안녕하세요~! 오늘은 베스핀글로벌 D&A 실 김동규 님이 작성해 주신 AWS Control Tower의 ISMS-P 인증 대응(적용 사례, Config 정책)에 대해 알아보겠습니다. 읽으시다가 궁금한 부분이 있으시면 언제든 댓글을 달아주세요 🙂
AWS에서는 ISMS-P 인증을 위한 Config Rule 목록을 제공하고 있습니다.
https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/operational-best-practices-for-k-isms.html
해당 목록은 ISMS-P 인증기준의 항목별로 AWS Config를 매칭 시켜 제공해 주고 있으나 몇 가지 불편한 점이 있어서 공유드립니다.
ISMS 항목 : 2.12
ISMS 항목 : 2.12
Config rule : aurora-resources-protected-by-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Aurora 리소스가 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : Aurora DB를 쓸 경우 적용 추천
ISMS 항목 : 2.12
Config rule : backup-plan-min-frequency-and-min-retention-check
지침 : 데이터 백업 프로세스를 지원하려면 AWS Backup 계획이 최소 빈도 및 보존으로 설정되어 있는지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다. 이 규칙을 사용하면 requiredFrequencyValue(구성 기본값: 1), requiredRetentionDays(구성 기본값: 35) 및 requiredFrequencyUnit(구성 기본값: 일) 매개변수를 설정할 수 있습니다. 실제 값은 조직의 요구 사항을 반영해야 합니다.
의견 : 적용 추천
ISMS 항목 : 2.12
Config rule : redshift-backup-enabled
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Redshift 클러스터에 자동화된 스냅샷이 있는지 확인하십시오.
클러스터에 대해 자동화된 스냅샷이 활성화되면 Redshift는 주기적으로 해당 클러스터의 스냅샷을 생성합니다.
기본적으로 Redshift는 8시간마다 또는 데이터 변경 노드당 5GB마다 또는 둘 중 먼저 도래하는 날짜에 스냅샷을 생성합니다.
의견 : RedShift 상품 사용시 적용 추천
ISMS 항목 : 2.6
ISMS 항목 : 2.6
Config rule : alb-waf-enabled
지침 : 웹 애플리케이션을 보호할 수 있도록 Elastic Load Balancer(ELB)에서 AWS WAF가 활성화되어 있는지 확인하십시오. WAF는 일반적인 웹 익스플로잇으로부터 웹 애플리케이션 또는 API를 보호하는 데 도움이 됩니다. 이러한 웹 익스플로잇은 가용성에 영향을 미치거나 보안을 손상시키거나 환경 내에서 과도한 리소스를 소비할 수 있습니다.
의견 : waf 사용시 적용 추천
ISMS 항목 : 2.6
Config rule : ebs-snapshot-public-restorable-check
지침 : EBS 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다.
EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에 대한 액세스 제어가 필요합니다.
의견 : 적용 추천
ISMS 항목 : 2.6
Config rule : ec2-instance-no-public-ip
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
의견 : Bastion 등 공인 IP가 필요한 서버가 위치하는 계정이 속하는 OU에 대해서는 미적용 권장
ISMS 항목 : 2.6
Config rule : ec2-instances-in-vpc
지침 : Amazon Virtual Private Cloud(Amazon VPC) 내에 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 배포하여 인터넷 게이트웨이, NAT 장치 또는 VPN 연결 없이 인스턴스와 Amazon VPC 내의 다른 서비스 간의 보안 통신을 활성화합니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon VPC 내에 상주하는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다.
Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다.
의견 : 클래식 환경이 아닌 경우 AWS의 모든 EC2는 VPC안에 생성되게 되어 있으므로 적용 필요 없음
Classic EC2 서비스는 2021년 10월 30일에 중단
ISMS 항목 : 2.6
Config rule : lambda-inside-vpc
지침 : Amazon VPC 내의 다른 서비스와 함수 간의 보안 통신을 위해 Amazon Virtual Private Cloud(Amazon VPC) 내에 AWS Lambda 함수를 배포합니다. 이 구성을 사용하면 인터넷 게이트웨이, NAT 장치 또는 VPN 연결에 대한 요구 사항이 없습니다. 모든 트래픽은 AWS 클라우드 내에서 안전하게 유지됩니다. 논리적 격리로 인해 Amazon VPC 내에 상주하는 도메인은 퍼블릭 엔드포인트를 사용하는 도메인과 비교할 때 추가 보안 계층이 있습니다.
액세스를 적절하게 관리하려면 AWS Lambda 함수를 VPC에 할당해야 합니다.
의견 : Lambda 함수는 VPC내에 위치할 수도 있고 VPC 없이도 생성 가능하며 해당 시스템 아키텍쳐에 따라 적용 여부 검토 필요
테스트 결과 : CT의 기본 적용 lambda로 인해 미준수로 나옴
정책을 미사용하거나 또는 해당 정책을 적용할 OU에 속한 계정들에서 사용되는 Lambda가 위치한 서브넷들의 ID들을 조사하여 옵션(파라미터값)으로 두어야 미준수로 뜨지 않게 됩니다
ISMS 항목 : 2.6
Config rule : rds-snapshots-public-prohibited
지침 : Amazon Relational Database Service(Amazon RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
의견 : 적용 추천
ISMS 항목 : 2.6
Config rule : restricted-ssh
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 리소스의 0.0.0.0/0에서 포트 22로의 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다.
의견 : 보안그룹에서 0.0.0.0/0 에 대해 SSH 가 열려있을때 미준수로 체크가 되며 적용 추천
ISMS 항목 : 2.7
ISMS 항목 : 2.7
Config rule : acm-certificate-expiration-check
지침 : AWS ACM에서 X509 인증서를 발급하도록 하여 네트워크 무결성이 보호되도록 합니다.
이러한 인증서는 유효하고 만료되지 않아야 합니다. 이 규칙에는 daysToExpiration 값이 필요합니다(AWS Foundational Security Best Practices 값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
의견 : 적용 추천
테스트 결과 : ACM에서 발행한 인증서가 만료되기 전에 사전 알림을 해 주는 용도
ISMS 항목 : 2.7
Config rule : api-gw-cache-enabled-and-encrypted
지침 : 저장 데이터를 보호하려면 API Gateway 단계의 캐시에 대해 암호화가 활성화되어 있는지 확인하십시오.
API 메서드에 대해 민감한 데이터를 캡처할 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 저장 데이터 암호화를 활성화합니다.
의견 : 개발자 의견에 따라 필요시 적용
ISMS 항목 : 2.7
Config rule : cloud-trail-encryption-enabled
지침 : 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 AWS CloudTrail 추적에 대해 암호화가 활성화되어 있는지 확인하십시오.
의견 : KMS 암호화 미사용시 미적용 추천
테스트 결과 : CT의 기본 CloudTrail로 인해 미준수로 나옴, CT의 KMS 암호화 옵션 활성화시 준수로 나옴,
https://docs.aws.amazon.com/ko_kr/controltower/latest/userguide//best-practices.html#kms-guidance
ISMS 항목 : 2.7
Config rule : cloudwatch-log-group-encrypted
지침 : 저장되어 있는 민감한 데이터를 보호하려면 Amazon CloudWatch Log Groups에 대해 암호화가 활성화되어 있는지 확인하십시오.
의견 : 기본 옵션이 비활성이며 필요시 적용
테스트 결과 : CT의 기본 로그 그룹으로 인해 미준수로 나옴
ISMS 항목 : 2.7
Config rule : dynamodb-table-encrypted-kms
지침 : Amazon DynamoDB 테이블에 대해 암호화가 활성화되어 있는지 확인하십시오.민감한 데이터는 이러한 테이블에 저장되어 있을 수 있으므로 저장 데이터 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.기본적으로 DynamoDB 테이블은 AWS 소유의 고객 마스터 키(CMK)로 암호화됩니다.
의견 : DynamoDB 사용시 암호화 사용할 경우 적용
ISMS 항목 : 2.7
Config rule : ec2-ebs-encryption-by-default
지침 : 저장 데이터를 보호하려면 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 이러한 볼륨에 미사용 상태로 존재할 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 미사용 데이터 암호화를 활성화하십시오.
의견 : EC2 생성시 같이 생성되어지는 EBS가 기본적으로 암호화를 시키도록 설정할 경우 적용
테스트 결과 : 계정의 EBS 기본 암호화 설정이 안 되어 있어서 미준수
ISMS 항목 : 2.7
Config rule : efs-encrypted-check
지침 : 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon Elastic File System(EFS)에 대해 암호화가 활성화되어 있는지 확인하십시오.
