Security Hub CSPM 제어의 변경 로그
아래의 변경 로그는 기존 AWS Security Hub CSPM 제어에 대한 중요한 변경 사항을 추적하며, 이로 인해 제어의 전체 상태 및 조사 결과의 규정 준수 상태가 변경될 수 있습니다. Security Hub CSPM이 제어의 상태를 평가하는 방법에 대한 자세한 내용은 규정 준수 상태 및 제어 상태 평가 섹션을 참조하세요. 변경 사항이 이 로그에 입력된 후 제어를 사용할 수 있는 모든 AWS 리전에 영향을 미치려면 며칠이 걸릴 수 있습니다.
이 로그는 2023년 4월 이후 발생한 변경 사항을 추적합니다. 제어를 선택하여 해당 제어에 대한 추가 세부 정보를 검토합니다. 제목 변경 사항은 90일 동안 해당 제어의 세부 설명에 기록됩니다.
| 변경 날짜 | 제어 ID 및 제목 | 변경 내용 설명 |
|---|---|---|
| 2025년 10월 23일 | [ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다. | Security Hub CSPM은 2025년 10월 14일에 이 제어의 제목, 설명 및 규칙에 적용된 변경 사항을 되돌렸습니다. |
| 2025년 10월 22일 | [CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다. | Security Hub CSPM은 사용자 지정 오리진을 사용하는 Amazon CloudFront 배포에 대한 조사 결과를 생성하지 않도록 이 제어를 업데이트했습니다. |
| 2025년 10월 16일 | [CloudFront.15] CloudFront 배포는 권장 TLS 보안 정책을 사용해야 합니다 | 이 제어는 Amazon CloudFront 배포가 권장 TLS 보안 정책을 사용하도록 구성되어 있는지 확인합니다. Security Hub CSPM은 이제 이 제어의 파라미터 값으로 |
| 2025년 10월 14일 | [ElastiCache.1] ElastiCache(Redis OSS) 클러스터에는 자동 백업이 활성화되어 있어야 합니다. | Security Hub CSPM이 이 제어의 제목, 설명 및 규칙을 변경했습니다. 이전에는 이 제어가 elasticache-redis-cluster-automatic-backup-check 규칙을 사용하여 Redis OSS 클러스터 및 모든 복제 그룹을 확인했습니다. 이 제어의 제목은 ElastiCache(Redis OSS) 클러스터에 자동 백업이 활성화되어 있어야 합니다였습니다. 이제 이 제어는 elasticache-automatic-backup-check-enabled 규칙을 사용하여 Redis OSS 클러스터 및 모든 복제 그룹 외에도 Valkey 클러스터를 확인합니다. 새 제목 및 설명은 이 제어가 두 유형의 클러스터를 모두 확인함을 반영합니다. |
| 2025년 10월 5일 | [Opensearch.10] OpenSearch 도메인에는 최신 소프트웨어 업데이트가 설치되어 있어야 합니다. | Amazon OpenSearch Service 도메인에 사용 가능한 소프트웨어 업데이트가 없고 업데이트 상태가 부적격인 경우에도 |
| 2025년 9월 24일 | [Redshift.9] Redshift 클러스터는 기본 데이터베이스 이름을 사용해서는 안 됩니다. [RedshiftServerless.7] Redshift Serverless 네임스페이스는 기본 데이터베이스 이름을 사용해서는 안 됩니다 |
Security Hub CSPM은 이들 제어를 사용 중지했고 모든 관련 표준에서 제거했습니다. Security Hub CSPM은 이러한 제어에 대한 이전에는 이러한 제어가 AWS 기본 보안 모범 사례(FSBP) 표준 및 NIST SP 800-53 개정 5 표준에 적용되었습니다. Redshift.9 제어는 AWS Control Tower 서비스 관리형 표준에도 적용되었습니다. |
| 2025년 9월 9일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | 이 제어는 런타임에 대한 AWS Lambda 함수의 런타임 설정이 각 언어의 지원되는 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 이 제어의 파라미터 값으로 |
| 2025년 8월 13일 | [SageMaker.5] SageMaker 모델에는 네트워크 격리가 활성화되어 있어야 합니다 | Security Hub CSPM은 이 제어의 제목 및 설명을 변경했습니다. 새로운 제목 및 설명은 제어가 Amazon SageMaker AI 호스팅 모델의 |
