서비스 관리 표준: AWS Control Tower

이 섹션에서는 서비스 관리 표준에 대한 정보를 제공합니다. AWS Control Tower.

서비스 관리형 표준이란 무엇입니까? AWS Control Tower?

이 표준은 다음 사용자를 위해 설계되었습니다. AWS Security Hub 및 AWS Control Tower. 이를 통해 다음과 같은 사전 제어를 구성할 수 있습니다. AWS Control Tower Security Hub의 탐정 제어 장치와 함께 AWS Control Tower 서비스.

사전 예방적 제어를 통해 다음을 보장할 수 있습니다. AWS 계정 정책 위반 또는 구성 오류로 이어질 수 있는 작업에 플래그를 지정하므로 규정 준수를 유지할 수 있습니다. Detective Controls는 기업 내 리소스 비준수 (예: 구성 오류) 를 감지합니다. AWS 계정. 사전 예방적이고 탐지적인 제어를 가능하게 함으로써 AWS 환경을 통해 다양한 개발 단계에서 보안 태세를 강화할 수 있습니다.

작은 정보

서비스 관리 표준은 다음과 같은 표준과 다릅니다. AWS Security Hub가 관리합니다. 예를 들어, 관리 서비스에서 서비스 관리형 표준을 만들고 삭제해야 합니다. 자세한 내용은 Security Hub의 서비스 관리 표준 단원을 참조하십시오.

Security Hub 콘솔에서 서비스 관리 표준을 볼 수 있습니다. API AWS Control Tower 다른 Security Hub 표준과 함께

표준 생성

이 표준은 에서 표준을 생성한 경우에만 사용할 수 있습니다. AWS Control Tower. AWS Control Tower 다음 방법 중 하나를 사용하여 해당 컨트롤을 처음 활성화할 때 표준을 만듭니다.

• AWS Control Tower 콘솔

• AWS Control Tower API(호출 EnableControlAPI)

• AWS CLI (enable-control명령 실행)

Security Hub 컨트롤은 다음에서 식별됩니다. AWS Control Tower 콘솔은 SH로 되어 있습니다.ControlID(예: SH. CodeBuild.1).

표준을 만들 때 Security Hub를 아직 활성화하지 않았다면 AWS Control Tower 또한 Security Hub를 자동으로 활성화합니다.

아직 설정하지 않은 경우 AWS Control Tower, Security Hub 콘솔, Security Hub에서 이 표준을 보거나 액세스할 수 없습니다. API AWS CLI. 설정을 완료했더라도 AWS Control Tower, 먼저 표준을 생성하지 않으면 Security Hub에서 이 표준을 보거나 액세스할 수 없습니다. AWS Control Tower 위 방법 중 하나를 사용합니다.

이 표준은 다음 국가에서만 사용할 수 있습니다. AWS 리전 여기서 각 항목은 다음과 같습니다. AWS Control Tower 다음을 포함하여 사용할 수 있습니다. AWS GovCloud (US).

표준의 제어 활성화 및 비활성화

표준을 만든 후 AWS Control Tower 콘솔에서는 두 서비스 모두에서 표준과 사용 가능한 컨트롤을 볼 수 있습니다.

표준을 처음 만든 후에는 자동으로 활성화되는 제어가 없습니다. 또한 Security Hub에서 새 컨트롤을 추가할 때 서비스 관리형 표준에 대해 해당 컨트롤이 자동으로 활성화되지 않습니다. AWS Control Tower. 표준에 대한 컨트롤을 활성화 및 비활성화해야 합니다. AWS Control Tower 다음 방법 중 하나를 사용하십시오.

• AWS Control Tower 콘솔

• AWS Control Tower API(EnableControl및 를 호출 DisableControlAPIs)

• AWS CLI (enable-control및 disable-control명령 실행)

에서 컨트롤의 활성화 상태를 변경하는 경우 AWS Control Tower, 변경 사항은 Security Hub에도 반영됩니다.

하지만 Security Hub에서 활성화된 컨트롤을 사용하지 않도록 설정하는 것은 AWS Control Tower 그 결과 제어 드리프트가 발생합니다. 제어 상태는 다음과 같습니다. AWS Control Tower 로 표시됩니다Drifted. 에서 OU 재등록을 선택하여 이 드리프트를 해결할 수 있습니다. AWS Control Tower 콘솔에서 또는 컨트롤을 비활성화했다가 다시 활성화하여 AWS Control Tower 위 방법 중 하나를 사용합니다.

