기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Security Hub CSPM 제어에 대한 변경 로그
다음 변경 로그는 기존 AWS Security Hub Cloud Security Posture Management(CSPM) 보안 제어에 대한 중요한 변경 사항을 추적하여 제어의 전체 상태와 조사 결과의 규정 준수 상태가 변경될 수 있습니다. Security Hub CSPM이 제어 상태를 평가하는 방법에 대한 자세한 내용은 섹션을 참조하세요규정 준수 상태 및 제어 상태 평가. 변경 사항이이 로그에 입력된 후 컨트롤을 사용할 수 있는 모든 AWS 리전 에 영향을 미치는 데 며칠이 걸릴 수 있습니다.
이 로그는 2023년 4월 이후 발생한 변경 사항을 추적합니다. 컨트롤을 선택하여 컨트롤에 대한 추가 세부 정보를 검토합니다. 제목 변경 사항은 90일 동안 컨트롤의 세부 설명에 기록됩니다.
| 변경 날짜 | 제어 ID 및 제목 | 변경 내용 설명 |
|---|---|---|
| 2025년 7월 24일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon EKS 클러스터가 지원되는 Kubernetes 버전에서 실행되는지 확인합니다. Security Hub CSPM은이 컨트롤의 파라미터 값을에서 |
| 2025년 7월 23일 | [EC2.173] 시작 파라미터가 있는 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다. | Security Hub CSPM이이 제어의 제목을 변경했습니다. 새 제목은 제어가 시작 파라미터를 지정하는 Amazon EC2 스팟 플릿 요청만 확인함을 더 정확하게 반영합니다. 이전에는이 컨트롤의 제목이 이었습니다EC2 Spot Fleet requests should enable encryption for attached EBS volumes. |
| 2025년 6월 30일 | [IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다. | Security Hub CSPM은 PCI DSS v4.0.1 표준에서이 제어를 제거했습니다. PCI DSS v4.0.1에서는 암호에 기호를 명시적으로 사용할 필요가 없습니다. |
| 2025년 6월 30일 | [IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다. | Security Hub CSPM은 NIST SP 800-171 개정 2 표준에서이 제어를 제거했습니다. NIST SP 800-171 개정 2에는 90일 이하의 암호 만료 기간이 명시적으로 필요하지 않습니다. |
| 2025년 6월 30일 | [RDS.16] DB 스냅샷에 태그를 복사하도록 Aurora DB 클러스터를 구성해야 합니다. | Security Hub CSPM이이 제어의 제목을 변경했습니다. 새 제목은 제어가 Amazon Aurora DB 클러스터만 확인함을 보다 정확하게 반영합니다. 이전에는이 컨트롤의 제목이 이었습니다RDS DB clusters should be configured to copy tags to snapshots. |
| 2025년 6월 30일 | [SageMaker.8] SageMaker 노트북 인스턴스는 지원되는 플랫폼에서 실행되어야 합니다. | 이 제어는 노트북 인스턴스에 지정된 플랫폼 식별자를 기반으로 Amazon SageMaker AI 노트북 인스턴스가 지원되는 플랫폼에서 실행되도록 구성되어 있는지 확인합니다. Security Hub CSPM은이 제어에 대한 |
| 2025년 5월 30일 | [IAM.10] IAM 사용자의 암호 정책에는 강력한 구성이 있어야 합니다. | Security Hub CSPM은 PCI DSS v4.0.1 표준에서이 제어를 제거했습니다. 이 제어는 IAM 사용자의 계정 암호 정책이 최소 암호 길이 7자를 포함하여 최소 요구 사항을 충족하는지 확인합니다. PCI DSS v4.0.1에서는 이제 암호가 최소 8자여야 합니다. 제어는 암호 요구 사항이 다른 PCI DSS v3.2.1 표준에 계속 적용됩니다. PCI DSS v4.0.1 요구 사항을 기준으로 계정 암호 정책을 평가하려면 IAM.7 컨트롤을 사용할 수 있습니다. 이 제어 기능을 사용하려면 암호가 최소 8자여야 합니다. 암호 길이 및 기타 파라미터에 대한 사용자 지정 값도 지원합니다. IAM.7 제어는 Security Hub CSPM의 PCI DSS v4.0.1 표준의 일부입니다. |
| 2025년 5월 8일 | [RDS.46] 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 RDS DB 인스턴스를 배포해서는 안 됩니다. | Security Hub CSPM은 RDS.46 제어 릴리스를 모두 롤백했습니다 AWS 리전. 이전에는이 제어가 AWS 기본 보안 모범 사례(FSBP) 표준을 지원했습니다. |
| 2025년 4월 7일 | [ELB.17] 리스너가 있는 애플리케이션 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다. | 이 제어는 Application Load Balancer의 HTTPS 리스너 또는 Network Load Balancer의 TLS 리스너가 권장 보안 정책을 사용하여 전송 중인 데이터를 암호화하도록 구성되어 있는지 확인합니다. Security Hub CSPM은 이제이 제어에 대해 |
| 2025년 3월 27일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | 이 제어는 AWS Lambda 함수의 런타임 설정이 각 언어에서 지원되는 런타임의 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제이 컨트롤에 대한 파라미터 값으로 |
| 2025년 3월 26일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. |
| 2025년 5월 10일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | 이 제어는 AWS Lambda 함수의 런타임 설정이 각 언어에서 지원되는 런타임의 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 |