| 2025년 8월 13일 | [EFS.6] EFS 탑재 대상은 시작 시 퍼블릭 IP 주소를 할당하는 서브넷과 연결되어서는 안 됩니다 | Security Hub CSPM은 이 제어의 제목 및 설명을 변경했습니다. 새로운 제목 및 설명은 제어가 수행하는 검사의 범위와 특성을 더 정확하게 반영합니다. 이전에는 이 제어의 제목이 EFS mount targets should not be associated with a public subnet였습니다. |
| 2025년 7월 24일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon EKS 클러스터가 지원되는 Kubernetes 버전에서 실행되는지 여부를 확인합니다. Security Hub CSPM은 이 제어의 파라미터 값을 |
| 2025년 7월 23일 | [EC2.173] 시작 파라미터가 포함된 EC2 스팟 플릿 요청은 연결된 EBS 볼륨에 대한 암호화를 활성화해야 합니다 | Security Hub CSPM은 이 제어의 제목을 변경했습니다. 새로운 제목은 제어가 시작 파라미터를 지정하는 Amazon EC2 스팟 플릿 요청만 확인함을 더 정확하게 반영합니다. 이전에는 이 제어의 제목이 EC2 Spot Fleet requests should enable encryption for attached EBS volumes였습니다. |
| 2025년 6월 30일 | [IAM.13] IAM 암호 정책에서 최소 1개의 기호를 요구하는지 여부를 확인합니다. | Security Hub CSPM은 PCI DSS v4.0.1 표준에서 이 제어를 제거했습니다. PCI DSS v4.0.1은 암호에 기호를 사용하도록 명시적으로 요구하지 않습니다. |
| 2025년 6월 30일 | [IAM.17] IAM 암호 정책이 90일 이내에 비밀번호를 만료하도록 하는지 여부를 확인합니다. | Security Hub CSPM은 NIST SP 800-171 개정 2 표준에서 이 제어를 제거했습니다. NIST SP 800-171 개정 2는 90일 이하의 암호 만료 기간을 명시적으로 요구하지 않습니다. |
| 2025년 6월 30일 | [RDS.16] Aurora DB 클러스터는 태그를 DB 스냅샷에 복사하도록 구성되어야 합니다. | Security Hub CSPM은 이 제어의 제목을 변경했습니다. 새 제목은 제어가 Amazon Aurora DB 클러스터만 확인함을 보다 정확하게 반영합니다. 이전에는 이 제어의 제목이 RDS DB clusters should be configured to copy tags to snapshots였습니다. |
| 2025년 6월 30일 | [SageMaker.8] SageMaker 노트북 인스턴스는 지원되는 플랫폼에서 실행되어야 합니다 | 이 제어는 Amazon SageMaker AI 노트북 인스턴스에 지정된 플랫폼 식별자를 기반으로 노트북 인스턴스가 지원되는 플랫폼에서 실행되도록 구성되어 있는지 확인합니다. Security Hub CSPM은 이 제어의 파라미터 값으로 |
| 2025년 5월 30일 | [IAM.10] IAM 사용자를 위한 암호 정책의 구성은 강력해야 합니다. | Security Hub CSPM은 PCI DSS v4.0.1 표준에서 이 제어를 제거했습니다. 이 제어는 IAM 사용자의 계정 암호 정책이 최소 암호 길이 7자를 포함한 최소 요구 사항을 충족하는지 확인합니다. PCI DSS v4.0.1은 이제 최소 암호 길이로 8자를 요구합니다. 암호 요구 사항이 다른 PCI DSS v3.2.1 표준에는 이 제어가 계속 적용됩니다. PCI DSS v4.0.1 요구 사항을 기준으로 계정 암호 정책을 평가하려면 IAM.7 제어를 사용할 수 있습니다. 이 제어는 최소 암호 길이로 8자를 요구합니다. 또한 암호 길이 및 기타 파라미터에 대한 사용자 지정 값도 지원합니다. IAM.7 제어는 Security Hub CSPM의 PCI DSS v4.0.1 표준의 일부입니다. |
| 2025년 5월 8일 | [RDS.46] RDS DB 인스턴스를 인터넷 게이트웨이에 대한 경로가 있는 퍼블릭 서브넷에 배포해서는 안 됩니다 | Security Hub CSPM은 모든 AWS 리전에서 RDS.46 제어 릴리스를 롤백했습니다. 이전에는 이 제어가 AWS 기본 보안 모범 사례(FSBP) 표준을 지원했습니다. |
| 2025년 4월 7일 | [ELB.17] 리스너가 있는 Application Load Balancer 및 Network Load Balancer는 권장 보안 정책을 사용해야 합니다 | 이 제어는 Application Load Balancer의 HTTPS 리스너 또는 Network Load Balancer의 TLS 리스너가 권장 보안 정책을 사용하여 전송 중 데이터를 암호화하도록 구성되어 있는지 확인합니다. Security Hub CSPM은 이제 이 제어의 추가 파라미터 값 |