에서 활성화 및 비활성화 작업 완료 AWS Control Tower 컨트롤 드리프트를 방지하는 데 도움이 됩니다.

에서 컨트롤을 활성화 또는 비활성화하는 경우 AWS Control Tower작업은 계정 및 지역 전체에 적용됩니다. Security Hub에서 제어를 사용하거나 사용하지 않도록 설정하는 경우(이 표준에서는 권장되지 않음) 작업은 현재 계정 및 리전에만 적용됩니다.

참고

중앙 구성은 서비스 관리형 표준을 관리하는 데 사용할 수 없습니다. AWS Control Tower. 중앙 구성을 사용하는 경우 다음 구성만 사용할 수 있습니다. AWS Control Tower 중앙에서 관리되는 계정에 대해 이 표준에서 컨트롤을 활성화 및 비활성화하는 서비스입니다.

활성화 상태 및 제어 상태 보기

다음 방법 중 하나를 사용하여 제어의 활성화 상태를 볼 수 있습니다.

• 보안 허브 콘솔, 보안 허브 API 또는 AWS CLI

• AWS Control Tower 콘솔

• AWS Control Tower API활성화된 컨트롤 목록을 보려면 (를 호출하십시오 ListEnabledControlsAPI)

• AWS CLI 활성화된 컨트롤 목록을 보려면 (list-enabled-controls명령 실행)

에서 비활성화한 컨트롤 AWS Control Tower Security Disabled Hub에서 해당 컨트롤을 명시적으로 활성화하지 않는 한 Security Hub의 활성화 상태를 가집니다.

Security Hub는 제어 조사 결과의 워크플로 상태 및 규정 준수 상태를 기반으로 제어 상태를 계산합니다. 활성화 상태 및 제어 상태에 대한 자세한 내용은 컨트롤 세부 정보 보기을 참조하십시오.

Security Hub는 제어 상태를 기반으로 서비스 관리형 표준에 대한 보안 점수를 계산합니다. AWS Control Tower. 이 점수는 Security Hub에서만 사용할 수 있습니다. 또한 Security Hub에서는 제어 조사 결과만 볼 수 있습니다. 표준 보안 점수 및 제어 결과는 다음에서 확인할 수 없습니다. AWS Control Tower.

참고

서비스 관리형 표준에 대한 제어를 활성화하는 경우: AWS Control Tower, Security Hub는 기존 컨트롤을 사용하는 컨트롤에 대한 결과를 생성하는 데 최대 18시간이 걸릴 수 있습니다. AWS Config 서비스 연결 규칙. Security Hub에서 다른 표준 및 제어를 활성화한 경우 기존 서비스 연결 규칙이 있을 수 있습니다. 자세한 내용은 보안 검사 실행 예약을 참조하십시오.

표준 삭제

에서 이 표준을 삭제할 수 있습니다. AWS Control Tower 다음 방법 중 하나를 사용하여 해당하는 모든 컨트롤을 비활성화하면 됩니다.

• AWS Control Tower 콘솔

• AWS Control Tower API(전화) DisableControlAPI

• AWS CLI (disable-control명령 실행)

모든 컨트롤을 비활성화하면 모든 관리 계정 및 관리 대상 지역의 표준이 삭제됩니다. AWS Control Tower. 에서 표준 삭제 AWS Control Tower Security Hub 콘솔의 표준 페이지에서 이 파일을 제거하므로 Security API Hub를 사용하여 더 이상 액세스할 수 없게 됩니다. AWS CLI.

참고

Security Hub의 표준에서 모든 제어를 비활성화해도 표준이 비활성화되거나 삭제되지는 않습니다.

Security Hub 서비스를 비활성화하면 서비스 관리 표준이 제거됩니다. AWS Control Tower 그리고 활성화한 기타 모든 표준.

서비스 관리 표준의 필드 형식 찾기: AWS Control Tower

서비스 관리형 표준을 생성하는 경우: AWS Control Tower 제어를 활성화하면 Security Hub에서 제어 결과를 받기 시작합니다. Security Hub는 제어 조사 결과를 AWS 보안 탐지 형식 (ASFF)로 보고합니다. 다음은 이 표준의 Amazon 리소스 이름 (ARN) ASFF 값이며 GeneratorId 다음과 같습니다.