| 2025년 3월 7일 | [RDS.18] RDS 인스턴스는 VPC에 배포되어야 합니다. | Security Hub CSPM은 AWS 기본 보안 모범 사례 표준 및 NIST SP 800-53 개정 5 요구 사항에 대한 자동 검사에서이 제어를 제거했습니다. Amazon EC2-Classic 네트워킹이 사용 중지되었으므로 Amazon Relational Database Service(RDS) 인스턴스는 더 이상 VPC 외부에 배포할 수 없습니다. 제어는 AWS Control Tower 서비스 관리형 표준의 일부입니다. |
| 2025년 1월 10일 | [Glue.2] AWS Glue 작업에는 로깅이 활성화되어 있어야 합니다. | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. |
| 2024년 12월 20일 | EC2.61~EC2.169 | Security Hub CSPM은 EC2.61~EC2.169 제어 릴리스를 롤백했습니다. |
| 2024년 12월 12일 | [RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다. | RDS.23은 Amazon Relational Database Service(RDS) 클러스터 또는 인스턴스가 데이터베이스 엔진의 기본 포트 이외의 포트를 사용하는지 확인합니다. 기본 AWS Config 규칙이 클러스터의 일부인 RDS 인스턴스에 NOT_APPLICABLE 대한 결과를 반환하도록 제어를 업데이트했습니다. |
| 2024년 12월 2일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터nodejs22.x로 지원합니다. |
| 2024년 11월 26일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 지원되는 가장 오래된 버전은 이제 입니다1.29. |
| 2024년 11월 20일 | [Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다. | Config.1은 AWS Config 가 활성화되었는지 확인하고, 서비스 연결 역할을 사용하고, 활성화된 제어에 대한 리소스를 기록합니다. Security Hub CSPM은이 제어의 심각도를에서 Config.1에 대한 |
| 2024년 11월 12일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터python3.13로 지원합니다. |
| 2024년 10월 11일 | ElastiCache 제어 | ElastiCache.3, ElastiCache.4, ElastiCache.5, and ElastiCache.7의 제어 제목이 변경되었습니다. 제어는 ElastiCache for Valkey에도 적용되므로 제목은 더 이상 Redis OSS를 언급하지 않습니다. |
| 2024년 9월 27일 | [ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다. | 제어 제목이 Application Load Balancer는 http 헤더를 삭제하도록 구성되어야 합니다에서 Application Load Balancer는 유효하지 않은 http 헤더를 삭제하도록 구성되어야 합니다로 변경되었습니다. |
| 2024년 8월 19일 | DMS.12 및 ElastiCache 제어의 제목 변경 | ElastiCache.7을 통해 DMS.12 및 ElastiCache.1의 제어 제목이 변경되었습니다. Amazon ElastiCache(Redis OSS) 서비스의 이름 변경을 반영하도록 이 제목을 변경했습니다. |
| 2024년 8월 15일 | [Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다. | Config.1은 AWS Config 가 활성화되었는지 확인하고, 서비스 연결 역할을 사용하고, 활성화된 제어에 대한 리소스를 기록합니다. Security Hub CSPM에 라는 사용자 지정 제어 파라미터가 추가되었습니다includeConfigServiceLinkedRoleCheck. 이 파라미터를 false(으)로 설정하면 AWS Config 이(가) 서비스 연결 역할을 사용하는지 여부를 확인하지 않도록 선택할 수 있습니다. |
| 2024년 7월 31일 | [IoT.1] AWS IoT Device Defender 보안 프로필에 태그를 지정해야 합니다. | AWS IoT Core 보안 프로파일에서 변경된 제어 제목은 AWS IoT Device Defender 보안 프로파일은 태그 지정되어야 합니다로 을 태그 지정해야 합니다. |
| 2024년 7월 29일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 파라미터nodejs16.x로를 지원하지 않습니다. |
| 2024년 7월 29일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 현재 지원되는 버전 중 가장 오래된 버전은 1.28입니다. |
| 2024년 6월 25일 | [Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다. | 이 제어는 AWS Config 가 활성화되었는지 확인하고, 서비스 연결 역할을 사용하고, 활성화된 제어에 대한 리소스를 기록합니다. Security Hub CSPM은 컨트롤이 평가하는 내용을 반영하도록 컨트롤 제목을 업데이트했습니다. |
| 2024년 6월 14일 | [RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다. | 이 제어는 Amazon Aurora MySQL DB 클러스터가 Amazon CloudWatch Logs에 감사 로그를 게시하는지 여부를 확인합니다. Security Hub CSPM은 Aurora Serverless v1 DB 클러스터에 대한 조사 결과를 생성하지 않도록 제어를 업데이트했습니다. |
