기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
NZISM 3.9 운영 모범 사례(NZ 전환)
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 뉴질랜드 정부 통신 보안국(GCSB) 정보 보안 매뉴얼(NZISM) 2025-11 버전 3.9
이 샘플 적합성 팩 템플릿에는 인력, 정보 및 물리적 보안 관리에 대한 뉴질랜드 정부의 기대치를 규정하는 보호 보안 요구 사항(PSR) 프레임워크의 필수 부분인 NZISM 프레임워크 내 제어에 대한 매핑이 포함되어 있습니다.
이 적합성 팩의 파운데이션 부분은 시드니 및 글로벌 리전에 배포할 수 있습니다. NZ 전환 부분에는 현재 뉴질랜드 리전에서 사용할 수 있는 Foundation Config 규칙의 하위 집합이 포함되어 있습니다. 파운데이션 부분은 현재 뉴질랜드 리전에 배포되지 않습니다. 이 적합성 팩의 확장 부분은 Foundation 및 NZ Transition 파트에 제공된 Config 규칙을 보강하기 위해 시드니 및 뉴질랜드 리전에 배포할 수 있습니다.
NZISM은 크리에이티브 커먼즈 저작자표시 4.0 뉴질랜드 라이선스에 따라 이용할 수 있으며, https://creativecommons.org/licenses/by/4.0/
| 제어 ID | 제어 설명 | AWS Config 규칙 | 지침 |
|---|---|---|---|
| 1661 | 소프트웨어 보안, 웹 애플리케이션 개발, 기관 웹 사이트 콘텐츠(14.5.6.C.01.) | 이 제어는 Amazon CloudFront 배포가 기본 루트 객체인 특정 객체를 반환하도록 구성되어 있는지 여부를 확인합니다. CloudFront 배포에 기본 루트 객체가 구성되어 있지 않으면 제어가 실패합니다. 사용자가 배포의 객체 대신 배포의 루트 URL을 요청하는 경우가 있습니다. 이 경우, 기본 루트 객체를 지정하면 웹 배포 내용이 노출되는 것을 방지하는 데 도움이 될 수 있습니다. us-east-1 리전에서는 이 규칙을 반드시 적용해야 합니다. 템플릿 파라미터 DeployEdgeRules = true를 사용하여 배포 | |
| 1667 | 소프트웨어 보안, 웹 애플리케이션 개발, 웹 애플리케이션(14.5.8.C.01.) | AWS ACM에서 X509 인증서를 발급하여 네트워크 무결성을 보호합니다. 이러한 인증서는 유효하고 만료되지 않은 것이어야 합니다. 이 규칙에는 daysToExpiration에 대한 값이 필요합니다. 값은 30일입니다. | |
| 1667 | 소프트웨어 보안, 웹 애플리케이션 개발, 웹 애플리케이션(14.5.8.C.01.) | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 1847 | 액세스 제어 및 암호, 식별, 인증 및 암호, 전송 중 인증 데이터 보호(16.1.37.C.01.) | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 1847 | 액세스 제어 및 암호, 식별, 인증 및 암호, 전송 중 인증 데이터 보호(16.1.37.C.01.) | 이 제어는 Amazon CloudFront 배포에서 뷰어가 HTTPS를 직접 사용하도록 요구하는지 또는 리디렉션을 사용하는지 여부를 확인합니다. ViewerProtocolPolicy가 defaultCacheBehavior 또는 cacheBehaviors에 대해 allow-all로 설정된 경우 제어가 실패합니다. HTTPS(TLS)를 사용하여 잠재적 공격자가 중간자 또는 그와 유사한 공격을 사용하여 네트워크 트래픽을 염탐하거나 조작하지 못하게 할 수 있습니다. 암호화된 HTTPS(TLS) 연결만 허용되어야 합니다. us-east-1 리전에서는 이 규칙을 반드시 적용해야 합니다. 템플릿 파라미터 DeployEdgeRules = true를 사용하여 배포 | |
| 1847 | 액세스 제어 및 암호, 식별, 인증 및 암호, 전송 중 인증 데이터 보호(16.1.37.C.01.) | 이 제어는 Elasticsearch 도메인에 노드 간 암호화를 활성화하고 있는지 확인합니다. 도메인에서 노드 간 암호화를 비활성화하면 이 제어가 실패합니다. HTTPS(TLS)를 사용하면 잠재적인 공격자가 중간자 또는 유사한 공격을 통해 네트워크 트래픽을 도청하거나 조작하는 것을 방지할 수 있습니다. HTTPS(TLS)를 통한 암호화된 연결만 허용되어야 합니다. Elasticsearch 도메인의 노드 간 암호화를 활성화하면 클러스터 내 통신이 전송 중 암호화됩니다. | |
| 1847 | 액세스 제어 및 암호, 식별, 인증 및 암호, 전송 중 인증 데이터 보호(16.1.37.C.01.) | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 1998 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 시스템 관리 로그 유지 관리(16.6.6.C.02.) | CloudWatch Logs로 CloudTrail을 구성하여 추적 로그를 모니터링하고 특정 활동이 발생할 경우 알림을 받아야 합니다. 이 규칙은 AWS CloudTrail 추적이 Amazon CloudWatch logs 로그로 로그를 전송하도록 구성되어 있는지 확인합니다. | |
| 1998 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 시스템 관리 로그 유지 관리(16.6.6.C.02.) | AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록하여 거부 방지에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠에서 확인할 수 있습니다. | |
| 1998 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 시스템 관리 로그 유지 관리(16.6.6.C.02.) | 문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다. 최소 보존 기간은 18개월입니다. | |
| 2013 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 로깅할 추가 이벤트(16.6.10.C.02.) | 이 제어는 CloudFront 배포에서 서버 액세스 로깅이 활성화되었는지 여부를 확인합니다. 배포에 대한 액세스 로깅이 활성화되지 않은 경우, 제어가 실패합니다. CloudFront 액세스 로그는 CloudFront가 수신하는 모든 사용자 요청에 대한 세부 정보를 제공합니다. 각 로그에는 요청이 수신된 날짜 및 시간, 요청한 뷰어의 IP 주소, 요청 소스, 뷰어의 요청 포트 번호 등의 정보가 포함됩니다. 이러한 로그는 보안 및 액세스 감사, 포렌식 조사와 같은 목적에 유용합니다. us-east-1 리전에서는 이 규칙을 반드시 적용해야 합니다. 템플릿 파라미터 DeployEdgeRules = true를 사용하여 배포 | |
| 2013 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 로깅할 추가 이벤트(16.6.10.C.02.) | AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록하여 거부 방지에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠에서 확인할 수 있습니다. | |
| 2013 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 로깅할 추가 이벤트(16.6.10.C.02.) | Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. | |
| 2013 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 로깅할 추가 이벤트(16.6.10.C.02.) | 환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 2022 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 이벤트 로그 보호(16.6.12.C.01.) | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증을 통해 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. | |
| 2022 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 이벤트 로그 보호(16.6.12.C.01.) | 민감한 저장 데이터를 보호하려면 Amazon CloudWatch 로그 그룹에 암호화가 활성화되어 있는지 확인하세요. | |
| 2028 | 액세스 제어 및 암호, 이벤트 로깅 및 감사, 이벤트 로그 아카이브(16.6.13.C.01.) | 문제 해결 및 포렌식 조사에 도움이 되도록 로그 그룹에 대한 이벤트 로그 데이터를 최소 기간 동안 유지하세요. 사용 가능한 과거 이벤트 로그 데이터가 부족하면 잠재적으로 악의적인 이벤트를 재구성하고 식별하기가 어렵습니다. 최소 보존 기간은 18개월입니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 민감한 데이터가 존재할 수 있고 저장 데이터를 보호하기 위해 AWS CloudTrail 추적에 암호화가 활성화되어 있는지 확인합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 저장 데이터를 보호하려면Amazon Elastic Block Store(Amazon EBS) 볼륨에 대해 암호화를 활성화해야 합니다. 이러한 볼륨에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에서 암호화가 활성화되어 있는지 확인합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 이 컨트롤은 Elasticsearch 도메인에 저장 시 암호화 구성이 활성화되어 있는지 확인합니다. 유휴 시 암호화가 활성화되지 않은 경우, 이 확인이 실패합니다. 민감한 데이터에 대한 보안 계층을 추가하려면 Elasticsearch Service 도메인이 저장 시 암호화되도록 구성해야 합니다. 저장 데이터 암호화를 구성하면 Amazon Key Management Service(KMS)가 암호화 키를 저장하고 관리합니다. 