의견 : EFS에 대해서 암호화를 설정할 경우 적용
ISMS 항목 : 2.7
Config rule : elasticsearch-encrypted-at-rest
지침 : 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon OpenSearch Service(OpenSearch Service) 도메인에 대해 암호화가 활성화되어 있는지 확인하십시오.
의견 : OpenSearch 서비스를 사용하고 암호화도 사용시 적용
ISMS 항목 : 2.7
Config rule : encrypted-volumes
지침 : 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화가 활성화되어 있는지 확인하십시오.
의견 : EBS 볼륨 암호화 사용시 적용
ISMS 항목 : 2.7
Config rule : rds-snapshot-encrypted
지침 : Amazon Relational Database Service(Amazon RDS) 스냅샷에 대해 암호화가 활성화되어 있는지 확인합니다.중요한 데이터가 유휴 상태일 수 있으므로 유휴 상태에서 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : RDS 스냅샷에 대해 암호화 사용시 적용
ISMS 항목 : 2.7
Config rule : redshift-cluster-configuration-check
지침 : 저장 데이터를 보호하려면 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인하십시오.또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다.데이터베이스의 연결 및 사용자 활동에 대한 정보를 제공하려면 감사 로깅을 활성화해야 합니다.이 규칙을 사용하려면 clusterDbEncrypted(구성 기본값: TRUE) 및 loggingEnabled(구성 기본값: TRUE)에 대한 값이 설정되어 있어야 합니다.
실제 값은 조직의 정책을 반영해야 합니다.
의견 : RedShift 상품 사용시 클러스터에 암호화 사용시 적용
테스트 결과 : Default Node는 dc1.large, 다른 타입을 쓴다면 변경 필요, inside Product : ra3.4xlarge
ISMS 항목 : 2.7
Config rule : s3-bucket-server-side-encryption-enabled
지침 : 저장 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 대해 암호화가 활성화되어 있는지 확인하십시오. 민감한 데이터는 Amazon S3 버킷에 저장되어 있을 수 있으므로 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
의견 : S3 버킷에 암호화 사용시 적용
ISMS 항목 : 2.7
Config rule : sagemaker-endpoint-configuration-kms-key-configured
지침 : 저장 데이터를 보호하려면 SageMaker 엔드포인트에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인하십시오. 중요한 데이터는 SageMaker 엔드포인트에 유휴 상태로 존재할 수 있으므로 유휴 상태에서 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : sagemaker 서비스 사용시 적용
ISMS 항목 : 2.7
Config rule : sagemaker-notebook-instance-kms-key-configured
지침 : 저장 데이터를 보호하려면 SageMaker 노트북에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인하십시오. 중요한 데이터는 SageMaker 노트북에 유휴 상태로 존재할 수 있으므로 유휴 상태에서 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : sagemaker 서비스 사용시 적용
ISMS 항목 : 2.7
Config rule : sns-encrypted-kms
지침 : 저장 데이터를 보호하려면 Amazon Simple Notification Service(Amazon SNS) 주제에 AWS Key Management Service(AWS KMS)를 사용한 암호화가 필요한지 확인하십시오. 민감한 데이터는 게시된 메시지에 미사용 상태로 존재할 수 있으므로 미사용 데이터 암호화를 활성화하면 해당 데이터를 보호하는 데 도움이 됩니다.
의견 : SNS 서비스 사용시 암호화 적용할 경우 적용
테스트 결과 : CT의 기본 SNS로 인해 미준수로 나옴
https://docs.aws.amazon.com/ko_kr/controltower/latest/userguide//best-practices.html#kms-guidance
ISMS 항목 : 1.2.1, 2.1.3, 2.10.3, 2.10.8
ISMS 항목 : 1.2.1, 2.1.3, 2.10.3, 2.10.8
Config rule : ec2-managedinstance-association-compliance-status-check
지침 : AWS Systems Manager 연결을 사용하여 조직 내 소프트웨어 플랫폼 및 애플리케이션의 인벤토리를 지원합니다. AWS Systems Manager 는 관리형 인스턴스에 구성 상태를 할당하고 운영 체제 패치 수준, 소프트웨어 설치,애플리케이션 구성 및 환경에 대한 기타 세부 정보의 기준선을 설정할 수 있도록 합니다.
의견 : system manager 상품 사용시 적용
ISMS 항목 : 1.2.1, 2.10.3
Config rule : ec2-volume-inuse-check
지침 : 이 규칙은 Amazon Elastic Compute Cloud (Amazon EC2) 인스턴스에 연결된 Amazon Elastic Block Store 볼륨이 인스턴스가 종료될 때 삭제 대상으로 표시됩니다. Amazon EBS 볼륨이 연결된 인스턴스가 종료될 때 삭제되지 않으면 최소한의 기능 개념을 위반할 수 있습니다.
의견 : EC2에 연결되지 않은 EBS 볼륨이 있는지 체크 적용 추천
ISMS 항목 : 2.10.3
Config rule : ec2-stopped-instance
지침 : 조직의 표준에 따라 Amazon EC2 인스턴스가 허용된 일 수를 초과하여 중지되었는지 확인하여 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스의 기준 구성을 지원하려면 이 규칙을 활성화하십시오.
의견 : 지정된 일수(기본 30일) 이상 정지된 EC2가 있는지 체크할 필요가 있을 경우 적용
ISMS 항목 : 2.10.3, 2.11.2
Config rule : guardduty-non-archived-findings
지침 : Amazon GuardDuty는 결과를 심각도(낮음, 중간, 높음)별로 분류하여 사고의 영향을 이해하는 데 도움이 됩니다. 이러한 분류를 사용하여 수정 전략 및 우선 순위를 결정할 수 있습니다.이 규칙을 사용하면 조직의 정책에 따라 아카이브되지 않은 결과에 대해 daysLowSev(구성 기본값: 30), daysMediumSev(구성 기본값: 7) 및 daysHighSev(구성 기본값: 1)를 선택적으로 설정할 수 있습니다.
의견 : GuardDuty 서비스 사용시 적용 추천
ISMS 항목 : 2.10.3, 2.11.3
Config rule : guardduty-enabled-centralized
지침 : Amazon GuardDuty는 위협 인텔리전스 피드를 사용하여 잠재적인 사이버 보안 이벤트를 모니터링하고 감지하는 데 도움이 될 수 있습니다. 여기에는 AWS 클라우드 환경 내에서 예상치 못한 무단 및 악의적인 활동을 식별하기 위한 악성 IP 및 기계 학습 목록이 포함됩니다.
의견 : GuardDuty 서비스 사용시 적용 추천
테스트 결과 : GuardDuty 미사용(미설정)으로 인해 미준수로 나옴
ISMS 항목 : 2.10.8
Config rule : ec2-managedinstance-patch-compliance-status-check
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 취약성을 식별하고 문서화하는 데 도움이 되도록 이 규칙을 활성화하십시오. 이 규칙은 조직의 정책 및 절차에 따라 AWS Systems Manager에서 Amazon EC2 인스턴스 패치 규정 준수 여부를 확인합니다.
의견 : system manager 상품 사용시 EC2 패치 규정 준수 여부 체크 사용시 적용
ISMS 항목 : 2.11.3
Config rule : securityhub-enabled
지침 : AWS Security Hub는 승인되지 않은 사람, 연결, 장치 및 소프트웨어를 모니터링하는 데 도움이 됩니다.AWS Security Hub는 여러 AWS 서비스의 보안 경고 또는 결과를 집계, 구성 및 우선 순위를 지정합니다.
이러한 서비스로는 Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management(IAM) Access Analyzer, AWS Firewall Manager, AWS 파트너 솔루션이 있습니다.
의견 : security hub 상품 사용시 적용 추천
테스트 결과 : SecurytyHub 미사용(미설정)으로 인해 미준수로 나옴
ISMS 항목 : 2.3.3, 2.9.4
ISMS 항목 : 2.3.3, 2.9.4
Config rule : cloud-trail-cloud-watch-logs-enabled
지침 : Amazon 사용CloudWatch로그 이벤트 활동을 중앙에서 수집하고 관리할 수 있습니다.AWS 포함CloudTrail데이터는 AWS 계정 내 API 호출 활동에 대한 세부 정보를 제공합니다.