| 2025년 3월 27일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | 이 제어는 런타임에 대한 AWS Lambda 함수의 런타임 설정이 각 언어의 지원되는 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 이 제어의 파라미터 값으로 |
| 2025년 3월 26일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. |
| 2025년 3월 10일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | 이 제어는 런타임에 대한 AWS Lambda 함수의 런타임 설정이 각 언어의 지원되는 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 이 제어의 파라미터 값으로 |
| 2025년 3월 7일 | [RDS.18] RDS 인스턴스는 VPC에 배포되어야 합니다. | Security Hub CSPM은 AWS 기본 보안 모범 사례 표준 및 NIST SP 800-53 개정 5 요구 사항에 대한 자동 검사에서 이 제어를 제거했습니다. Amazon EC2-Classic 네트워킹이 사용 중지되었으므로 Amazon Relational Database Service(Amazon RDS) 인스턴스는 더 이상 VPC 외부에 배포할 수 없습니다. 이 제어는 계속 AWS Control Tower 서비스 관리형 표준의 일부입니다. |
| 2025년 1월 10일 | [Glue.2] AWS Glue 작업에 로깅이 활성화되어 있어야 합니다. | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. |
| 2024년 12월 20일 | EC2.61~EC2.169 | Security Hub CSPM은 EC2.61~EC2.169 제어 릴리스를 롤백했습니다. |
| 2024년 12월 12일 | [RDS.23] RDS 인스턴스는 데이터베이스 엔진 기본 포트를 사용하지 않아야 합니다. | RDS.23은 Amazon Relational Database Service(Amazon RDS) 클러스터 또는 인스턴스가 데이터베이스 엔진의 기본 포트가 아닌 다른 포트를 사용하는지 확인합니다. 기본 AWS Config 규칙이 클러스터의 일부인 RDS 인스턴스에 대해 NOT_APPLICABLE 결과를 반환하도록 제어를 업데이트했습니다. |
| 2024년 12월 2일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 nodejs22.x를 파라미터로 지원합니다. |
| 2024년 11월 26일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 현재 지원되는 버전 중 가장 오래된 버전은 1.29입니다. |
| 2024년 11월 20일 | [Config.1]AWS Config을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 합니다. | Config.1은 AWS Config가 활성화되어 있고, 서비스 연결 역할을 사용하고, 활성화된 제어에 대한 리소스를 기록하는지 확인합니다. Security Hub CSPM은 이 제어의 심각도를 Config.1에 대한 |
| 2024년 11월 12일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 python3.13를 파라미터로 지원합니다. |
| 2024년 10월 11일 | ElastiCache 제어 | ElastiCache.3, ElastiCache.4, ElastiCache.5, and ElastiCache.7의 제어 제목이 변경되었습니다. 제어는 ElastiCache for Valkey에도 적용되므로 제목은 더 이상 Redis OSS를 언급하지 않습니다. |
| 2024년 9월 27일 | [ELB.4] Application Load Balancer는 잘못된 http 헤더를 삭제하도록 구성되어야 합니다. | 제어 제목이 Application Load Balancer는 http 헤더를 삭제하도록 구성되어야 합니다에서 Application Load Balancer는 유효하지 않은 http 헤더를 삭제하도록 구성되어야 합니다로 변경되었습니다. |
| 2024년 8월 19일 | DMS.12 및 ElastiCache 제어의 제목 변경 | ElastiCache.7을 통해 DMS.12 및 ElastiCache.1의 제어 제목이 변경되었습니다. Amazon ElastiCache(Redis OSS) 서비스의 이름 변경을 반영하도록 이 제목을 변경했습니다. |
