기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
CIS AWS 파운데이션 벤치마크
인터넷 보안 센터 (CIS) AWS 기반 벤치마크는 보안 구성 모범 사례의 집합으로 사용됩니다. AWS업계에서 인정받은 이러한 모범 사례는 명확한 step-by-step 구현 및 평가 절차를 제공합니다. 운영 체제에서 클라우드 서비스 및 네트워크 장치에 이르기까지 이 벤치마크의 제어 기능은 조직에서 사용하는 특정 시스템을 보호하는 데 도움이 됩니다.
AWS Security Hub CIS AWS 파운데이션 벤치마크 v3.0.0, 1.4.0 및 v1.2.0을 지원합니다.
이 페이지는 각 버전에서 지원하는 보안 컨트롤을 나열하고 버전을 비교합니다.
CIS AWS 파운데이션 벤치마크 v3.0.0
Security Hub는 CIS AWS 파운데이션 벤치마크 버전 3.0.0을 지원합니다.
Security Hub는 CIS 보안 소프트웨어 인증의 요구 사항을 충족했으며 다음 CIS 벤치마크에 대해 CIS 보안 소프트웨어 인증을 획득했습니다.
-
CISCIS AWS 재단 벤치마크 벤치마크, v3.0.0, 레벨 1
-
CIS파운데이션 벤치마크 벤치마크, v3.0.0, CIS AWS 레벨 2
파운데이션 벤치마크 v3.0.0에 적용되는 규제 CIS AWS
[계정.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정
[CloudTrail.1] 은 읽기 및 쓰기 관리 이벤트가 포함된 다중 지역 트레일을 하나 이상 사용하여 활성화하고 CloudTrail 구성해야 합니다.
[CloudTrail.2] 저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인하십시오. CloudTrail
[Config.1] AWS Config 을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.
[EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs
[EC2.7] EBS 기본 암호화가 활성화되어야 합니다.
[EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.
[EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.
[EC2.54] EC2 보안 그룹은: :/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다.
[EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS
[IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.
콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.
[IAM.6] 루트 MFA 사용자가 하드웨어를 활성화해야 합니다.
루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 하는지 확인하십시오.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인하십시오.
[IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support
[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.
[IAM.26] SSL 만료된/에서 IAM 관리하는 TLS 인증서는 제거해야 합니다.
[IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess
[IAM.28] IAM 액세스 분석기 외부 액세스 분석기를 활성화해야 합니다.
[KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.
[RDS1.2] RDS DB 인스턴스는 기간에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config
[RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.
[RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.
[S3.1] S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다.
[S3.5] S3 범용 버킷을 사용하려면 사용 요청이 있어야 합니다. SSL
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.20] S3 범용 버킷은 삭제가 활성화되어 있어야 합니다. MFA
[S3.22] S3 범용 버킷은 객체 수준 쓰기 이벤트를 기록해야 합니다.
[S3.23] S3 범용 버킷은 객체 수준 읽기 이벤트를 기록해야 합니다.
CIS AWS 파운데이션 벤치마크 v1.4.0
Security Hub는 CIS AWS 파운데이션 벤치마크 v1.4.0을 지원합니다.
파운데이션 벤치마크 v1.4.0에 적용되는 제어 CIS AWS
[CloudTrail.1] 은 읽기 및 쓰기 관리 이벤트가 포함된 다중 지역 트레일을 하나 이상 사용하여 활성화하고 CloudTrail 구성해야 합니다.
[CloudTrail.2] 저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오.
[CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인하십시오. CloudTrail
[CloudWatch.1] “root” 사용자가 사용하려면 로그 메트릭 필터 및 경보가 있어야 합니다.
[CloudWatch.4] IAM 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.5] 기간 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오 CloudTrail AWS Config.
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제를 위한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.8] S3 버킷 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.10] 보안 그룹 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.11] 네트워크 액세스 제어 목록 () NACL 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.12] 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.13] 라우팅 테이블 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.14] 변경 사항에 대한 VPC 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[Config.1] AWS Config 을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.
[EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs
[EC2.7] EBS 기본 암호화가 활성화되어야 합니다.
[EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.
[IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.
콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.
[IAM.6] 루트 MFA 사용자가 하드웨어를 활성화해야 합니다.
루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 하는지 확인하십시오.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인하십시오.
[IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support
[IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다.
[KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.
[RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.
[S3.1] S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다.
