기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 플레이북 이 솔루션에는 [Center for Internet Security(CIS) AWS Foundations Benchmark v1.2.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v2-standard), [CIS AWS Foundations Benchmark v1.4.0, CIS AWS Foundations Benchmark v3.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis1v4-standard)[https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard](https://docs.aws.amazon.com/securityhub/latest/userguide/cis-aws-foundations-benchmark.html#cis3v0-standard), AWS [Foundational Security Best Practices(FSBP) v.1.0.0](https://docs.aws.amazon.com/securityhub/latest/userguide/fsbp-standard.html), [Payment Card Industry Data Security Standard(PCI-DSS) v3.2.1](https://docs.aws.amazon.com/securityhub/latest/userguide/pci-standard.html) 및 [National Institute of Standards and Technology(NIST)](https://docs.aws.amazon.com/securityhub/latest/userguide/nist-standard.html)의 일부로 정의된 보안 표준에 대한 플레이북 수정 사항이 포함되어 있습니다. 통합 제어 조사 결과를 활성화한 경우 이러한 제어는 모든 표준에서 지원됩니다. 이 기능이 활성화된 경우 SC 플레이북만 배포하면 됩니다. 그렇지 않은 경우 플레이북은 이전에 나열된 표준에 대해 지원됩니다. **중요** 서비스 할당량에 도달하지 않도록 활성화된 표준에 대한 플레이북만 배포합니다. 특정 문제 해결에 대한 자세한 내용은 계정의 솔루션에서 배포한 이름이 포함된 Systems Manager 자동화 문서를 참조하세요. [AWS Systems Manager 콘솔](https://console.aws.amazon.com/systems-manager/)로 이동한 다음 탐색 창에서 **문서를** 선택합니다. | 설명 | AWS FSBP | CIS v1.2.0 | PCI v3.2.1 | CIS v1.4.0 | NIST | CIS v3.0.0 | 보안 제어 ID | | --- | --- | --- | --- | --- | --- | --- | --- | | **총 문제 해결** | 63 | 34 | 29 | 33 | 65 | 19 | 90 | | **ASR-EnableAutoScalingGroupELBHealthCheck** 로드 밸런서와 연결된 Auto Scaling 그룹은 로드 밸런서 상태 확인을 사용해야 합니다. | Autoscaling.1 | | Autoscaling.1 | | Autoscaling.1 | | Autoscaling.1 | | **ASR-ConfigureAutoScalingLaunchConfigToRequireIMDSv2** Auto Scaling 그룹 시작 구성은 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 요구하도록 EC2 인스턴스를 구성해야 합니다. | | | | | Autoscaling.3 | | Autoscaling.3 | | **ASR-CreateCloudTrailMultiRegionTrail** CloudTrail을 활성화하고 하나 이상의 다중 리전 추적으로 구성해야 합니다. | CloudTrail.1 | 2.1 | CloudTrail.2 | 3.1 | CloudTrail.1 | 3.1 | CloudTrail.1 | | **ASR-EnableEncryption** CloudTrail에는 저장 데이터 암호화가 활성화되어 있어야 합니다. | CloudTrail.2 | 2.7 | CloudTrail.1 | 3.7 | CloudTrail.2 | 3.5 | CloudTrail.2 | | **ASR-EnableLogFileValidation** CloudTrail 로그 파일 검증이 활성화되었는지 확인 | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | CloudTrail.4 | | CloudTrail.4 | | **ASR-EnableCloudTrailToCloudWatchLogging** CloudTrail 추적이 Amazon CloudWatch Logs와 통합되었는지 확인 | CloudTrail.5 | 2.4 | CloudTrail.4 | 3.4 | CloudTrail.5 | | CloudTrail.5 | | **ASR-ConfigureS3BucketLogging** CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인 | | 2.6 | | 3.6 | | 3.4 | CloudTrail.7 | | **ASR-ReplaceCodeBuildClearTextCredentials** CodeBuild 프로젝트 환경 변수에는 클리어 텍스트 보안 인증 정보가 포함되면 안 됩니다. | Codebuild.2 | | Codebuild.2 | | Codebuild.2 | | CodeBuild.2 | | **ASR-EnableAWSConfig** AWS Config가 활성화되었는지 확인 | Config.1 | 2.5 | Config.1 | 3.5 | Config.1 | 3.3 | Config.1 | | **ASR-MakeEBSSnapshotsPrivate** Amazon EBS 스냅샷은 공개적으로 복원할 수 없어야 합니다. | EC2.1 | | EC2.1 | | EC2.1 | | EC2.1 | | **ASR-RemoveVPCDefaultSecurityGroupRules** VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 금지해야 합니다. | EC2.2 | 4.3 | EC2.2 | 5.3 | EC2.2 | 5.4 | EC2.2 | | **ASR-EnableVPCFlowLogs** VPC 흐름 로깅은 모든 VPC에서 활성화되어야 합니다. | EC2.6 | 2.9 | EC2.6 | 3.9 | EC2.6 | 3.7 | EC2.6 | | **ASR-EnableEbsEncryptionByDefault** EBS 기본 암호화를 활성화해야 합니다. | EC2.7 | 2.2.1 | | | EC2.7 | 2.2.1 | EC2.7 | | **ASR-RevokeUnrotatedKeys** 사용자의 액세스 키는 90일 이하마다 교체해야 합니다. | IAM.3 | 1.4 | | 1.14 | IAM.3 | 1.14 | IAM.3 | | **ASR-SetIAMPasswordPolicy** IAM 기본 암호 정책 | IAM.7 | 1.5-1.11 | IAM.8 | 1.8 | IAM.7 | 1.8 | IAM.7 | | **ASR-RevokeUnusedIAMUserCredentials** 90일 이내에 사용하지 않으면 사용자 자격 증명을 꺼야 합니다. | IAM.8 | 1.3 | IAM.7 | | IAM.8 | | IAM.8 | | **ASR-RevokeUnusedIAMUserCredentials** 45일 이내에 사용하지 않으면 사용자 자격 증명을 꺼야 합니다. | | | | 1.12 | | 1.12 | IAM.22 | | **ASR-RemoveLambdaPublicAccess** Lambda 함수는 퍼블릭 액세스를 금지해야 합니다. | Lambda.1 | | Lambda.1 | | Lambda.1 | | Lambda.1 | | **ASR-MakeRDSSnapshotPrivate** RDS 스냅샷은 퍼블릭 액세스를 금지해야 합니다. | RDS.1 | | RDS.1 | | RDS.1 | | RDS.1 | | **ASR-DisablePublicAccessToRDSInstance** RDS DB 인스턴스는 퍼블릭 액세스를 금지해야 합니다. | RDS.2 | | RDS.2 | | RDS.2 | 2.3.3 | RDS.2 | | **ASR-EncryptRDSSnapshot** RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 저장 시 암호화해야 합니다. | RDS.4 | | | | RDS.4 | | RDS.4 | | **ASR-EnableMultiAZOnRDSInstance** RDS DB 인스턴스는 여러 가용 영역으로 구성해야 합니다. | RDS.5 | | | | RDS.5 | | RDS.5 | | **ASR-EnableEnhancedMonitoringOnRDSInstance** RDS DB 인스턴스 및 클러스터에 대해 향상된 모니터링을 구성해야 합니다. | RDS.6 | | | | RDS.6 | | RDS.6 | | **ASR-EnableRDSClusterDeletionProtection** RDS 클러스터에는 삭제 방지 기능이 활성화되어 있어야 합니다. | RDS.7 | | | | RDS.7 | | RDS.7 | | **ASR-EnableRDSInstanceDeletionProtection** RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다. | RDS.8 | | | | RDS.8 | | RDS.8 | | **ASR-EnableMinorVersionUpgradeOnRDSDBInstance** RDS 자동 마이너 버전 업그레이드를 활성화해야 합니다. | RDS.13 | | | | RDS.13 | 2.3.2 | RDS.13 | | **ASR-EnableCopyTagsToSnapshotOnRDSCluster** 태그를 스냅샷에 복사하도록 RDS DB 클러스터를 구성해야 합니다. | RDS.16 | | | | RDS.16 | | RDS.16 | | **ASR-DisablePublicAccessToRedshiftCluster** Amazon Redshift 클러스터는 퍼블릭 액세스를 금지해야 합니다. | Redshift.1 | | Redshift.1 | | Redshift.1 | | Redshift.1 | | **ASR-EnableAutomaticSnapshotsOnRedshiftCluster** Amazon Redshift 클러스터에는 자동 스냅샷이 활성화되어 있어야 합니다. | Redshift.3 | | | | Redshift.3 | | Redshift.3 | | **ASR-EnableRedshiftClusterAuditLogging** Amazon Redshift 클러스터에는 감사 로깅이 활성화되어 있어야 합니다. | Redshift.4 | | | | Redshift.4 | | Redshift.4 | | **ASR-EnableAutomaticVersionUpgradeOnRedshiftCluster** Amazon Redshift는 메이저 버전으로 자동 업그레이드가 