한 2단계 인증 프로세스 적용 (예: 1회용 무작위 암호 생성기가 포함된 토큰 카드 PIN 기반 또는 토큰 기반) PKI

root-account-hardware-mfa-활성화됨

내 리소스에 대한 액세스 관리 AWS 루트 사용자가 하드웨어를 MFA 사용할 수 있도록 하여 클라우드를 사용하십시오. 루트 사용자는 사용자 중 가장 권한이 많은 사용자입니다. AWS 계정. 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자를 MFA 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정.
3.1.3(i) i) 원격 액세스를 위한 2단계 인증 프로세스 적용 (예: 1회용 무작위 암호 생성기가 있는 PIN 기반 토큰 카드 또는 토큰 기반) PKI

root-account-mfa-enabled

내 리소스에 대한 액세스를 관리합니다. AWS 루트 사용자가 클라우드를 사용하도록 설정하여 MFA 클라우드를 활성화합니다. 루트 사용자는 사용자 중 가장 권한이 많은 사용자입니다. AWS 계정. 로그인 자격 증명에 대한 추가 보호 계층을 MFA 추가합니다. 루트 사용자를 MFA 요구하면 보안 침해 사고를 줄일 수 있습니다. AWS 계정.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

ec2- -manager instance-managed-by-systems

Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스를 다음과 같이 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWS Systems Manager. 사용 AWS Systems Manager는 상세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공합니다.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

ec2- -check managedinstance-association-compliance-status

사용 AWS Systems Manager 협회는 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하며 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 관한 기타 세부 정보의 기준선을 설정할 수 있도록 합니다.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

ec2- -check managedinstance-patch-compliance-status

이 규칙을 활성화하면 Amazon Elastic Compute Cloud (AmazonEC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. AWS 조직의 정책 및 절차에 따라 필요한 경우 Systems Manager를 사용하십시오.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

redshift-cluster-maintenancesettings-check

이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙을 설정하려면 를 설정해야 합니다. allowVersionUpgrade 기본값은 true입니다. 또한 선택적으로 기간 preferredMaintenanceWindow (기본값은 토: 16:00 -토: 16:30) 과 automatedSnapshotRetention 기간 (기본값은 1) 을 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

elastic-beanstalk-managed-updates-enabled

Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다.
3.1.4(c)(e) c) 패치 관리 프로세스에는 다음과 같은 측면이 포함되어야 합니다. - 패치가 승인된 출처에서 제공되었는지 확인하기 위한 패치를 확보하고 검증하는 방법 결정 - 조직에서 사용하는 응용 프로그램 및 시스템에 적용할 수 있는 취약성 식별 - 패치 구현 (또는 특정 패치를 구현하지 않은 경우) 이 비즈니스에 미치는 영향 평가 - 패치가 테스트되었는지 확인 - 패치 배포 방법 (예: 자동) 설명 - 조직 전체의 패치 배포 상태에 대한 보고 및 - 메서드 포함패치 배포 실패 처리 (예: 패치 재배포). e) 해당 도구를 사용할 수 있고 안전한 모든 시스템에 대해 자동화된 패치 관리 도구 및 소프트웨어 업데이트 도구를 BFIs 배포해야 합니다.

rds-automatic-minor-version-업그레이드 지원

Amazon Relational Database Service RDS () 인스턴스에서 자동 마이너 버전 업그레이드를 활성화하여 관계형 데이터베이스 관리 시스템 RDBMS () 에 대한 최신 마이너 버전 업데이트가 설치되도록 합니다. 여기에는 보안 패치 및 버그 수정이 포함될 수 있습니다.
3.1.5(d)(e) d) 적절한 키 관리를 위해서는 암호화 키의 생성, 저장, 보관, 검색, 배포, 사용 중지 및 폐기를 위한 안전한 프로세스가 필요합니다. e) 모든 암호화 키는 수정 및 손실로부터 보호되어야 합니다. 또한 비밀 키와 개인 키의 무단 사용 및 공개를 방지해야 합니다. 키를 생성, 저장 및 보관하는 데 사용되는 장비는 물리적으로 보호되어야 합니다.

kms-cmk-not-scheduled-삭제용

저장된 데이터를 보호하는 데 도움이 되도록 필요한 고객 마스터 키 (CMKs) 가 다음에 삭제되도록 예약되어 있지 않은지 확인하십시오. AWS 키 관리 서비스 (AWS KMS). 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다.
3.1.5(d)(e) d) 적절한 키 관리를 위해서는 암호화 키의 생성, 저장, 보관, 검색, 배포, 사용 중지 및 폐기를 위한 안전한 프로세스가 필요합니다. e) 모든 암호화 키는 수정 및 손실로부터 보호되어야 합니다. 또한 비밀 키와 개인 키의 무단 사용 및 공개를 방지해야 합니다. 키를 생성, 저장 및 보관하는 데 사용되는 장비는 물리적으로 보호되어야 합니다.

cmk-backing-key-rotation-지원

키 로테이션을 활성화하여 암호화 기간이 종료된 후 키가 교체되도록 하세요.
3.1.5(d)(e) d) 적절한 키 관리를 위해서는 암호화 키의 생성, 저장, 보관, 검색, 배포, 사용 중지 및 폐기를 위한 안전한 프로세스가 필요합니다. e) 모든 암호화 키는 수정 및 손실로부터 보호되어야 합니다. 또한 비밀 키와 개인 키의 무단 사용 및 공개를 방지해야 합니다. 키를 생성, 저장 및 보관하는 데 사용되는 장비는 물리적으로 보호되어야 합니다.