의견 : CloudTrail의 로그를 Cloudwatch 로그그룹에 저장하도록 설정되어 있는지 체크
ISMS 항목 : 2.3.3, 2.9.4
Config rule : cloudtrail-enabled
지침 : AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록하여 부인 방지에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다.캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠 내에서 볼 수 있습니다.
의견 : Control Tower 구축하에서는 기본 활성화이므로 체크 필요 없음
ISMS 항목 : 2.5.1
ISMS 항목 : 2.5.1
Config rule : access-keys-rotated
지침 : IAM 액세스 키가 조직 정책에 따라 교체되도록 하여 인증된 장치, 사용자 및 프로세스에 대해 자격 증명을 감사합니다. 정기적인 일정에 따라 액세스 키를 변경하는 것이 보안 모범 사례입니다.액세스 키가 활성 상태인 기간을 단축하고 키가 손상된 경우 비즈니스 영향을 줄입니다. 이 규칙에는 액세스 키 순환 값이 필요합니다(구성 기본값: 90). 실제 값은 조직의 정책을 반영해야 합니다.
의견 : access key 를 주기적으로 재생성하도록 하고 이를 체크할 경우 적용
테스트 결과 : Access Key 교체 주기를 설정할 경우 이 주기를 넘긴 Key가 있을 경우 미준수로 나옴정책을 사용할 경우 Okta 연동 등을 위한 Key도 주기적으로 교체하고 재연동 작업을 해야 함
ISMS 항목 : 2.5.1
Config rule : emr-kerberos-enabled
지침 : Amazon EMR 클러스터에 대해 Kerberos를 활성화하여 액세스 권한 및 권한 부여를 관리하고 최소 권한 및 직무 분리 원칙으로 통합할 수 있습니다. Kerberos에서는 인증이 필요한 서비스와 사용자를 주체라고 합니다. 보안 주체는 Kerberos 영역 내에 존재합니다. 영역 내에서 Kerberos 서버를 KDC(키 배포 센터)라고 합니다. 이는 보안 주체가 인증할 수 있는 수단을 제공합니다. KDC는 인증용 티켓을 발행하여 인증합니다. KDC는 영역 내의 보안 주체, 해당 암호 및 각 보안 주체에 대한 기타 관리 정보의 데이터베이스를 유지 관리합니다.
의견 : EMR 서비스를 사용하고 Kerberos를 활성화 할 경우 적용
ISMS 항목 : 2.5.1
Config rule : iam-customer-policy-blocked-kms-actions
지침 : AWS Identity and Access Management(IAM)는 모든 AWS Key Management Service 키에 대해 차단된 작업을 포함하는 정책을 제한하여 액세스 권한 및 권한 부여와 함께 최소 권한 및 직무 분리 원칙을 통합하는 데 도움이 될 수 있습니다. 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖는 것은 최소 권한 및 직무 분리의 원칙을 위반할 수 있습니다. 이 규칙을 사용하면 lockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기초 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다.
의견 : IAM 사용자가 KMS 관련 작업을 하는 것에 대해 체크할 경우 적용
ISMS 항목 : 2.5.1
Config rule : iam-group-has-users-check
지침 : AWS Identity and Access Management(IAM)는 IAM 그룹에 최소 한 명의 IAM 사용자가 있는지 확인하여 액세스 권한 및 권한 부여와 함께 최소 권한 및 직무 분리 원칙을 통합하는 데 도움이 될 수 있습니다.연결된 권한 또는 직무에 따라 IAM 사용자를 그룹에 배치하는 것은 최소 권한을 통합하는 한 가지 방법입니다.
의견 : IAM 그룹에 속한 IAM 사용자가 하나도 없는지 체크할 경우 적용
ISMS 항목 : 2.5.1
Config rule : iam-inline-policy-blocked-kms-actions
지침 : AWS Identity and Access Management(IAM) 사용자, IAM 역할 또는 IAM 그룹에 모든 AWS Key Management Service 키에 대해 차단된 작업을 허용하는 인라인 정책이 없는지 확인합니다. AWS는 인라인 정책 대신 관리형 정책을 사용할 것을 권장합니다. 관리형 정책은 재사용성, 버전 관리, 롤백 및 권한 관리 위임을 허용합니다. 이 규칙을 사용하면 lockedActionsPatterns 매개변수를 설정할 수 있습니다. (AWS 기초 보안 모범 사례 값: kms:Decrypt, kms:ReEncryptFrom). 실제 값은 조직의 정책을 반영해야 합니다.
의견 : IAM 사용자가 KMS 관련 작업을 하는 것에 대해 inline 방식으로 권한을 넣었는지 체크할 경우 적용
ISMS 항목 : 2.5.1
Config rule : iam-policy-no-statements-with-admin-access
지침 : AWS Identity and Access Management(IAM)는 액세스 권한 및 권한 부여와 함께 최소 권한 및 직무 분리 원칙을 통합하는 데 도움이 될 수 있으며 “Effect”: “Allow”과 “Action”: ““이 “Resource”: ““를 포함하는 정책을 제한할 수 있습니다. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다.
의견 : IAM Policy를 적용할 경우 모든 액션, 모든 리소스를 지정하는 것을 체크할 경우 적용(IAM Admin 권한일 경우에)
ISMS 항목 : 2.5.1
Config rule : iam-policy-no-statements-with-access
지침 : IAM 작업이 필요한 작업으로만 제한되는지 확인합니다. 사용자가 작업을 완료하는 데 필요한 것보다 더 많은 권한을 갖도록 허용하는 것은 최소 권한 및 직무 분리 원칙을 위반할 수 있습니다.
의견 : IAM Policy를 적용할 경우 모든 액션, 모든 리소스를 지정하는 것을 체크할 경우 적용(IAM Admin 이외 권한일 경우)
테스트 결과 : full 권한 자체를 부여한다고 미준수로 뜨는 것이 아니며Resource: “” -> 이런 식의 활용일 경우 미준수임 Action”: “” ->
ISMS 항목 : 2.5.1
Config rule : iam-user-no-policies-check
지침 : 이 규칙은 AWS Identity and Access Management(IAM) 정책이 시스템 및 자산에 대한 액세스를 제어하는 그룹 또는 역할에만 연결되도록 합니다.그룹 또는 역할 수준에서 권한을 할당하면 ID가 과도한 권한을 받거나 유지할 기회를 줄이는 데 도움이 됩니다.
의견 : IAM 사용자에 연결된 정책이 하나도 없는 경우를 체크하고 싶을 경우 적용
ISMS 항목 : 2.51
Config rule : iam-user-unused-credentials-check
지침 : AWS Identity and Access Management(IAM)는 지정된 기간 동안 사용되지 않는 IAM 암호와 액세스 키를 확인하여 액세스 권한 및 권한 부여에 도움을 줄 수 있습니다. 이러한 미사용 자격 증명이 식별되면 최소 권한 원칙을 위반할 수 있으므로 자격 증명을 비활성화 and 제거 또는 활성화 or 제거해야 합니다. 이 규칙을 사용하려면 maxCredentialUsageAge(구성 기본값: 90)로 값을 설정해야 합니다. 실제 값은 조직의 정책을 반영해야 합니다.
의견 : IAM 사용자에게 장기간 사용되지 않는 암호가 있는 경우를 체크하고 싶을 경우 적용
테스트 결과 : 기본 90일간 사용되지 않은 Access Key가 있는지 체크함
ISMS 항목 : 2.51
Config rule : secretsmanager-using-cmk
지침 : 미사용 데이터를 보호하려면 AWS Secrets Manager 보안 암호에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인하십시오.Secrets Manager 비밀에 민감한 데이터가 저장되어 있을 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 저장 암호화를 활성화하십시오.
의견 : secret manager 상품 사용시 암호화 활성 여부 체크시 적용
테스트 결과 : 기본 90일간 사용되지 않은 AWS SM 암호가 있는지 체크함
ISMS 항목 : 2.51, 2.53, 2.5.5, 2.6
Config rule : root-account-mfa-enabled
지침 : 루트 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다.
루트 사용자는 AWS 계정에서 가장 많은 권한을 가진 사용자입니다. MFA는 사용자 이름과 암호에 대한 추가 보호 계층을 추가합니다. 루트 사용자에 대해 MFA를 요구하면 손상된 AWS 계정의 사고를 줄일 수 있습니다.