활성화되어 있어야 합니다. | Redshift.6 | | | | Redshift.6 | | Redshift.6 | | **ASR-ConfigureS3PublicAccessBlock** S3 퍼블릭 액세스 차단 설정을 활성화해야 합니다. | S3.1 | 2.3 | S3.6 | 2.1.5.1 | S3.1 | 2.1.4 | S3.1 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 버킷은 퍼블릭 읽기 액세스를 금지해야 합니다. | S3.2 | | S3.2 | 2.1.5.2 | S3.2 | | S3.2 | | **ASR-ConfigureS3BucketPublicAccessBlock** S3 버킷은 퍼블릭 쓰기 액세스를 금지해야 합니다. | | S3.3 | | | | | S3.3 | | **ASR-EnableDefaultEncryptionS3** S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다. | S3.4 | | S3.4 | 2.1.1 | S3.4 | | S3.4 | | **ASR-SetSSLBucketPolicy** S3 버킷에는 SSL을 사용하기 위한 요청이 필요합니다. | S3.5 | | S3.5 | 2.1.2 | S3.5 | 2.1.1 | S3.5 | | **ASR-S3BlockDenylist** 버킷 정책의 다른 AWS 계정에 부여된 Amazon S3 권한은 제한되어야 합니다. | S3.6 | | | | S3.6 | | S3.6 | | S3 퍼블릭 액세스 차단 설정은 버킷 수준에서 활성화해야 합니다. | S3.8 | | | | S3.8 | | S3.8 | | **ASR-ConfigureS3BucketPublicAccessBlock** 에 대한 S3 버킷 CloudTrail 로그에 공개적으로 액세스할 수 없는지 확인합니다. | | 2.3 | | | | | CloudTrail.6 | | **ASR-CreateAccessLoggingBucket** CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되어 있는지 확인합니다. | | 2.6 | | | | | CloudTrail.7 | | **ASR-EnableKeyRotation** 고객 생성 CMKs가 활성화되었는지 확인 | | 2.8 | KMS.1 | 3.8 | KMS.4 | 3.6 | KMS.4 | | **ASR-CreateLogMetricFilterAndAlarm** 무단 API 호출에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.1 | | 4.1 | | | Cloudwatch.1 | | **ASR-CreateLogMetricFilterAndAlarm** MFA 없이 AWS Management Console 로그인에 대한 로그 지표 필터 및 경보가 존재하는지 확인 | | 3.2 | | 4.2 | | | Cloudwatch.2 | | **ASR-CreateLogMetricFilterAndAlarm** "루트" 사용자 사용에 대한 로그 지표 필터 및 경보가 존재하는지 확인 | | 3.3 | CW.1 | 4.3 | | | Cloudwatch.3 | | **ASR-CreateLogMetricFilterAndAlarm** IAM 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.4 | | 4.4 | | | Cloudwatch.4 | | **ASR-CreateLogMetricFilterAndAlarm** CloudTrail 구성 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.5 | | 4.5 | | | Cloudwatch.5 | | **ASR-CreateLogMetricFilterAndAlarm** AWS Management Console 인증 실패에 대한 로그 지표 필터 및 경보가 존재하는지 확인 | | 3.6 | | 4.6 | | | Cloudwatch.6 | | **ASR-CreateLogMetricFilterAndAlarm** 고객 생성 CMK 활성화 또는 예약된 삭제에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.7 | | 4.7 | | | Cloudwatch.7 | | **ASR-CreateLogMetricFilterAndAlarm** S3 버킷 정책 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.8 | | 4.8 | | | Cloudwatch.8 | | **ASR-CreateLogMetricFilterAndAlarm** AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인 | | 3.9 | | 4.9 | | | Cloudwatch.9 | | **ASR-CreateLogMetricFilterAndAlarm** 보안 그룹 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.10 | | 4.10 | | | Cloudwatch.10 | | **ASR-CreateLogMetricFilterAndAlarm** 네트워크 액세스 제어 목록(NACL) 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.11 | | 4.11 | | | Cloudwatch.11 | | **ASR-CreateLogMetricFilterAndAlarm** 네트워크 게이트웨이 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.12 | | 