기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
NIST 800 172 운영 모범 사례
적합성 팩은 관리형 또는 사용자 지정 규칙 및 수정 조치를 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 만들 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. AWS Config AWS Config 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 NIST 800-172와 관리형 AWS 구성 규칙 간의 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 NIST 800-172 컨트롤과 관련이 있습니다. NIST 800-172 제어는 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
| 제어 ID | 제어 설명 | AWS Config 규칙 | 지침 |
|---|---|---|---|
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되었는지 확인합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon API Gateway REST API 스테이지를 SSL 인증서로 구성하여 요청이 API Gateway에서 시작되었음을 백엔드 시스템이 인증할 수 있도록 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 민감한 데이터가 존재할 수 있으므로 전송 시 데이터를 보호하는 데 도움이 되도록 Elastic Load Balancing에 대해 암호화가 활성화되었는지 확인합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon EC2 라우팅 테이블에는 인터넷 게이트웨이에 대한 무제한 경로가 없어야 합니다. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터를 선택적으로 설정할 수 있습니다(Config 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | AWS Systems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 퍼블릭 SSM 문서를 통해 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | HTTP 비동기 취약성으로부터 애플리케이션을 보호하려면 애플리케이션 로드 밸런서에서 HTTP 비동기화 완화 모드를 활성화해야 합니다. HTTP 비동기화 문제로 인해 요청 밀수가 발생하고 애플리케이션이 요청 대기열 또는 캐시 중독에 취약해질 수 있습니다. 비동기화 완화 모드에는 모니터링, 방어 및 가장 엄격 모드가 있습니다. 기본 모드는 방어 모드입니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | HTTP 비동기 취약성으로부터 애플리케이션을 보호하려면 애플리케이션 로드 밸런서에서 HTTP 비동기화 완화 모드를 활성화해야 합니다. HTTP 비동기화 문제로 인해 요청 밀수가 발생하고 애플리케이션이 요청 대기열 또는 캐시 중독에 취약해질 수 있습니다. 비동기화 완화 모드에는 모니터링, 방어 및 가장 엄격 모드가 있습니다. 기본 모드는 방어 모드입니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 향상된 VPC 라우팅은 클러스터와 데이터 리포지토리 간의 모든 COPY 및 UNLOAD 트래픽이 Amazon VPC를 통과하도록 강제합니다. 그런 다음, 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크 트래픽을 보호할 수 있습니다. VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수도 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하는 데 도움이 되므로 Elastic Load Balancing에서 암호화를 활성화해야 합니다. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스가 포함된 공개 및 사설 SSL/TLS 인증서를 관리, 프로비저닝 및 배포할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 민감한 데이터가 존재할 수 있고 전송 중인 데이터를 보호하는 데 도움이 되므로 Amazon OpenSearch Service 도메인에 연결할 때 HTTPS를 활성화해야 합니다. | |