| 2024년 8월 15일 | [Config.1]AWS Config을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 합니다. | Config.1은 AWS Config가 활성화되어 있고, 서비스 연결 역할을 사용하고, 활성화된 제어에 대한 리소스를 기록하는지 확인합니다. Security Hub CSPM은 includeConfigServiceLinkedRoleCheck라는 사용자 지정 제어 파라미터를 추가했습니다. 이 파라미터를 false(으)로 설정하면 AWS Config이(가) 서비스 연결 역할을 사용하는지 여부를 확인하지 않도록 선택할 수 있습니다. |
| 2024년 7월 31일 | [IoT.1] AWS IoT Device Defender 보안 프로필에 태그를 지정해야 합니다. | AWS IoT Core 보안 프로파일에서 변경된 제어 제목은 AWS IoT Device Defender 보안 프로파일은 태그 지정되어야 합니다로 을 태그 지정해야 합니다. |
| 2024년 7월 29일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 nodejs16.x를 파라미터로 지원하지 않습니다. |
| 2024년 7월 29일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 현재 지원되는 버전 중 가장 오래된 버전은 1.28입니다. |
| 2024년 6월 25일 | [Config.1]AWS Config을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 합니다. | 이 제어는 AWS Config이(가) 활성화되어 있는지, 서비스 연결 역할을 사용하는지, 활성화된 제어에 대한 리소스를 기록하는지 여부를 확인합니다. Security Hub CSPM은 제어가 평가하는 내용을 반영하도록 제어 제목을 업데이트했습니다. |
| 2024년 6월 14일 | [RDS.34] Aurora MySQL DB 클러스터는 감사 로그를 CloudWatch Logs에 게시해야 합니다. | 이 제어는 Amazon Aurora MySQL DB 클러스터가 Amazon CloudWatch Logs에 감사 로그를 게시하는지 여부를 확인합니다. Security Hub CSPM은 Aurora Serverless v1 DB 클러스터에 대한 조사 결과를 생성하지 않도록 제어를 업데이트했습니다. |
| 2024년 6월 11일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | 이 제어는 Amazon Elastic Kubernetes Service(Amazon EKS) 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 여부를 확인합니다. 현재 지원되는 버전 중 가장 오래된 버전은 1.27입니다. |
| 2024년 6월 10일 | [Config.1]AWS Config을 활성화하고 리소스 레코딩에 서비스 연결 역할을 사용해야 합니다. | 이 제어는 AWS Config이(가) 활성화되어 있고 AWS Config 리소스 기록이 켜져 있는지 여부를 확인합니다. 이전에는 모든 리소스에 대해 기록을 구성한 경우에만 제어에서 PASSED 조사 결과를 생성했습니다. Security Hub CSPM은 활성화된 제어에 필요한 리소스에 대해 기록이 켜져 있을 때 PASSED 조사 결과를 생성하도록 제어를 업데이트했습니다. 또한 필요한 리소스를 기록할 수 있는 권한을 제공하는 AWS Config 서비스 연결 역할이 사용되는지 여부를 확인하기 위해 제어가 업데이트되었습니다. |
| 2024년 5월 8일 | [S3.20] S3 범용 버킷에는 MFA 삭제가 활성화되어 있어야 합니다. | 이 제어는 Amazon S3 범용 버전 버킷에서 다중 인증(MFA) 삭제가 활성화되었는지 여부를 확인합니다. 이전에는 제어에서 수명 주기 구성이 있는 버킷에 대한 FAILED 조사 결과를 생성했습니다. 그러나 수명 주기 구성이 있는 버킷에서는 버전 관리가 있는 MFA 삭제를 활성화할 수 없습니다. Security Hub CSPM은 수명 주기 구성이 있는 버킷에 대한 조사 결과를 생성하지 않도록 제어를 업데이트했습니다. 제어 기능의 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 5월 2일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 통과된 조사 결과를 생성하기 위해 Amazon EKS 클러스터를 실행할 수 있도록 지원하는 Kubernetes의 가장 오래된 버전을 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.26입니다. |