| 2024년 6월 11일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 현재 지원되는 버전 중 가장 오래된 버전은 1.27입니다. |
| 2024년 6월 10일 | [Config.1]를 활성화하고 리소스 기록을 위해 서비스 연결 역할을 사용해야 AWS Config 합니다. | 이 제어는 AWS Config 가 활성화되어 있고 AWS Config 리소스 기록이 켜져 있는지 확인합니다. 이전에는 모든 리소스에 대해 기록을 구성한 경우에만 제어에서 PASSED 조사 결과를 생성했습니다. Security Hub CSPM은 활성화된 제어에 필요한 리소스에 대해 기록이 켜져 있을 때 PASSED 조사 결과를 생성하도록 제어를 업데이트했습니다. 또한 필요한 리소스를 기록할 수 있는 권한을 제공하는 AWS Config 서비스 연결 역할이 사용되는지 여부를 확인하기 위해 제어가 업데이트되었습니다. |
| 2024년 5월 8일 | [S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다. | 이 제어는 Amazon S3 범용 버전 버킷에서 다중 인증(MFA) 삭제가 활성화되었는지 여부를 확인합니다. 이전에는 제어에서 수명 주기 구성이 있는 버킷에 대한 FAILED 조사 결과를 생성했습니다. 그러나 수명 주기 구성이 있는 버킷에서는 버전 관리가 있는 MFA 삭제를 활성화할 수 없습니다. Security Hub CSPM은 수명 주기 구성이 있는 버킷에 대한 결과를 생성하지 않도록 제어를 업데이트했습니다. 제어 기능의 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 5월 2일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 Amazon EKS 클러스터가 통과된 결과를 생성하기 위해 실행할 수 있는 지원되는 가장 오래된 버전의 Kubernetes를 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.26입니다. |
| 2024년 4월 30일 | [CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다. | 제어 제목이 CloudTrail을 활성화해야 합니다에서 최소 CloudTrail 추적을 활성화해야 합니다로 변경되었습니다. 이 제어는 현재에 하나 이상의 CloudTrail 추적 AWS 계정 이 활성화된 경우 PASSED 결과를 생성합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 4월 29일 | [PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다. | 제어 제목이 Classic Load Balancer와 연결된 Auto Scaling 그룹은 로드 밸런서 상태 확인을 사용해야 합니다에서 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다로 변경되었습니다. 이 제어는 현재 Application, Gateway, Network 및 Classic Load Balancer를 평가합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 4월 19일 | [CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다. | 제어는 AWS CloudTrail 가 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어 있는지 확인합니다. 이전에는 추적이 읽기 및 쓰기 관리 이벤트를 캡처하지 않았더라도, 계정에 CloudTrail이 활성화되고 하나 이상의 다중 리전 추적으로 구성된 경우, 제어에서 PASSED 조사 결과가 잘못 생성되었습니다. 이제 제어는 CloudTrail가 활성화되고 읽기 및 쓰기 관리 이벤트를 캡처하는 다중 리전 추적이 하나 이상 구성된 경우에만 PASSED 조사 결과를 생성합니다. |
| 2024년 4월 10일 | [Athena.1] Athena 워크그룹은 저장 시 암호화되어야 합니다 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. Athena 작업 그룹은 Amazon Simple Storage Service(Amazon S3) 버킷에 로그를 전송합니다. Amazon S3는 이제 새로운 및 기존 S3 버킷에 S3 관리형 키(SS3-S3)를 사용한 기본 암호화를 제공합니다. |
| 2024년 4월 10일 | [AutoScaling.4] Auto Scaling 그룹 시작 구성에는 1보다 큰 메타데이터 응답 홉 제한이 있어서는 안 됩니다 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 메타데이터 응답 홉 제한은 워크로드에 따라 다릅니다. |
| 2024년 4월 10일 | [CloudFormation.1] CloudFormation 스택은 SNS(Simple Notification Service)와 통합 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. AWS CloudFormation 스택을 Amazon SNS 주제와 통합하는 것은 더 이상 보안 모범 사례가 아닙니다. 중요한 CloudFormation 스택을 SNS 주제와 통합하는 것이 유용할 수 있지만 모든 스택에 필요한 것은 아닙니다. |
| 2024년 4월 10일 | [CodeBuild.5] CodeBuild 프로젝트 환경에서는 권한 모드가 활성화되어서는 안 됩니다 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. CodeBuild 프로젝트에서 권한 있는 모드를 활성화해도 고객 환경에 추가 위험이 발생하지 않습니다. |
| 2024년 4월 10일 | [IAM.20] 루트 사용자의 사용을 피합니다 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. 이 제어의 목적은 다른 제어인 [CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.에서 다룹니다. |
