기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 애플리케이션 팀 예제: AWS Config 규칙 생성 다음은 애플리케이션 또는 개발 팀이 담당할 수 있는 Security Hub CSPM [기본 보안 모범 사례(FSBP)](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html) 보안 표준의 몇 가지 제어입니다. + [[CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다.](https://docs.aws.amazon.com/securityhub/latest/userguide/cloudfront-controls.html#cloudfront-1) + [[EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19) + [[CodeBuild.1] CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URLs은 OAuth를 사용해야 합니다.](https://docs.aws.amazon.com/securityhub/latest/userguide/codebuild-controls.html#codebuild-1) + [[ECS.4] ECS 컨테이너는 권한이 없는 상태로 실행되어야 합니다.](https://docs.aws.amazon.com/securityhub/latest/userguide/ecs-controls.html#ecs-4) + [[ELB.1] 모든 HTTP 요청을 HTTPS로 리디렉션하도록 Application Load Balancer를 구성해야 합니다.](https://docs.aws.amazon.com/securityhub/latest/userguide/elb-controls.html#elb-1) 이 예제에서 애플리케이션 팀은 FSBP 제어 EC2.19에 대한 조사 결과를 처리하고 있습니다. 이 제어는 보안 그룹에 대한 무제한 수신 트래픽이 가장 위험이 높은 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 하나라도 해당 포트에 대해 `0.0.0.0/0` 또는 `::/0`의 수신 트래픽을 허용하는 경우 이 제어는 실패합니다. 이 제어에 대한 [설명서](https://docs.aws.amazon.com/securityhub/latest/userguide/ec2-controls.html#ec2-19)에서는 이 트래픽을 허용하는 규칙을 삭제할 것을 권장합니다. 이는 개별 보안 그룹 규칙을 해결하는 것 외에도 새로운 AWS Config [규칙](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)이 발생해야 하는 조사 결과의 좋은 예입니다. [선제적 평가 모드](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html#aws-config-rules-evaluation-modes)를 사용하면 향후 위험한 보안 그룹 규칙의 배포를 방지할 수 있습니다. 선제적 모드는 리소스가 배포되기 전에 리소스를 평가하므로 잘못 구성된 리소스 및 관련 보안 조사 결과를 방지할 수 있습니다. 새 서비스 또는 새 기능을 구현할 때 애플리케이션 팀은 지속적 통합 및 지속적 전송(CI/CD) 파이프라인의 일부로 선제적 예방 모드에서 규칙을 실행하여 규정을 준수하지 않는 리소스를 식별할 수 있습니다. 다음 이미지는 사전 AWS Config 예방적 규칙을 사용하여 AWS CloudFormation 템플릿에 정의된 인프라가 규정을 준수하는지 확인하는 방법을 보여줍니다. ![\[AWS CloudFormation 템플릿의 규정 준수를 확인하는 사전 예방 AWS Config 규칙\]](http://docs.aws.amazon.com/ko_kr/prescriptive-guidance/latest/vulnerability-management/images/cloudformation-config-proactive-workflow.png) 이 예제에서는 또 다른 중요한 효율성을 얻을 수 있습니다. 애플리케이션 팀이 선제적 AWS Config 규칙을 생성하면 다른 애플리케이션 팀이 사용할 수 있도록 공통 코드 리포지토리에서 공유할 수 있습니다. Security Hub CSPM 제어와 연결된 각 결과에는 결과에 대한 세부 정보와 문제 해결 지침 링크가 포함되어 있습니다. 클라우드 팀은 일회성 수동 수정이 필요한 조사 결과를 발견할 수 있지만 적절한 경우 개발 프로세스에서 가능한 한 빨리 문제를 식별하는 선제적 검사를 빌드하는 것이 좋습니다.