[S3.5] S3 범용 버킷을 사용하려면 사용 요청이 있어야 합니다. SSL
[S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.
[S3.20] S3 범용 버킷은 삭제가 활성화되어 있어야 합니다. MFA
인터넷 보안 센터 () CIS 재단 벤치마크 v1.2.0 AWS
Security Hub는 CIS AWS 파운데이션 벤치마크 버전 1.2.0을 지원합니다.
Security Hub는 CIS 보안 소프트웨어 인증의 요구 사항을 충족했으며 다음 CIS 벤치마크에 대해 CIS 보안 소프트웨어 인증을 획득했습니다.
-
CISCIS AWS 재단 벤치마크 벤치마크, v1.2.0, 레벨 1
-
CISCIS AWS 파운데이션 벤치마크 벤치마크, v1.2.0, 레벨 2
파운데이션 벤치마크 v1.2.0에 적용되는 규제 CIS AWS
[CloudTrail.1] 은 읽기 및 쓰기 관리 이벤트가 포함된 다중 지역 트레일을 하나 이상 사용하여 활성화하고 CloudTrail 구성해야 합니다.
[CloudTrail.2] 저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.
[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.
[CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오.
[CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인하십시오. CloudTrail
[CloudWatch.1] “root” 사용자가 사용하려면 로그 메트릭 필터 및 경보가 있어야 합니다.
[CloudWatch.2] 무단 API 통화에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.3] 관리 콘솔 로그인 없이 로그인할 때 로그 메트릭 필터 및 경보가 존재하는지 확인하십시오. MFA
[CloudWatch.4] IAM 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.5] 기간 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오 CloudTrail AWS Config.
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제를 위한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.8] S3 버킷 정책 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.10] 보안 그룹 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.11] 네트워크 액세스 제어 목록 () NACL 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.12] 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.13] 라우팅 테이블 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[CloudWatch.14] 변경 사항에 대한 VPC 로그 메트릭 필터 및 경보가 있는지 확인하십시오.
[Config.1] AWS Config 을 활성화하고 리소스 기록에 서비스 연결 역할을 사용해야 합니다.
[EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.
[EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs
[EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다.
[EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다.
[IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.
[IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.
[IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.
[IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.
콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.
[IAM.6] 루트 MFA 사용자가 하드웨어를 활성화해야 합니다.
[IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.
루트 사용자에 대해 [IAM.9] 를 MFA 활성화해야 합니다.
[IAM.11] IAM 암호 정책에 하나 이상의 대문자가 필요한지 확인하십시오.
[IAM.12] IAM 암호 정책에 최소 하나 이상의 소문자가 필요한지 확인하십시오.
[IAM.13] IAM 암호 정책에 하나 이상의 기호가 필요한지 확인하십시오.
[IAM.14] IAM 암호 정책에 최소 하나 이상의 숫자가 필요한지 확인하십시오.
[IAM.15] IAM 암호 정책에 최소 암호 길이가 14 이상이어야 하는지 확인하십시오.
[IAM.16] IAM 암호 정책이 암호 재사용을 방지하는지 확인하십시오.
[IAM.17] IAM 암호 정책이 90일 이내에 암호가 만료되도록 하십시오.
[IAM.18] 다음과 같은 사고를 관리할 지원 역할이 생성되었는지 확인하십시오. AWS Support
[KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.
파운데이션 벤치마크의 버전 비교 CIS AWS
이 섹션에서는 인터넷 보안 센터 (CIS) AWS 재단 벤치마크 v3.0.0, v1.4.0 및 v1.2.0 간의 차이점을 요약합니다.
Security Hub는 이러한 CIS AWS 기초 벤치마크 버전을 각각 지원하지만 보안 모범 사례를 최신 상태로 유지하려면 v3.0.0을 사용하는 것이 좋습니다. 동시에 여러 버전의 표준을 사용할 수 있습니다. 자세한 내용은 보안 표준 활성화 및 비활성화 단원을 참조하십시오. v3.0.0으로 업그레이드하려면 이전 버전을 비활성화하기 전에 먼저 활성화하는 것이 가장 좋습니다. Security Hub 통합을 사용하여 여러 AWS 계정 계정을 중앙에서 관리하고 모든 계정에서 v3.0.0을 일괄 사용하도록 설정하려는 경우 중앙 구성을 사용할 수 있습니다. AWS Organizations
각 버전의 요구 사항에 CIS 컨트롤 매핑
CIS AWS 파운데이션 벤치마크의 각 버전이 지원하는 컨트롤이 무엇인지 알아보세요.