| 3.1.3e | [과제: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | Amazon OpenSearch 서비스에 대한 node-to-node 암호화가 활성화되어 있는지 확인하십시오. ode-to-node 암호화는 Amazon VPC (가상 사설 클라우드) 내의 모든 통신에 대해 TLS 1.2 암호화를 가능하게 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 인스턴스 메타데이터 서비스(IMDS) HTTP PUT 응답이 Amazon Elastic Compute Cloud(Amazon EC2)인스턴스로 제한되는지 확인합니다. IMDSv2를 사용하면 메타데이터 응답 홉 제한이 1(Config 기본값)로 설정되어 있기 때문에 기본적으로 비밀 토큰이 포함된 PUT 응답은 인스턴스 외부로 이동할 수 없습니다. 이 값이 1보다 크면 토큰은 EC2 인스턴스에서 나갈 수 있습니다. | |
| 3.1.3e | [할당: 조직이 정의한 보안 정보 전송 솔루션]을 사용하여 연결된 시스템의 보안 도메인 간 정보 흐름을 제어합니다. | 포트 22(SSH) 및 포트 3389(RDP)와 같은 네트워크 액세스 제어 목록(NACL)의 원격 서버 관리 포트에 대한 엑세스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 VPC 내 리소스에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 3.2.1e | 사회 공학, 지능형 지속적 위협 행위자, 침해 및 의심스러운 행동의 위협을 인식하고 이에 대응하는 데 초점을 맞춘 인식 교육을 [할당: 조직 정의 빈도]에 따라 제공하고, 교육을 [할당: 조직에서 정의한 빈도]로 업데이트하거나 위협에 중대한 변화가 있을 경우 업데이트합니다. | security-awareness-program-exists (프로세스 확인) | 조직을 위한 보안 인식 프로그램을 수립하고 유지합니다. 보안 인식 프로그램은 다양한 보안 침해나 사고로부터 조직을 보호하는 방법을 직원들에게 교육합니다. |
| 3.4.2e | 자동화된 메커니즘을 사용하여 잘못 구성되거나 승인되지 않은 시스템 구성 요소를 탐지하고, 탐지 후에는 [선택(하나 이상): 구성 요소 제거, 격리 또는 교정 네트워크에 구성 요소 배치]를 수행하여 패치 적용, 재구성 또는 기타 완화 조치를 용이하게 합니다. | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud(Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 3.4.2e | 자동화된 메커니즘을 사용하여 잘못 구성되거나 승인되지 않은 시스템 구성 요소를 탐지하고, 탐지 후에는 [선택(하나 이상): 구성 요소 제거, 격리 또는 교정 네트워크에 구성 요소 배치]를 수행하여 패치 적용, 재구성 또는 기타 완화 조치를 용이하게 합니다. | Amazon Elastic Beanstalk 환경에서 관리형 플랫폼 업데이트를 활성화하면 사용 가능한 최신 플랫폼 수정, 업데이트 및 환경 기능이 설치됩니다. 패치 설치를 최신 상태로 유지하는 것이 시스템 보안의 모범 사례입니다. | |
| 3.4.2e | 자동화된 메커니즘을 사용하여 잘못 구성되거나 승인되지 않은 시스템 구성 요소를 탐지하고, 탐지 후에는 [선택(하나 이상): 구성 요소 제거, 격리 또는 교정 네트워크에 구성 요소 배치]를 수행하여 패치 적용, 재구성 또는 기타 완화 조치를 용이하게 합니다. | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙을 설정하려면 를 설정해야 합니다. allowVersionUpgrade 기본값은 true입니다. 또한 선택적으로 기간 preferredMaintenanceWindow (기본값은 토: 16:00 -토: 16:30) 과 automatedSnapshotRetention 기간 (기본값은 1) 을 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.4.2e | 자동화된 메커니즘을 사용하여 잘못 구성되거나 승인되지 않은 시스템 구성 요소를 탐지하고, 탐지 후에는 [선택(하나 이상): 구성 요소 제거, 격리 또는 교정 네트워크에 구성 요소 배치]를 수행하여 패치 적용, 재구성 또는 기타 완화 조치를 용이하게 합니다. | Amazon RDS(Relational Database Service) 인스턴스에서 자동 마이너 버전 업그레이드를 활성화하여 관계형 데이터베이스 관리 시스템(RDBMS)의 최신 마이너 버전 업데이트가 설치되도록 합니다. 여기에는 보안 패치 및 버그 수정이 포함될 수 있습니다. | |
| 3.4.3e | 자동 검색 및 관리 도구를 사용하여 완전하고 정확하며 즉시 사용 가능한 시스템 구성 요소 인벤토리를 유지 관리합니다. up-to-date | Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 3.4.3e | 자동 검색 및 관리 도구를 사용하여 완전하고 정확하며 즉시 사용 가능한 시스템 구성 요소 인벤토리를 유지 관리하십시오. up-to-date | 이 규칙을 활성화하면 조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일수를 초과하여 중지되었는지 확인하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 기본 구성을 쉽게 수행할 수 있습니다. | |