| 2024년 4월 30일 | [CloudTrail.3] 하나 이상의 CloudTrail 추적을 활성화해야 합니다. | 제어 제목이 CloudTrail을 활성화해야 합니다에서 최소 CloudTrail 추적을 활성화해야 합니다로 변경되었습니다. 이 제어는 현재 AWS 계정에 하나 이상의 CloudTrail 추적이 활성화된 경우, PASSED 조사 결과를 생성합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 4월 29일 | [PCI.AutoScaling.1] 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다. | 제어 제목이 Classic Load Balancer와 연결된 Auto Scaling 그룹은 로드 밸런서 상태 확인을 사용해야 합니다에서 로드 밸런서와 연결된 Auto Scaling 그룹은 ELB 상태 확인을 사용해야 합니다로 변경되었습니다. 이 제어는 현재 Application, Gateway, Network 및 Classic Load Balancer를 평가합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 4월 19일 | [CloudTrail.1] CloudTrail은 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적으로 활성화되고 구성되어야 합니다. | 제어는 AWS CloudTrail이(가) 활성화되었는지 및 읽기 및 쓰기 관리 이벤트를 포함하는 하나 이상의 다중 리전 추적이 구성되었는지 여부를 확인합니다. 이전에는 추적이 읽기 및 쓰기 관리 이벤트를 캡처하지 않았더라도, 계정에 CloudTrail이 활성화되고 하나 이상의 다중 리전 추적으로 구성된 경우, 제어에서 PASSED 조사 결과가 잘못 생성되었습니다. 이제 제어는 CloudTrail가 활성화되고 읽기 및 쓰기 관리 이벤트를 캡처하는 다중 리전 추적이 하나 이상 구성된 경우에만 PASSED 조사 결과를 생성합니다. |
| 2024년 4월 10일 | [Athena.1] Athena 워크그룹은 저장 시 암호화되어야 합니다 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. Athena 작업 그룹은 Amazon Simple Storage Service(Amazon S3) 버킷에 로그를 전송합니다. Amazon S3는 이제 새로운 및 기존 S3 버킷에 S3 관리형 키(SS3-S3)를 사용한 기본 암호화를 제공합니다. |
| 2024년 4월 10일 | [AutoScaling.4] Auto Scaling 그룹 시작 구성에는 1보다 큰 메타데이터 응답 홉 제한이 있어서는 안 됩니다 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스에 대한 메타데이터 응답 홉 제한은 워크로드에 따라 다릅니다. |
| 2024년 4월 10일 | [CloudFormation.1] CloudFormation 스택은 SNS(Simple Notification Service)와 통합 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. AWS CloudFormation 스택을 Amazon SNS 주제와 통합하는 것은 더 이상 보안 모범 사례가 아닙니다. 중요한 CloudFormation 스택을 SNS 주제와 통합하는 것이 유용할 수 있지만 모든 스택에 필요한 것은 아닙니다. |
| 2024년 4월 10일 | [CodeBuild.5] CodeBuild 프로젝트 환경에서는 권한 모드가 활성화되어서는 안 됩니다 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. CodeBuild 프로젝트에서 권한 있는 모드를 활성화해도 고객 환경에 추가 위험이 발생하지 않습니다. |
| 2024년 4월 10일 | [IAM.20] 루트 사용자의 사용을 피합니다 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. 이 제어의 목적은 다른 제어인 [CloudWatch.1] 루트 사용자 사용을 위한 로그 메트릭 필터 및 경보가 있는지 확인합니다.에서 다룹니다. |
| 2024년 4월 10일 | [SNS.2] 주제에 전송된 알림 메시지에 대해 전송 상태 로깅이 활성화되어야 합니다 | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. SNS 주제에 대한 전송 상태 로깅은 더 이상 보안 모범 사례가 아닙니다. 중요한 SNS 주제에 대한 전송 상태 로깅이 유용할 수 있지만 모든 주제에 필요한 것은 아닙니다. |