의견 : 루트 사용자에 MFA Enable 되어 있는지 체크 (기본 제공되는 가드레일에 강력 권장으로 되어 있음)
테스트 결과 : 기본 제공 가드레일과 정책 적용이 다름
ISMS 항목 : 2.51, 2.53, 2.6
Config rule : iam-user-mfa-enabled
지침 : AWS 클라우드의 리소스에 대한 액세스를 제한하려면 이 규칙을 활성화합니다.
이 규칙은 모든 IAM 사용자에 대해 다단계 인증(MFA)이 활성화되도록 합니다. MFA는 사용자 이름과 암호 위에 추가 보호 계층을 추가합니다. IAM 사용자에게 MFA를 요구하여 손상된 계정의 사건을 줄입니다.
의견 : IAM 사용자에 MFA Enable 되어 있는지 체크 (기본 제공되는 가드레일에 선택항목으로 되어 있음)
테스트 결과 : 기본 제공 가드레일에서는 미사용으로 선택되어 있음
ISMS 항목 : 2.5.1, 2.5.3, 2.6
Config rule : mfa-enabled-for-iam-console-access
지침 : 콘솔 암호가 있는 모든 AWS Identity and Access Management(IAM) 사용자에 대해 MFA가 활성화되어 있는지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. MFA는 사용자 이름과 암호 위에 추가 보호 계층을 추가합니다. IAM 사용자에게 MFA를 요구함으로써 계정 침해 사고를 줄이고 권한 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
의견 : IAM 사용자 중 콘솔 접근 권한이 있는 경우에만 MFA Enable 체크하고 싶을 경우 적용 (기본 제공되는 가드레일에 선택항목으로 되어 있음)
테스트 결과 : 기본 제공 가드레일에서는 미사용으로 선택되어 있음
ISMS 항목 : 2.5.1, 2.5.5
Config rule : iam-root-access-key-check
지침 : 루트 사용자에게 AWS Identity and Access Management(IAM) 역할에 연결된 액세스 키가 없는지 확인하여 시스템 및 자산에 대한 액세스를 제어할 수 있습니다. 루트 액세스 키가 삭제되었는지 확인하십시오.
대신 역할 기반 AWS 계정을 만들고 사용하여 최소 기능 원칙을 통합하십시오.
의견 : 루트 사용자에게 발급된 액세스 키가 없는지 체크 적용 권장
테스트 결과 : 기본 제공 가드레일에서 루트 사용자에게 액세스 키 발급이 차단되어 있음
ISMS 항목 : 2.5.4
Config rule : iam-password-policy
지침 : 자격 증명과 자격 증명은 조직의 IAM 암호 정책에 따라 발급, 관리 및 확인됩니다. NIST SP 800-63 및 암호 강도에 대한 AWS 기초 보안 모범 사례 표준에 명시된 요구 사항을 충족하거나 초과합니다. 이 규칙을 사용하면 RequireUppercaseCharacters(AWS 기초 보안 모범 사례 값: true), RequireLowercaseCharacters(AWS 기초 보안 모범 사례 값: true), RequireSymbols(AWS 기초 보안 모범 사례 값: true), RequireNumbers(AWS 기초 보안 모범 사례)를 선택적으로 설정할 수 있습니다. 값: true), MinimumPasswordLength(AWS 기초 보안 모범 사례 값: 14), PasswordReusePrevention(AWS 기초 보안 모범 사례 값: 24) 및 MaxPasswordAge(AWS 기초 보안 모범 사례 값: 90) IAM 암호 정책에 대해. 실제 값은 조직의 정책을 반영해야 합니다.
의견 : IAM 암호 정책이 조직 기준과 일치하는지 체크하고 싶을 때 적용 기본적으로 IAM 암호 정책을 더 강력하게 설정해 둘 수 있으며 설정된 정책 수준보다 낮게 암호를 만들 수는 없음 필요시 적용
테스트 결과 : IAM 암호 옵션을 설정해 두어야 하며 아래 옵션 해당 정책에 맞게 변경하지 않으면 미준수로 나옴
RequireUppercaseCharacters: “true”
RequireLowercaseCharacters: “true”
RequireSymbols: “true”
RequireNumbers: “true”
MinimumPasswordLength: “8”
PasswordReusePrevention: “5”
MaxPasswordAge: “90”
ISMS 항목 : 2.5.5
Config rule : ec2-instance-profile-attached
지침 : EC2 인스턴스 프로파일은 IAM 역할을 EC2 인스턴스에 전달합니다. 인스턴스에 인스턴스 프로필을 연결하면 최소 권한 및 권한 관리에 도움이 될 수 있습니다.
의견 : EC2에 IAM 역할이 연결된 것이 없는지 체크하고 싶을 때 적용
ISMS 항목 : 2.6, 2.6.6
ISMS 항목 : 2.6, 2.6.6
Config rule : lambda-function-public-access-prohibited
지침 : AWS Lambda 함수에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 공개 액세스는 잠재적으로 리소스 가용성을 저하시킬 수 있습니다.
의견 : Lambda 함수가 Pulblic 액세스가 가능하게 되어있는지 체크하고 싶을 때 적용 환경에 따라 public에 Lambda 함수가 위치해야 될 경우도 있을 수 있음
ISMS 항목 : 2.6, 2.6.6
Config rule : rds-instance-public-access-check
지침 : Amazon Relational Database Service(Amazon RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 원칙과 액세스 제어가 필요합니다.
의견 : RDS 인스턴스가 public 으로 열려있는지 체크하고 싶을 경우 적용 적용 추천
ISMS 항목 : 2.6, 2.6.6
Config rule : redshift-cluster-public-access-check
지침 : Amazon Redshift 클러스터가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다.
Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다.
의견 : RedShift 상품 사용시 public 으로 클러스터가 열려있는지 체크하고 싶을 경우 적용 상품 사용한다면 적용 추천
ISMS 항목 : 2.6, 2.6.6
Config rule : restricted-common-ports
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 신뢰할 수 있는 소스에 대한 포트 액세스를 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 이 규칙을 사용하면 선택적으로 차단된 포트1 – 차단된 포트5 매개변수를 설정할 수 있습니다(구성 기본값: 20,21,3389,3306,4333). 실제 값은 조직의 정책을 반영해야 합니다.
의견 : 5개의 포트에 대해 지정되지 않은 IP로 인바운트 규칙이 보안그룹에 설정되어 있는지 체크하고 싶을 경우 적용
적용 추천 (5개의 포트는 지정해 주셔야 함, 좌측 설명의 포트5개는 dafault 값임)
ISMS 항목 : 2.6, 2.6.6
Config rule : s3-account-level-public-access-blocks-periodic
지침 : Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 공개 액세스를 방지하여 무단 원격 사용자로부터 중요한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙을 사용하면 ignorePublicAcls(구성 기본값: True), blockPublicPolicy(구성 기본값: True), blockPublicAcls(구성 기본값: True) 및strictPublicBuckets 매개변수(구성 기본값: True)를 선택적으로 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
의견 : s3 public access 차단 디폴트 설정 여부 감지 아래 2개의 정책 설정으로 대체 가능
테스트 결과 : 계정의 기본 정책으로 퍼블릭 차단 적용시
ISMS 항목 : 2.6, 2.6.6
Config rule : s3-bucket-public-read-prohibited
지침 : 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스하도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
의견 : s3 public 읽기 설정 여부 탐지 기본 가드레일에서 강력 권장으로 제공되는 정책 적용 추천
테스트 결과 : 기본 제공 가드레일과 정책 적용이 다름
ISMS 항목 : 2.6, 2.6.6
Config rule : s3-bucket-public-write-prohibited
지침 : 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스하도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다.
의견 : s3 public 쓰기 설정 여부 탐지 기본 가드레일에서 강력 권장으로 제공되는 정책 적용 추천
테스트 결과 : 기본 제공 가드레일과 정책 적용이 다름
ISMS 항목 : 2.6, 2.6.6
Config rule : sagemaker-notebook-no-direct-internet-access
지침 : Amazon SageMaker 노트북이 직접 인터넷 액세스를 허용하지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 직접 인터넷 액세스를 방지하여 권한 없는 사용자가 민감한 데이터에 액세스하는 것을 방지할 수 있습니다.
의견 : sagemaker 서비스 사용시 적용
ISMS 항목 : 2.6, 2.6.6
Config rule : vpc-default-security-group-closed
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 기반 필터링을 제공하여 네트워크 액세스 관리를 지원할 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다.