암호화를 수행하기 위해 AWS KMS는 256비트 키(AES-256)와 함께 고급 암호화 표준 알고리즘을 사용합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 암호화가 활성화되어 있는지 확인합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2082 | 암호화, 암호화 기본 사항, 스토리지 및 물리적 전송 요구 사항 감소(17.1.53.C.04.) | 저장 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 대해 암호화가 활성화되어 있는지 확인합니다. Amazon S3 버킷에 저장 중 민감한 데이터가 존재할 수 있으므로 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2090 | 암호화, 암호화 기본 사항, 정보 및 시스템 보호(17.1.55.C.02.) | 전송 중 데이터를 보호하려면 Application Load Balancer가 암호화되지 않은 HTTP 요청을 자동으로 HTTPS로 리디렉션하도록 해야 합니다. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2090 | 암호화, 암호화 기본 사항, 정보 및 시스템 보호(17.1.55.C.02.) | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2090 | 암호화, 암호화 기본 사항, 정보 및 시스템 보호(17.1.55.C.02.) | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 2598 | 암호화, 전송 계층 보안, TLS 사용(17.4.16.C.01.) | 전송 중 데이터를 보호하려면 Classic ElasticLoadBalancer SSL 리스너가 사용자 지정 보안 정책을 사용하고 있는지 확인합니다. 이러한 정책은 시스템 간 암호화된 네트워크 통신을 보장하는 데 도움이 되는 다양한 고강도 암호화 알고리즘을 제공할 수 있습니다. 이 규칙을 사용하려면 SSL 리스너에 대한 사용자 지정 보안 정책을 설정해야 합니다. 보안 정책은 Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2600 | 암호화, 전송 계층 보안, TLS 사용(17.4.16.C.02.) | 전송 중 데이터를 보호하려면 Classic ElasticLoadBalancer SSL 리스너가 사용자 지정 보안 정책을 사용하고 있는지 확인합니다. 이러한 정책은 시스템 간 암호화된 네트워크 통신을 보장하는 데 도움이 되는 다양한 고강도 암호화 알고리즘을 제공할 수 있습니다. 이 규칙을 사용하려면 SSL 리스너에 대한 사용자 지정 보안 정책을 설정해야 합니다. 기본 보안 정책은 Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384. | |
| 2726 | 암호화, 보안 쉘, 자동 원격 액세스(17.5.8.C.02.) | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 리소스의 0.0.0.0/0에서 포트 22로 수신(또는 원격) 트래픽을 허용하지 않으면 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 3021 | 암호화, 키 관리, KMP 콘텐츠(17.9.25.C.01.) | Amazon Key Management Service(KMS)를 사용하면 고객이 AWS KMS에 저장되고 CMK의 키 ID에 연결된 키 구성 요소인 지원 키를 교체할 수 있습니다. 이 백업 키는 암호화, 해독 등 암호화 작업을 수행하는 데 사용됩니다. 자동화된 키 교체는 암호화된 데이터의 해독이 투명하게 이루어질 수 있도록 하기 위해 현재 모든 이전 버전의 백업 키를 유지합니다. 암호화 키를 교체하면 노출되었을 수 있는 이전 키로 새로운 키로는 암호화된 데이터에 액세스할 수 없으므로 침해된 키가 영향을 미칠 가능성을 줄일 수 있습니다. | |
| 3205 | 네트워크 보안, 네트워크 관리, 네트워크 액세스 제한(18.1.13.C.02.) | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹에서 공통 포트가 제한되도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 포트 액세스를 신뢰할 수 있는 소스로 제한하지 않으면 시스템의 가용성, 무결성 및 기밀성에 대한 공격이 발생할 수 있습니다. 인터넷(0.0.0.0/0)에서 보안 그룹 내 리소스에 대한 액세스를 제한함으로써 내부 시스템에 대한 원격 액세스를 제어할 수 있습니다. 승인된 인터넷 포트 목록은 443 전용입니다. | |
| 3449 | 제품 보안, 제품 패치 적용 및 업데이트, 제품의 취약성 패치 적용(12.4.4.C.02.) | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙은 allowVersionUpgrade를 TRUE로 설정합니다. | |
| 3452 | 제품 보안, 제품 패치 적용 및 업데이트, 제품의 취약성 패치 적용(12.4.4.C.05.) | 이 제어는 RDS 데이터베이스 인스턴스에 대해 자동 마이너 버전 업그레이드가 활성화되어 있는지 확인합니다. 자동 마이너 버전 업그레이드를 활성화하면 관계형 데이터베이스 관리 시스템(RDBMS)에 대한 최신 마이너 버전 업데이트가 설치됩니다. 이러한 업그레이드에는 보안 패치 및 버그 수정이 포함될 수 있습니다. 패치 설치를 최신 상태로 유지하는 것은 시스템 보안의 중요한 단계입니다. | |
| 3453 | 제품 보안, 제품 패치 적용 및 업데이트, 제품의 취약성 패치 적용(12.4.4.C.06.) | 이 규칙은 Amazon Redshift 클러스터가 조직에서 선호하는 설정을 갖도록 보장합니다. 특히 데이터베이스에 기본 설정된 유지 관리 기간과 자동화된 스냅샷 보존 기간이 있습니다. 이 규칙은 allowVersionUpgrade를 TRUE로 설정합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | 이 제어는 CloudFront 배포가 AWS WAF 또는 AWS WAFv2 웹 ACLs과 연결되어 있는지 확인합니다. 배포가 웹 ACL과 연결되어 있지 않으면 제어가 실패합니다. AWS WAF는 웹 애플리케이션 및 API를 공격으로부터 보호하는 데 도움이 되는 웹 애플리케이션 방화벽입니다. 사용자가 정의한 맞춤형 웹 보안 규칙 및 조건에 따라 웹 요청을 허용, 차단 또는 계산하는 규칙 집합(웹 액세스 제어 목록 또는 웹 ACL)을 구성할 수 있습니다. CloudFront 배포가 AWS WAF 웹 ACL과 연결되어 있는지 확인하여 악의적인 공격으로부터 보호합니다. us-east-1 리전에서는 이 규칙을 반드시 적용해야 합니다. 템플릿 파라미터 DeployEdgeRules = true를 사용하여 배포 | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | AWS Database Migration Service(DMS) 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터의 액세스 및 제어를 위해 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 메서드가 활성화되어 있는지 확인합니다. IMDSv2 메서드는 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터 변경을 제한할 수 있습니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 Amazon Virtual Private Cloud(VPC) 내에 배포하면 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이 Amazon VPC 내부에서 인스턴스와 다른 서비스 간에 보안 통신이 가능합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | 이 제어는 Elasticsearch 도메인이 Virtual Private Cloud(VPC)에 있는지 확인합니다. 퍼블릭 액세스를 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다. Elasticsearch 도메인이 퍼블릭 서브넷에 연결되어 있지 않은지 확인해야 합니다. VPC 내에 배포된 Elasticsearch 도메인은 퍼블릭 인터넷을 통과할 필요 없이 프라이빗 AWS 네트워크를 통해 VPC 리소스와 통신할 수 있습니다. 이 구성은 전송 중 데이터에 대한 액세스를 제한하여 보안 상태를 강화합니다. VPC는 네트워크 ACL 및 보안 그룹을 포함하여 Elasticsearch 도메인에 대한 액세스를 보호하기 위한 여러 네트워크 컨트롤을 제공합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Relational Database Service(RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Redshift 클러스터가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙은 ignorePublicAcls를 TRUE로, blockPublicPolicy를 TRUE로, blockPublicAcls를 TRUE로, restrictPublicBuckets를 TRUE로 설정합니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 3562 | 게이트웨이 보안, 게이트웨이, 게이트웨이 구성(19.1.12.C.01.) | Virtual Private Cloud(VPC) 흐름 로그는 Amazon VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 자세한 레코드를 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 3623 | 게이트웨이 보안, 게이트웨이, 비무장 영역(19.1.14.C.02.) | 이 제어는 Elasticsearch 도메인이 Virtual Private Cloud(VPC)에 있는지 확인합니다. 퍼블릭 액세스를 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다. Elasticsearch 도메인이 퍼블릭 서브넷에 연결되어 있지 않은지 확인해야 합니다. VPC 내에 배포된 Elasticsearch 도메인은 퍼블릭 인터넷을 통과할 필요 없이 프라이빗 AWS 네트워크를 통해 VPC 리소스와 통신할 수 있습니다. 이 구성은 전송 중 데이터에 대한 액세스를 제한하여 보안 상태를 강화합니다. VPC는 네트워크 ACL 및 보안 그룹을 포함하여 Elasticsearch 도메인에 대한 액세스를 보호하기 위한 여러 네트워크 컨트롤을 제공합니다. | |