| 제어 ID 및 제목 | CISv3.0.0 요구 사항 | CISv1.4.0 요구 사항 | CISv1.2.0 요구 사항 |
|---|---|---|---|
|
1.2 |
1.2 |
1.18 |
|
|
[CloudTrail.1] 은 읽기 및 쓰기 관리 이벤트가 포함된 다중 지역 트레일을 하나 이상 사용하여 활성화하고 CloudTrail 구성해야 합니다. |
3.1 |
3.1 |
2.1 |
|
3.5 |
3.7 |
2.7 |
|
|
3.2 |
3.2 |
2.2 |
|
|
[CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch |
지원되지 않음 — 이 요구 사항 CIS 제거 |
3.4 |
2.4 |
|
[CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없도록 하십시오. |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
3.3 |
2.3 |
|
[CloudTrail.7] S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인하십시오. CloudTrail |
3.4 |
3.6 |
2.6 |
|
지원되지 않음 — 수동 확인 |
4.3 |
3.3 |
|
|
지원되지 않음 — 수동 확인 |
지원되지 않음 — 수동 확인 |
3.1 |
|
|
[CloudWatch.3] 관리 콘솔 로그인 없이 로그인할 때 로그 메트릭 필터 및 경보가 존재하는지 확인하십시오. MFA |
지원되지 않음 — 수동 확인 |
지원되지 않음 — 수동 확인 |
3.2 |
|
지원되지 않음 — 수동 확인 |
4.4 |
3.4 |
|
|
[CloudWatch.5] 기간 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오 CloudTrail AWS Config. |
지원되지 않음 — 수동 확인 |
4.5 |
3.5 |
|
[CloudWatch.6] AWS Management Console 인증 실패에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. |
지원되지 않음 — 수동 확인 |
4.6 |
3.6 |
|
[CloudWatch.7] 고객 관리 키의 비활성화 또는 예약 삭제를 위한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. |
지원되지 않음 — 수동 확인 |
4.7 |
3.7 |
|
지원되지 않음 — 수동 확인 |
4.8 |
3.8 |
|
|
[CloudWatch.9] AWS Config 구성 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. |
지원되지 않음 — 수동 확인 |
4.9 |
3.9 |
|
지원되지 않음 — 수동 확인 |
4.10 |
3.10 |
|
|
[CloudWatch.11] 네트워크 액세스 제어 목록 () NACL 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. |
지원되지 않음 — 수동 확인 |
4.11 |
3.11 |
|
[CloudWatch.12] 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인하십시오. |
지원되지 않음 — 수동 확인 |
4.12 |
3.12 |
|
지원되지 않음 — 수동 확인 |
4.13 |
3.13 |
|
|
지원되지 않음 — 수동 확인 |
4.14 |
3.14 |
|
|
3.3 |
3.5 |
2.5 |
|
|
5.4 |
5.3 |
4.3 |
|
|
3.7 |
3.9 |
2.9 |
|
|
2.2.1 |
2.2.1 |
지원되지 않음 |
|
|
5.6 |
지원되지 않음 |
지원되지 않음 |
|
|
[EC2.13] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 22로의 수신을 허용해서는 안 됩니다. |
지원되지 않음 — 요구 사항 5.2 및 5.3으로 대체 |
지원되지 않음 — 요구 사항 5.2 및 5.3으로 대체 |
4.1 |
|
[EC2.14] 보안 그룹은 0.0.0.0/0 또는: :/0에서 포트 3389로의 수신을 허용해서는 안 됩니다. |
지원되지 않음 — 요구 사항 5.2 및 5.3으로 대체 |
지원되지 않음 — 요구 사항 5.2 및 5.3으로 대체 |
4.2 |
|
[EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다. |
5.1 |
5.1 |
지원되지 않음 |
|
[EC2.53] EC2 보안 그룹은 0.0.0.0/0에서 원격 서버 관리 포트로의 수신을 허용해서는 안 됩니다. |
5.2 |
지원되지 않음 |
지원되지 않음 |
|
5.3 |
지원되지 않음 |
지원되지 않음 |
|
|
[EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS |
2.4.1 |
지원되지 않음 |
지원되지 않음 |
|
지원되지 않음 |
1.16 |
1.22 |
|
|
1.15 |
지원되지 않음 |
1.16 |
|
|
1.14 |
1.14 |
1.4 |
|
|
1.4 |
1.4 |
1.12 |
|
|
1.10 |
1.10 |
1.2 |
|
|
1.6 |
1.6 |
1.14 |
|
|
지원되지 않음 — 대신 참조 [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다. |
지원되지 않음 - [IAM.22] 45일 동안 사용하지 않은 IAM 사용자 자격 증명은 제거해야 합니다. 대신 참조 |
1.3 |
|
|
1.5 |
1.5 |
