Payment Card Industry Data Security Standard(PCI DSS)

Security Hub의 PCI DSS(지불 카드 산업 데이터 AWS 보안 표준)는 카드 소지자 데이터 처리에 대한 일련의 보안 모법 사례를 제공합니다. 이 표준을 사용하여 카드 소지자 데이터를 처리하는 리소스의 보안 취약성을 발견할 수 있습니다. Security Hub는 현재 계정 수준에서 제어의 범위를 지정합니다. 카드 소유자 데이터를 저장, 처리 또는 전송하는 리소스가 있는 모든 계정에서 이러한 제어를 활성화하는 것이 좋습니다.

이 표준은 PCI AWS DSS 지침을 제공하는 인증을 받은 공인 AWS 보안 평가자 (QSA) 팀인 보안 보증 서비스 LLC (SAS) 의 검증과 PCI DSS 보안 표준 위원회 (PCI SSC) 의 평가를 받았습니다. AWS SAS는 자동 검사가 고객이 PCI DSS 평가를 준비하는 데 도움이 될 수 있음을 확인했습니다.

이 페이지에는 보안 제어 ID와 제목이 나열되어 있습니다. AWS GovCloud (US) Region 및 중국 지역에서는 표준별 제어 ID와 제목이 사용됩니다. 보안 제어 ID 및 제목을 표준별 제어 ID 및 제목에 매핑하는 방법은 통합이 제어 ID 및 제목에 미치는 영향을 참조하십시오.

PCI DSS에 적용되는 제어

[AutoScaling.1] Classic Load Balancer와 연결된 Auto Scaling 그룹은 로드 밸런서 상태 검사를 사용해야 합니다.

[CloudTrail.2] 저장 중 암호화가 CloudTrail 활성화되어 있어야 합니다.

[CloudTrail.3] 을 활성화해야 합니다. CloudTrail

[CloudTrail.4] CloudTrail 로그 파일 검증을 활성화해야 합니다.

[CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch

[CloudWatch.1] “root” 사용자가 사용하려면 로그 메트릭 필터 및 경보가 있어야 합니다.

[CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 자격 증명이 포함되어서는 안 됩니다.

[CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

[구성.1] 을 AWS Config 활성화해야 합니다.

[DMS.1] Database Migration Service 복제 인스턴스는 공개되어서는 안 됩니다.

[EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

[EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다.

[EC2.6] VPC 플로 로깅은 모든 VPC에서 활성화되어야 합니다.

[EC2.12] 사용하지 않는 Amazon EC2 EIP는 제거해야 합니다.

[EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다.

[ELB.1] Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다.

[ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

[ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

[GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

[IAM.1] IAM 정책은 전체 "*" 관리 권한을 허용해서는 안 됩니다.

[IAM.2] IAM 사용자는 IAM 정책을 연결해서는 안 됩니다.

[IAM.4] IAM 루트 사용자 액세스 키가 존재하지 않아야 합니다.

[IAM.6]루트 사용자에 대해 하드웨어 MFA를 활성화해야 합니다.

[IAM.8] 사용하지 않은 IAM 사용자 보안 인증을 제거해야 합니다.

[IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다.

[IAM.10] IAM 사용자를 위한 암호 정책은 엄격한 기준을 적용해야 합니다. AWS Config

[IAM.19] 모든 IAM 사용자에 대해 MFA를 활성화해야 합니다.

[KMS.4] 키 로테이션을 활성화해야 합니다. AWS KMS

[Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.

[Lambda.3] Lambda 함수는 VPC에 있어야 합니다.

[Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

[Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

[RDS.1] RDS 스냅샷은 비공개여야 합니다.

[RDS.2] RDS DB 인스턴스는 기간에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config

[PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

[S3.1] S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다.

[S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

[S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다.

[S3.5] S3 범용 버킷에는 SSL 사용 요청이 있어야 합니다.

[S3.7] S3 범용 버킷은 지역 간 복제를 사용해야 합니다.

[SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

[SSM.1] Amazon EC2 인스턴스는 다음을 통해 관리해야 합니다. AWS Systems Manager

[SSM.2] Systems Manager가 관리하는 Amazon EC2 인스턴스는 패치 설치 후 패치 규정 준수 상태가 COMPLIANT여야 합니다.

[SSM.3] Systems Manager가 관리하는 Amazon EC2 인스턴스는 연결 규정 준수 상태가 COMPLIANT여야 합니다.