| 3623 | 게이트웨이 보안, 게이트웨이, 비무장 영역(19.1.14.C.02.) | Amazon Relational Database Service(RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3623 | 게이트웨이 보안, 게이트웨이, 비무장 영역(19.1.14.C.02.) | Amazon Redshift 클러스터가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 3875 | 네트워크 보안, 침입 탐지 및 방지, 이벤트 관리 및 상관관계(18.4.12.C.01.) | AWS Security Hub는 권한이 없는 직원, 연결, 디바이스 및 소프트웨어를 모니터링하는 데 도움이 됩니다. AWS Security Hub는 여러 AWS 서비스의 보안 알림 또는 조사 결과를 집계, 구성 및 우선 순위를 지정합니다. 이러한 서비스 중에는 Amazon Security Hub, Amazon Inspector, Amazon Macie, AWS Identity and Access Management(IAM) Access Analyzer, AWS Firewall Manager 및 AWS 파트너 솔루션이 있습니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | 이 컨트롤은 Elasticsearch 도메인에 저장 시 암호화 구성이 활성화되어 있는지 확인합니다. 유휴 시 암호화가 활성화되지 않은 경우, 이 확인이 실패합니다. 민감한 데이터에 대한 보안 계층을 추가하려면 Elasticsearch Service 도메인이 저장 시 암호화되도록 구성해야 합니다. 저장 데이터 암호화를 구성하면 Amazon Key Management Service(KMS)가 암호화 키를 저장하고 관리합니다. 암호화를 수행하기 위해 AWS KMS는 256비트 키(AES-256)와 함께 고급 암호화 표준 알고리즘을 사용합니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | 환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | Amazon Relational Database Service(RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4441 | 데이터 관리, 데이터베이스, 데이터베이스 파일(20.4.4.C.02.) | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙은 clusterDbEncrypted를 TRUE로 설정하고 loggingEnabled를 TRUE로 설정합니다. | |
| 4445 | 데이터 관리, 데이터베이스, 책임(20.4.5.C.02.) | 환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 4445 | 데이터 관리, 데이터베이스, 책임(20.4.5.C.02.) | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙은 clusterDbEncrypted를 TRUE로 설정하고 loggingEnabled를 TRUE로 설정합니다. | |
| 4829 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 시스템 가용성(22.1.23.C.01.) | Amazon DynamoDB Auto Scaling은 AWS Application Auto Scaling 서비스를 사용하여 실제 트래픽 패턴에 자동으로 응답하는 프로비저닝된 처리량 용량을 조정합니다. 따라서 테이블 또는 글로벌 보조 인덱스에 따라 할당된 읽기/쓰기 용량을 늘려 제한 없이 갑작스러운 트래픽 증가를 처리할 수 있습니다. | |
| 4829 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 시스템 가용성(22.1.23.C.01.) | Elastic Load Balancer(ELB)의 영역 간 로드 밸런싱 활성화는 적절한 용량과 가용성을 유지하는 데 도움이 됩니다. 영역 간 로드 밸런싱을 사용하면 활성화된 각 가용성 영역에서 동일한 수의 인스턴스를 유지해야 할 필요성이 줄어듭니다. 또한 애플리케이션이 보다 효과적으로 하나 이상의 인스턴스 손실을 처리할 수 있습니다. | |
| 4838 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.03.) | Amazon Simple Storage Service(S3) 데이터 이벤트를 수집하면 모든 변칙적 활동을 탐지하는 데 도움이 됩니다. 세부 정보에는 Amazon S3 버킷에 액세스한 AWS 계정 정보, IP 주소 및 이벤트 시간이 포함됩니다. | |
| 4838 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.03.) | Amazon Elastic Block Store(EBS) 스냅샷을 공개적으로 복원할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. EBS 볼륨 스냅샷에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 4838 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.03.) | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙은 ignorePublicAcls를 TRUE로, blockPublicPolicy를 TRUE로, blockPublicAcls를 TRUE로, restrictPublicBuckets를 TRUE로 설정합니다. | |
| 4838 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.03.) | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 4838 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.03.) | 승인된 사용자, 프로세스 및 디바이스만 Amazon Simple Storage Service(Amazon S3) 버킷에 액세스할 수 있도록 허용하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 액세스 관리는 데이터 분류와 일치해야 합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | Amazon DynamoDB 테이블에 대해 암호화가 활성화되었는지 확인합니다. 이러한 테이블에 민감한 데이터가 저장 중일 수 있으므로 저장 암호화를 활성화하여 해당 데이터를 보호합니다. 기본적으로 DynamoDB 테이블은 AWS 소유 Amazon Key Management Service(KMS) 키로 암호화됩니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic File System(EFS)에서 암호화가 활성화되어 있는지 확인합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 이 컨트롤은 Elasticsearch 도메인에 저장 시 암호화 구성이 활성화되어 있는지 확인합니다. 유휴 시 암호화가 활성화되지 않은 경우, 이 확인이 실패합니다. 민감한 데이터에 대한 보안 계층을 추가하려면 Elasticsearch Service 도메인이 저장 시 암호화되도록 구성해야 합니다. 저장 데이터 암호화를 구성하면 Amazon Key Management Service(KMS)가 암호화 키를 저장하고 관리합니다. 암호화를 수행하기 위해 AWS KMS는 256비트 키(AES-256)와 함께 고급 암호화 표준 알고리즘을 사용합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 이 제어는 Elasticsearch 도메인에 노드 간 암호화를 활성화하고 있는지 확인합니다. 도메인에서 노드 간 암호화를 비활성화하면 이 제어가 실패합니다. HTTPS(TLS)를 사용하면 잠재적인 공격자가 중간자 또는 유사한 공격을 통해 네트워크 트래픽을 도청하거나 조작하는 것을 방지할 수 있습니다. HTTPS(TLS)를 통한 암호화된 연결만 허용되어야 합니다. Elasticsearch 도메인의 노드 간 암호화를 활성화하면 클러스터 내 통신이 전송 중 암호화됩니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | Elastic Load Balancer(ELB)가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 민감한 데이터가 존재할 수 있으므로 저장 데이터를 보호하는 데 도움이 되도록 Amazon Elastic Block Store(Amazon EBS) 볼륨에서 암호화가 활성화되어 있는지 확인합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | Amazon Relational Database Service(RDS) 스냅샷에 대해 암호화가 활성화되었는지 확인합니다. 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 저장 데이터를 보호하기 위해 Amazon Relational Database Service(RDS) 인스턴스에 대해 암호화가 활성화되었는지 확인합니다. Amazon RDS 인스턴스에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 저장 데이터를 보호하기 위해 Amazon Redshift 클러스터에 대해 암호화가 활성화되어 있는지 확인합니다. 또한 필수 구성이 Amazon Redshift 클러스터에 배포되었는지 확인해야 합니다. 데이터베이스의 연결 및 사용자 활동에 관한 정보를 제공하려면 감사 로깅을 활성화해야 합니다. 