1.13 |
|
|
지원되지 않음 — 이 요구 사항 CIS 제거 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.5 |
|
|
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.6 |
|
|
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.7 |
|
|
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.8 |
|
|
1.8 |
1.8 |
1.9 |
|
|
1.9 |
1.9 |
1.10 |
|
|
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.11 |
|
|
1.17 |
1.17 |
1.2 |
|
|
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
지원되지 않음 — 이 요구 사항이 CIS 제거됨 |
1.1 |
|
|
1.12 |
1.12 |
지원되지 않음 — 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
1.19 |
지원되지 않음 — 이 요구 사항이 이후 버전에 CIS 추가됨 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
[IAM.27] IAM ID에는 정책이 첨부되어 있지 않아야 합니다. AWSCloudShellFullAccess |
1.22 |
지원되지 않음 — 이 요구 사항이 이후 버전에 CIS 추가됨 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
1.20 |
지원되지 않음 — 이 요구 사항이 이후 버전에 CIS 추가됨 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
3.6 |
3.8 |
2.8 |
|
|
지원되지 않음 — 수동 확인 |
지원되지 않음 — 수동 확인 |
지원되지 않음 — 수동 확인 |
|
|
[RDS1.2] RDS DB 인스턴스는 기간에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config |
2.3.3 |
지원되지 않음 — 이 요구 사항이 이후 버전에 CIS 추가됨 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
2.3.1 |
2.3.1 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
2.3.2 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
2.1.4 |
2.1.5 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
2.1.1 |
2.1.2 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
2.1.4 |
2.1.5 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
|
|
2.1.2 |
2.1.3 |
지원되지 않음 - 이 요구 사항이 이후 버전에 CIS 추가됨 |
ARNsCIS AWS 파운데이션 벤치마크용
하나 이상의 CIS AWS Foundation Benchmark 버전을 활성화하면 AWS 보안 검색 결과 형식 () 으로 검색 결과를 받기 시작합니다. ASFF 에서 ASFF 각 버전은 다음과 같은 Amazon 리소스 이름 (ARN) 을 사용합니다.
- CIS AWS 파운데이션 벤치마크 v3.0.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/3.0.0- CIS AWS 파운데이션 벤치마크 v1.4.0
arn:aws:securityhub:region::standards/cis-aws-foundations-benchmark/v/1.4.0- CIS AWS 파운데이션 벤치마크 v1.2.0
arn:aws:securityhub:::ruleset/cis-aws-foundations-benchmark/v/1.2.0
Security API Hub의 GetEnabledStandards작업을 통해 활성화된 표준을 확인할 수 있습니다. ARN
위 값은 for입니다. StandardsArn 그러나 StandardsSubscriptionArn 는 사용자가 BatchEnableStandards지역에서 전화를 걸어 표준을 구독할 때 Security Hub가 생성하는 표준 구독 리소스를 나타냅니다.
참고
CIS AWS Foundations Benchmark 버전을 사용하도록 설정하면 Security Hub에서 사용 설정된 다른 표준에서 사용하도록 설정한 컨트롤과 동일한 AWS Config 서비스 연결 규칙을 사용하는 컨트롤에 대한 검색 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. 자세한 내용은 보안 검사 실행 예약 단원을 참조하십시오.
통합 제어 검색 결과를 켜면 검색 필드가 달라집니다. 해당 차이점에 대한 자세한 내용은 통합이 ASFF 필드 및 값에 미치는 영향을 참조하십시오. 샘플 제어 결과에 대한 내용은 을 참조하십시오샘플 제어 조사 결과.
CISSecurity Hub에서 지원되지 않는 요구 사항
위 표에서 설명한 것처럼 Security Hub는 CIS AWS Foundation 벤치마크의 모든 버전에서 모든 CIS 요구 사항을 지원하지는 않습니다. 지원되지 않는 요구 사항의 대부분은 리소스 상태를 검토하여 수동으로만 평가할 수 있습니다. AWS