iam-customer-policy-blocked-kms-actions

AWS Identity and Access Management (IAM) 를 사용하면 최소 권한 및 직무 분리의 원칙을 액세스 권한 및 승인과 통합하여 모든 사용자에게 차단된 작업이 포함되지 않도록 정책을 제한할 수 있습니다. AWS 키 관리 서비스 키. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 업무 분리 원칙에 위배될 수 있습니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.5(d)(e) d) 적절한 키 관리를 위해서는 암호화 키의 생성, 저장, 보관, 검색, 배포, 사용 중지 및 폐기를 위한 안전한 프로세스가 필요합니다. e) 모든 암호화 키는 수정 및 손실로부터 보호되어야 합니다. 또한 비밀 키와 개인 키의 무단 사용 및 공개를 방지해야 합니다. 키를 생성, 저장 및 보관하는 데 사용되는 장비는 물리적으로 보호되어야 합니다.

iam-inline-policy-blocked-kms-actions

다음을 확인하십시오. AWS Identity and Access Management (IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 사용자에 대해 차단된 작업을 허용하는 인라인 정책이 없습니다. AWS 키 관리 서비스 키. AWS 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책을 사용하면 재사용, 버전 관리, 롤백 및 권한 위임 관리가 가능합니다. 이 규칙을 사용하면 blockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기본 보안 모범 사례 값: KMS:암호 해독, kms:). ReEncryptFrom 실제 값은 조직의 정책을 반영해야 합니다.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

kms-cmk-not-scheduled-for-delete

저장된 데이터를 보호하는 데 도움이 되도록 필요한 고객 마스터 키 (CMKs) 가 다음에 삭제되도록 예약되어 있지 않은지 확인하십시오. AWS 키 관리 서비스 (AWS KMS). 때때로 키 삭제가 필요하기 때문에 이 규칙은 실수로 키가 예약된 경우 삭제가 예약된 모든 키를 확인하는 데 도움을 줄 수 있습니다.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

cmk-backing-key-rotation-enabled

키 로테이션을 활성화하여 암호화 기간이 종료된 후 키가 교체되도록 하세요.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

acm-certificate-expiration-check

다음 기관에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 하십시오. AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 다음과 같은 값이 필요합니다 daysToExpiration .AWS 기본 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

elb-acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 레코드 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.1.5(f) f) 키 관리 시스템은 다음을 위한 합의된 표준, 절차 및 보안 방법을 기반으로 해야 합니다. - 다양한 암호화 시스템 및 애플리케이션에 대한 키 생성 - 공개 키 인증서 발급 및 획득 - 키를 수신했을 때 활성화해야 하는 방법을 포함하여 의도한 개체에 키 배포 - 승인된 사용자가 키에 액세스하는 방법을 포함한 키 저장 - 키 변경 시기 및 변경 방법에 대한 규칙을 포함한 키 변경 또는 업데이트 - 손상된 키 처리 - 키 취소 (방법 키 포함)철회하거나 비활성화해야 합니다. 예를 들어 키가 손상되었거나 사용자가 조직을 떠나는 경우 (이 경우 키도 보관해야 함) - 분실 또는 손상된 키 복구, 키 백업 또는 보관 - 키 삭제, 키 관리 관련 활동의 로깅 및 감사 등이 이에 해당합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.1.6(a) a) 정기적으로 포괄적인 VA를 수행하려면 자동화된 도구와 수동 기술을 조합하여 BFI 배포해야 합니다. 웹 기반 외부 연결 시스템의 경우 VA 범위에는 SQL 인젝션 및 크로스 사이트 스크립팅과 같은 일반적인 웹 취약성이 포함되어야 합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.1.6(a) a) 정기적으로 포괄적인 VA를 수행하려면 자동화된 도구와 수동 기술을 조합하여 BFI 배포해야 합니다. 웹 기반 외부 연결 시스템의 경우 VA 범위에는 SQL 인젝션 및 크로스 사이트 스크립팅과 같은 일반적인 웹 취약성이 포함되어야 합니다.

alb-waf-enabled

다음을 확인합니다. AWS WAFElastic Load Balancers (ELB) 에서 활성화되어 웹 애플리케이션을 보호하는 데 도움이 됩니다. A는 웹 애플리케이션을 보호하거나 APIs 일반적인 웹 공격으로부터 보호하는 WAF 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다.
3.1.6(a) a) 정기적으로 포괄적인 VA를 수행하려면 자동화된 도구와 수동 기술을 조합하여 BFI 배포해야 합니다. 웹 기반 외부 연결 시스템의 경우 VA 범위에는 SQL 인젝션 및 크로스 사이트 스크립팅과 같은 일반적인 웹 취약성이 포함되어야 합니다.

api-gw-associated-with-와프

AWS WAF정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 액세스 제어 목록 (웹ACL)) 를 구성할 수 있습니다. Amazon API Gateway 단계가 WAF ACL 웹과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오.
3.1.6(c) c) VA 및 PT에서 식별된 문제를 해결하는 프로세스를 수립하고 이후에 수정 사항을 재검증하여 격차가 완전히 해결되었는지 BFI 확인해야 합니다. vuln-mitigated-accepted(프로세스 체크) 새로 식별된 취약성이 교정되거나 허용된 위험으로 문서화되는지 확인합니다. 취약성은 조직의 규정 준수 요구 사항에 따라 교정하거나 허용된 위험으로 처리해야 합니다.
3.1.6(f) f) 보안 부서는 부서/팀별로 아직 완화되지 않은 심각한 취약점의 수에 관한 상태 업데이트와 완화 계획을 정기적으로 고위 경영진에게 제공해야 합니다.

guardduty-non-archived-findings

GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다.
3.1.8 사용자 교육 및 인식 security-awareness-program-exists(프로세스 체크) 조직을 위한 보안 인식 프로그램을 수립하고 유지합니다. 보안 인식 프로그램은 다양한 보안 침해나 사고로부터 조직을 보호하는 방법을 직원들에게 교육합니다.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

cloud-trail-encryption-enabled

민감한 데이터가 존재할 수 있으며 저장된 데이터를 보호하는 데 도움이 되므로 암호화가 활성화되어 있는지 확인하십시오. AWS CloudTrail 트레일.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

cloudwatch-log-group-encrypted

저장된 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 암호화가 활성화되어 있는지 확인하십시오.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

cloud-trail-log-file-검증이 활성화되었습니다.