이 규칙은 clusterDbEncrypted를 TRUE로 설정하고 loggingEnabled를 TRUE로 설정합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | Amazon Redshift 클러스터를 SQL 클라이언트에 연결하려면 TLS/SSL 암호화가 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 전송 중 데이터 데이터를 보호하려면 Amazon Simple Storage Service(S3) 버킷에 보안 소켓 계층(SSL) 사용 요청이 필요한지 확인하세요. 민감한 데이터가 존재할 수 있으므로 전송 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4839 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 무단 액세스(22.1.24.C.04.) | 저장 데이터를 보호하기 위해 AWS Secrets Manager 보안 암호에 대해 AWS Key Management Service(AWS KMS)를 사용한 암호화가 활성화되어 있는지 확인합니다. AWS Secrets Manager Secrets Manager 암호에 저장 중 민감한 데이터가 존재할 수 있으므로 저장 중 암호화를 활성화하여 해당 데이터를 보호합니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | Amazon Relational Database Service(RDS)의 백업 기능은 데이터베이스 및 트랜잭션 로그의 백업을 생성합니다. Amazon RDS는 전체 DB 인스턴스를 백업하여 DB 인스턴스의 스토리지 볼륨 스냅샷을 생성합니다. 시스템에서 복원력 요구 사항을 충족하도록 특정 보존 기간을 설정할 수 있습니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | 이 규칙을 사용하면 정보가 백업되었는지 확인할 수 있습니다. 또한 Amazon DynamoDB에서 특정 시점으로 복구를 활성화하여 백업을 유지합니다. 복구를 통해 지난 35일 동안의 테이블 연속 백업이 유지됩니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | 자동 백업이 활성화되면 Amazon ElastiCache에서 매일 클러스터 백업을 생성합니다. 백업은 조직에서 지정한 기간 동안 유지할 수 있습니다. 자동 백업은 데이터 손실을 막는 데 도움이 됩니다. 장애가 발생할 경우 새로운 클러스터를 생성해 최신 백업에서 모든 데이터를 복원할 수 있습니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | Amazon Relational Database Service(RDS) 인스턴스에 삭제 방지가 활성화되어 있는지 확인합니다. 삭제 방지를 사용하면 RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | Amazon Relational Database Service(RDS) 인스턴스에 삭제 방지 기능이 활성화되어 있는지 확인하세요. 삭제 방지를 사용하면 Amazon RDS 인스턴스가 실수로 또는 악의적으로 삭제되어 애플리케이션의 가용성이 손실되는 것을 방지할 수 있습니다. | |
| 4849 | 엔터프라이즈 시스템 보안, 클라우드 컴퓨팅, 백업, 복구 아카이빙 및 데이터 보존(22.1.26.C.01.) | 데이터 백업 프로세스에 도움이 되도록 Amazon Redshift 클러스터에 자동 스냅샷이 있는지 확인하세요. 클러스터에 자동 스냅샷이 사용되면 Redshift는 정기적으로 해당 클러스터의 스냅샷을 생성합니다. 기본적으로 Redshift는 8시간마다 또는 노드당 5GB의 데이터 변경이 있을 때마다 둘 중 먼저 발생하는 시점을 기준으로 스냅샷을 생성합니다. | |
| 6860 | 액세스 제어 및 암호, 권한 있는 액세스 관리, 모니터링 및 검토(16.4.35.C.02.) | CloudWatch Logs로 CloudTrail을 구성하여 추적 로그를 모니터링하고 특정 활동이 발생할 경우 알림을 받아야 합니다. 이 규칙은 AWS CloudTrail 추적이 Amazon CloudWatch logs 로그로 로그를 전송하도록 구성되어 있는지 확인합니다. | |
| 6860 | 액세스 제어 및 암호, 권한 있는 액세스 관리, 모니터링 및 검토(16.4.35.C.02.) | AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록하여 거부 방지에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠에서 확인할 수 있습니다. | |
| 6861 | 액세스 제어 및 암호, 권한 있는 액세스 관리, 모니터링 및 검토(16.4.35.C.03.) | 이 규칙은 여러 설정의 활성화를 확인하여 AWS CloudTrail에 대한 AWS 권장 보안 모범 사례를 사용하는 데 도움이 됩니다. 여기에는 로그 암호화 사용, 로그 검증, 여러 리전에서 AWS CloudTrail 활성화가 포함됩니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | AWS Database Migration Service(DMS) 복제 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. DMS 복제 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스 메타데이터의 액세스 및 제어를 위해 인스턴스 메타데이터 서비스 버전 2(IMDSv2) 메서드가 활성화되어 있는지 확인합니다. IMDSv2 메서드는 세션 기반 제어를 사용합니다. IMDSv2를 사용하면 제어를 구현하여 인스턴스 메타데이터 변경을 제한할 수 있습니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드에 대한 액세스를 관리합니다. Amazon EC2 인스턴스에는 민감한 정보가 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Virtual Private Cloud(Amazon VPC) 내에 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스를 배포하여 인터넷 게이트웨이, NAT 디바이스 또는 VPN 연결 없이도 Amazon VPC 내의 다른 서비스와 인스턴스 간에 보안 통신을 가능하게 합니다. 모든 트래픽이 AWS 클라우드 내에서 안전하게 보호됩니다. 논리적 격리로 인해 퍼블릭 엔드포인트를 사용할 때에 비해, Amazon VPC에 상주하는 도메인에는 보안 계층이 하나 추가됩니다. Amazon EC2 인스턴스를 Amazon VPC에 할당하여 액세스를 적절하게 관리합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | 이 제어는 Elasticsearch 도메인이 Virtual Private Cloud(VPC)에 있는지 확인합니다. 퍼블릭 액세스를 확인하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다. Elasticsearch 도메인이 퍼블릭 서브넷에 연결되어 있지 않은지 확인해야 합니다. VPC 내에 배포된 Elasticsearch 도메인은 퍼블릭 인터넷을 통과할 필요 없이 프라이빗 AWS 네트워크를 통해 VPC 리소스와 통신할 수 있습니다. 이 구성은 전송 중 데이터에 대한 액세스를 제한하여 보안 상태를 강화합니다. VPC는 네트워크 ACL 및 보안 그룹을 포함하여 Elasticsearch 도메인에 대한 액세스를 보호하기 위한 여러 네트워크 컨트롤을 제공합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Relational Database Service(RDS) 인스턴스가 공개되지 않도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon RDS 데이터베이스 인스턴스에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Redshift 클러스터가 퍼블릭이 아닌지 확인하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. Amazon Redshift 클러스터에는 민감한 정보와 원칙이 포함될 수 있으며 이러한 계정에는 액세스 제어가 필요합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Simple Storage Service(Amazon S3) 버킷에 공개적으로 액세스할 수 없도록 하여 AWS 클라우드의 리소스에 대한 액세스를 관리합니다. 이 규칙은 퍼블릭 액세스를 방지하여 권한이 없는 원격 사용자로부터 민감한 데이터를 안전하게 보호하는 데 도움이 됩니다. 이 규칙은 ignorePublicAcls를 TRUE로, blockPublicPolicy를 TRUE로, blockPublicAcls를 TRUE로, restrictPublicBuckets를 TRUE로 설정합니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | AWS Systems Manager(SSM) 문서는 SSM 문서에 대한 의도하지 않은 액세스를 허용할 수 있으므로 공개되지 않아야 합니다. 퍼블릭 SSM 문서를 통해 계정, 리소스 및 내부 프로세스에 관한 정보가 노출될 수 있습니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹은 AWS 리소스에 대한 수신 및 송신 네트워크 트래픽의 상태 저장 필터링을 제공하여 네트워크 액세스를 관리하는 데 도움이 될 수 있습니다. 기본 보안 그룹의 모든 트래픽을 제한하면 AWS 리소스에 대한 원격 액세스를 제한하는 데 도움이 됩니다. | |