| 3.4.3e | 자동화된 검색 및 관리 도구를 사용하여 시스템 구성 요소의 완전하고 정확하며 즉시 사용 가능한 인벤토리를 유지하십시오. up-to-date | 이 규칙은 인스턴스 종료 시 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 삭제 대상으로 표시되도록 합니다. 연결된 인스턴스가 종료될 때 Amazon EBS 볼륨이 삭제되지 않으면 최소 기능 개념을 위반할 수 있습니다. | |
| 3.4.3e | 자동화된 검색 및 관리 도구를 사용하여 시스템 구성 요소의 완전하고 정확하며 즉시 사용 가능한 인벤토리를 유지하십시오. up-to-date | 이 규칙은 Amazon Virtual Private Cloud(VPC)에 할당된 탄력적 IP가 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 또는 사용 중인 탄력적 네트워크 인터페이스에 연결되도록 합니다. 이 규칙은 사용자 환경에서 사용되지 않는 EIP를 모니터링하는 데 도움이 됩니다. | |
| 3.4.3e | 자동화된 검색 및 관리 도구를 사용하여 시스템 구성 요소의 완전하고 정확하며 즉시 사용 가능한 인벤토리를 유지하십시오. up-to-date | 이 규칙은 Amazon Virtual Private Cloud(VPC) 네트워크 액세스 제어 목록이 사용되도록 합니다. 사용하지 않는 네트워크 액세스 제어 목록을 모니터링하면 환경의 정확한 인벤토리와 관리에 도움이 될 수 있습니다. | |
| 3.5.2e | 다중 인증이나 복잡한 계정 관리를 지원하지 않는 시스템 및 시스템 구성 요소의 암호 생성, 보호, 교체 및 관리를 위한 자동화된 메커니즘을 사용합니다. | ID 및 보안 인증 정보는 조직의 IAM 암호 정책을 기반으로 발급, 관리 및 검증됩니다. NIST SP 800-63에 명시된 요구 사항 및 암호 강도에 대한 AWS 기본 보안 모범 사례 표준을 충족하거나 초과합니다. 이 규칙을 사용하면 IAM에 대해 RequireUppercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireLowercaseCharacters (AWS 기본 보안 모범 사례 값: true), RequireSymbols (AWS 기본 보안 모범 사례 값: true), RequireNumbers (AWS 기본 보안 모범 사례 값: true), MinimumPasswordLength (AWS 기본 보안 모범 사례 값: 14), PasswordReusePrevention (AWS 기본 보안 모범 사례 값: 24), MaxPasswordAge (AWS 기본 보안 모범 사례 값: 90) 을 선택적으로 설정할 수 있습니다.비밀번호 정책. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.5.2e | 다중 인증이나 복잡한 계정 관리를 지원하지 않는 시스템 및 시스템 구성 요소의 암호 생성, 보호, 교체 및 관리를 위한 자동화된 메커니즘을 사용합니다. | 이 규칙은 AWS Secrets Manager 암호에 순환이 활성화되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 암호가 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 3.5.2e | 다중 인증이나 복잡한 계정 관리를 지원하지 않는 시스템 및 시스템 구성 요소의 암호 생성, 보호, 교체 및 관리를 위한 자동화된 메커니즘을 사용합니다. | 이 규칙은 AWS Secrets Manager 암호가 순환 일정에 따라 성공적으로 순환되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 3.5.2e | 다중 인증이나 복잡한 계정 관리를 지원하지 않는 시스템 및 시스템 구성 요소의 암호 생성, 보호, 교체 및 관리를 위한 자동화된 메커니즘을 사용합니다. | 이 규칙은 AWS Secrets Manager 암호가 순환 일정에 따라 성공적으로 순환되도록 합니다. 정기적으로 암호를 교체하면 암호가 활성화되는 기간을 단축할 수 있으며, 침해될 경우 비즈니스에 미치는 영향을 잠재적으로 줄일 수 있습니다. | |
| 3.11.1e | [할당: 조직이 정의한 위협 인텔리전스 소스]를 위험 평가의 일환으로 활용하여 조직 시스템, 보안 아키텍처, 보안 솔루션 선택, 모니터링, 위협 추적, 대응 및 복구 활동의 개발을 안내하고 정보를 제공합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 3.11.2e | 사이버 위협 추적 활동[선택(하나 이상): [할당: 조직 정의 빈도], [할당: 조직 정의 이벤트]]을 수행하여 [할당: 조직 정의 시스템]에서 침해 지표를 검색하고 기존 제어를 우회하는 위협을 탐지, 추적 및 중단합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 3.11.5e | 현재 및 축적된 위협 인텔리전스를 기반으로 조직 시스템 및 조직에 대한 예상 위험을 해결하기 위한 보안 솔루션의 효과를 [할당: 조직 정의 빈도]로 평가합니다. | annual-risk-assessment-performed (프로세스 점검) | 조직에 대한 연간 위험 평가를 수행합니다. 