View a markdown version of this page

Amazon Bedrock AgentCore에 대한 Security Hub CSPM 제어 - AWS Security Hub
[BedrockAgentCore.1] Bedrock AgentCore 런타임은 VPC 네트워크 모드로 구성해야 합니다.[BedrockAgentCore.2] Bedrock AgentCore 게이트웨이는 인바운드 요청에 대한 승인이 필요합니다.[BedrockAgentCore.3] Bedrock AgentCore 메모리는 고객 관리형 AWS KMS 키로 암호화해야 합니다.[BedrockAgentCore.4] Bedrock AgentCore Gateway는 고객 관리형 AWS KMS 키로 암호화해야 합니다.[BedrockAgentCore.5] Bedrock AgentCore 사용자 지정 브라우저는 퍼블릭 네트워크 모드를 사용해서는 안 됩니다.[BedrockAgentCore.6] Bedrock AgentCore 사용자 지정 브라우저에는 세션 기록이 활성화되어 있어야 합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Bedrock AgentCore에 대한 Security Hub CSPM 제어

이러한 AWS Security Hub CSPM 제어는 Amazon Bedrock AgentCore 서비스 및 리소스를 평가합니다. 컨트롤을 전혀 사용하지 못할 수 있습니다 AWS 리전. 자세한 내용은 리전별 제어 기능 사용 가능 여부 단원을 참조하십시오.

[BedrockAgentCore.1] Bedrock AgentCore 런타임은 VPC 네트워크 모드로 구성해야 합니다.

범주: 보호 > 보안 액세스 관리 > 공개적으로 액세스할 수 없는 리소스

심각도: 높음

리소스 유형: AWS::BedrockAgentCore::Runtime

AWS Config 규칙: bedrockagentcore-runtime-private-network-required

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore 런타임이 VPC 네트워크 모드로 구성되어 있는지 확인합니다. 런타임의 네트워크 모드가 PUBLIC으로 설정된 경우 제어가 실패합니다.

Amazon Bedrock AgentCore 런타임에 퍼블릭 네트워크 모드를 사용하면 런타임이 인터넷에 직접 노출되어 공격 표면과 무단 액세스 위험이 증가합니다. VPC 네트워크 모드로 런타임을 구성하면 프라이빗 네트워크 내에서 런타임 트래픽이 제한되므로 보안 그룹, 네트워크 ACLs 및 VPC 흐름 로그와 같은 네트워크 수준 보안 제어를 적용할 수 있습니다.

문제 해결

이 결과를 해결하려면 규정을 준수하지 않는 Bedrock AgentCore 런타임을 업데이트하고 VPC 네트워크 모드로 구성합니다. 지침은 Amazon Bedrock AgentCore 개발자 안내서의 Configure Amazon Bedrock AgentCore Runtime and tools for VPC를 참조하세요. AgentCore

[BedrockAgentCore.2] Bedrock AgentCore 게이트웨이는 인바운드 요청에 대한 승인이 필요합니다.

범주: 보호 > 보안 액세스 관리

심각도: 높음

리소스 유형: AWS::BedrockAgentCore::Gateway

AWS Config 규칙: bedrockagentcore-gateway-authorizer-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore Gateway에 인바운드 요청에 대한 권한이 필요한지 여부를 확인합니다. Bedrock AgentCore Gateway에 인바운드 권한 부여가 설정되어 있지 않으면 제어가 실패합니다.

Amazon Bedrock AgentCore 게이트웨이에서 인증을 구성하면 권한이 있는 클라이언트만 AI 에이전트에게 요청을 보낼 수 있습니다. 권한 부여자가 없으면 게이트웨이 엔드포인트에 대한 네트워크 액세스 권한이 있는 모든 엔터티가 에이전트를 호출하여 무단 데이터 액세스, 리소스 남용 또는 예상치 못한 비용이 발생할 수 있습니다. 인바운드 권한 부여는 AgentCore 게이트웨이를 통해 대상에 액세스하려고 시도하는 사용자를 검증합니다.

문제 해결

Amazon Bedrock AgentCore Gateway에 대한 인바운드 권한 부여를 설정하려면 Amazon Bedrock AgentCore 개발자 안내서게이트웨이에 대한 인바운드 권한 부여 설정을 참조하세요.

[BedrockAgentCore.3] Bedrock AgentCore 메모리는 고객 관리형 AWS KMS 키로 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::BedrockAgentCore::Memory

AWS Config 규칙: bedrock-agentcore-memory-encryption-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore 메모리가 고객 관리형 AWS KMS 키로 저장 시 암호화되는지 확인합니다. Bedrock AgentCore 메모리가 고객 관리형 KMS 키로 암호화되지 않은 경우 제어가 실패합니다.

Amazon Bedrock AgentCore 메모리 암호화에 고객 관리형 KMS 키를 사용하면 기본 서비스 관리형 키에 비해 보안이 향상됩니다. 고객 관리형 KMS 키를 사용하면 암호화 키 수명 주기 및 액세스 정책을 완벽하게 제어할 수 있습니다. 또한 모든 암호화 키 사용량은 감사 가능성을 AWS CloudTrail 위해를 통해 로깅하고 모니터링할 수 있습니다.