| 2024년 4월 10일 | [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준: AWS Control Tower에서 이 제어를 제거했습니다. 이 제어의 목적은 두 가지 다른 제어인 [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 및 [S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다에서 다룹니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 10일 | [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다 | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준: AWS Control Tower에서 이 제어를 제거했습니다. S3 버킷에 대한 이벤트 알림이 유용한 경우가 있지만, 이는 범용 보안 모범 사례는 아닙니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 10일 | [SNS.1] SNS 주제는 AWS KMS을 사용하여 저장 시 암호화되어야 합니다. | Security Hub CSPM은 AWS 기본 보안 모범 사례 및 서비스 관리형 표준: AWS Control Tower에서 이 제어를 제거했습니다. 기본적으로 SNS는 디스크 암호화를 통해 저장 중인 주제를 암호화합니다. 자세한 내용은 데이터 암호화를 참조하세요. AWS KMS을(를) 사용하여 주제를 암호화하는 것은 더 이상 보안 모범 사례로 권장되지 않습니다. 이 제어는 여전히 NIST SP 800-53 개정판 5에 포함됩니다. |
| 2024년 4월 8일 | [ELB.6] 애플리케이션, 게이트웨이, Network Load Balancers에는 삭제 보호가 활성화되어 있어야 합니다. | 제어 제목이 Application Load Balancer 삭제 방지를 활성화해야 합니다에서 Application, Gateway 및 Network Load Balancer 삭제 방지가 활성화되어 있어야 합니다로 변경되었습니다. 이 제어는 현재 Application, Gateway 및 Network Load Balancer를 평가합니다. 현재 동작을 정확하게 반영하도록 제목과 설명이 변경되었습니다. |
| 2024년 3월 22일 | [Opensearch.8] OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다. | 제어 제목이 OpenSearch 도메인에 대한 연결은 TLS 1.2를 사용하여 암호화해야 합니다에서 OpenSearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다로 변경되었습니다. 이전에는 컨트롤이 OpenSearch 도메인에 대한 연결에 TLS 1.2가 사용되었는지만 확인했습니다. 이제 제어는 OpenSearch 도메인이 최신 TLS 보안 정책을 사용하여 암호화되는 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목과 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 3월 22일 | [ES.8] Elasticsearch 도메인에 대한 연결은 TLS 보안 정책을 사용하여 암호화해야 합니다. | 제어 제목이 Elasticsearch 도메인에 대한 연결은 TLS 1.2를 사용하여 암호화되어야 합니다에서 Elasticsearch 도메인에 대한 연결은 최신 TLS 보안 정책을 사용하여 암호화되어야 합니다로 변경되었습니다. 이전에는 제어가 Elasticsearch 도메인에 대한 연결에 TLS 1.2가 사용되었는지 여부만 확인했습니다. 이제 제어는 Elasticsearch 도메인이 최신 TLS 보안 정책을 사용하여 암호화되는 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목과 설명이 현재 동작을 반영하도록 업데이트되었습니다. |