| 7466 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 데이터 보호, 데이터 접근성(23.4.10.C.01.) | Virtual Private Cloud(VPC) 흐름 로그는 Amazon VPC의 네트워크 인터페이스로 들어오고 나가는 IP 트래픽에 대한 자세한 레코드를 제공합니다. 기본적으로 이 흐름 로그 레코드에는 소스, 대상, 프로토콜 등 IP 흐름의 다양한 구성 요소에 대한 값이 포함됩니다. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | AWS CloudTrail 로그 파일 검증을 활용하여 CloudTrail 로그의 무결성을 확인합니다. 로그 파일 검증을 통해 CloudTrail이 로그 파일을 전달한 후 로그 파일이 수정, 삭제 또는 변경되지 않았는지 확인할 수 있습니다. 이 기능은 산업 표준 알고리즘(해시의 경우 SHA-256, 디지털 서명의 경우 RSA 포함 SHA-256)으로 구축되었습니다. 따라서 CloudTrail 로그 파일의 수정, 삭제 또는 위조가 감지되지 않는 것이 계산상 불가능합니다. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | 이 제어는 CloudFront 배포에서 서버 액세스 로깅이 활성화되었는지 여부를 확인합니다. 배포에 대한 액세스 로깅이 활성화되지 않은 경우, 제어가 실패합니다. CloudFront 액세스 로그는 CloudFront가 수신하는 모든 사용자 요청에 대한 세부 정보를 제공합니다. 각 로그에는 요청이 수신된 날짜 및 시간, 요청한 뷰어의 IP 주소, 요청 소스, 뷰어의 요청 포트 번호 등의 정보가 포함됩니다. 이러한 로그는 보안 및 액세스 감사, 포렌식 조사와 같은 목적에 유용합니다. us-east-1 리전에서는 이 규칙을 반드시 적용해야 합니다. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | AWS CloudTrail은 AWS Management Console 작업 및 API 호출을 기록하여 거부 방지에 도움이 될 수 있습니다. AWS 서비스를 호출한 사용자 및 AWS 계정, 호출이 생성된 소스 IP 주소, 호출 타이밍을 식별할 수 있습니다. 캡처된 데이터의 세부 정보는 AWS CloudTrail 레코드 콘텐츠에서 확인할 수 있습니다. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | 민감한 저장 데이터를 보호하려면 Amazon CloudWatch 로그 그룹에 암호화가 활성화되어 있는지 확인하세요. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | Elastic Load Balancing 활동은 환경 내 통신의 중심 지점입니다. ELB 로깅이 활성화되었는지 확인합니다. 수집된 데이터는 ELB로 전송된 요청에 관한 자세한 정보를 제공합니다. 각 로그에는 요청을 받은 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로 및 서버 응답과 같은 정보가 포함되어 있습니다. | |
| 7496 | 퍼블릭 클라우드 보안, 퍼블릭 클라우드의 로깅 및 알림, 로깅 요구 사항(23.5.11.C.01.) | 환경 내에서 로깅 및 모니터링에 도움이 되도록 Amazon Relational Database Service(RDS) 로깅이 활성화되어 있는지 확인합니다. Amazon RDS 로깅을 사용하면 연결, 연결 끊김, 쿼리 또는 쿼리된 테이블과 같은 이벤트를 캡처할 수 있습니다. | |
| 7545 | 액세스 제어 및 암호, 식별, 인증 및 인증, 암호 및 정책(16.1.31.C.02.) | 다중 인증(MFA) 또는 암호 없는 인증을 구현하지 않은 시스템에서는 연간 암호 변경이 필요합니다. 이 적합성 팩에는 iam-user-mfa-enabled Config 규칙이 포함되어 있으므로이 제어는 3년마다 암호 변경을 보장합니다. | |
| 7546 | 액세스 제어 및 암호, 식별, 인증 및 인증, 암호 및 정책(16.1.31.C.03.) | 최소 암호 길이는 16자(예: 4단어)여야 합니다. 암호는 길고 강력하며 고유해야 합니다. 명시적 복잡성 요구 사항(예: 숫자 또는 특수 문자)은 적용되지 않지만 암호는 고유하거나 무작위이어야 하며 이를 위해 특수 문자와 숫자를 포함할 수 있습니다. |
템플릿
################################################################################## # # Conformance Pack: # Operational Best Practices for NZISM NZ Transition # # This conformance pack helps verify compliance with NZISM requirements. # ################################################################################## Resources: AcmCertificateExpirationCheck: Controls: [ '1667' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: acm-certificate-expiration-check InputParameters: daysToExpiration: '30' Scope: ComplianceResourceTypes: - AWS::ACM::Certificate Source: Owner: AWS SourceIdentifier: ACM_CERTIFICATE_EXPIRATION_CHECK Description: "SHOULD 14.5.8.C.01[CID:1667]| Software security/Web Application Development/Web applications" AlbHttpToHttpsRedirectionCheck: Controls: [ '1847', '2090' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: alb-http-to-https-redirection-check Source: Owner: AWS SourceIdentifier: ALB_HTTP_TO_HTTPS_REDIRECTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in t..." CloudTrailCloudWatchLogsEnabled: Controls: [ '1998', '6860' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-cloud-watch-logs-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.4.35.C.02[CID:6860]| Access Control and Passwords: (Event Logging and Auditing/Maintaining system management logs and Privileged..." CloudTrailEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-encryption-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" CloudTrailLogFileValidationEnabled: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloud-trail-log-file-validation-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_LOG_FILE_VALIDATION_ENABLED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CloudfrontAccesslogsEnabled: Condition: IsEdge Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-accesslogs-enabled Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ACCESSLOGS_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." CloudfrontAssociatedWithWaf: Condition: IsEdge Controls: [ '3562' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-associated-with-waf Source: Owner: AWS SourceIdentifier: CLOUDFRONT_ASSOCIATED_WITH_WAF Description: "MUST 19.1.12.C.01[CID:3562]| Gateway security/Gateways/Configuration of gateways" CloudfrontDefaultRootObjectConfigured: Condition: IsEdge Controls: [ '1661' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-default-root-object-configured Source: Owner: AWS SourceIdentifier: CLOUDFRONT_DEFAULT_ROOT_OBJECT_CONFIGURED Description: "SHOULD 14.5.6.C.01[CID:1661]| Software security/Web Application Development/Agency website content" CloudfrontViewerPolicyHttps: Condition: IsEdge Controls: [ '1847' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudfront-viewer-policy-https Source: Owner: AWS SourceIdentifier: CLOUDFRONT_VIEWER_POLICY_HTTPS Description: "MUST 16.1.37.C.01[CID:1847]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in transit" CloudtrailEnabled: Controls: [ '1998', '2013', '6860', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-enabled Source: Owner: AWS SourceIdentifier: CLOUD_TRAIL_ENABLED Description: "SHOULD 16.6.6.C.02[CID:1998], SHOULD 16.6.10.C.02[CID:2013], MUST 16.4.35.C.02[CID:6860], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords: (Event Logging