• 스탠다드 ARN — arn:aws:us-east-1:securityhub:::standards/service-managed-aws-control-tower/v/1.0.0

• GeneratorId – service-managed-aws-control-tower/v/1.0.0/CodeBuild.1

서비스 관리형 표준에 대한 샘플 검색 결과: AWS Control Tower, 을 참조하십시오. Security Hub의 샘플 제어 결과

서비스 관리형 표준에 적용되는 제어: AWS Control Tower

서비스 관리형 표준: AWS Control Tower 에 속하는 일부 제어 기능을 지원합니다. AWS 기본 보안 모범 사례 () FSBP 표준. 실패한 조사 결과에 대한 수정 단계를 포함하여 이에 대한 정보를 보려면 다음 테이블에서 제어를 선택하십시오.

다음 목록은 서비스 관리형 표준에 사용할 수 있는 컨트롤을 보여줍니다. AWS Control Tower. 통제에 대한 지역별 한도는 표준의 추론 통제에 대한 지역별 한도와 일치합니다. FSBP 이 목록은 표준에 구애받지 않는 보안 제어를 보여줍니다. IDs 에는 AWS Control Tower 콘솔에서 IDs 컨트롤은 SH로 포맷됩니다.ControlID(예: SH CodeBuild.1). Security Hub에서 계정에서 통합 제어 조사 결과가 꺼져 있는 경우 ProductFields.ControlId 필드는 표준 기반 제어 ID를 사용합니다. 표준 기반 제어 ID는 CT로 포맷됩니다. ControlId(예: CT. CodeBuild.1).

• [계정.1] 다음을 위한 보안 연락처 정보를 제공해야 합니다. AWS 계정

• [ACM.1] 가져온 인증서와 ACM 발급한 인증서는 지정된 기간 후에 갱신해야 합니다.

• 에서 관리하는 [ACM.2] RSA 인증서는 최소 2,048비트의 키 길이를 ACM 사용해야 합니다.

• [APIGateway.1] API 게이트웨이 REST 및 WebSocket API 실행 로깅을 활성화해야 합니다.

• [APIGateway.2] 백엔드 인증에 SSL 인증서를 사용하도록 API 게이트웨이 REST API 단계를 구성해야 합니다.

• [APIGateway.3] API 게이트웨이 REST API 단계에는 다음이 포함되어야 합니다. AWS X-Ray 추적 활성화됨

• [APIGateway.4] API 게이트웨이는 웹과 연결되어야 합니다. WAF ACL

• [APIGateway.5] API 게이트웨이 REST API 캐시 데이터는 유휴 상태에서 암호화해야 합니다.

• [APIGateway.8] API 게이트웨이 경로는 권한 유형을 지정해야 합니다.

• [APIGateway.9] API 게이트웨이 V2 스테이지에 대한 액세스 로깅을 구성해야 합니다.

• [AppSync.5] AWS AppSync APIsGraphQL은 키를 사용하여 인증해서는 안 됩니다. API

• [AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다.

• [AutoScaling.2] Amazon EC2 Auto Scaling 그룹은 여러 가용 영역을 포함해야 합니다.

• [AutoScaling.3] Auto Scaling 그룹 시작 구성에서는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 요구하도록 EC2 인스턴스를 구성해야 합니다.

• [오토스케일링.5] Auto Scaling 그룹 시작 구성을 사용하여 시작한 EC2 Amazon 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다.

• [AutoScaling.6] Auto Scaling 그룹은 여러 가용 영역에서 여러 인스턴스 유형을 사용해야 합니다.

• [AutoScaling.9] 아마존 EC2 오토 스케일링 그룹은 아마존 EC2 시작 템플릿을 사용해야 합니다.

• [CloudTrail.1] 을 활성화하고 읽기 및 쓰기 관리 이벤트를 포함하는 다중 지역 트레일을 하나 이상 사용하여 CloudTrail 구성해야 합니다.

• [CloudTrail.2] 저장 시 암호화가 활성화되어 CloudTrail 있어야 합니다.

• [CloudTrail.4] CloudTrail 로그 파일 검증이 활성화되어야 합니다.

• [CloudTrail.5] CloudTrail 트레일은 Amazon Logs와 통합되어야 합니다. CloudWatch

• [CloudTrail.6] CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인하십시오.