활용 AWS CloudTrail 로그 파일 검증을 통한 CloudTrail 로그 무결성 검사 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 업계 표준 알고리즘 (해싱의 경우 -256, 디지털 서명의 경우 SHA -256SHA) 을 사용하여 구축되었습니다. RSA 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 위조하는 것은 계산상 불가능합니다. CloudTrail
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

efs-encrypted-check

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic File System (EFS) 에 암호화가 활성화되어 있는지 확인하십시오.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

elasticsearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service (OpenSearch Service) 도메인에 암호화가 활성화되어 있는지 확인하십시오.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

opensearch-encrypted-at-rest

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 암호화가 활성화되어 있는지 확인하십시오.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

encrypted-volumes

민감한 데이터가 존재할 수 있고 저장된 데이터를 보호하는 데 도움이 되므로 Amazon Elastic Block Store (AmazonEBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

rds-storage-encrypted

저장된 데이터를 보호하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 인스턴스에 암호화가 활성화되어 있는지 확인하십시오. Amazon RDS 인스턴스에는 민감한 데이터가 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

s3- bucket-server-side-encryption 지원

저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

sagemaker-endpoint-configuration-kms-키 구성

저장된 데이터를 보호하려면 다음을 사용하여 암호화하십시오. AWS 키 관리 서비스 (AWS KMS SageMaker 엔드포인트에 대해) 가 활성화되었습니다. 민감한 데이터가 SageMaker 엔드포인트에 저장되어 있을 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

sagemaker-notebook-instance-kms-키 구성

저장된 데이터를 보호하려면 다음을 사용하여 암호화하십시오. AWS 키 관리 서비스 (AWS KMS SageMaker 노트북에) 이 활성화되어 있습니다. 민감한 데이터가 SageMaker 노트북에 저장되어 있을 수 있으므로 저장 시 암호화를 활성화하여 해당 데이터를 보호하십시오.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

sns-encrypted-kms

저장된 데이터를 보호하려면 Amazon 단순 알림 서비스 (AmazonSNS) 주제를 다음과 같이 암호화해야 합니다. AWS 키 관리 서비스 (AWS KMS). 게시된 메시지에 민감한 데이터가 저장될 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 문서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지하기 위한 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

ec2- ebs-encryption-by-default

저장된 데이터를 보호하려면 Amazon Elastic Block Store (AmazonEBS) 볼륨에 암호화가 활성화되어 있는지 확인하십시오. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

rds-snapshot-encrypted

Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 스냅샷에 암호화가 활성화되어 있는지 확인하십시오. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

s3- default-encryption-kms

Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지하기 위한 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

api-gw-cache-enabled-그리고 암호화됩니다.

저장된 데이터를 보호하려면 API 게이트웨이 스테이지의 캐시에 암호화가 활성화되어 있어야 합니다. API메서드에서 민감한 데이터를 캡처할 수 있으므로 저장 중 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

dynamodb-table-encrypted-kms

Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 다음과 같이 암호화됩니다. AWS 소유한 고객 마스터 키 ()CMK.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

redshift-cluster-kms-enabled

저장된 데이터를 보호하려면 다음과 같이 암호화하십시오. AWS 키 관리 서비스 (AWS KMS) 를 Amazon Redshift 클러스터에서 사용할 수 있습니다. Redshift 클러스터에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.1.10(b) b) 시스템 설명서, 애플리케이션 소스 코드, 프로덕션 트랜잭션 데이터와 같은 민감한 정보에는 변경을 방지할 수 있는 보다 광범위한 제어 기능이 있어야 합니다 (예: 무결성 검사기, 암호화 해시). 또한 정책은 해당 정보가 포함된 인쇄물을 포함하여 민감한 정보의 배포를 최소화해야 합니다.

secretsmanager-using-cmk

저장된 데이터를 보호하려면 다음과 같이 암호화하십시오. AWS 키 관리 서비스 (AWS KMS) 는 다음과 같은 경우에 사용할 수 있습니다. AWS Secrets Manager 보안 암호 Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

db-instance-backup-enabled

Amazon의 백업 기능은 데이터베이스와 트랜잭션 로그의 백업을 RDS 생성합니다. Amazon은 DB 인스턴스의 스토리지 볼륨 스냅샷을 RDS 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

dynamodb-pitr-enabled

이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구를 통해 지난 35일 동안의 테이블 연속 백업이 유지됩니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

ebs-optimized-instance

Amazon Elastic Block Store (AmazonEBS) 의 최적화된 인스턴스는 Amazon EBS I/O 작업을 위한 추가 전용 용량을 제공합니다. 이 최적화는 Amazon EBS I/O 작업과 인스턴스의 다른 트래픽 간의 경합을 최소화하여 EBS 볼륨에 가장 효율적인 성능을 제공합니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

elasticache-redis-cluster-automatic-백업 검사

자동 백업이 활성화되면 Amazon은 매일 클러스터 백업을 ElastiCache 생성합니다. 백업은 조직에서 지정한 기간 동안 유지할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 장애가 발생할 경우 새로운 클러스터를 생성해 최신 백업에서 모든 데이터를 복원할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

s3- bucket-replication-enabled

Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 CRR () 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRRAmazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있도록 합니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