and..." CloudtrailS3DataeventsEnabled: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-s3-dataevents-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_S3_DATAEVENTS_ENABLED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" CloudtrailSecurityTrailEnabled: Controls: [ '6861' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudtrail-security-trail-enabled Source: Owner: AWS SourceIdentifier: CLOUDTRAIL_SECURITY_TRAIL_ENABLED Description: "MUST 16.4.35.C.03[CID:6861]| Access Control and Passwords/Privileged Access Management/Monitoring and Review" CloudwatchLogGroupEncrypted: Controls: [ '2022', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cloudwatch-log-group-encrypted Source: Owner: AWS SourceIdentifier: CLOUDWATCH_LOG_GROUP_ENCRYPTED Description: "MUST 16.6.12.C.01[CID:2022], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Event log protection and Public Cloud Security/Loggi..." CmkBackingKeyRotationEnabled: Controls: [ '3021' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cmk-backing-key-rotation-enabled Source: Owner: AWS SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED Description: "SHOULD 17.9.25.C.01[CID:3021]| Cryptography/Key Management/Contents of KMPs" CwLoggroupRetentionPeriodCheck: Controls: [ '1998', '2028' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: cw-loggroup-retention-period-check InputParameters: MinRetentionTime: '545' Source: Owner: AWS SourceIdentifier: CW_LOGGROUP_RETENTION_PERIOD_CHECK Description: "SHOULD 16.6.6.C.02[CID:1998], MUST 16.6.13.C.01[CID:2028]| Access Control and Passwords/Event Logging and Auditing: (Maintaining system management logs and Event log ..." DbInstanceBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: db-instance-backup-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: DB_INSTANCE_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DmsReplicationNotPublic: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dms-replication-not-public Source: Owner: AWS SourceIdentifier: DMS_REPLICATION_NOT_PUBLIC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." DynamodbAutoscalingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-autoscaling-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_AUTOSCALING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" DynamodbPitrEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-pitr-enabled Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_PITR_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" DynamodbTableEncryptedKms: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: dynamodb-table-encrypted-kms Scope: ComplianceResourceTypes: - AWS::DynamoDB::Table Source: Owner: AWS SourceIdentifier: DYNAMODB_TABLE_ENCRYPTED_KMS Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" EbsSnapshotPublicRestorableCheck: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ebs-snapshot-public-restorable-check Source: Owner: AWS SourceIdentifier: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" Ec2EbsEncryptionByDefault: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-ebs-encryption-by-default Source: Owner: AWS SourceIdentifier: EC2_EBS_ENCRYPTION_BY_DEFAULT Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" Ec2Imdsv2Check: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-imdsv2-check Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_IMDSV2_CHECK Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstanceNoPublicIp: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instance-no-public-ip Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: EC2_INSTANCE_NO_PUBLIC_IP Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." Ec2InstancesInVpc: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ec2-instances-in-vpc Scope: ComplianceResourceTypes: - AWS::EC2::Instance Source: Owner: AWS SourceIdentifier: INSTANCES_IN_VPC Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." EfsEncryptedCheck: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: efs-encrypted-check Source: Owner: AWS SourceIdentifier: EFS_ENCRYPTED_CHECK Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." ElasticacheRedisClusterAutomaticBackupCheck: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticache-redis-cluster-automatic-backup-check Source: Owner: AWS SourceIdentifier: ELASTICACHE_REDIS_CLUSTER_AUTOMATIC_BACKUP_CHECK Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" ElasticsearchEncryptedAtRest: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-encrypted-at-rest Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_ENCRYPTED_AT_REST Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." ElasticsearchInVpcOnly: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-in-vpc-only Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_IN_VPC_ONLY Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." ElasticsearchNodeToNodeEncryptionCheck: Controls: [ '1847', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elasticsearch-node-to-node-encryption-check Scope: ComplianceResourceTypes: - AWS::Elasticsearch::Domain Source: Owner: AWS SourceIdentifier: ELASTICSEARCH_NODE_TO_NODE_ENCRYPTION_CHECK Description: "MUST 16.1.37.C.01[CID:1847], SHOULD 22.1.24.C.04[CID:4839]| Access Control and Passwords/Identification, Authentication and Passwords/Protecting authentication data in..." ElbCrossZoneLoadBalancingEnabled: Controls: [ '4829' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-cross-zone-load-balancing-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CROSS_ZONE_LOAD_BALANCING_ENABLED Description: "MUST 22.1.23.C.01[CID:4829]| Enterprise systems security/Cloud Computing/System Availability" ElbCustomSecurityPolicySslCheck: Controls: [ '2598', '2600' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-custom-security-policy-ssl-check InputParameters: sslProtocolsAndCiphers: 'Protocol-TLSv1.2,ECDHE-ECDSA-AES256-GCM-SHA384' Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_CUSTOM_SECURITY_POLICY_SSL_CHECK Description: "SHOULD 17.4.16.C.01[CID:2598], SHOULD NOT 17.4.16.C.02[CID:2600]| Cryptography/Transport Layer Security/Using TLS" ElbLoggingEnabled: Controls: [ '2013', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-logging-enabled Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer - AWS::ElasticLoadBalancingV2::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and Auditing/Additional events to be logged and Public Cloud Se..." ElbTlsHttpsListenersOnly: Controls: [ '1667', '1847', '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: elb-tls-https-listeners-only Scope: ComplianceResourceTypes: - AWS::ElasticLoadBalancing::LoadBalancer Source: Owner: AWS SourceIdentifier: ELB_TLS_HTTPS_LISTENERS_ONLY Description: "SHOULD 14.5.8.C.01[CID:1667], MUST 16.1.37.C.01[CID:1847], MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Software security/Web Application Development/We..." EncryptedVolumes: Controls: [ '2082', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: encrypted-volumes Scope: ComplianceResourceTypes: - AWS::EC2::Volume Source: Owner: AWS SourceIdentifier: ENCRYPTED_VOLUMES Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements and Enterpri..." IamPasswordPolicy: Controls: [ '7545', '7546' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: iam-password-policy InputParameters: MaxPasswordAge: '1095' MinimumPasswordLength: '16' PasswordReusePrevention: '24' RequireUppercaseCharacters: 'false' RequireLowercaseCharacters: 'false' RequireSymbols: 'false' RequireNumbers: 'false' Source: Owner: AWS SourceIdentifier: IAM_PASSWORD_POLICY Description: "MUST 16.1.31.C.02[CID:7545], MUST 16.1.31.C.03[CID:7546]| Access Control and Passwords/Identification, Authentication and Authentication/Passwords and policy" RdsAutomaticMinorVersionUpgradeEnabled: Controls: [ '3452' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-automatic-minor-version-upgrade-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED Description: "SHOULD 12.4.4.C.05[CID:3452]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RdsClusterDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-cluster-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBCluster Source: Owner: AWS SourceIdentifier: RDS_CLUSTER_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstanceDeletionProtectionEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-deletion-protection-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_DELETION_PROTECTION_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RdsInstancePublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-instance-public-access-check Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_INSTANCE_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RdsLoggingEnabled: Controls: [ '2013', '4441', '4445', '7496' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-logging-enabled Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_LOGGING_ENABLED Description: "SHOULD 16.6.10.C.02[CID:2013], SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], MUST 23.5.11.C.01[CID:7496]| Access Control and Passwords/Event Logging and ..." RdsSnapshotEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshot-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOT_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RdsSnapshotsPublicProhibited: Controls: [ '4441' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-snapshots-public-prohibited Scope: ComplianceResourceTypes: - AWS::RDS::DBSnapshot - AWS::RDS::DBClusterSnapshot Source: Owner: AWS SourceIdentifier: RDS_SNAPSHOTS_PUBLIC_PROHIBITED Description: "SHOULD 20.4.4.C.02[CID:4441]| Data management/Databases/Database files" RdsStorageEncrypted: Controls: [ '2082', '4441', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: rds-storage-encrypted Scope: ComplianceResourceTypes: - AWS::RDS::DBInstance Source: Owner: AWS SourceIdentifier: RDS_STORAGE_ENCRYPTED Description: "SHOULD 17.1.53.C.04[CID:2082], SHOULD 20.4.4.C.02[CID:4441], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical trans..." RedshiftBackupEnabled: Controls: [ '4849' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-backup-enabled Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_BACKUP_ENABLED Description: "MUST 22.1.26.C.01[CID:4849]| Enterprise systems security/Cloud Computing/Backup, Recovery Archiving and Data Remanence" RedshiftClusterConfigurationCheck: Controls: [ '4441', '4445', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-configuration-check InputParameters: clusterDbEncrypted: 