| 2024년 4월 10일 | [SNS.2] 주제에 전송된 알림 메시지에 대해 전송 상태 로깅이 활성화되어야 합니다 | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. SNS 주제에 대한 전송 상태 로깅은 더 이상 보안 모범 사례가 아닙니다. 중요한 SNS 주제에 대한 전송 상태 로깅이 유용할 수 있지만 모든 주제에 필요한 것은 아닙니다. |
| 2024년 4월 10일 | [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준에서이 제어를 제거했습니다 AWS Control Tower. 이 제어의 목적은 두 가지 다른 제어인 [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 및 [S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다에서 다룹니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 10일 | [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다 | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준에서이 제어를 제거했습니다 AWS Control Tower. S3 버킷에 대한 이벤트 알림이 유용한 경우가 있지만, 이는 범용 보안 모범 사례는 아닙니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 10일 | [SNS.1] SNS 주제는를 사용하여 유휴 시 암호화되어야 합니다. AWS KMS | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준에서이 제어를 제거했습니다 AWS Control Tower. 기본적으로 SNS는 디스크 암호화를 통해 저장 중인 주제를 암호화합니다. 자세한 내용은 데이터 암호화를 참조하세요. AWS KMS 를 사용하여 주제를 암호화하는 것은 더 이상 보안 모범 사례로 권장되지 않습니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 8일 | [ELB.6] 애플리케이션, 게이트웨이, Network Load Balancers에는 삭제 보호가 활성화되어 있어야 합니다. | 제어 제목이 Application Load Balancer 삭제 방지를 활성화해야 합니다에서 Application, Gateway 및 Network Load Balancer 삭제 방지가 활성화되어 있어야 합니다로 변경되었습니다. 이 제어는 현재 Application, Gateway 및 Network Load Balancer를 평가합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 3월 22일 | [Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다. | 제어 제목이 OpenSearch 도메인에 대한 연결은 TLS 1.2를 사용하여 암호화해야 합니다에서 OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다로 변경되었습니다. 이전에는 컨트롤이 OpenSearch 도메인에 대한 연결에 TLS 1.2가 사용되었는지만 확인했습니다. 이제 제어는 OpenSearch 도메인이 최신 TLS 보안 정책을 사용하여 암호화되는 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목과 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 3월 22일 | [ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다. | 제어 제목이 Elasticsearch 도메인에 대한 연결은 TLS 1.2를 사용하여 암호화되어야 합니다에서 Elasticsearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다로 변경되었습니다. 이전에는 제어가 Elasticsearch 도메인에 대한 연결에 TLS 1.2가 사용되었는지 여부만 확인했습니다. 이제 제어는 Elasticsearch 도메인이 최신 TLS 보안 정책을 사용하여 암호화되는 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목과 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 3월 12일 | [S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다 | 제목이 S3 퍼블릭 액세스 차단 설정이 활성화되어야 합니다에서 S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다. | 제목이 S3 버킷은 공개 읽기 액세스를 금지해야 합니다에서 S3 범용 버킷은 공개 읽기 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다 | 제목이 S3 버킷은 공개 쓰기 액세스를 금지해야 합니다에서 S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다 | 제목이 S3 버킷에는 보안 소켓 계층(Secure Socket Layer) 사용 요청이 필요합니다에서S3 범용 버킷에는 SSL 사용 요청이 필요합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정 | 제목이 버킷 정책에서 다른 AWS 계정 에 부여된 S3 권한을 제한해야 합니다에서 S3 범용 버킷 정책은 다른 AWS 계정에 대한 액세스를 제한해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | 제목이 S3 버킷은 리전 간 복제가 활성화되어 있어야 합니다에서 S3 범용 버킷은 리전 간 복제를 사용해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | 제목이 S3 버킷은 리전 간 복제가 활성화되어 있어야 합니다에서 S3 범용 버킷은 리전 간 복제를 사용해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다. | 