4.12 | | | Cloudwatch.12 | | **ASR-CreateLogMetricFilterAndAlarm** 라우팅 테이블 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.13 | | 4.13 | | | Cloudwatch.13 | | **ASR-CreateLogMetricFilterAndAlarm** VPC 변경 사항에 대해 로그 메트릭 필터 및 경보가 존재하는지 여부를 확인합니다. | | 3.14 | | 4.14 | | | Cloudwatch.14 | | **AWS-DisablePublicAccessForSecurityGroup** 어떤 보안 그룹에서도 0.0.0.0/0에서 포트 22로의 수신을 허용하지 않는지 여부를 확인합니다. | | 4.1 | EC2.5 | | EC2.13 | | EC2.13 | | **AWS-DisablePublicAccessForSecurityGroup** 어떤 보안 그룹에서도 0.0.0.0/0에서 포트 3389로의 수신을 허용하지 않는지 여부를 확인합니다. | | 4.2 | | | EC2.14 | | EC2.14 | | **ASR-ConfigureSNSTopicForStack** | CloudFormation.1 | | | | CloudFormation.1 | | CloudFormation.1 | | **ASR-CreateIAMSupportRole** | | 1.20 | | 1.17 | | 1.17 | IAM.18 | | **ASR-DisablePublicIPAutoAssign** Amazon EC2 서브넷은 퍼블릭 IP 주소를 자동으로 할당해서는 안 됩니다. | EC2.15 | | | | EC2.15 | | EC2.15 | | **ASR-EnableCloudTrailLogFileValidation** | CloudTrail.4 | 2.2 | CloudTrail.3 | 3.2 | | | CloudTrail.4 | | **ASR-EnableEncryptionForSNSTopic** | SNS.1 | | | | SNS.1 | | SNS.1 | | **ASR-EnableDeliveryStatusLoggingForSNSTopic** 주제에 전송된 알림 메시지에 대해 전송 상태 로깅을 활성화해야 합니다. | SNS.2 | | | | SNS.2 | | SNS.2 | | **ASR-EnableEncryptionForSQSQueue** | SQS.1 | | | | SQS.1 | | SQS.1 | | **ASR-MakeRDSSnapshotPrivate** RDS 스냅샷은 프라이빗이어야 합니다. | RDS.1 | | RDS.1 | | | | RDS.1 | | **ASR-BlockSSMDocumentPublicAccess** SSM 문서는 공개되어서는 안 됩니다. | SSM.4 | | | | SSM.4 | | SSM.4 | | **ASR-EnableCloudFrontDefaultRootObject** CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다. | CloudFront.1 | | | | CloudFront.1 | | CloudFront.1 | | **ASR-SetCloudFrontOriginDomain** CloudFront 배포는 존재하지 않는 S3 오리진을 가리키면 안 됩니다. | CloudFront.12 | | | | CloudFront.12 | | CloudFront.12 | | **ASR-RemoveCodeBuildPrivilegedMode** CodeBuild 프로젝트 환경에는 로깅 AWS 구성이 있어야 합니다. | Codebuild.5 | | | | Codebuild.5 | | Codebuild.5 | | **ASR-TerminateEC2Instance** 중지된 EC2 인스턴스는 지정된 기간 후에 제거해야 합니다. | EC2.4 | | | | EC2.4 | | EC2.4 | | **ASR-EnableIMDSV2OnInstance** EC2 인스턴스는 인스턴스 메타데이터 서비스 버전 2(IMDSv2)를 사용해야 합니다. | EC2.8 | | | | EC2.8 | 5.6 | EC2.8 | | **ASR-RevokeUnauthorizedInboudRules** 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다. | EC2.18 | | | | EC2.18 | | EC2.18 | | 여기에 제목 삽입 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다. | EC2.19 | | | | EC2.19 | | EC2.19 | | **ASR-DisableTGWAutoAcceptSharedAttachments** Amazon EC2 Transit Gateway는 VPC 연결 요청을 자동으로 수락해서는 안 됩니다. | EC2.23 | | | | EC2.23 | | EC2.23 | | **ASR-EnablePrivateRepositoryScanning** ECR 프라이빗 리포지토리에는 이미지 스캔이 구성되어 있어야 합니다. | ECR.1 | | | | ECR.1 | | ECR.1 | | **ASR-EnableGuardDuty** GuardDuty를 활성화해야 합니다. | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | GuardDuty.1 | | **ASR-ConfigureS3BucketLogging** S3 버킷 서버 액세스 로깅을 활성화해야 합니다. | S3.9 | | | | S3.9 | | S3.9 | | **ASR-EnableBucketEventNotifications** S3 