s3- bucket-versioning-enabled

Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

dynamodb-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon DynamoDB 테이블이 다음 중 하나에 속하는지 확인하십시오. AWS 백업 플랜. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

ebs-in-backup-plan

데이터 백업 프로세스에 도움이 되도록 Amazon Elastic Block Store (AmazonEBS) 볼륨이 데이터 백업 프로세스의 일부인지 확인하십시오. AWS 백업 플랜. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

efs-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon Elastic File System (AmazonEFS) 파일 시스템이 데이터 백업 프로세스의 일부인지 확인하십시오. AWS 백업 플랜. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

rds-in-backup-plan

데이터 백업 프로세스를 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 인스턴스가 데이터 백업 프로세스의 일부인지 확인하십시오. AWS 백업 플랜. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션을 사용하면 백업 관리를 단순화하고 비즈니스 및 규제 백업 규정 준수 요구 사항을 충족할 수 있습니다.
3.2.1(h) h) 변경과 관련된 위험을 최소화하려면 변경 전에 영향을 받는 시스템 또는 애플리케이션을 BFIs 백업해야 합니다. BFIs배포 도중이나 배포 후에 문제가 발생할 경우 이전 버전의 시스템 또는 응용 프로그램으로 되돌릴 수 있는 롤백 계획을 수립해야 합니다.

redshift-backup-enabled

데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하세요. 클러스터에 자동 스냅샷이 사용되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 각 데이터 변경 노드에 대해 8시간마다 또는 5GB마다 또는 둘 중 먼저 발생하는 시점에 스냅샷을 생성합니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

api-gw-execution-logging-활성화됨

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB로깅이 활성화되었는지 확인하십시오. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 기록 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

cw-loggroup-retention-period-check

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는 로깅 기능이 활성화되어 있는지 BFI 확인해야 합니다.

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.2.1(k) k) 감사 및 보안 로그는 조사 및 문제 해결을 용이하게 하는 유용한 정보입니다. 로깅 기능이 마이그레이션 프로세스 중에 수행된 활동을 기록할 수 있는지 BFI 확인해야 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.2.3(a) a) 정보 보안 인시던트를 예방, 탐지, 분석 및 대응하기 위한 프로세스를 개발하고 구현합니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.2.3(a) a) 정보 보안 인시던트를 예방, 탐지, 분석 및 대응하기 위한 프로세스를 개발하고 구현합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 서비스. 이러한 서비스 중에는 아마존 보안 허브, 아마존 인스펙터, 아마존 마시 등이 있습니다. AWS Identity 및 Access Management (IAM) 액세스 분석기, AWS 방화벽 관리자, AWS 파트너 솔루션.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

dynamodb-autoscaling-enabled

Amazon DynamoDB 자동 크기 조정은 다음을 사용합니다. AWS 실제 트래픽 패턴에 자동으로 응답하여 프로비저닝된 처리 용량을 조정하는 Application Auto Scaling 서비스입니다. 따라서 테이블 또는 글로벌 보조 인덱스에 따라 할당된 읽기/쓰기 용량을 늘려 제한 없이 갑작스러운 트래픽 증가를 처리할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

dynamodb-pitr-enabled

이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 point-in-time 복구가 활성화되었는지 확인하여 백업을 유지 관리합니다. 복구를 통해 지난 35일 동안의 테이블 연속 백업이 유지됩니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

ebs-optimized-instance

Amazon Elastic Block Store (AmazonEBS) 의 최적화된 인스턴스는 Amazon EBS I/O 작업을 위한 추가 전용 용량을 제공합니다. 이 최적화는 Amazon EBS I/O 작업과 인스턴스의 다른 트래픽 간의 경합을 최소화하여 EBS 볼륨에 가장 효율적인 성능을 제공합니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

elb-deletion-protection-enabled

이 규칙은 Elastic Load Balancing이 삭제 방지 기능을 사용하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

rds-multi-az-support

Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 의 다중 AZ 지원은 데이터베이스 인스턴스의 가용성 및 내구성을 향상시킵니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon은 RDS 자동으로 기본 데이터베이스 인스턴스를 생성하고 이 데이터를 다른 가용 영역의 대기 인스턴스에 동기적으로 복제합니다. 각 가용 영역은 물리적으로 구분된 자체 독립 인프라에서 실행되며 안정성이 높도록 설계되었습니다. 인프라 장애가 발생할 경우 Amazon은 예비 복제본으로 자동 장애 조치를 RDS 수행하므로 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

s3- bucket-replication-enabled

Amazon Simple Storage 서비스 (Amazon S3) 지역 간 복제 CRR () 는 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. CRRAmazon S3 버킷에서 객체를 자동으로 비동기적으로 복사하여 데이터 가용성을 유지할 수 있도록 합니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

s3- bucket-versioning-enabled

Amazon Simple Storage Service(S3) 버킷 버전 관리를 사용하면 동일한 Amazon S3 버킷 내에 객체의 여러 변형을 보유할 수 있습니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 버전의 모든 객체를 보존, 검색 및 복원합니다. 버전 관리는 의도치 않은 사용자 작업 및 애플리케이션 장애로부터 복구하는 데 도움이 됩니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

vpc-vpn-2-tunnels-up

중복 사이트 간 VPN 터널을 구현하여 복원력 요구 사항을 충족할 수 있습니다. 사이트 간 연결 중 하나를 사용할 수 없는 경우 두 개의 터널을 사용하여 연결을 보장합니다. VPN 연결이 끊어지는 것을 방지하기 위해 고객 게이트웨이를 사용할 수 없는 경우, 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud (AmazonVPC) 및 가상 프라이빗 게이트웨이에 대한 두 번째 사이트 간 VPN 연결을 설정할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