• [CodeBuild.1] CodeBuild Bitbucket 소스 저장소에는 민감한 자격 증명이 URLs 포함되어서는 안 됩니다.

• [CodeBuild.2] CodeBuild 프로젝트 환경 변수에는 일반 텍스트 자격 증명이 포함되어서는 안 됩니다.

• [CodeBuild.3] CodeBuild S3 로그는 암호화되어야 합니다.

• [CodeBuild.4] CodeBuild 프로젝트 환경에는 로깅이 있어야 합니다. AWS Config기간

• [DMS.1] Database Migration Service 복제 인스턴스는 퍼블릭이 아니어야 합니다.

• [DMS.9] DMS 엔드포인트는 다음을 사용해야 합니다. SSL

• [DocumentDB.1] Amazon DocumentDB 클러스터는 저장 시 암호화되어야 합니다.

• [DocumentDB.2] Amazon DocumentDB 클러스터에는 적절한 백업 보존 기간이 있어야 합니다.

• [DocumentDB.3] Amazon DocumentDB 수동 클러스터 스냅샷은 공개되어서는 안 됩니다.

• [DynamoDB.1] DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다.

• [DynamoDB.2] DynamoDB 테이블에는 복구가 활성화되어 있어야 합니다. point-in-time

• [DynamoDB.3] DynamoDB 액셀러레이터 DAX () 클러스터는 유휴 상태에서 암호화되어야 합니다.

• [EC2.1] Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다.

• [EC2.2] VPC 기본 보안 그룹은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됩니다.

• [EC2.3] 연결된 Amazon EBS 볼륨은 유휴 상태에서 암호화해야 합니다.

• [EC2.4] 중지된 EC2 인스턴스는 지정된 기간이 지나면 제거해야 합니다.

• [EC2.6] VPC 플로우 로깅은 모두 활성화되어야 합니다. VPCs

• [EC2.7] EBS 기본 암호화가 활성화되어야 합니다.

• [EC2.8] EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2 () IMDSv2 를 사용해야 합니다.

• [EC2.9] Amazon EC2 인스턴스에는 공개 IPv4 주소가 없어야 합니다.

• [EC2.10] Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 Amazon을 구성해야 합니다. EC2

• [EC2.15] Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다.

• [EC2.16] 사용하지 않는 네트워크 액세스 제어 목록은 제거해야 합니다.

• [EC2.17] Amazon EC2 인스턴스는 여러 개를 사용해서는 안 됩니다. ENIs

• [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다.

• [EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.

• [EC2.20] 두 VPN 터널 모두 AWS 사이트 간 연결이 VPN 작동해야 합니다.

• [EC2.21] 네트워크는 0.0.0.0/0에서 포트 22 또는 포트 3389로의 수신을 ACLs 허용해서는 안 됩니다.

• [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹은 제거해야 합니다.

• [EC2.23] Amazon EC2 Transit Gateway는 첨부 요청을 자동으로 VPC 수락하지 않아야 합니다.

• [EC2.25] Amazon EC2 시작 템플릿은 네트워크 IPs 인터페이스에 퍼블릭을 할당해서는 안 됩니다.

• [ECR.1] ECR 개인 저장소에는 이미지 스캔이 구성되어 있어야 합니다.

• [ECR.2] ECR 프라이빗 리포지토리에는 태그 불변성이 구성되어 있어야 합니다.

• [ECR.3] ECR 리포지토리에는 적어도 하나의 수명 주기 정책이 구성되어 있어야 합니다.

• [ECS.1] Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

• [ECS.2] ECS 서비스에 퍼블릭 IP 주소가 자동으로 할당되어서는 안 됩니다.

• [ECS.3] ECS 작업 정의는 호스트의 프로세스 네임스페이스를 공유해서는 안 됩니다.

• [ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.

• [ECS.5] ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다.

• [ECS.8] 시크릿은 컨테이너 환경 변수로 전달되어서는 안 된다.

• [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다.

• [ECS.12] ECS 클러스터는 컨테이너 인사이트를 사용해야 합니다.

• [EFS.1] 유휴 상태의 파일 데이터를 다음을 사용하여 암호화하도록 Elastic File System을 구성해야 합니다. AWS KMS

• [EFS.2] Amazon EFS 볼륨은 백업 계획에 포함되어야 합니다.

• [EFS.3] EFS 액세스 포인트는 루트 디렉터리를 적용해야 합니다.