제목이 S3 공개 액세스 차단 설정이 버킷 수준에서 활성화되어야 합니다에서 S3 범용 버킷은 공개 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다 | 제목이 S3 버킷 서버 액세스 로깅이 활성화되어야 합니다에서 S3 범용 버킷에 대해 서버 액세스 로깅을 활성화해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | 제목이 버전 관리가 활성화된 S3 버킷에는 수명 주기 정책이 구성되어 있어야 합니다 에서 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다 | 제목이 S3 버킷에는 이벤트 알림이 활성화되어 있어야 합니다에서 S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.12] S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다 | 제목이 버킷에 대한 사용자 액세스를 관리하는 데 S3 액세스 제어 목록(ACLs)를 사용해서는 안 됩니다에서 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | 제목이 S3 버킷에는 수명 주기 정책이 구성되어 있어야 합니다에서 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다 | 제목이 S3 버킷은 버전 관리를 사용해야 합니다에서 S3 범용 버킷에서는 버전 관리를 활성화해야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.15] S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다. | 제목이 S3 버킷이 Object Lock을 사용하도록 구성해야 합니다에서 S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.17] S3 범용 버킷은 저장 시 로 암호화되어야 합니다. AWS KMS keys | 제목이 S3 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다에서 S3 범용 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다로 변경되었습니다. Security Hub CSPM이 새 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 7일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 nodejs20.x 및를 파라미터ruby3.3로 지원합니다. |
| 2024년 2월 22일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터dotnet8로 지원합니다. |
| 2024년 2월 5일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 Amazon EKS 클러스터가 통과된 결과를 생성하기 위해 실행할 수 있는 지원되는 가장 오래된 버전의 Kubernetes를 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.25입니다. |
| 2024년 1월 10일 | [CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다. | 제목이 CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은 OAuth를 사용해야 합니다에서 CodeBuild Bitbucket 소스 리포지토리 URL은 민감한 보안 인증 정보를 포함하지 않아야 합니다로 변경되었습니다. 다른 연결 방법도 안전할 수 있으므로 Security Hub CSPM은 OAuth에 대한 언급을 제거했습니다. Security Hub CSPM은 GitHub 소스 리포지토리 URL에 개인 액세스 토큰이나 사용자 이름 및 암호를 더 이상 가질 수 없으므로 GitHub에 대한 언급을 제거했습니다. URLs |
| 2024년 1월 8일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 만료된 런타임이므로 더 이상 go1.x 및를 파라미터java8로 지원하지 않습니다. |
| 2023년 12월 29일 | [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다. | RDS.8은 지원되는 데이터베이스 엔진 중 하나를 사용하는 Amazon RDS DB 인스턴스에 삭제 보호가 활성화되어 있는지 확인합니다. Security Hub CSPM은 이제 custom-oracle-ee, 및 oracle-ee-cdb를 데이터베이스 엔진oracle-se2-cdb으로 지원합니다. |
| 2023년 12월 22일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 java21 및를 파라미터python3.12로 지원합니다. Security Hub CSPM은 더 이상 파라미터ruby2.7로를 지원하지 않습니다. |
| 2023년 12월 15일 | [CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다. | CloudFront.1은 Amazon CloudFront 배포에 기본 루트 객체가 구성되어 있는지 확인합니다. Security Hub CSPM은 기본 루트 객체를 추가하는 것이 사용자의 애플리케이션 및 특정 요구 사항에 따라 달라지는 권장 사항이므로이 제어의 심각도를 CRITICAL에서 HIGH로 낮췄습니다. |
| 2023년 12월 5일 | [EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다. | 제어 기능의 제목이 보안 그룹은 0.0.0.0/0에서 포트 22로의 수신을 허용하지 않아야 합니다에서 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하지 않아야 합니다로 변경되었습니다. |