elb-cross-zone-load-밸런싱 지원

Elastic Load Balancer (ELBs) 의 영역 간 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 로드 밸런싱을 사용하면 활성화된 각 가용성 영역에서 동일한 수의 인스턴스를 유지해야 할 필요성이 줄어듭니다. 또한 애플리케이션이 보다 효과적으로 하나 이상의 인스턴스 손실을 처리할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

rds-instance-deletion-protection-활성화됨

Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하십시오. 삭제 보호를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션 가용성이 손실되는 것을 방지할 수 있습니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

autoscaling-group-elb-healthcheck-필수

Amazon Elastic Compute Cloud (AmazonELB) Auto Scaling 그룹의 Elastic Load Balancer (EC2) 상태 점검은 적절한 용량과 가용성을 유지할 수 있도록 지원합니다. 로드 밸런서는 Auto-Scaling 그룹에서 Amazon EC2 인스턴스 상태를 테스트하기 위해 주기적으로 ping을 전송하거나 연결을 시도하거나 요청을 보냅니다. 인스턴스가 다시 보고하지 않는 경우 트래픽은 새 Amazon EC2 인스턴스로 전송됩니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

dynamodb-throughput-limit-check

Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하세요. 이는 각 테이블에서 지원할 수 있는 읽기 및 쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항에 맞는 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달하면 알림을 생성합니다. 이 규칙을 사용하면 accountRCUThreshold 백분율 (구성 기본값: 80) 및 accountWCUThreshold 백분율 (구성 기본값: 80) 매개변수를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
3.3.1(a) a) 시스템 설계의 일환으로 높은 시스템 가용성, 적절한 용량, 안정적인 성능, 빠른 응답 시간, 확장성을 유지하는 것과 관련된 중요한 요소를 고려합니다.

lambda-concurrency-check

이 규칙은 Lambda 함수의 동시성 상한 및 하한이 설정되도록 합니다. 이는 특정 시점에 함수가 처리하는 요청 수에 대한 기준 설정에 도움이 될 수 있습니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

api-gw-execution-logging-활성화됨

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

cloud-trail-cloud-watch-로그 활성화

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

cloudtrail-enabled

AWS CloudTrail 녹음을 통해 부인 방지에 도움이 될 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

cloud-trail-log-file-검증 활성화

활용 AWS CloudTrail 로그 파일 검증을 통한 CloudTrail 로그 무결성 검사 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 업계 표준 알고리즘 (해싱의 경우 -256, 디지털 서명의 경우 SHA -256SHA) 을 사용하여 구축되었습니다. RSA 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 위조하는 것은 계산상 불가능합니다. CloudTrail
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. 로깅이 활성화되어 있는지 확인하세요. ELB 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

multi-region-cloudtrail-enabled

AWS CloudTrail 레코드 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.4(a)(b)(c)(f)(j) a) 감사 및 검토 목적으로 사용자 액세스 기록이 고유하게 식별되고 기록되도록 보장합니다. b) 무단 액세스에 대한 책임 및 식별이 문서화됩니다. c) 권한 있는 사용자가 수행한 시스템 활동에 대한 감사 로깅을 활성화합니다. f) 정보 보안에 영향을 미칠 수 있거나 관련된 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다. j) 이벤트 로깅이 시스템 보안에 대한 통합 보고서 및 경고를 생성할 수 있는 자동화된 모니터링 시스템의 기반을 설정하도록 합니다.

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.4(f) f) 정보 보안에 영향을 미칠 수 있거나 관련 있는 작업을 기록하고 탐지할 수 있도록 적절한 로깅 및 모니터링을 적용해야 합니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 서비스. 이러한 서비스 중에는 아마존 보안 허브, 아마존 인스펙터, 아마존 마시 등이 있습니다. AWS Identity 및 Access Management (IAM) 액세스 분석기, AWS 방화벽 관리자, AWS 파트너 솔루션.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

cloudtrail-s3-dataevents-enabled

Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 다음이 포함됩니다. AWS 계정 Amazon S3 버킷에 액세스한 정보, IP 주소, 이벤트 시간
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

multi-region-cloudtrail-enabled

AWS CloudTrail 기록 AWS 관리 콘솔 작업 및 API 호출 어떤 사용자와 계정이 전화를 걸었는지 식별할 수 있습니다. AWS, 전화가 걸려온 소스 IP 주소, 호출이 발생한 시간 CloudTrail 모든 사람의 로그 파일을 제공합니다. AWS MULTI_ _ REGION CLOUD TRAIL _ ENABLED _가 활성화된 경우 지역이 S3 버킷으로 전송됩니다. 또한 다음과 같은 경우 AWS 새 지역을 CloudTrail 출시하면 새 지역에도 동일한 트레일이 생성됩니다. 따라서 별도의 조치를 취하지 않아도 새 지역의 API 활동이 포함된 로그 파일을 받게 됩니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

s3- bucket-logging-enabled

Amazon Simple Storage Service(S3) 서버 액세스 로깅은 네트워크에 잠재적인 사이버 보안 이벤트가 있는지 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대해 이루어진 요청에 대한 상세한 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 관한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태, 오류 코드(해당하는 경우)가 포함됩니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

rds-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 Amazon 관계형 데이터베이스 서비스 (RDSAmazon) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

redshift-cluster-configuration-check

저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙을 사용하려면 (구성 기본값:) 및 clusterDbEncrypted loggingEnabled (구성 기본값:TRUE) 에 대한 값을 설정해야 합니다. TRUE 실제 값은 조직의 정책을 반영해야 합니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

elb-logging-enabled

Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB로깅이 활성화되어 있는지 확인하세요. 수집된 데이터는 에 전송된 요청에 대한 세부 정보를 제공합니다ELB. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