| 2024년 3월 12일 | [S3.1] S3 범용 버킷은 퍼블릭 액세스 차단 설정을 활성화해야 합니다 | 제목이 S3 퍼블릭 액세스 차단 설정이 활성화되어야 합니다에서 S3 범용 버킷에는 공개 액세스 차단 설정이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.2] S3 범용 버킷은 퍼블릭 읽기 액세스를 차단해야 합니다. | 제목이 S3 버킷은 공개 읽기 액세스를 금지해야 합니다에서 S3 범용 버킷은 공개 읽기 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.3] S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다 | 제목이 S3 버킷은 공개 쓰기 액세스를 금지해야 합니다에서 S3 범용 버킷은 공개 쓰기 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.5] S3 범용 버킷은 SSL 사용 요청이 필요합니다 | 제목이 S3 버킷에는 보안 소켓 계층(Secure Socket Layer) 사용 요청이 필요합니다에서S3 범용 버킷에는 SSL 사용 요청이 필요합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.6] S3 범용 버킷 정책은 다른 AWS 계정에 대한 액세스를 제한해야 합니다. | 제목이 버킷 정책에서 다른 AWS 계정에 부여된 S3 권한을 제한해야 합니다에서 S3 범용 버킷 정책은 다른 AWS 계정에 대한 액세스를 제한해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | 제목이 S3 버킷은 리전 간 복제가 활성화되어 있어야 합니다에서 S3 범용 버킷은 리전 간 복제를 사용해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | 제목이 S3 버킷은 리전 간 복제가 활성화되어 있어야 합니다에서 S3 범용 버킷은 리전 간 복제를 사용해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.8] S3 범용 버킷은 퍼블릭 액세스를 차단해야 합니다. | 제목이 S3 공개 액세스 차단 설정이 버킷 수준에서 활성화되어야 합니다에서 S3 범용 버킷은 공개 액세스를 차단해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.9] S3 범용 버킷에는 서버 액세스 로깅이 활성화되어 있어야 합니다 | 제목이 S3 버킷 서버 액세스 로깅이 활성화되어야 합니다에서 S3 범용 버킷에 대해 서버 액세스 로깅을 활성화해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.10] 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | 제목이 버전 관리가 활성화된 S3 버킷에는 수명 주기 정책이 구성되어 있어야 합니다 에서 버전 관리가 활성화된 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.11] S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다 | 제목이 S3 버킷에는 이벤트 알림이 활성화되어 있어야 합니다에서 S3 범용 버킷에는 이벤트 알림이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.12] S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다 | 제목이 버킷에 대한 사용자 액세스를 관리하는 데 S3 액세스 제어 목록(ACLs)를 사용해서는 안 됩니다에서 S3 범용 버킷에 대한 사용자 액세스를 관리하는 데 ACL을 사용해서는 안 됩니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.13] S3 범용 버킷에는 수명 주기 구성이 있어야 합니다 | 제목이 S3 버킷에는 수명 주기 정책이 구성되어 있어야 합니다에서 S3 범용 버킷에는 수명 주기 구성이 있어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.14] S3 범용 버킷에는 버전 관리가 활성화되어 있어야 합니다 | 제목이 S3 버킷은 버전 관리를 사용해야 합니다에서 S3 범용 버킷에서는 버전 관리를 활성화해야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.15] S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다. | 제목이 S3 버킷이 Object Lock을 사용하도록 구성해야 합니다에서 S3 범용 버킷에는 Object Lock이 활성화되어 있어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 12일 | [S3.17] S3 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다 | 제목이 S3 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다에서 S3 범용 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다로 변경되었습니다. Security Hub CSPM은 새로운 S3 버킷 유형을 설명하도록 제목을 변경했습니다. |