• [EFS.4] EFS 액세스 포인트는 사용자 ID를 적용해야 합니다.

• [EKS.1] EKS 클러스터 엔드포인트는 공개적으로 액세스할 수 없어야 합니다.

• [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행해야 합니다.

• [ElastiCache.3] ElastiCache (RedisOSS) 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다.

• [ElastiCache.4] ElastiCache (RedisOSS) 복제 그룹은 유휴 상태에서 암호화해야 합니다.

• [ElastiCache.5] ElastiCache (RedisOSS) 복제 그룹은 전송 중에 암호화되어야 합니다.

• [ElastiCache.6] ElastiCache (RedisOSS) 이전 버전의 복제 그룹에는 Redis가 활성화되어 있어야 합니다. OSS AUTH

• [ElasticBeanstalk.1] Elastic Beanstalk 환경에는 향상된 상태 보고 기능이 활성화되어 있어야 합니다.

• [ElasticBeanstalk.2] Elastic Beanstalk 관리형 플랫폼 업데이트를 활성화해야 합니다.

• [ELB.1] Application Load Balancer는 모든 요청을 다음으로 리디렉션하도록 구성해야 합니다. HTTP HTTPS

• [ELB.2]SSL/HTTPS리스너가 있는 클래식 로드 밸런서는 에서 제공한 인증서를 사용해야 합니다. AWS Certificate Manager

• [ELB.3] Classic Load Balancer 리스너는 또는 종료를 사용하여 구성해야 합니다. HTTPS TLS

• [ELB.4] http 헤더를 삭제하도록 애플리케이션 로드 밸런서를 구성해야 합니다.

• [ELB.5] 애플리케이션 및 클래식 로드 밸런서 로깅을 활성화해야 합니다.

• [ELB.6] 애플리케이션, 게이트웨이, 네트워크 로드 밸런서는 삭제 보호를 활성화해야 합니다.

• [ELB.7] 클래식 로드 밸런서는 연결 드레이닝을 활성화해야 합니다.

• [ELB.8] SSL 리스너가 있는 클래식 로드 밸런서는 강력한 사전 정의된 보안 정책을 사용해야 합니다. AWS Config기간

• [ELB.9] 클래식 로드 밸런서는 영역 간 로드 밸런싱을 활성화해야 합니다.

• [ELB.10] Classic Load Balancer는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.12] Application Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [ELB.13] 애플리케이션, 네트워크 및 게이트웨이 로드 밸런서는 여러 가용 영역에 걸쳐 있어야 합니다.

• [ELB.14] Classic Load Balancer는 방어 모드 또는 가장 엄격한 비동기 완화 모드로 구성해야 합니다.

• [EMR.1] Amazon EMR 클러스터 기본 노드에는 퍼블릭 IP 주소가 없어야 합니다.

• [ES.1] Elasticsearch 도메인에는 저장 시 암호화가 활성화되어 있어야 합니다.

• [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [ES.3] Elasticsearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [ES.4] 로그에 대한 Elasticsearch 도메인 오류 로깅을 활성화해야 합니다 CloudWatch .

• [ES.5] Elasticsearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [ES.6] Elasticsearch 도메인에는 최소 세 개의 데이터 노드가 있어야 합니다.

• [ES.7] Elasticsearch 도메인은 최소 3개의 전용 프라이머리 노드로 구성해야 합니다.

• [ES.8] Elasticsearch 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. TLS

• [EventBridge.3] EventBridge 사용자 지정 이벤트 버스에는 리소스 기반 정책이 첨부되어야 합니다.

• [GuardDuty.1] 을 GuardDuty 활성화해야 합니다.

• [IAM.1] IAM 정책은 완전한 “*” 관리자 권한을 허용해서는 안 됩니다.

• [IAM.2] IAM 사용자는 IAM 정책을 첨부하지 않아야 합니다.

• [IAM.3] IAM 사용자의 액세스 키는 90일 또는 그 이하마다 교체해야 합니다.

• [IAM.4] IAM 루트 사용자 액세스 키는 존재하지 않아야 합니다.

• 콘솔 암호가 있는 모든 IAM 사용자가 [IAM.5] 를 MFA 활성화해야 합니다.

• [IAM.6] 루트 사용자가 하드웨어를 사용할 수 있도록 MFA 설정해야 합니다.

• [IAM.7] IAM 사용자를 위한 암호 정책은 강력한 구성을 가져야 합니다.