'true' loggingEnabled: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_CONFIGURATION_CHECK Description: "SHOULD 20.4.4.C.02[CID:4441], SHOULD 20.4.5.C.02[CID:4445], SHOULD 22.1.24.C.04[CID:4839]| Data management/Databases: (Database files and Accountability) and Enterpr..." RedshiftClusterMaintenancesettingsCheck: Controls: [ '3449', '3453' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-maintenancesettings-check InputParameters: allowVersionUpgrade: 'true' Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK Description: "MUST 12.4.4.C.02[CID:3449], SHOULD 12.4.4.C.06[CID:3453]| Product Security/Product Patching and Updating/Patching vulnerabilities in products" RedshiftClusterPublicAccessCheck: Controls: [ '3562', '3623', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-cluster-public-access-check Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 19.1.14.C.02[CID:3623], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways: (Configuration of gateways and Demilitarised zones..." RedshiftRequireTlsSsl: Controls: [ '2090', '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: redshift-require-tls-ssl Scope: ComplianceResourceTypes: - AWS::Redshift::Cluster Source: Owner: AWS SourceIdentifier: REDSHIFT_REQUIRE_TLS_SSL Description: "MUST 17.1.55.C.02[CID:2090], SHOULD 22.1.24.C.04[CID:4839]| Cryptography/Cryptographic Fundamentals/Information and Systems Protection and Enterprise systems security..." RestrictedSsh: Controls: [ '2726' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: restricted-ssh Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: INCOMING_SSH_DISABLED Description: "SHOULD 17.5.8.C.02[CID:2726]| Cryptography/Secure Shell/Automated remote access" S3AccountLevelPublicAccessBlocksPeriodic: Controls: [ '3562', '4838', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-account-level-public-access-blocks-periodic Source: Owner: AWS SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS_PERIODIC Description: "MUST 19.1.12.C.01[CID:3562], SHOULD 22.1.24.C.03[CID:4838], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Enterprise systems se..." S3BucketPublicReadProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-read-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_READ_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketPublicWriteProhibited: Controls: [ '4838' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-public-write-prohibited Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_PUBLIC_WRITE_PROHIBITED Description: "SHOULD 22.1.24.C.03[CID:4838]| Enterprise systems security/Cloud Computing/Unauthorised Access" S3BucketServerSideEncryptionEnabled: Controls: [ '2082' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-server-side-encryption-enabled Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED Description: "SHOULD 17.1.53.C.04[CID:2082]| Cryptography/Cryptographic Fundamentals/Reducing storage and physical transfer requirements" S3BucketSslRequestsOnly: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: s3-bucket-ssl-requests-only Scope: ComplianceResourceTypes: - AWS::S3::Bucket Source: Owner: AWS SourceIdentifier: S3_BUCKET_SSL_REQUESTS_ONLY Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecretsmanagerUsingCmk: Controls: [ '4839' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: secretsmanager-using-cmk Scope: ComplianceResourceTypes: - AWS::SecretsManager::Secret Source: Owner: AWS SourceIdentifier: SECRETSMANAGER_USING_CMK Description: "SHOULD 22.1.24.C.04[CID:4839]| Enterprise systems security/Cloud Computing/Unauthorised Access" SecurityhubEnabled: Controls: [ '3875' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: securityhub-enabled Source: Owner: AWS SourceIdentifier: SECURITYHUB_ENABLED Description: "SHOULD 18.4.12.C.01[CID:3875]| Network security/Intrusion Detection and Prevention/Event management and correlation" SsmDocumentNotPublic: Controls: [ '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: ssm-document-not-public Source: Owner: AWS SourceIdentifier: SSM_DOCUMENT_NOT_PUBLIC Description: "MUST 23.4.10.C.01[CID:7466]| Public Cloud Security/Data Protection in Public Cloud/Data accessibility" VpcDefaultSecurityGroupClosed: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-default-security-group-closed Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_DEFAULT_SECURITY_GROUP_CLOSED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcFlowLogsEnabled: Controls: [ '3562', '7466' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-flow-logs-enabled Source: Owner: AWS SourceIdentifier: VPC_FLOW_LOGS_ENABLED Description: "MUST 19.1.12.C.01[CID:3562], MUST 23.4.10.C.01[CID:7466]| Gateway security/Gateways/Configuration of gateways and Public Cloud Security/Data Protection in Public Clou..." VpcSgOpenOnlyToAuthorizedPorts: Controls: [ '3205' ] Type: AWS::Config::ConfigRule Properties: ConfigRuleName: vpc-sg-open-only-to-authorized-ports InputParameters: authorizedTcpPorts: '443' Scope: ComplianceResourceTypes: - AWS::EC2::SecurityGroup Source: Owner: AWS SourceIdentifier: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS Description: "SHOULD 18.1.13.C.02[CID:3205]| Network security/Network Management/Limiting network access"