위험 평가는 식별된 위험 및/또는 취약성이 조직에 영향을 미칠 가능성과 영향을 파악하는 데 도움이 될 수 있습니다. |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | DMS 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [과제: 조직이 정의한 물리적 격리 기법], [과제: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon OpenSearch 서비스 (OpenSearch 서비스) 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있는지 확인하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내의 서비스와 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon EMR 클러스터 마스터 노드에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EMR 클러스터 프라이머리 노드에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 퍼블릭 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | lambda-inside-vpc |
Amazon VPC 내의 함수와 다른 서비스 간의 안전한 통신을 위해 Amazon VPC (가상 사설 클라우드) 내에 Lambda 함수를 AWS 배포하십시오. 이 구성을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결이 필요하지 않습니다. 모든 트래픽은 클라우드 내에서 안전하게 유지됩니다. AWS 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. 액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다. |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon RDatabase Service (Amazon RDS) 인스턴스가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Redshift 클러스터가 퍼블릭되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 (구성 기본값: True), ignorePublicAcls (구성 기본값: True), ( blockPublicPolicy 구성 기본값: True) 및 매개변수 restrictPublicBuckets ( blockPublicAcls 구성 기본값: True) 를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service (Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon SageMaker 노트북에서 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지함으로써 권한이 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon VPC (Virtual Private Cloud) 서브넷에 퍼블릭 IP 주소가 자동으로 할당되지 않도록 하여 클라우드에 대한 액세스를 관리합니다. AWS 이 속성이 활성화된 서브넷에서 시작되는 Amazon Elastic Compute Cloud(EC2) 인스턴스에는 기본 네트워크 인터페이스에 할당된 퍼블릭 IP 주소가 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon OpenSearch 서비스 도메인이 Amazon VPC (가상 사설 클라우드) 내에 있도록 하여 클라우드에 대한 액세스를 관리합니다. AWS Amazon VPC 내의 Amazon OpenSearch 서비스 도메인을 사용하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon 서비스와 Amazon VPC 내의 다른 OpenSearch 서비스 간에 안전하게 통신할 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | 포트 22(SSH) 및 포트 3389(RDP)와 같은 네트워크 액세스 제어 목록(NACL)의 원격 서버 관리 포트에 대한 엑세스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 VPC 내 리소스에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Simple Storage Service (Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 버킷 수준에서 퍼블릭 액세스를 차단하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | AWS Systems Manager (SSM) 문서는 공개되지 않도록 하십시오. 