api-gw-execution-logging-활성화됨

API게이트웨이 로깅에는 에 액세스한 사용자 API 및 액세스 방식에 대한 세부 정보가 표시됩니다. API 이러한 인사이트를 통해 사용자 활동을 파악할 수 있습니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

cloud-trail-cloud-watch-로그 지원

CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. 포함 내용: AWS CloudTrail 데이터는 사용자 내의 API 통화 활동에 대한 세부 정보를 제공합니다. AWS 계정.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

cloudtrail-enabled

AWS CloudTrail 기록을 통해 부인 방지에 도움을 줄 수 있습니다. AWS 관리 콘솔 조치 및 통화 API 사용자를 식별하고 AWS 계정 전화가 왔어요 AWS 서비스, 호출이 생성된 소스 IP 주소, 통화 시간 캡처된 데이터의 세부 정보는 다음에서 확인할 수 있습니다. AWS CloudTrail 기록 내용.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

vpc-flow-logs-enabled

VPC흐름 로그는 Amazon Virtual Private Cloud (AmazonVPC) 의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 자세한 정보 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

cw-loggroup-retention-period-체크

문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

elasticsearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. 도메인 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.4(g) g) 이벤트 로그에 해당하는 경우 다음이 포함되는지 확인합니다. IDs - 사용자 - 시스템 활동 - 로그온 및 로그오프와 같은 주요 이벤트의 날짜, 시간 및 세부 정보 - 가능한 경우 장치 ID 또는 위치 및 시스템 식별자 - 성공 및 거부된 시스템 액세스 시도 기록 - 성공 및 거부된 시스템 액세스 시도 기록 - 시스템 구성 변경 - 권한 사용 - 시스템 유틸리티 및 응용 프로그램 사용 - 액세스한 파일 및 액세스 종류 - 네트워크 주소 및 프로토콜 - 액세스 제어에서 발생한 경보시스템 및 - 애플리케이션 및 온라인 고객 거래에서 사용자가 실행한 거래 기록

opensearch-logs-to-cloudwatch

Amazon OpenSearch Service 도메인에 오류 로그가 활성화되어 있고 보존 및 응답을 위해 Amazon CloudWatch Logs로 스트리밍되는지 확인하십시오. OpenSearch 서비스 오류 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 도움이 될 수 있습니다.
3.6.1(a)(h) a) BFIs 웹 애플리케이션에 적합한 보안 조치를 취하고 다양한 웹 보안 위험에 대해 합리적인 완화 조치를 BFIs 취해야 합니다. h) 웹 애플리케이션에 적합한 보안 조치를 취하고 다양한 웹 보안 위험에 대해 합리적인 완화 조치를 취해야 합니다.

alb-waf-enabled

다음을 확인합니다. AWS WAFElastic Load Balancers () ELB 에서 활성화되어 웹 애플리케이션을 보호하는 데 도움이 됩니다. A는 웹 애플리케이션을 보호하거나 APIs 일반적인 웹 공격으로부터 보호하는 WAF 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치고 보안을 손상시키거나 리소스를 과도하게 소비할 수 있습니다.
3.6.1(a)(h) a) BFIs 웹 애플리케이션에 적합한 보안 조치를 취하고 다양한 웹 보안 위험에 대해 합리적인 완화 조치를 BFIs 취해야 합니다. h) 웹 애플리케이션에 적합한 보안 조치를 취하고 다양한 웹 보안 위험에 대해 합리적인 완화 조치를 취해야 합니다.

api-gw-associated-with-와프

AWS WAF정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 액세스 제어 목록 (웹ACL)) 를 구성할 수 있습니다. Amazon API Gateway 단계가 WAF ACL 웹과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

acm-certificate-expiration-check

다음 기관에서 X509 인증서를 발급하도록 하여 네트워크 무결성을 보호하십시오. AWS ACM. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 다음과 같은 값이 필요합니다 daysToExpiration .AWS 기본 보안 모범 사례 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

alb-http-to-https-리디렉션 검사

전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 요청을 로 자동으로 리디렉션하도록 하십시오. HTTP HTTPS 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

elb-acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

redshift-require-tls-ssl

Amazon Redshift 클러스터를 클라이언트에 연결하려면 TLS SSL SQL /암호화가 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

s3- bucket-ssl-requests-only

전송 중인 데이터를 보호하려면 Amazon Simple Storage Service (Amazon S3) 버킷에 보안 소켓 계층 () 사용 요청이 있어야 합니다. SSL 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

alb-http-drop-invalid-헤더 지원

엘라스틱 로드 밸런서 (ELB) 가 http 헤더를 삭제하도록 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

elasticsearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

opensearch-node-to-node-암호화 검사

Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화를 사용하지 않으면 Amazon Virtual Private Cloud (AmazonVPC) 내의 모든 통신에 대해 TLS 1.2 암호화가 가능합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

elb-tls-https-listeners전용

엘라스틱 로드 밸런서 (ELBs) 가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다.
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

api-gw-ssl-enabled

Amazon API Gateway REST API 스테이지는 백엔드 시스템이 Gateway에서 시작된 요청을 인증할 수 있도록 SSL 인증서로 구성되어 있는지 확인합니다. API
3.6.1(b) b) 인터넷 뱅킹 시스템 및 기타 관련 시스템과 관련된 보안 요구 사항을 평가하고 BFIs 필요한 기밀성 및 무결성 정도를 고려하여 암호화 솔루션을 채택해야 합니다.

elbv2- acm-certificate-required

민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. 사용 AWS Certificate Manager를 사용하여 공용 및 SSL TLS 사설/인증서를 관리, 제공 및 배포할 수 있습니다. AWS 서비스 및 내부 리소스.
3.6.1(d) d) 인터넷 뱅킹 BFIs 제공업체는 비정상적인 네트워크 트래픽 상황/시스템 성능 및 공격의 징후가 될 수 있는 시스템 리소스 사용률의 급격한 증가에 대응해야 합니다. DDoS 따라서 모든 선제 조치와 사후 조치의 성공 여부는 네트워크와 시스템의 이상 현상을 효과적으로 감지, 모니터링 및 분석할 수 있는 적절한 도구의 배포에 달려 있습니다.