| 2023년 12월 5일 | [EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다. | 제어 기능의 제목이 0.0.0.0/0에서 포트 3389로의 수신을 허용하는 보안 그룹이 없는지 확인합니다에서 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하지 않아야 합니다로 변경되었습니다. |
| 2023년 12월 5일 | [RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다. | 제어 기능의 제목이 데이터베이스 로깅을 활성화해야 합니다에서 RDS DB 인스턴스는 CloudWatch Logs에 로그를 게시해야 합니다로 변경되었습니다. Security Hub CSPM은이 제어가 로그가 Amazon CloudWatch Logs에 게시되는지 여부만 확인하고 RDS 로그가 활성화되었는지 여부는 확인하지 않음을 확인했습니다. 이 제어는 RDS DB 인스턴스가 CloudWatch Logs에 로그를 게시하도록 구성된 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목이 현재 동작을 반영하여 업데이트되었습니다. |
| 2023년 12월 5일 | [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다. | 이 제어는 Amazon EKS 클러스터에 감사 로깅이 활성화되어 있는지 여부를 확인합니다. Security Hub CSPM이이 제어를 평가하는 데 사용하는 AWS Config 규칙이에서 eks-cluster-logging-enabled로 변경되었습니다eks-cluster-log-enabled. |
| 2023년 11월 17일 | [EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다. | EC2.19가 보안 그룹에 대한 무제한 수신 트래픽이 위험이 높다고 간주되는 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 소스로 제공될 때 이를 고려하도록이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우, FAILED 조사 결과를 생성합니다. |
| 2023년 11월 16일 | [CloudWatch.15] CloudWatch 경보에는 지정된 구성되어 있어야 합니다. | 제어 기능의 제목이 CloudWatch 경보에는 경보 상태에 맞게 구성된 작업이 있어야 합니다에서 CloudWatch 경보에는 지정된 작업이 구성되어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다. | 제어 기능의 제목이 CloudWatch 로그 그룹은 최소 1년 동안 보존되어야 합니다에서 CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다. | 제어 기능의 제목이 VPC Lambda 함수는 두 개 이상의 가용 영역에서 작동해야 합니다에서 VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [AppSync.2] AWS AppSync 필드 수준 로깅이 활성화되어 있어야 합니다. | 제어 기능의 제목이 AWS AppSync 는 request-level 및 field-level 로깅을 활성화된 상태로 두어야 합니다에서 AWS AppSync 는 field-level 로깅을 활성화된 상태로 두어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다. | 제어 기능의 제목이 Amazon Elastic MapReduce 클러스터 마스터 노드에는 퍼블릭 IP 주소가 없어야 합니다에서 Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | 제어 기능의 제목이 OpenSearch 도메인은 VPC에 있어야 합니다에서 OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | 제어 기능의 제목이 Elasticsearch 도메인은 VPC에 있어야 합니다에서 Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다로 변경되었습니다. |
| 2023년 10월 31일 | [ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다. | ES.4가 Elasticsearch 도메인이 오류 로그를 Amazon CloudWatch Logs로 전송하도록 구성되어 있는지 여부를 확인합니다. 이 제어 기능은 이전에 CloudWatch Logs로 전송하도록 구성된 모든 로그를 보유하고 있는 Elasticsearch 도메인에 대한 PASSED 조사 결과를 생성했습니다. Security Hub CSPM은 CloudWatch Logs로 오류 로그를 보내도록 구성된 Elasticsearch 도메인에 대한 PASSED 결과만 생성하도록 제어를 업데이트했습니다. 또한, 오류 로그를 지원하지 않는 Elasticsearch 버전을 평가에서 제외하도록 제어 기능을 업데이트했습니다. |
| 2023년 10월 16일 | [EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다. | EC2.13은 보안 그룹이 포트 22에 대한 무제한 수신 액세스를 허용하는지 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 소스로 제공될 때 이를 고려하도록이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다. | EC2.14는 보안 그룹이 포트 3389에 대한 무제한 수신 액세스를 허용하는지 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 소스로 제공될 때 이를 고려하도록이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다. | EC2.18은 사용 중인 보안 그룹이 무제한 수신 트래픽을 허용하는지 여부를 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 소스로 제공될 때 이를 고려하도록이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터python3.11로 지원합니다. |