이렇게 하면 SSM 문서에 의도하지 않은 액세스가 발생할 수 있습니다. 퍼블릭 SSM 문서를 통해 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | 퍼블릭 IP 주소로 네트워크 인터페이스를 구성하면 인터넷에서 해당 네트워크 인터페이스에 연결된 리소스에 도달할 수 있습니다. EC2 리소스는 공개적으로 액세스할 수 없도록 해야 합니다. 그렇지 않으면 애플리케이션이나 서버에 의도하지 않은 액세스가 허용될 수 있기 때문입니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | 향상된 VPC 라우팅은 클러스터와 데이터 리포지토리 간의 모든 COPY 및 UNLOAD 트래픽이 Amazon VPC를 통과하도록 강제합니다. 그런 다음, 보안 그룹 및 네트워크 액세스 제어 목록과 같은 VPC 기능을 사용하여 네트워크 트래픽을 보호할 수 있습니다. VPC 흐름 로그를 사용하여 네트워크 트래픽을 모니터링할 수도 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 blockedPort1 ~ blockedPort5 파라미터를 선택적으로 설정할 수 있습니다(Config 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute Cloud (Amazon EC2) 보안 그룹은 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움을 줄 수 있습니다. AWS 기본 보안 그룹의 모든 트래픽을 제한하면 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. AWS | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon Elastic Compute AWS Cloud (Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. | |
| 3.13.4e | [선택(하나 이상): [할당: 조직이 정의한 물리적 격리 기법], [할당: 조직이 정의한 논리적 격리 기법]]을 조직 시스템 및 시스템 구성 요소에 적용합니다. | Amazon EC2 라우팅 테이블에는 인터넷 게이트웨이에 대한 무제한 경로가 없어야 합니다. Amazon VPC 내 워크로드의 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다. | |
| 3.14.1e | 신뢰 메커니즘의 루트 또는 암호화 서명을 사용하여 [할당: 조직이 정의한 중요한 보안 또는 필수 소프트웨어]의 무결성을 확인합니다. | AWS CloudTrail 로그 파일 검증을 활용하여 로그의 무결성을 CloudTrail 검사할 수 있습니다. 로그 파일 검증은 로그 파일이 CloudTrail 전송된 후 수정되거나 삭제되었는지 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 탐지 없이 로그 파일을 수정, 삭제 또는 CloudTrail 위조하는 것은 계산상 불가능합니다. | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | CloudWatch Amazon을 사용하여 로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다. AWS CloudTrail 데이터를 포함하면 사용자 내의 API 호출 활동에 대한 세부 정보가 제공됩니다. AWS 계정 | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | Amazon은 지표가 지정된 평가 기간 수의 임계값을 위반할 경우 CloudWatch 경보를 보냅니다. 이러한 경보는 여러 기간에 대해 지정된 임계값과 지표 또는 표현식의 값을 비교하여 하나 이상의 작업을 수행합니다. 이 규칙에는 alarmActionRequired (구성 기본값: True), insufficientDataAction 필수 (구성 기본값: True), ( okActionRequired 구성 기본값: False) 값이 필요합니다. 실제 값은 사용자 환경의 경보 동작을 반영해야 합니다. | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | 이 규칙을 활성화하면 Amazon EC2 콘솔에서 인스턴스에 대한 1분 모니터링 그래프를 표시하는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선하는 데 도움이 됩니다. | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | Amazon Relational Database Service(RDS)를 활성화함으로써 Amazon RDS 가용성을 모니터링하는 데 도움이 됩니다. 