• [IAM.8] 사용하지 않는 IAM 사용자 자격 증명은 제거해야 합니다.

• [IAM.21] 생성한 IAM 고객 관리형 정책은 서비스에 대한 와일드카드 작업을 허용해서는 안 됩니다.

• [Kinesis.1] Kinesis 스트림은 저장 시 암호화되어야 합니다.

• [KMS.1] IAM 고객 관리형 정책은 모든 키에 대한 암호 해독 작업을 허용해서는 안 됩니다. KMS

• [KMS.2] IAM 보안 주체에는 모든 키에 대한 암호 해독 작업을 허용하는 IAM 인라인 정책이 없어야 합니다. KMS

• [.3] KMS AWS KMS keys 실수로 삭제해서는 안 됩니다.

• [KMS.4] AWS KMS 키 로테이션을 활성화해야 합니다.

• [Lambda.1] Lambda 함수 정책은 퍼블릭 액세스를 금지해야 합니다.

• [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다.

• [Lambda.3] 람다 함수는 a에 있어야 합니다. VPC

• [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다.

• [MSK.1] 브로커 노드 간 전송 시 MSK 클러스터는 암호화되어야 합니다.

• [MQ.5] ActiveMQ 브로커는 활성/대기 배포 모드를 사용해야 합니다.

• [MQ.6] RabbitMQ 브로커는 클러스터 배포 모드를 사용해야 합니다

• [Neptune.1] Neptune DB 클러스터는 저장 시 암호화되어야 합니다.

• [Neptune.2] Neptune DB 클러스터는 감사 로그를 로그에 게시해야 합니다. CloudWatch

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.4] Neptune DB 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [Neptune.5] Neptune DB 클러스터에는 자동 백업이 활성화되어 있어야 합니다.

• [Neptune.6] Neptune DB 클러스터 스냅샷은 저장 시 암호화되어야 합니다.

• [Neptune.7] Neptune DB 클러스터에는 데이터베이스 인증이 활성화되어 있어야 합니다. IAM

• [Neptune.8] 태그를 스냅샷에 복사하도록 Neptune DB 클러스터를 구성해야 합니다.

• [NetworkFirewall.3] Network Firewall 정책에는 하나 이상의 규칙 그룹이 연결되어 있어야 합니다.

• [NetworkFirewall.4] Network Firewall 정책의 기본 상태 비저장 작업은 전체 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.5] Network Firewall 정책의 기본 상태 비저장 작업은 프래그먼트화된 패킷의 경우 삭제 또는 전달이어야 합니다.

• [NetworkFirewall.6] 스테이트리스 네트워크 방화벽 규칙 그룹은 비어 있으면 안 됩니다.

• [Opensearch.1] OpenSearch 도메인에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다.

• [Opensearch.3] OpenSearch 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

• [Opensearch.4] 로그에 대한 OpenSearch 도메인 오류 로깅이 활성화되어야 합니다 CloudWatch .

• [Opensearch.5] OpenSearch 도메인에는 감사 로깅이 활성화되어 있어야 합니다.

• [Opensearch.6] OpenSearch 도메인에는 데이터 노드가 3개 이상 있어야 합니다.

• [Opensearch.7] OpenSearch 도메인에는 세분화된 액세스 제어가 활성화되어 있어야 합니다.

• [Opensearch.8] 도메인에 대한 연결은 최신 보안 정책을 사용하여 암호화해야 합니다. OpenSearch TLS

• [RDS.1] RDS 스냅샷은 비공개여야 합니다

• [RDS.2] RDS DB 인스턴스는 다음 규정에 따라 퍼블릭 액세스를 금지해야 합니다. PubliclyAccessible AWS Config기간

• [RDS.3] RDS DB 인스턴스에는 저장 중 암호화가 활성화되어 있어야 합니다.

• [RDS.4] RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 유휴 상태에서 암호화해야 합니다.

• [RDS.5] RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다.

• [RDS.6] DB 인스턴스에 대한 향상된 모니터링을 구성해야 합니다. RDS

• [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다.

• [RDS.9] RDS DB 인스턴스는 로그를 Logs에 게시해야 합니다. CloudWatch

• [RDS.10] 인스턴스에 대해 IAM RDS 인증을 구성해야 합니다.

• [RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다.

• [RDS.12] 클러스터에 IAM RDS 인증을 구성해야 합니다.