의견 : VPC default SG에 인바운드, 아웃바운드가 모두 막혀있느지 체크하고 싶을 때 적용 default SG 자체를 안 쓸 경우 미적용 권장
ISMS 항목 : 2.6, 2.6.6
Config rule : vpc-sg-open-only-to-authorized-ports
지침 : Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트를 제한하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 신뢰할 수 있는 소스에 대한 포트 액세스를 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한하여 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다.
의견 : 0.0.0.0/0 에 대해 지정된 포트가 아닌 것들이 열린 것이 있는지 체크하고 싶을 때 적용 사용시 쉼표로 구분된 포트 목록이 필요함
테스트 결과 : 0.0.0.0/0 에 대해 오픈할 포트들을 지정해야 함 예를 들어 80, 443 포트 같은 것들이며 이를 지정하지 않을 경우 0.0.0.0/0에 대해 오픈된 모든 포트들에 대해 미준수로 나옴
ISMS 항목 : 2.6.6
Config rule : api-gw-associated-with-waf
지침 : AWS WAF를 사용하면 정의한 사용자 지정 가능한 웹 보안 규칙 및 조건을 기반으로 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 액세스 제어 목록(웹 ACL)이라고 함)을 구성할 수 있습니다. 악의적인 공격으로부터 보호하기 위해 Amazon API Gateway 단계가 WAF 웹 ACL과 연결되어 있는지 확인합니다.
의견 : API GW 사용시 WAF와 연동 설정 여부 체크할 경우 적용
테스트 결과 : 실제 API GW 사용해 봐야 미준수 탐지 여부 확인 가능
ISMS 항목 : 2.6.6
Config rule : elbv2-acm-certificate-required
지침 : 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하기 위해 Elastic Load Balancing에 암호화가 활성화되어 있는지 확인하십시오. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스와 함께 퍼블릭 및 프라이빗 SSL/TLS 인증서를 관리, 프로비저닝 및 배포합니다.
의견 : 로드밸런서에 ACM을 통해 SSL 인증서 연동했는지를 체크할 경우 적용
테스트 결과 : ELB에 ACM 미사용시(HTTPS) 미준수로 뜰 것으로 예측
ISMS 항목 : 2.6.7
Config rule : no-unrestricted-route-to-igw
지침 : Amazon EC2 라우팅 테이블에 인터넷 게이트웨이에 대한 무제한 경로가 없는지 확인합니다.
Amazon VPC 내 워크로드에 대한 인터넷 액세스를 제거하거나 제한하면 환경 내에서 의도하지 않은 액세스를 줄일 수 있습니다.
의견 : 외부로 아웃바운드를 특정 IP로 목적지를 제한할 경우에 체크하는 옵션으로 일반적인 케이스에는 사용하지 않음 인터넷이 되는 조직의 경우 이 옵션을 쓸 경우 전부 미준수로 뜨게 됨
테스트 결과 : 아웃바운드를 특정 목적지로 제한하지 않는 일반적인 케이스의 경우 미준수로 뜰 것으로 예측
Core_Service에만 예외
ISMS 항목 : 2.7, 2.10.5
ISMS 항목 : 2.7, 2.10.5
Config rule : alb-http-drop-invalid-header-enabled
지침 : Elastic Load Balancer(ELB)가 http 헤더를 삭제하도록 구성되어 있는지 확인하십시오.
민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : 잘못된 http 헤더를 LB에서 삭제할지 타겟으로 보낼지 체크할 경우 적용, 헤더 처리를 타겟(WEB, WAS등)에서 처리시 이 옵션을 안 쓰기 때문에 정책에 따라 필요없을 경우 미적용, 기본적으로 LB 생성시 해당 옵션은 비활성화 상태로 만들어지므로 이 정책을 적용할 경우 모든 LB가 미준수로 뜨게 됨
테스트 결과 : LB 생성시 해당 옵션 사용으로 체크해야 함
ISMS 항목 : 2.7, 2.10.5
Config rule : alb-http-to-https-redirection-check
지침 : 전송 중인 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 HTTPS로 자동 리디렉션하는지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : ALB에서 HTTP를 HTTPS 로 리다이렉션 처리할 경우 이 정책을 적용하여 설정 여부 체크
WEB, WAS 등에서 리다이렉션 처리할 경우 이 정책을 적용하면 모든 LB가 미준수로 뜨게 됨
테스트 결과 : LB 에서 리다이렉션 처리를 반드시 해야 미준수로 뜨지 않게 됌
ISMS 항목 : 2.7, 2.10.5
Config rule : elasticsearch-node-to-node-encryption-check
지침 : Amazon OpenSearch Service에 대한 노드 간 암호화가 활성화되어 있는지 확인합니다.
노드 간 암호화는 Amazon Virtual Private Cloud(Amazon VPC) 내의 모든 통신에 대해 TLS 1.2 암호화를 활성화합다.
민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : OpenSearch 서비스를 사용하고 노느간 암호화도 사용시 적용
ISMS 항목 : 2.7, 2.10.5
Config rule : elb-acm-certificate-required
지침 : 민감한 데이터가 존재할 수 있고 전송 시 데이터를 보호하기 위해 Elastic Load Balancing(Classic)에 암호화가 활성화되어 있는지 확인하십시오. AWS Certificate Manager를 사용하여 AWS 서비스 및 내부 리소스와 함께 퍼블릭 및 프라이빗 SSL/TLS 인증서를 관리, 프로비저닝 및 배포합니다.
의견 : 클래식 로드밸런서를 사용할 경우 ACM을 통해 SSL 인증서 연동했는지 체크할 경우 적용
클래식 로드 밸런서를 쓰지 않을 경우(예전에 생성된 자원들) 미적용 추천
테스트 결과 : 2022년 8월 15일 로 사용중지, 기존에 생성한 classic lb가 있는지?
ISMS 항목 : 2.7, 2.10.5
Config rule : elb-tls-https-listeners-only
지침 : Elastic Load Balancer(Classic Load Balancer)가 SSL 또는 HTTPS 리스너로 구성되었는지 확인하십시오.
민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : ELB가 HTTPS 리스너만 구성되어 있는지 체크할 경우 적용, 일반적으로 HTTP 리스너도 구성하고 리다이렉션 처리(ELB나 WEB, WAS에서) 를 하기 때문에 미적용 추천
테스트 결과 : 2022년 8월 15일 로 사용중지, 기존에 생성한 classic lb가 있는지?
ISMS 항목 : 2.7, 2.10.5
Config rule : redshift-require-tls-ssl
지침 : Amazon Redshift 클러스터가 SQL 클라이언트에 연결하기 위해 TLS/SSL 암호화가 필요한지 확인하십시오.
민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : Redshift 상품 사용시 SQL 클라이언트 열결시 SSL 연결 여부 체크시 적용
ISMS 항목 : 2.7, 2.10.5
Config rule : s3-bucket-ssl-requests-only
지침 : 전송 중인 데이터를 보호하려면 Amazon Simple Storage Service(Amazon S3) 버킷에 SSL(Secure Socket Layer) 사용 요청이 필요한지 확인하십시오. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호하십시오.
의견 : s3 버킷 연결시 SSL 연결만 가능하도록 제한하는 정책을 설정할 경우 이를 체크하고 싶을 경우 적용
테스트 결과 : 아래 정책을 S3마다 설정하지 않으면 미준수로 나오게 됨
로그 아카이브 계정 S3는 설정되어 있음
{
“Id”: “ExamplePolicy”,
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “AllowSSLRequestsOnly”,
“Action”: “s3:“, “Effect”: “Deny”, “Resource”: [ “arn:aws:s3:::DOC-EXAMPLE-BUCKET”, “arn:aws:s3:::DOC-EXAMPLE-BUCKET/“
],
“Condition”: {
“Bool”: {
“aws:SecureTransport”: “false”
}
},
“Principal”: “*”
}
]
}
ISMS 항목 : 2.7.1
Config rule : api-gw-ssl-enabled
지침 : 백엔드 시스템이 API Gateway에서 시작된 요청을 인증할 수 있도록 Amazon API Gateway REST API 단계가 SSL 인증서로 구성되었는지 확인합니다.