| 2023년 10월 4일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | Security Hub CSPM은 S3 버킷에 동일한 리전 복제가 아닌 리전 간 복제가 활성화되어 있는지 확인하기 CROSS-REGION 위해 값이 ReplicationType 인 파라미터를 추가했습니다. |
| 2023년 9월 27일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 Amazon EKS 클러스터가 통과된 결과를 생성하기 위해 실행할 수 있는 지원되는 가장 오래된 버전의 Kubernetes를 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.24입니다. |
| 2023년 9월 20일 | [CloudFront.2] CloudFront 배포에는 오리진 액세스 ID가 활성화되어 있어야 합니다. | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. 대신 [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다. 섹션을 참조하세요. 원본 액세스 제어 기능은 현재 보안 모범 사례입니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 20일 | [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹을 제거해야 합니다. | Security Hub CSPM은 AWS Foundational Security Best Practices(FSBP) 및 National Institute of Standards and Technology(NIST) SP 800-53 Rev. 5에서이 제어를 제거했습니다. 여전히 서비스 관리형 표준:의 일부입니다 AWS Control Tower. 이 제어는 보안 그룹이 EC2 인스턴스 또는 탄력적 네트워크 인터페이스에 연결된 경우, 통과된 조사 결과를 생성합니다. 하지만, 특정 사용 사례에 대해서는 연결되지 않은 보안 그룹이 보안 위험을 초래하지는 않습니다. EC2.2, EC2.13, EC2.14, EC2.18, EC2.19 등의 다른 EC2 제어를 사용하여 보안 그룹을 모니터링할 수 있습니다. |
| 2023년 9월 20일 | [EC2.29] EC2 인스턴스는 VPC에서 시작해야 합니다. | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. Amazon EC2는 EC2-Classic 인스턴스를 VPC로 마이그레이션했습니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 20일 | [S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다. | Security Hub CSPM은이 제어를 사용 중지하고 모든 표준에서 제거했습니다. Amazon S3는 이제 새로운 및 기존 S3 버킷에 S3 관리형 키(SS3-S3)를 사용한 기본 암호화를 제공합니다. SS3-S3 또는 SS3-KMS 서버 측 암호화로 암호화된 기존 버킷의 암호화 설정은 변경되지 않습니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 14일 | [EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다. | 제어 기능의 제목이 VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됨에서 VPC 기본 보안 그룹들은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됨으로 변경되었습니다. |
| 2023년 9월 14일 | [IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다. | 제어 기능의 제목이 가상 MFA는 루트 사용자에 대해 활성화되어야 함에서 MFA는 루트 사용자에 대해 활성화되어야 함으로 변경되었습니다. |
|
2023년 9월 14일 |
[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다. | 제어 기능의 제목이 중요 클러스터 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 함에서 중요 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다. | 제어 기능의 제목이 중요 데이터베이스 인스턴스 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 함에서 중요 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.2] AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 합니다. | 제어 기능의 제목이 WAF 리전 규칙에는 하나 이상의 조건이 있어야 함에서 AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.3] AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다. | 제어 기능의 제목이 WAF 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 함에서 AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.4] AWS WAF 클래식 리전 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다. | 제어 기능의 제목이 WAF 리전 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 클래식 리전 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다. | 제어 기능의 제목이 WAF 전역 규칙에는 하나 이상의 조건이 있어야 함에서 AWS WAF 클래식 전역 규칙에는 하나 이상의 