이를 통해 Amazon RDS 데이터베이스 인스턴스의 상태를 자세히 파악할 수 있습니다. Amazon RDS 스토리지가 두 개 이상의 기본 물리적 디바이스를 사용하는 경우, 향상된 모니터링은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행되는 경우, 보조 호스트의 각 디바이스에 대한 데이터와 보조 호스트 지표가 수집됩니다. | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | VPC 흐름 로그는 Amazon Virtual Private Cloud(VPC)의 네트워크 인터페이스에서 들어오고 나가는 IP 트래픽에 관한 정보의 자세한 기록을 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 3.14.2e | 조직 시스템 및 시스템 구성 요소를 지속적으로 모니터링하여 변칙적이거나 의심스러운 동작이 있는지 확인합니다. | AWS Security Hub는 승인되지 않은 사용자, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 서비스의 보안 경고 또는 조사 결과를 집계하고 구성하며 우선 순위를 지정합니다. AWS 이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon AWS Macie, Identity 및 Access Management (IAM) 액세스 분석기, 방화벽 관리자, 파트너 솔루션 AWS 등이 있습니다. AWS | |
| 3.14.6e | [할당: 조직이 정의한 외부 조직]에서 얻은 위협 지표 정보와 효과적인 방어 수단을 사용하여 침입 탐지 및 위협 추적을 안내하고 정보를 제공합니다. | Amazon은 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 탐지하는 데 도움을 줄 GuardDuty 수 있습니다. 여기에는 클라우드 환경 내에서 예상치 못한 무단 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다. AWS | |
| 3.14.7e | [할당: 조직이 정의한 검증 방법 또는 기법]을 사용하여 [할당: 조직에서 정의한 보안의 중요하거나 필수적인 소프트웨어, 펌웨어 및 하드웨어 구성 요소]의 정확성을 확인합니다. | AWS Systems Manager 연결을 사용하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 관리하는 데 도움이 됩니다. AWS Systems Manager는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치, 애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준을 설정할 수 있도록 합니다. | |
| 3.14.7e | [할당: 조직이 정의한 검증 방법 또는 기법]을 사용하여 [할당: 조직에서 정의한 보안의 중요하거나 필수적인 소프트웨어, 펌웨어 및 하드웨어 구성 요소]의 정확성을 확인합니다. | 이 규칙을 활성화하면 Amazon Elastic Compute Cloud(Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 됩니다. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다. | |
| 3.14.7e | [할당: 조직이 정의한 검증 방법 또는 기법]을 사용하여 [할당: 조직에서 정의한 보안의 중요하거나 필수적인 소프트웨어, 펌웨어 및 하드웨어 구성 요소]의 정확성을 확인합니다. | Systems AWS Manager를 사용하여 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스를 관리하면 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 작성할 수 있습니다. AWS Systems Manager를 사용하여 자세한 시스템 구성, 운영 체제 패치 수준, 서비스 이름 및 유형, 소프트웨어 설치, 애플리케이션 이름, 게시자 및 버전, 사용자 환경에 대한 기타 세부 정보를 제공할 수 있습니다. | |
| 3.14.7e | [할당: 조직이 정의한 검증 방법 또는 기법]을 사용하여 [할당: 조직에서 정의한 보안의 중요하거나 필수적인 소프트웨어, 펌웨어 및 하드웨어 구성 요소]의 정확성을 확인합니다. | 보안 업데이트 및 패치는 AWS Fargate 작업을 위해 자동으로 배포됩니다. AWS Fargate 플랫폼 버전에 영향을 미치는 보안 문제가 발견되면 플랫폼 버전을 AWS 패치합니다. AWS Fargate를 실행하는 Amazon Elastic Container Service (ECS) 작업의 패치 관리를 지원하려면 최신 플랫폼 버전을 사용하도록 서비스 독립 실행형 작업을 업데이트하십시오. | |
| 3.14.7e | [할당: 조직이 정의한 검증 방법 또는 기법]을 사용하여 [할당: 조직에서 정의한 보안의 중요하거나 필수적인 소프트웨어, 펌웨어 및 하드웨어 구성 요소]의 정확성을 확인합니다. | Amazon Elastic Container Repository(ECR) 이미지 스캔은 컨테이너 이미지의 소프트웨어 취약성을 식별하는 데 도움이 됩니다. ECR 리포지토리에서 이미지 스캔을 활성화하면 저장되는 이미지의 무결성과 안전성에 대한 검증 계층이 추가됩니다. |
템플릿
템플릿은 NIST 800 GitHub 172의 운영 모범 사례에서