버킷에는 이벤트 알림이 활성화되어 있어야 합니다. | S3.11 | | | | S3.11 | | S3.11 | | **ASR-SetS3LifecyclePolicy** S3 버킷에는 수명 주기 정책이 구성되어 있어야 합니다. | S3.13 | | | | S3.13 | | S3.13 | | **ASR EnableAutoSecretRotation** Secrets Manager 비밀번호에는 자동 로테이션이 활성화되어 있어야 합니다. | SecretsManager.1 | | | | SecretsManager.1 | | SecretsManager.1 | | **ASR-RemoveUnusedSecret** 사용하지 않는 Secrets Manager 암호를 제거합니다. | SecretsManager.3 | | | | SecretsManager.3 | | SecretsManager.3 | | **ASR-UpdateSecretRotationPeriod** Secrets Manager 암호는 지정된 일수 내에 교체되어야 합니다. | SecretsManager.4 | | | | SecretsManager.4 | | SecretsManager.4 | | **ASR-EnableAPIGatewayCacheDataEncryption** API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다. | | | | | APIGateway.5 | | APIGateway.5 | | **ASR-SetLogGroupRetentionDays** CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다. | | | | | CloudWatch.16 | | CloudWatch.16 | | **ASR-AttachServiceVPCEndpoint** Amazon EC2는 Amazon EC2 서비스용으로 생성된 VPC 엔드포인트를 사용하도록 구성해야 합니다. | EC2.10 | | | | EC2.10 | | EC2.10 | | **ASR-TagGuardDutyResource** GuardDuty 필터에 태그를 지정해야 합니다. | | | | | | | GuardDuty.2 | | **ASR-TagGuardDutyResource** GuardDuty 탐지기에 태그를 지정해야 합니다. | | | | | | | GuardDuty.4 | | **ASR-AttachSSMPermissionsToEC2** Amazon EC2 인스턴스는 Systems Manager에서 관리해야 합니다. | SSM.1 | | SSM.3 | | | | SSM.1 | | **ASR-ConfigureLaunchConfigNoPublicIPDocument** Auto Scaling 그룹 시작 구성을 사용하여 시작된 Amazon EC2 인스턴스에는 퍼블릭 IP 주소가 없어야 합니다. | | | | | AutoScaling.5 | | Autoscaling.5 | | **ASR-EnableAPIGatewayExecutionLogs** | APIGateway.1 | | | | | | APIGateway.1 | | **ASR-EnableMacie** Amazon Macie가 활성화되어야 합니다. | Macie.1 | | | | Macie.1 | | Macie.1 | | **ASR-EnableAthenaWorkGroupLogging** Athena 작업 그룹에 로깅이 활성화되어 있어야 합니다. | Athena.4 | | | | | | Athena.4 | | **ASR-EnforceHTTPSForALB** Application Load Balancer는 모든 HTTP 요청을 HTTPS로 리디렉션하도록 구성되어야 합니다. | ELB.1 | | ELB.1 | | ELB.1 | | ELB.1 | | **ASR-LimitECSRootFilesystemAccess** ECS 컨테이너는 루트 파일 시스템에 대한 읽기 전용 액세스로 제한되어야 합니다. | ECS.5 | | | | ECS.5 | | ECS.5 | | **ASR-EnableElastiCacheBackups** ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다. | ElastiCache.1 | | | | ElastiCache.1 | | ElastiCache.1 | | **ASR-EnableElastiCacheVersionUpgrades** ElastiCache 클러스터에는 마이너 버전 자동 업그레이드가 활성화되어 있어야 합니다. | ElastiCache.2 | | | | ElastiCache.2 | | ElastiCache.2 | | **ASR-EnableElastiCacheReplicationGroupFailover** ElastiCache 복제 그룹에는 자동 장애 조치가 활성화되어 있어야 합니다. | ElastiCache.3 | | | | ElastiCache.3 | | ElastiCache.3 | | **ASR-ConfigureDynamoDBAutoScaling** DynamoDB 테이블은 수요에 따라 용량을 자동으로 확장해야 합니다. | DynamoDB.1 | | | | DynamoDB.1 | | DynamoDB.1 | | **ASR-TagDynamoDBTableResource** DynamoDB 테이블에 태그를 지정해야 합니다. | | | | | | | DynamoDB.5 | | **ASR-EnableDynamoDBDeletionProtection** DynamoDB 테이블에는 삭제 방지 기능이 활성화되어 있어야 합니다. | | | | | DynamoDB.6 | | DynamoDB.6 |