조건이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 하나 이상의 규칙이 있어야 합니다. | 제어 기능이 제목이 WAF 전역 규칙 그룹에는 하나 이상의 규칙이 있어야 함에서 AWS WAF 클래식 전역 규칙 그룹에는 하나 이상의 규칙이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.8] AWS WAF 클래식 글로벌 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다. | 제어 기능의 제목이 WAF 전역 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 클래식 전역 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.10] AWS WAF 웹 ACLs에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다. | 제어 기능의 제목이 WAFv2 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다. | 제어 기능의 제목이 AWS WAF v2 웹 ACL 로깅을 활성화해야 함에서 AWS WAF 웹 ACL 로깅을 활성화해야 함으로 변경되었습니다. |
|
2023년 7월 20일 |
[S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다. | S3.4는 Amazon S3 버킷에 서버 측 암호화가 활성화되어 있는지 또는 S3 버킷 정책이 서버 측 암호화되지 않은 PutObject 요청을 명시적으로 거부하는지 확인합니다. Security Hub CSPM은 KMS 키(DSSE-KMS)를 사용한 이중 계층 서버 측 암호화를 포함하도록이 제어를 업데이트했습니다. 이 제어 기능은 S3 버킷이 SSE-S3, SSE-KMS 또는 DSSE-KMS로 암호화될 때 통과된 조사 결과를 생성합니다. |
| 2023년 7월 17일 | [S3.17] S3 범용 버킷은 저장 시 로 암호화되어야 합니다. AWS KMS keys | S3.17은 Amazon S3 버킷이 AWS KMS key을(를) 사용하여 암호화되었는지 여부를 확인합니다. Security Hub CSPM은 KMS 키(DSSE-KMS)를 사용한 이중 계층 서버 측 암호화를 포함하도록이 제어를 업데이트했습니다. 이 제어 기능은 S3 버킷이 SSE-KMS 또는 DSSE-KMS로 암호화될 때 통과된 조사 결과를 생성합니다. |
| 2023년 6월 9일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | EKS.2는 Amazon EKS 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 확인합니다. 현재 지원되는 가장 오래된 버전은 1.23입니다. |
| 2023년 6월 9일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터ruby3.2로 지원합니다. |
| 2023년 6월 5일 | [APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다. | APIGateway.5.는 Amazon API Gateway REST API 스테이지의 모든 메서드가 저장 시 암호화되어 있는지 확인합니다. Security Hub CSPM은 해당 메서드에 대해 캐싱이 활성화된 경우에만 특정 메서드의 암호화를 평가하도록 제어를 업데이트했습니다. |
| 2023년 5월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터java17로 지원합니다. |
| 2023년 5월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 파라미터nodejs12.x로를 지원하지 않습니다. |
| 2023년 4월 23일 | [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다. | ECS.10은 Amazon ECS Fargate 서비스가 최신 Fargate 플랫폼 버전을 실행하고 있는지 여부를 확인합니다. 고객은 ECS를 통해 직접 또는 CodeDeploy를 사용하여 Amazon ECS를 배포할 수 있습니다. Security Hub CSPM은 CodeDeploy를 사용하여 ECS Fargate 서비스를 배포할 때 통과된 조사 결과를 생성하도록이 제어를 업데이트했습니다. |
| 2023년 4월 20일 | [S3.6] S3 범용 버킷 정책은 다른에 대한 액세스를 제한해야 합니다. AWS 계정 | S3.6은 Amazon Simple Storage Service(Amazon S3) 버킷 정책이 다른 보안 주체가 S3 버킷의 리소스에 대해 거부된 작업을 AWS 계정 수행하지 못하도록 하는지 확인합니다. Security Hub CSPM은 버킷 정책의 조건을 설명하도록 제어를 업데이트했습니다. |
| 2023년 4월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제를 파라미터python3.10로 지원합니다. |
| 2023년 4월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 각 언어에서 지원되는 런타임에 대해 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 파라미터dotnetcore3.1로를 지원하지 않습니다. |
| 2023년 4월 17일 | [RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다. | RDS.11은 Amazon RDS 인스턴스에 백업 보존 기간이 7일 이상인 자동 백업이 활성화되어 있는지 여부를 확인합니다. 모든 엔진이 읽기 전용 복제본에 대한 자동 백업을 지원하는 것은 아니므로 Security Hub CSPM은 읽기 전용 복제본을 평가에서 제외하도록이 제어를 업데이트했습니다. 또한, RDS는 읽기 전용 복제본을 생성할 때 백업 보존 기간을 지정하는 옵션을 제공하지 않습니다. 읽기 전용 복제본은 기본적으로 백업 보존 기간을 0(으)로 설정하여 생성됩니다. |