의견 : API GW 사용시 Rest API 단계가 SSL 인증서로 되어 있는지 체크할 경우 적용
ISMS 항목 : 2.7.1
Config rule : elb-predefined-security-policy-ssl-check
지침 : 전송 중인 데이터를 보호하려면 Classic Elastic Load Balancing SSL 리스너가 사전 정의된 보안 정책을 사용하고 있는지 확인하십시오. Elastic Load Balancing은 클라이언트와 로드 밸런서 간에 연결이 설정될 때 SSL 협상에 사용되는 사전 정의된 SSL 협상 구성을 제공합니다. SSL 협상 구성은 광범위한 클라이언트와 호환성을 제공하고 고강도 암호화 알고리즘을 사용합니다. 이 규칙을 사용하려면 SSL 수신기에 대해 미리 정의된 보안 정책을 설정해야 합니다.
기본 보안 정책은 ELBSecurityPolicy-TLS-1-2-2017-0입니다. 실제 값은 조직의 정책을 반영해야 합니다.
의견 : Classic 로드밸런서에 해당하는 정책이므로 예전에 생성된 클래식 로드밸런서가 없을 경우 미적용 추천
테스트 결과 : 2022년 8월 15일 로 사용중지, 기존에 생성한 classic lb가 있는지?
적용할려면 classic lb 생성시 생성한 보안정책을 필수 옵션값으로 넣어야 하기 때문에 생성한 classic lb가 없을 경우 이 정책은 적용이 불가
ISMS 항목 : 2.7.2
Config rule : cmk-backing-key-rotation-enabled
지침 : AWS Key Management Service(AWS KMS) 암호화 기간이 끝나면 키가 순환되도록 키 순환을 활성화하십시오.
의견 : AWS Key Management Service(AWS KMS) 순환 주기를 설정했을 경우 이를 체크하고 싶을 경우 적용
테스트 결과 : 자동 Key 교체 활성화가 되어 있어야 준수로 나옴
ISMS 항목 : 2.7.2
Config rule : kms-cmk-not-scheduled-for-delete
지침 : 저장 데이터를 보호하려면 필요한 고객 마스터 키(CMK)가 AWS Key Management Service(AWS KMS)에서 삭제되도록 예약되어 있지 않은지 확인하십시오. 때때로 키 삭제가 필요하기 때문에 이 규칙은 키가 실수로 예약된 경우 삭제 예약된 모든 키를 확인하는 데 도움이 될 수 있습니다.
의견 : AWS Key Management Service(AWS KMS)가 삭제되도록 예약되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.8.5, 2.8.6
Config rule : codebuild-project-envvar-awscred-check
지침 : 인증 자격 증명 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 AWS Codebuild 프로젝트 환경 내에 존재하지 않는지 확인합니다. 이러한 변수를 일반 텍스트로 저장하지 마십시오. 이러한 변수를 일반 텍스트로 저장하면 의도하지 않은 데이터 노출과 무단 액세스로 이어집니다.
의견 : CodeBuild시 설정에서 환경변수를 추가할 수 있는데 환경변수에 Key 값이 들어가 있지 않은지 체크하고 싶을 경우 적용 적용 추천
ISMS 항목 : 2.8.5, 2.8.6
Config rule : codebuild-project-source-repo-url-check
지침 : GitHub 또는 Bitbucket 소스 리포지토리 URL에 AWS Codebuild 프로젝트 환경 내의 개인 액세스 토큰, 사용자 이름 및 암호가 포함되어 있지 않은지 확인합니다. 개인 액세스 토큰이나 사용자 이름 및 비밀번호 대신 OAuth를 사용하여 GitHub 또는 Bitbucket 리포지토리에 대한 액세스 권한을 부여합니다.
의견 : Repository에 토큰, 사용자 이름, 암호가 포함되어 있지 않을지 체크하는 것으로 적용 추천
ISMS 항목 : 2.9.1
Config rule : account-part-of-organizations
지침 : AWS Organizations 내에서 AWS 계정을 중앙 집중식으로 관리하면 계정이 규정을 준수하는지 확인하는 데 도움이 됩니다. 중앙 집중식 계정 거버넌스가 없으면 계정 구성이 일관되지 않아 리소스와 민감한 데이터가 노출될 수 있습니다.
의견 : 계정이 OU의 일원인지 체크하는 옵션으로 콘트롤 타워 구축시 관리 대상 필요 없는 옵션으로 미적용 추천
테스트 결과 : 의견 참조
ISMS 항목 : 2.9.1
Config rule : cloud-trail-log-file-validation-enabled
지침 : AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인하십시오.
로그 파일 검증은 CloudTrail이 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인하는 데 도움이 됩니다. 이 기능은 해싱을 위한 SHA-256 및 디지털 서명을 위한 RSA가 있는 SHA-256과 같은 산업 표준 알고리즘을 사용하여 구축되었습니다. 따라서 탐지 없이 CloudTrail 로그 파일을 수정, 삭제 또는 위조하는 것이 계산상 불가능합니다.
의견 : Cloudtrail의 무결성은 디폴트 옵션이며 이를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.1
Config rule : cloudtrail-security-trail-enabled
지침 : 이 규칙은 여러 설정이 활성화되어 있는지 확인하여 AWS CloudTrail에 대한 AWS 권장 보안 모범 사례를 사용하는 데 도움이 됩니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 리전에서 AWS CloudTrail 활성화가 포함됩니다.
의견 : 하기 설정을 모두 만족하는 Trail이 하나 이상 있어야 준수로 체크되며 필요시 적용
글로벌 서비스 이벤트 기록
다중 지역 트레일입니다.
로그 파일 유효성 검사를 사용하도록 설정했습니다.
KMS 키로 암호화
읽기 및 쓰기에 대한 이벤트를 기록합니다
관리 이벤트를 기록합니다.
관리 이벤트를 제외하지 않습니다
테스트 결과 : 미설정된 항목이 있으므로 미준수, KMS 암호화는 미적용이므로 모든 항목을 만족하는
CloudTrail이 나올 수 없으므로 미준수 불가피
ISMS 항목 : 2.9.1
Config rule : redshift-cluster-maintenancesettings-check
지침 : 이 규칙은 Amazon Redshift 클러스터가 조직에 대해 선호하는 설정을 갖도록 합니다.
특히 데이터베이스에 대해 선호하는 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙을 사용하려면 allowVersionUpgrade를 설정해야 합니다. 기본값은 true입니다. 또한 선택적으로 preferredMaintenanceWindow(기본값은 sat:16:00-sat:16:30)와 automaticSnapshotRetentionPeriod(기본값은 1)를 설정할 수 있습니다.
실제 값은 조직의 정책을 반영해야 합니다.
의견 : Redshift 상품사용시 자동 유지보수 기간 설정시 적용 가능한 옵션으로 운영계에서는 이런 서비스에 대해 자동 업그레이드 등을 허용하지 않는 것이 일반적으로(유지보수 기간에 서비스가 중단됨) 설정하지 않는 경우가 대부분이며 이 경우 미적용
테스트 결과 : 의견 참조
ISMS 항목 : 2.9.2
Config rule : autoscaling-group-elb-healthcheck-required
지침 : Amazon Elastic Compute Cloud(Amazon EC2) Auto Scaling 그룹에 대한 Elastic Load Balancer(ELB) 상태 확인은 적절한 용량 및 가용성 유지 관리를 지원합니다. 로드 밸런서는 주기적으로 ping을 보내거나 연결을 시도하거나 Auto-scaling 그룹에서 Amazon EC2 인스턴스 상태를 테스트하기 위한 요청을 보냅니다. 인스턴스가 다시 보고하지 않으면 트래픽이 새 Amazon EC2 인스턴스로 전송됩니다.
의견 : EC2 오토스케일 정책 적용시 헬스체크를 ELB로 할 경우 정책 적용
ISMS 항목 : 2.9.2
Config rule : dynamodb-throughput-limit-check
지침 : Amazon DynamoDB 테이블에서 프로비저닝된 처리 용량을 확인하려면 이 규칙을 활성화하십시오.
이것은 각 테이블이 지원할 수 있는 읽기/쓰기 활동의 양입니다. DynamoDB는 이 정보를 사용하여 처리량 요구 사항을 충족하기에 충분한 시스템 리소스를 예약합니다. 이 규칙은 처리량이 고객 계정의 최대 한도에 도달할 때 경고를 생성합니다. 이 규칙을 사용하면 선택적으로 accountRCUThresholdPercentage(구성 기본값: 80) 및 accountWCUThresholdPercentage(구성 기본값: 80) 매개변수를 설정할 수 있습니다. 실제 값은 조직의 정책을 반영해야 합니다.