• [RDS.13] RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다.

• [RDS.15] RDS DB 클러스터는 여러 가용 영역에 맞게 구성해야 합니다.

• [RDS.17] 태그를 스냅샷에 복사하도록 RDS DB 인스턴스를 구성해야 합니다.

• [RDS.18] RDS 인스턴스는 다음 위치에 배포해야 합니다. VPC

• [RDS.19] 중요한 클러스터 이벤트에 맞게 기존 RDS 이벤트 알림 구독을 구성해야 합니다.

• [RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다.

• [RDS.21] 중요한 데이터베이스 파라미터 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

• [RDS.22] 중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

• [RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용해서는 안 됩니다.

• [RDS.25] RDS 데이터베이스 인스턴스는 사용자 지정 관리자 사용자 이름을 사용해야 합니다.

• [RDS.27] RDS DB 클러스터는 유휴 상태에서 암호화해야 합니다.

• [PCI.Redshift.1] Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다.

• [Redshift.2] Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화되어야 합니다.

• [Redshift.4] Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다.

• [Redshift.6] Amazon Redshift에는 메이저 버전으로의 자동 업그레이드가 활성화되어 있어야 합니다.

• [Redshift.7] Redshift 클러스터는 향상된 라우팅을 사용해야 합니다 VPC

• [Redshift.8] Amazon Redshift 클러스터는 기본 관리자 사용자 이름을 사용해서는 안 됩니다.

• [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다.

• [Redshift.10] Redshift 클러스터는 저장 시 암호화되어야 합니다

• [S3.1] S3 범용 버킷에는 퍼블릭 액세스 차단 설정이 활성화되어 있어야 합니다.

• [S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다.

• [S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다.

• [S3.5] S3 범용 버킷을 사용하려면 사용 요청이 있어야 합니다. SSL

• [S3.6] S3 범용 버킷 정책은 다른 버킷에 대한 액세스를 제한해야 합니다. AWS 계정

• [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다.

• [S3.9] S3 범용 버킷은 서버 액세스 로깅을 활성화해야 합니다.

• [S3.12] 는 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACLs 사용해서는 안 됩니다.

• [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다.

• [S3.17] S3 범용 버킷은 저장 시 다음을 사용하여 암호화해야 합니다. AWS KMS keys

• [SageMaker.1] Amazon SageMaker 노트북 인스턴스는 인터넷에 직접 액세스할 수 없어야 합니다.

• [SageMaker.2] SageMaker 노트북 인스턴스는 사용자 지정으로 시작해야 합니다. VPC

• [SageMaker.3] 사용자에게 SageMaker 노트북 인스턴스에 대한 루트 액세스 권한이 없어야 합니다.

• [SecretsManager.1] Secrets Manager 비밀번호에는 자동 로테이션이 활성화되어 있어야 합니다.

• [SecretsManager.2] 자동 순환으로 구성된 Secrets Manager 암호는 성공적으로 교체되어야 합니다.

• [SecretsManager.3] 사용하지 않는 Secrets Manager 시크릿 삭제

• [SecretsManager.4] Secrets Manager 비밀은 지정된 일수 내에 교체되어야 합니다.

• [SQS.1] Amazon SQS 대기열은 유휴 상태에서 암호화되어야 합니다.

• [SSM.1] Amazon EC2 인스턴스는 다음과 같이 관리해야 합니다. AWS Systems Manager

• [SSM.2] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 패치 규정 준수 상태는 패치 설치 COMPLIANT 이후여야 합니다.

• [SSM.3] Systems Manager에서 관리하는 Amazon EC2 인스턴스의 연결 규정 준수 상태는 다음과 같아야 합니다. COMPLIANT

• [SSM.4] SSM 문서는 공개해서는 안 됩니다.

• [WAF.2] AWS WAF 클래식 지역 규칙에는 하나 이상의 조건이 있어야 합니다.

• [WAF.3] AWS WAF 클래식 지역 규칙 그룹에는 규칙이 하나 이상 있어야 합니다.

• [WAF.4] AWS WAF 클래식 지역 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

• [WAF.10] AWS WAF 웹에는 하나 이상의 규칙 또는 규칙 그룹이 ACLs 있어야 합니다.

이 표준에 대한 자세한 내용은 의 Security Hub 컨트롤을 참조하십시오. AWS Control Tower 사용 설명서.