alb-waf-enabled

다음을 확인합니다. AWS WAFElastic Load Balancer (ELB) 에서 활성화되어 웹 애플리케이션을 보호하는 데 도움이 됩니다. A는 웹 애플리케이션을 보호하거나 APIs 일반적인 웹 공격으로부터 보호하는 WAF 데 도움이 됩니다. 이러한 웹 익스플로잇은 사용자 환경에서 가용성에 영향을 미치거나 보안을 손상시킬 수 있으며 혹은 리소스를 과도하게 소비할 수 있습니다.
3.6.1(d) d) BFIs 인터넷 뱅킹은 공격의 징후가 될 수 있는 비정상적인 네트워크 트래픽 상황/시스템 성능, 시스템 리소스 사용률의 갑작스러운 급증에 대응할 수 있어야 합니다. DDoS 따라서 모든 선제 조치와 사후 조치의 성공 여부는 네트워크와 시스템의 이상 현상을 효과적으로 감지, 모니터링 및 분석할 수 있는 적절한 도구의 배포에 달려 있습니다.

guardduty-enabled-centralized

Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 사용자 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IPs 및 기계 학습 목록이 포함됩니다. AWS 클라우드 환경.
3.6.1(d) d) 인터넷 뱅킹 BFIs 제공업체는 비정상적인 네트워크 트래픽 상황/시스템 성능 및 공격의 징후가 될 수 있는 시스템 리소스 사용률의 급격한 증가에 대응해야 합니다. DDoS 따라서 모든 선제 조치와 사후 조치의 성공 여부는 네트워크와 시스템의 이상 현상을 효과적으로 감지, 모니터링 및 분석할 수 있는 적절한 도구의 배포에 달려 있습니다.

securityhub-enabled

AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 서비스. 이러한 서비스 중에는 아마존 보안 허브, 아마존 인스펙터, 아마존 마시 등이 있습니다. AWS Identity 및 Access Management (IAM) 액세스 분석기, AWS 방화벽 관리자, AWS 파트너 솔루션.
3.6.1(d) d) 인터넷 뱅킹 BFIs 제공업체는 비정상적인 네트워크 트래픽 상황/시스템 성능 및 공격의 징후가 될 수 있는 시스템 리소스 사용률의 급격한 증가에 대응해야 합니다. DDoS 따라서 모든 선제 조치와 사후 조치의 성공 여부는 네트워크와 시스템의 이상 현상을 효과적으로 감지, 모니터링 및 분석할 수 있는 적절한 도구의 배포에 달려 있습니다.

wafv2-logging-enabled

환경 내에서 로깅 및 모니터링을 지원하려면 다음을 활성화하십시오. AWS WAF(V2) 지역 및 글로벌 웹에서의 로깅ACLs. AWS WAF로깅은 웹에서 분석되는 트래픽에 대한 자세한 정보를 제공합니다ACL. 로그에는 다음과 같은 시간이 기록됩니다. AWS WAF귀하의 요청을 받았습니다. AWS 리소스, 요청에 대한 정보, 각 요청이 일치한 규칙에 대한 조치.
3.6.1(d) d) 인터넷 뱅킹 BFIs 제공자는 공격의 징후가 될 수 있는 비정상적인 네트워크 트래픽 상황/시스템 성능 및 시스템 리소스 사용률의 급격한 증가에 대응해야 합니다. DDoS 따라서 모든 선제 조치와 사후 조치의 성공 여부는 네트워크와 시스템의 이상 현상을 효과적으로 감지, 모니터링 및 분석할 수 있는 적절한 도구의 배포에 달려 있습니다.

api-gw-associated-with-와프

AWS WAF정의한 사용자 지정 가능한 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 세트 (웹 액세스 제어 목록 (웹 액세스 제어 목록 (웹ACL)) 를 구성할 수 있습니다. Amazon API Gateway 단계가 WAF ACL 웹과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호하십시오.
3.6.1(e) e) BFIs 정기적으로 정보 보안 취약성을 평가하고 기존 IT 보안 위험 관리 프레임워크의 효과를 평가하여 새로 등장하는 취약점을 적시에 해결할 수 있도록 필요한 조정을 해야 합니다. 또한 이 평가는 중대한 변경의 일환으로 수행되어야 합니다.

guardduty-non-archived-findings

GuardDuty Amazon은 조사 결과를 심각도 (낮음, 중간, 높음) 별로 분류하여 사고의 영향을 이해하도록 도와줍니다. 이러한 분류를 사용하여 해결 전략 및 우선 순위를 결정할 수 있습니다. 이 규칙을 사용하면 조직의 정책에 따라 보관되지 않은 검색 결과에 대해 daysLowSev (구성 기본값: 30), ( daysMediumSev 구성 기본값: 7) 및 ( daysHighSev 구성 기본값: 1) 을 선택적으로 설정할 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

dms-replication-not-public

에 대한 액세스를 관리합니다. AWS DMS복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드를 구현합니다. DMS복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

ebs-snapshot-public-restorable-check

에 대한 액세스 관리 AWS EBS스냅샷을 공개적으로 복원할 수 없도록 하여 클라우드를 구축하십시오. EBS볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

ec2- instance-no-public-ip

에 대한 액세스 관리 AWS 클라우드는 Amazon Elastic Compute Cloud (AmazonEC2) 인스턴스에 공개적으로 액세스할 수 없도록 합니다. Amazon EC2 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