의견 : DynamoDB 사용시 처리량 제한을 할 경우 이를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.2, 2.11.3
Config rule : cloudwatch-alarm-action-check
지침 : 지표가 지정된 평가 기간 동안 임계값을 위반하면 Amazon CloudWatch 경보가 울립니다.
경보는 여러 기간 동안 임계값을 기준으로 메트릭 또는 표현식의 값을 기반으로 하나 이상의 작업을 수행합니다.
이 규칙에는 alarmActionRequired(구성 기본값: True), 불충분한DataActionRequired(구성 기본값: True), okActionRequired(구성 기본값: False)에 대한 값이 필요합니다. 실제 값은 환경에 대한 경보 조치를 반영해야 합니다.
의견 : CloudWatch 에 하나 이상의 경보(알람) 설정이 되어 있어야 준수로 체크되며 이를 확인하고 싶을 경우 적용
ISMS 항목 : 2.9.2, 2.11.3
Config rule : ec2-instance-detailed-monitoring-enabled
지침 : 이 규칙을 활성화하면 인스턴스에 대한 모니터링 그래프가 1분 단위로 표시되는 Amazon EC2 콘솔에서 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 모니터링을 개선하는 데 도움이 됩니다.
의견 : EC2 모니터링은 기본적으로 5분간격으로 제공되며(무료) 세부 모니터링 설정시 1분간격으로 제공되며 요금이 청구되는데 세부 모니터링 정책을 적용했을 경우 적용 여부 체크할 경우 적용
테스트 결과 : EC2 세부 모니터링 안 쓰면 미준수로 나옴
ISMS 항목 : 2.9.2, 2.11.3
Config rule : lambda-concurrency-check
지침 : 이 규칙은 Lambda 함수의 동시성 상한 및 하한이 설정되도록 합니다.
이는 주어진 시간에 함수가 제공하는 요청 수의 기준선을 설정하는 데 도움이 될 수 있습니다.
의견 : Lambda 동시성 설정을 할 경우 이 설정과 맞지 않는 것이 있는지 체크할 경우 적용
테스트 결과 : Lambda concurrency 설정이 안 되어 있어 미준수
ISMS 항목 : 2.9.2, 2.11.3
Config rule : rds-enhanced-monitoring-enabled
지침 : Amazon Relational Database Service(Amazon RDS)를 활성화하여 Amazon RDS 가용성을 모니터링할 수 있습니다. 이는 Amazon RDS 데이터베이스 인스턴스의 상태에 대한 자세한 가시성을 제공합니다. Amazon RDS 스토리지가 둘 이상의 기본 물리적 디바이스를 사용하는 경우 Enhanced Monitoring은 각 디바이스에 대한 데이터를 수집합니다. 또한 Amazon RDS 데이터베이스 인스턴스가 다중 AZ 배포에서 실행 중인 경우 보조 호스트의 각 디바이스에 대한 데이터와 보조 호스트 지표가 수집됩니다.
의견 : RDS 상세 모니터링 활성화를 사용할 경우 이를 체크하고 싶을 때 적용
ISMS 항목 : 2.9.3
Config rule : ec2-resources-protected-by-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Elastic Compute Cloud(Amazon EC2) 리소스가 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다.
이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : EC2 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3
Config rule : fsx-resources-protected-by-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon FSx 파일 시스템이 AWS Backup 계획의 일부인지 확인하십시오.
AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : FSx 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
ISMS 항목 : 2.9.3, 2.12
Config rule : db-instance-backup-enabled
지침 : Amazon RDS의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 DB 인스턴스의 스토리지 볼륨 스냅샷을 자동으로 생성하여 전체 DB 인스턴스를 백업합니다. 시스템을 사용하면 탄력성 요구 사항을 충족하기 위해 특정 보존 기간을 설정할 수 있습니다.
의견 : RDS 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : dynamodb-autoscaling-enabled
지침 : Amazon DynamoDB Auto Scaling은 AWS Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리 용량을 조정합니다. 이를 통해 테이블 또는 글로벌 보조 인덱스는 프로비저닝된 읽기/쓰기 용량을 증가시켜 트래픽의 급격한 증가를 조절 없이 처리할 수 있습니다.
의견 : DynamoDB 오토스케일이 적용되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : dynamodb-in-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon DynamoDB 테이블이 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : DynamoDB 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : ebs-in-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Elastic Block Store(Amazon EBS) 볼륨이 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다.
이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : EBS 스토리지에 대해 백업 설정이 되어 있는지 체크하고 싶을 경우 적용 EC2 백업 설정이 되어 있을 경우 같이 백업이 되며 단독으로 EBS 볼륨을 두는 경우가 아니면 미적용 추천
ISMS 항목 : 2.9.3, 2.12
Config rule : efs-in-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Elastic File System(Amazon EFS) 파일 시스템이 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다.
이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : EFS 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : elasticache-redis-cluster-automatic-backup-check
지침 : 자동 백업이 활성화되면 Amazon ElastiCache는 매일 클러스터의 백업을 생성합니다.
백업은 조직에서 지정한 일 수 동안 보관할 수 있습니다. 자동 백업은 데이터 손실을 방지하는 데 도움이 됩니다.
오류가 발생하면 가장 최근 백업에서 데이터를 복원하는 새 클러스터를 생성할 수 있습니다.
의견 : Redis 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : elb-cross-zone-load-balancing-enabled
지침 : Elastic Load Balancer(ELB)에 대해 교차 영역 로드 밸런싱을 활성화하여 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 교차 영역 로드 밸런싱은 활성화된 각 가용 영역에서 동일한 수의 인스턴스를 유지 관리할 필요성을 줄입니다. 또한 하나 이상의 인스턴스 손실을 처리하는 애플리케이션의 기능을 향상시킵니다.
의견 : ELB 교차 영역 로드 밸런싱 기능을 쓸 경우 이 옵션 활성화 여부를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : elb-deletion-protection-enabled
지침 : 이 규칙은 Elastic Load Balancing이 삭제 방지를 활성화하도록 합니다. 이 기능을 사용하면 로드 밸런서가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다.
의견 : ELB 삭제 방지 옵션을 쓸 경우 옵션 활성화 여부를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : rds-in-backup-plan
지침 : 데이터 백업 프로세스를 지원하려면 Amazon Relational Database Service(Amazon RDS) 인스턴스가 AWS Backup 계획의 일부인지 확인하십시오. AWS Backup은 정책 기반 백업 솔루션을 갖춘 완전 관리형 백업 서비스입니다. 이 솔루션은 백업 관리를 단순화하고 비즈니스 및 규정 백업 규정 준수 요구 사항을 충족할 수 있도록 합니다.
의견 : Amazon RDS 백업 설정이 되어 있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : rds-instance-deletion-protection-enabled
지침 : Amazon Relational Database Service(Amazon RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인합니다. 삭제 방지를 사용하여 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지합니다.
의견 : Amazon RDS 삭제 방지 옵션을 쓸 경우 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : rds-multi-az-support
지침 : Amazon Relational Database Service(Amazon RDS)의 다중 AZ 지원은 데이터베이스 인스턴스에 대한 향상된 가용성과 내구성을 제공합니다. 다중 AZ 데이터베이스 인스턴스를 프로비저닝하면 Amazon RDS가 자동으로 기본 데이터베이스 인스턴스를 생성하고 데이터를 다른 가용 영역의 대기 인스턴스에 동기식으로 복제합니다.
각 가용 영역은 물리적으로 구별되는 자체 독립 인프라에서 실행되며 매우 안정적으로 설계되었습니다.
인프라 장애가 발생하는 경우 Amazon RDS는 장애 조치가 완료되는 즉시 데이터베이스 작업을 재개할 수 있도록 대기 모드로 자동 장애 조치를 수행합니다.
의견 : RDS를 다중 AZ 지원으로 생성해서 쓸 경우 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : s3-bucket-default-lock-enabled
지침 : Amazon Simple Storage Service(Amazon S3) 버킷에 기본적으로 잠금이 활성화되어 있는지 확인합니다.
