기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
ACSC ISM 운영 모범 사례 - 2부
적합성 팩은 관리형 또는 사용자 지정 AWS Config 규칙 및 AWS Config 문제 해결 작업을 사용하여 보안, 운영 또는 비용 최적화 거버넌스 검사를 생성할 수 있도록 설계된 범용 규정 준수 프레임워크를 제공합니다. 샘플 템플릿인 적합성 팩은 특정 거버넌스 또는 규정 준수 표준을 완벽하게 준수하도록 설계되지 않았습니다. 사용자는 서비스 이용이 관련 법률 및 규제 요구 사항을 충족하는지 여부를 스스로 평가할 책임이 있습니다.
다음은 호주 사이버 보안 센터(ACSC) 정보 보안 매뉴얼(ISM) 2020년 6월과 AWS 관리형 Config 규칙 간의 추가 샘플 매핑을 제공합니다. 각 Config 규칙은 특정 AWS 리소스에 적용되며 하나 이상의 ISM 제어와 관련이 있습니다. 한 ISM 제어가 여러 Config 규칙과 관련될 수 있습니다. 이러한 매핑과 관련된 자세한 내용 및 지침은 아래 표를 참조하세요.
이 샘플 적합성 팩 템플릿에는 호주 연방에서 작성한 ISM 프레임워크 내의 제어에 대한 매핑이 포함되어 있으며 해당 제어는 Australian Government Information Security Manual
| 제어 ID | AWS 구성 규칙 | 지침 |
|---|---|---|
| 1984 |
AWS App Mesh 가상 게이트웨이의 백엔드 기본값에 TLS를 사용하여 가상 게이트웨이가 모든 포트와 통신해야 하는지 확인합니다. configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce가 false인 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1984 |
AWS App Mesh 가상 노드의 백엔드 기본값에 TLS를 사용하여 가상 노드가 모든 포트와 통신해야 하는지 확인합니다. configuration.Spec.BackendDefaults.ClientPolicy.Tls.Enforce가 false인 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1984 |
Amazon MSK 클러스터가 클러스터의 브로커 노드와 함께 HTTPS(TLS)를 사용하여 전송 중 암호화를 적용하는지 확인합니다. 클러스터 내 브로커 노드 연결에 대해 일반 텍스트 통신이 활성화된 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1984 |
Amazon RDS for MySQL 데이터베이스 인스턴스에 대한 연결이 전송 중 암호화를 사용하도록 구성되어 있는지 확인합니다. 연결된 데이터베이스 파라미터 그룹이 동기화되지 않거나 require_secure_transport 파라미터가 1로 설정되지 않은 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1984 |
Amazon RDS for PostgreSQL 데이터베이스 인스턴스에 대한 연결이 전송 중 암호화를 사용하도록 구성되어 있는지 확인합니다. 연결된 데이터베이스 파라미터 그룹이 동기화되지 않거나 rds.force_ssl 파라미터가 1로 설정되지 않은 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Elastic Block Store(Amazon EBS) 스냅샷을 공개적으로 복원할 수 없는지 확인합니다. RestorableByUserIds 필드가 포함된 하나 이상의 스냅샷이 all로 설정된 경우, 즉 Amazon EBS 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Elastic Block Store(Amazon EBS) 스냅샷을 공개적으로 복원할 수 없는지 확인합니다. RestorableByUserIds 필드가 포함된 하나 이상의 스냅샷이 all로 설정된 경우, 즉 Amazon EBS 스냅샷이 퍼블릭인 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon S3 버킷이 퍼블릭 읽기 액세스를 허용하지 않는지 확인합니다. 이 규칙은 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록(ACL)을 확인합니다. 이 규칙은 다음 두 가지 조건을 모두 만족할 때 적용됩니다.
규칙은 다음과 같은 경우 규정을 준수하지 않습니다.
|
|
| 1985 |
Amazon S3 버킷이 퍼블릭 쓰기 액세스를 허용하지 않는지 확인합니다. 이 규칙은 퍼블릭 액세스 차단 설정, 버킷 정책 및 버킷 액세스 제어 목록(ACL)을 확인합니다. 이 규칙은 다음 두 가지 조건을 모두 만족할 때 적용됩니다.
규칙은 다음과 같은 경우 규정을 준수하지 않습니다.
|
|
| 1985 |
Amazon Aurora DB 클러스터가 논리적 에어 갭 저장소에 있는지 확인합니다. Amazon Aurora DB 클러스터가 지정된 기간 내에 논리적 에어 갭 저장소에 없는 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Elastic Block Store(Amazon EBS) 볼륨이 논리적 에어 갭 저장소에 있는지 확인합니다. Amazon EBS 볼륨이 지정된 기간 내에 논리적 에어 갭 저장소에 없는 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Elastic Block Store(Amazon EBS) 인스턴스가 논리적 에어 갭 저장소에 있는지 확인합니다. Amazon EBS 인스턴스가 지정된 기간 내에 논리적 에어 갭 저장소에 없는 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Elastic File System(Amazon EFS) 파일 시스템이 논리적 에어 갭 저장소에 있는지 확인합니다. Amazon Elastic File System(Amazon EFS) 파일 시스템이 지정된 기간 내에 논리적 에어 갭 저장소에 없는 경우 규칙은 NON_COMPLIANT입니다. |
|
| 1985 |
Amazon Simple Storage Service(Amazon S3) 버킷이 논리적 에어 갭 저장소에 있는지 확인합니다. Amazon S3 버킷이 지정된 기간 내에 논리적 에어 갭 저장소에 없는 경우 규칙은 NON_COMPLIANT입니다. |
템플릿
이 템플릿은 GitHub: ACSC ISM 운영 모범 사례 - 2부