elasticsearch-in-vpc-only

에 대한 액세스 관리 AWS Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon Virtual Private Cloud (AmazonVPC) 내에 있도록 하여 클라우드를 구축합니다. Amazon 내의 OpenSearch 서비스 도메인을 VPC 사용하면 인터넷 게이트웨이, NAT 장치 또는 VPN 연결 VPC 없이 서비스와 Amazon 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

opensearch-in-vpc-only

에 대한 액세스 관리 AWS Amazon OpenSearch 서비스 도메인이 Amazon Virtual Private Cloud (AmazonVPC) 내에 있도록 하여 클라우드를 구축합니다. 아마존 내의 Amazon OpenSearch 서비스 도메인을 VPC 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 VPC 없이도 Amazon 서비스와 아마존 내 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

emr-master-no-public-ip

에 대한 액세스 관리 AWS Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 클라우드를 구현합니다. Amazon EMR 클러스터 마스터 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

restricted-ssh

Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

ec2- instances-in-vpc

Amazon 가상 사설 클라우드 (AmazonEC2) 내에 Amazon Elastic Compute Cloud (AmazonVPC) 인스턴스를 배포하면 인터넷 게이트웨이VPC, NAT 디바이스 또는 VPN 연결 없이 인스턴스와 아마존 내의 다른 서비스 간에 안전하게 통신할 수 있습니다. 모든 트래픽은 서버 내에서 안전하게 유지됩니다. AWS 클라우드. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. Amazon EC2 인스턴스를 Amazon에 VPC 할당하여 액세스를 적절하게 관리합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

internet-gateway-authorized-vpc전용

내 리소스에 대한 액세스 관리 AWS 인터넷 게이트웨이가 승인된 Amazon Virtual Private Cloud (AmazonVPC) 에만 연결되도록 함으로써 클라우드를 제공합니다. 인터넷 게이트웨이를 사용하면 Amazon과의 양방향 인터넷 액세스가 가능하므로 Amazon 리소스에 대한 무단 VPC 액세스가 발생할 수 있습니다. VPC
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

lambda-function-public-access-금지됨

내 리소스에 대한 액세스 관리 AWS 다음을 통한 클라우드 AWS Lambda 함수는 공개적으로 액세스할 수 없습니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

lambda-inside-vpc

Deploy AWS Lambda는 Amazon 가상 사설 클라우드 (Amazon) 내에서 기능하여 VPC Amazon 내의 다른 서비스와 함수 간의 보안 통신을 수행합니다. VPC 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 네트워크 내에 안전하게 유지됩니다. AWS 클라우드. 논리적으로 격리되어 있기 때문에 Amazon VPC 내에 있는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수는 a에 할당되어야 합니다. VPC
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

rds-instance-public-access-check

내 리소스에 대한 액세스 관리 AWS Amazon Relational Database Service (RDSAmazon) 인스턴스가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon RDS 데이터베이스 인스턴스는 민감한 정보를 포함할 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

rds-snapshots-public-prohibited

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Relational Database Service (RDSAmazon) 인스턴스가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon RDS 데이터베이스 인스턴스는 민감한 정보와 원칙을 포함할 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

redshift-cluster-public-access-check

내 리소스에 대한 액세스 관리 AWS Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 클라우드를 구현합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

restricted-common-ports

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹에서 공통 포트를 제한함으로써 클라우드를 구현합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 통해 blockedPort blockedPort 1~5개의 매개변수를 선택적으로 설정할 수 있습니다 (구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

s3- bucket-public-read-prohibited

내 리소스에 대한 액세스 관리 AWS 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 하여 클라우드를 구현합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

s3- bucket-public-write-prohibited

내 리소스에 대한 액세스 관리 AWS 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 하여 클라우드를 구현합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

sagemaker-notebook-no-direct-인터넷 액세스

내 리소스에 대한 액세스를 관리합니다. AWS Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 클라우드를 구축합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

vpc-default-security-group-휴무

Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹은 수신 및 송신 네트워크 트래픽에 대한 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 다음 보안 그룹에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

vpc-sg-open-only-to-authorized-ports

내 리소스에 대한 액세스를 관리합니다. AWS Amazon Elastic Compute Cloud (AmazonEC2) 보안 그룹에서 공통 포트를 제한함으로써 클라우드를 구현합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

no-unrestricted-route-to-igw

Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인하십시오. Amazon 내 워크로드에 대한 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 VPCs 수 있습니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

s3- 금지 bucket-level-public-access

의 리소스에 대한 액세스를 관리합니다. AWS Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 클라우드를 제공합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

subnet-auto-assign-public-ip-비활성화됨

에 대한 액세스 관리 AWS Amazon Virtual Private Cloud (VPC) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드를 구현합니다. 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud (EC2) 인스턴스에는 기본 네트워크 인터페이스에 퍼블릭 IP 주소가 할당됩니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

autoscaling-launch-config-public-ip-비활성화됨

퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2리소스는 공개적으로 액세스할 수 없어야 합니다. 이렇게 하면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

s3- -블록 - account-level-public-access 주기적

의 리소스에 대한 액세스를 관리합니다. AWS Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 클라우드를 제공합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
3.6.4(a)(b) a) 인터넷 액세스를 제한하고 중요 시스템을 일반 IT 환경과 분리합니다. b) 공격 표면 및 취약성을 줄입니다.

ssm-document-not-public

다음을 확인합니다. AWS Systems Manager (SSM) 문서는 공개되지 않으므로 SSM 문서에 의도치 않게 액세스할 수 있습니다. 공개 SSM 문서에는 계정, 리소스 및 내부 프로세스에 대한 정보가 노출될 수 있습니다.

템플릿

템플릿은 운영 모범 사례에서 GitHub 사용할 수 있습니다. NBC TRMG