문제 해결

고객 관리형 KMS 키로 Amazon Bedrock AgentCore 메모리를 암호화하려면 Amazon Bedrock AgentCore 개발자 안내서의 Amazon Bedrock AgentCore 메모리 암호화를 참조하세요. AgentCore

[BedrockAgentCore.4] Bedrock AgentCore Gateway는 고객 관리형 AWS KMS 키로 암호화해야 합니다.

관련 요구 사항: NIST.800-53.r5 AU-9, NIST.800-53.r5 CA-9(1), NIST.800-53.r5 CM-3(6), NIST.800-53.r5 SC-7(10), NIST.800-53.r5 SC-12(2), NIST.800-53.r5 SC-13, NIST.800-53.r5 SC-28, NIST.800-53.r5 SC-28(1), NIST.800-53.r5 SI-7(6)

범주: 보호 > 데이터 보호 > 저장 데이터 암호화

심각도: 중간

리소스 유형: AWS::BedrockAgentCore::Gateway

AWS Config 규칙: bedrockagentcore-gateway-encryption-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore Gateway가 고객 관리형 AWS KMS 키로 저장 시 암호화되는지 확인합니다. Bedrock AgentCore Gateway가 고객 관리형 KMS 키로 암호화되지 않은 경우 제어가 실패합니다.

기본적으로 Amazon Bedrock AgentCore는 AWS 관리형 키를 사용하여 게이트웨이 데이터를 암호화합니다. 고객 관리형 KMS 키를 사용하면 교체, 액세스 정책, 감사 등 암호화 키 수명 주기를 완벽하게 제어할 수 있습니다 AWS CloudTrail. 이를 통해 민감한 AI 워크로드에 대한 고객 제어 암호화를 요구하는 규정 준수 요구 사항을 충족할 수 있습니다.

문제 해결

고객 관리형 KMS 키로 Bedrock AgentCore Gateway를 암호화하려면 Amazon Bedrock AgentCore 개발자 안내서의 고객 관리형 KMS 키로 AgentCore 게이트웨이 암호화를 참조하세요. AgentCore

[BedrockAgentCore.5] Bedrock AgentCore 사용자 지정 브라우저는 퍼블릭 네트워크 모드를 사용해서는 안 됩니다.

범주: 보호 > 보안 네트워크 구성 > VPC 내 리소스

심각도: 높음

리소스 유형: AWS::BedrockAgentCore::BrowserCustom

AWS Config 규칙: bedrockagentcore-browsercustom-network-mode-not-public

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore 사용자 지정 브라우저가 퍼블릭 네트워크 모드로 구성되어 있는지 확인합니다. 네트워크 모드가 퍼블릭으로 설정된 경우 제어가 실패합니다.

Amazon Bedrock AgentCore 사용자 지정 브라우저에 PUBLIC 네트워크 모드를 사용하면 브라우저 세션이 인터넷에 직접 노출되어 공격 표면과 무단 액세스 위험이 증가합니다. VPC 네트워크 모드로 브라우저를 구성하면 브라우저 트래픽이 프라이빗 네트워크 내에서 제한되므로 보안 그룹, 네트워크 ACLs 및 VPC 흐름 로그와 같은 네트워크 수준 보안 제어를 적용할 수 있습니다.

문제 해결

이 결과를 해결하려면 규정을 준수하지 않는 Bedrock AgentCore 사용자 지정 브라우저를 삭제하고 VPC 네트워크 모드로 다시 생성합니다. 지침은 Amazon Bedrock AgentCore 개발자 안내서의 Configure Amazon Bedrock AgentCore Runtime and tools for VPC를 참조하세요. AgentCore

[BedrockAgentCore.6] Bedrock AgentCore 사용자 지정 브라우저에는 세션 기록이 활성화되어 있어야 합니다.

범주: 식별 > 로깅

심각도: 중간

리소스 유형: AWS::BedrockAgentCore::BrowserCustom

AWS Config 규칙: bedrockagentcore-browsercustom-recording-enabled

스케줄 유형: 변경이 트리거됨

파라미터: 없음

이 제어는 Amazon Bedrock AgentCore 사용자 지정 브라우저에 S3 대상이 구성된 세션 레코딩이 활성화되어 있는지 확인합니다. 사용자 지정 브라우저에 레코딩이 활성화되어 있지 않거나 레코딩을 저장하도록 구성된 S3 위치가 없는 경우 제어가 실패합니다.

Bedrock AgentCore 사용자 지정 브라우저에 대한 세션 레코딩은 브라우저 상호 작용의 전체 감사 가능성을 보장하여 자동 브라우징 세션 중에 무단 액세스, 데이터 유출 또는 악의적인 활동을 감지할 수 있습니다.

문제 해결

브라우저 세션 레코딩을 활성화하는 방법에 대한 지침은 Amazon Bedrock AgentCore 개발자 안내서세션 레코딩 및 재생을 참조하세요.