View a markdown version of this page

환경에서 보안 위험이 높거나 매우 높은 변경 사항 - AMS 고급 사용 설명서

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

환경에서 보안 위험이 높거나 매우 높은 변경 사항

다음과 같은 변경 사항으로 인해 환경에서 보안 위험이 높거나 매우 높습니다.

AWS Identity and Access Management

  • High_Risk-IAM-001: 루트 계정에 대한 액세스 키 생성

  • High_Risk-IAM-002: 추가 액세스를 허용하는 SCP 정책 수정

  • High_Risk-IAM-003: AMS 인프라를 손상시킬 수 있는 SCP 정책 수정

  • High_Risk-IAM-004: 고객 계정에서 인프라 변경 권한(쓰기, 권한 관리 또는 태그 지정)이 있는 역할/사용자 생성

  • High_Risk-IAM-005: IAM 역할은 AMS 계정과 타사 계정(고객이 소유하지 않음) 간의 정책을 신뢰합니다.

  • High_Risk-IAM-006: 타사 계정을 통해 AMS 계정에서 모든 KMS 키에 액세스하기 위한 교차 계정 정책)

  • High_Risk-IAM-007: 데이터를 저장할 수 있는 AMS 고객 S3 버킷 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 타사 계정의 교차 계정 정책

  • High_Risk-IAM-008: 고객 계정의 인프라 변경 권한을 사용하여 IAM 권한 할당

  • High_Risk-IAM-009: 계정의 모든 S3 버킷에 대한 나열 및 읽기 허용

  • High_Risk-IAM-010: 읽기/쓰기 권한이 있는 자동화된 IAM 프로비저닝

네트워크 보안

  • High_Risk-NET-001: 인터넷에서 OS 관리 포트 SSH/22 또는 SSH/2222(SFTP/2222 아님), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 또는 1604, LDAP/389 또는 636 및 NETBIOS/137-139를 엽니다.

  • High_Risk-NET-002: 데이터베이스 관리 포트 MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 또는 인터넷의 모든 관리 고객 포트 열기

  • High_Risk-NET-003: 모든 컴퓨팅 리소스에서 직접 애플리케이션 포트 HTTP/80, HTTPS/8443 및 HTTPS/443을 엽니다. 예: 인터넷에서 EC2 인스턴스, ECS/EKS/Fargate 컨테이너 등

  • High_Risk-NET-004: AMS 인프라에 대한 액세스를 제어하는 보안 그룹에 대한 모든 변경 사항

  • High_Risk-NET-006: 타사 계정과의 VPC 피어링(고객이 소유하지 않음)

  • High_Risk-NET-007: 고객 방화벽을 모든 AMS 트래픽의 송신 지점으로 추가

  • High_Risk-NET-008: 타사 계정과의 Transit Gateway 연결이 허용되지 않음

  • High_Risk-S3-001: S3 버킷에서 퍼블릭 액세스 프로비저닝 또는 활성화

로깅

  • High_Risk-LOG-001: CloudTrail을 비활성화합니다. (Ops Site Manager 승인 필요)

  • High_Risk-LOG-002: VPC 흐름 로그를 비활성화합니다. (Ops Site Manager 승인 필요)

  • High_Risk-LOG-003: AMS 관리형 계정에서 타사 계정(고객이 소유하지 않음)으로 모든 메서드(S3 이벤트 알림, SIEM 에이전트 풀, SIEM 에이전트 푸시 등)를 통한 로그 전달

  • High_Risk-LOG-004: CloudTrail에 비 AMS 추적 사용

호스트 보안

  • High_Risk-HOST-001: 어떤 이유로든 계정에서 엔드포인트 보안을 비활성화합니다.(Ops Site Manager 승인 필요)

  • High_Risk-HOST-002: 리소스 또는 계정 수준에서 패치 적용을 비활성화합니다.

  • High_Risk-HOST-003: 계정에 비관리형 EC2 인스턴스 배포.

  • High_Risk-HOST-004: 고객이 제공하는 사용자 지정 스크립트 실행.

  • High_Risk-HOST-005: 인스턴스에서 로컬 관리자 계정 생성.

  • High_Risk-HOST-006: Trend Micro EPS 파일 유형/확장 스캔 제외 또는 엔드포인트에서 맬웨어 방지 비활성화.

    참고

    침투 테스트, 취약성 스캔 또는 선제적 조치가 필요한 이벤트에 영향을 미치는 서비스/알려진 성능 문제와 관련된 EPS 맬웨어 방지 제외 또는 GuardDuty 억제 규칙에는 위험 수락이 필요하지 않습니다. 이러한 상황에서는 위험 알림으로 충분합니다.

  • High_Risk-HOST-007: EC2용 KeyPair 생성

  • High_Risk-HOST-008: EC2에서 엔드포인트 보안 비활성화

  • High_Risk-HOST-009: 수명 종료(EOL) OS를 사용하는 계정

기타사항

  • High_Risk-ENC-001: 활성화된 경우 모든 리소스에서 암호화 비활성화

관리형 Active Directory

  • High_Risk-AD-001: 활성 디렉터 사용자 또는 그룹에 관리자 권한 제공

  • High_Risk-AD-002: 계정의 보안 태세를 줄일 수 있는 GPO 정책