민감한 데이터는 S3 버킷에 유휴 상태로 존재할 수 있으므로 해당 데이터를 보호하는 데 도움이 되도록 유휴 객체 잠금을 적용합니다. (기본 비활성화)
의견 : S3 객체 잠금 설정이 가능한데(덮어쓰기등 불가능해 짐) 이 옵션 활성화 여부를 체크하고 싶을 때 적용
테스트 결과 : 객제 잠금 미잠금이 기본 옵션이며 잠금 설정이 객체 갱신(덮어쓰기) 불가능
ISMS 항목 : 2.9.3, 2.12
Config rule : s3-bucket-replication-enabled
지침 : Amazon Simple Storage Service(Amazon S3) 교차 리전 복제(CRR)는 적절한 용량과 가용성 유지를 지원합니다. CRR을 사용하면 Amazon S3 버킷에서 객체를 비동기식으로 자동 복사하여 데이터 가용성을 유지할 수 있습니다.
의견 : S3 리전 복제 설정을 했을 경우 이를 체크하고 싶을 경우 적용, 타 리전으로 복제하지 않을 경우 미적용 추천
테스트 결과 : 타 리전 복제 설정을 하지 않으므로 미준수로 나옴
ISMS 항목 : 2.9.3, 2.12
Config rule : s3-bucket-versioning-enabled
지침 : Amazon Simple Storage Service(Amazon S3) 버킷 버전 관리는 동일한 Amazon S3 버킷에 객체의 여러 변형을 유지하는 데 도움이 됩니다. 버전 관리를 사용하여 Amazon S3 버킷에 저장된 모든 객체의 모든 버전을 보존, 검색 및 복원하십시오. 버전 관리를 통해 의도하지 않은 사용자 작업 및 응용 프로그램 오류로부터 쉽게 복구할 수 있습니다.
(기본 비활성화)
의견 : S3 버전 관리를 사용할 경우 이를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.3, 2.12
Config rule : vpc-vpn-2-tunnels-up
지침 : 복원력 요구 사항을 달성하기 위해 중복 Site-to-Site VPN 터널을 구현할 수 있습니다.
Site-to-Site VPN 연결 중 하나를 사용할 수 없는 경우 연결을 보장하기 위해 두 개의 터널을 사용합니다.
연결 손실을 방지하기 위해 고객 게이트웨이를 사용할 수 없게 된 경우 두 번째 고객 게이트웨이를 사용하여 Amazon Virtual Private Cloud(Amazon VPC) 및 가상 프라이빗 게이트웨이에 대한 두 번째 Site-to-Site VPN 연결을 설정할 수 있습니다.
의견 : VPN 이중화 사용시 2개의 터널이 UP 되어있는지 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.4
ISMS 항목 : 2.9.4
Config rule : api-gw-execution-logging-enabled
지침 : API Gateway 로깅은 API에 액세스한 사용자와 API에 액세스한 방식에 대한 자세한 보기를 표시합니다. 이 통찰력은 사용자 활동의 가시성을 가능하게 합니다.
의견 : API GW 로깅 사용시 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.4
Config rule : cloudtrail-s3-dataevents-enabled
지침 : Simple Storage Service(Amazon S3) 데이터 이벤트 수집은 비정상적인 활동을 감지하는 데 도움이 됩니다.
세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소 및 이벤트 시간이 포함됩니다.
의견 : S3 CloudTrail 데이터 이벤트 구성을 했을 경우 이를 체크하고 싶을 경우 적용
테스트 결과 : S3의 Data Event 구성이 안 되어 있어서 미준수
ISMS 항목 : 2.9.4
Config rule : cw-loggroup-retention-period-check
지침 : 문제 해결 및 법의학 조사에 도움이 되도록 로그 그룹에 대해 이벤트 로그 데이터의 최소 기간을 유지해야 합니다. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다.
의견 : CloudWatch 로그 그룹별로 보존일을 체크하고 싶을 경우 적용, 적용할 경우 로그 그룹별로 보존기한을 옵션으로 지정해야 함
테스트 결과 : 그룹별로 보존기한이 설정되어 있지 않아 미준수 /aws/lambda/aws-controltower-NotificationForwarder 는 기본 2주 설정이며 이 값들은 옵션으로 지정해야 함
만기 없음으로 설정해도 준수로 표시
ISMS 항목 : 2.9.4
Config rule : elb-logging-enabled
지침 : Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되어 있는지 확인합니다.
수집된 데이터는 ELB로 전송된 요청에 대한 자세한 정보를 제공합니다. 각 로그에는 요청이 수신된 시간, 클라이언트의 IP 주소, 대기 시간, 요청 경로 및 서버 응답과 같은 정보가 포함됩니다.
의견 : ELB 에 기본으로 활성화 되어 있지 않은 상세 접근 로그를 활성화 시켜서 쓸 경우 이를 체크하고 싶을 경우 적용
테스트 결과 : LB 생성시 상세 접근 로그 옵션을 켜야 함, 미설정시 미준수
ISMS 항목 : 2.9.4
Config rule : multi-region-cloudtrail-enabled
지침 : AWS CloudTrail은 AWS Management 콘솔 작업 및 API 호출을 기록합니다.
AWS라고 하는 사용자 및 계정, 호출이 이루어진 소스 IP 주소, 호출이 발생한 시간을 식별할 수 있습니다.
MULTI_REGION_CLOUD_TRAIL_ENABLED가 활성화된 경우 CloudTrail은 모든 AWS 리전의 로그 파일을 S3 버킷으로 전달합니다. 또한 AWS가 새 리전을 시작하면 CloudTrail은 새 리전에 동일한 추적을 생성합니다.
결과적으로 조치를 취하지 않고도 새 리전에 대한 API 활동이 포함된 로그 파일을 받게 됩니다.
의견 : 멀티 리전 CloudTrail 활성화 사용시 해당 옵션 활성화 여부를 체크, 해외 리전 사용 제한시 미적용 추천
테스트 결과 : aws cloudtrail update-trail –name my-trail –is-multi-region-trail
-> 미적용시 미준수로 나옴
ISMS 항목 : 2.9.4
Config rule : rds-logging-enabled
지침 : 환경 내에서 로깅 및 모니터링을 지원하려면 Amazon Relational Database Service(Amazon RDS) 로깅이 활성화되어 있는지 확인하십시오. Amazon RDS 로깅을 사용하면 연결, 연결 해제, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다.
의견 : RDS 옵션에서 로깅 활성화 사용시 이를 체크하고 싶을 경우 적용
ISMS 항목 : 2.9.4
Config rule : s3-bucket-logging-enabled
지침 : Amazon Simple Storage Service(Amazon S3) 서버 액세스 로깅은 잠재적인 사이버 보안 이벤트에 대해 네트워크를 모니터링하는 방법을 제공합니다. 이벤트는 Amazon S3 버킷에 대한 요청에 대한 세부 레코드를 캡처하여 모니터링됩니다. 각 액세스 로그 레코드는 단일 액세스 요청에 대한 세부 정보를 제공합니다. 세부 정보에는 요청자, 버킷 이름, 요청 시간, 요청 작업, 응답 상태 및 오류 코드(해당되는 경우)가 포함됩니다. (log archive 계정에 대해서 기본 활성화 됨)
의견 : S3 서버 액세스 로깅 옵션 활성화시 체크하고 싶을 경우 적용, Log Archive 계정의 S3는 이 옵션 기본 활성화 상태임
ISMS 항목 : 2.9.4
Config rule : vpc-flow-logs-enabled
지침 : VPC 흐름 로그는 Amazon Virtual Private Cloud(Amazon VPC)의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 정보에 대한 자세한 기록을 제공합니다. 기본적으로 흐름 로그 레코드에는 소스, 대상 및 프로토콜을 포함하여 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다.
의견 : VPC Flow log 사용시 사용여부 체크시 적용
ISMS 항목 : 2.9.4
Config rule : wafv2-logging-enabled
지침 : 환경 내에서 로깅 및 모니터링을 지원하려면 리전 및 글로벌 웹 ACL에서 AWS WAF(V2) 로깅을 활성화하십시오. AWS WAF 로깅은 웹 ACL에서 분석하는 트래픽에 대한 자세한 정보를 제공합니다. 로그는 AWS WAF가 AWS 리소스로부터 요청을 수신한 시간, 요청에 대한 정보 및 각 요청이 일치하는 규칙에 대한 작업을 기록합니다.
의견 : WAF 사용시 로깅 사용 여부 체크시 적용
감사합니다 🙂
문의: info@bespinglobal.com | 대표번호: 02-1668-1280