| 2024년 3월 7일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 nodejs20.x 및 ruby3.3을 파라미터로 지원합니다. |
| 2024년 2월 22일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 dotnet8를 파라미터로 지원합니다. |
| 2024년 2월 5일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 통과된 조사 결과를 생성하기 위해 Amazon EKS 클러스터를 실행할 수 있도록 지원하는 Kubernetes의 가장 오래된 버전을 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.25입니다. |
| 2024년 1월 10일 | [CodeBuild.1] CodeBuild Bitbucket 소스 리포지토리 URL에는 민감한 보안 인증 정보가 포함되어서는 안 됩니다. | 제목이 CodeBuild GitHub 또는 Bitbucket 소스 리포지토리 URL은 OAuth를 사용해야 합니다에서 CodeBuild Bitbucket 소스 리포지토리 URL은 민감한 보안 인증 정보를 포함하지 않아야 합니다로 변경되었습니다. 다른 연결 방법도 안전할 수 있으므로 Security Hub CSPM은 OAuth에 대한 언급을 제거했습니다. GitHub 소스 리포지토리 URL에 개인 액세스 토큰 또는 사용자 이름과 암호를 더 이상 가질 수 없으므로 Security Hub CSPM은 GitHub에 대한 언급을 제거했습니다. |
| 2024년 1월 8일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 go1.x 및 java8를 파라미터로 지원하지 않습니다. 사용 중지된 런타임이기 때문입니다. |
| 2023년 12월 29일 | [RDS.8] RDS DB 인스턴스에는 삭제 방지 기능이 활성화되어 있어야 합니다. | RDS.8은 지원되는 데이터베이스 엔진 중 하나를 사용하는 Amazon RDS DB 인스턴스에 삭제 보호가 활성화되어 있는지 확인합니다. Security Hub CSPM은 이제 custom-oracle-ee, oracle-ee-cdb 및 oracle-se2-cdb를 데이터베이스 엔진으로 지원합니다. |
| 2023년 12월 22일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 java21 및 python3.12을 파라미터로 지원합니다. Security Hub CSPM은 더 이상 ruby2.7를 파라미터로 지원하지 않습니다. |
| 2023년 12월 15일 | [CloudFront.1] CloudFront 배포에는 기본 루트 객체가 구성되어 있어야 합니다. | CloudFront.1은 Amazon CloudFront 배포에 기본 루트 객체가 구성되어 있는지 확인합니다. Security Hub CSPM은 기본 루트 객체를 추가하는 것이 사용자의 애플리케이션 및 특정 요구 사항에 따라 달라지는 권장 사항이기 때문에 이 제어의 심각도를 심각에서 높음으로 낮췄습니다. |
| 2023년 12월 5일 | [EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다. | 제어 기능의 제목이 보안 그룹은 0.0.0.0/0에서 포트 22로의 수신을 허용하지 않아야 합니다에서 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용하지 않아야 합니다로 변경되었습니다. |
| 2023년 12월 5일 | [EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다. | 제어 기능의 제목이 0.0.0.0/0에서 포트 3389로의 수신을 허용하는 보안 그룹이 없는지 확인합니다에서 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용하지 않아야 합니다로 변경되었습니다. |
| 2023년 12월 5일 | [RDS.9] RDS DB 인스턴스는 로그를 CloudWatch Logs에 게시해야 합니다. | 제어 기능의 제목이 데이터베이스 로깅을 활성화해야 합니다에서 RDS DB 인스턴스는 CloudWatch Logs에 로그를 게시해야 합니다로 변경되었습니다. Security Hub CSPM은 이 제어는 로그가 Amazon CloudWatch Logs에 게시되었는지 여부만 확인하고 RDS 로그가 활성화되었는지 여부는 확인하지 않는다는 것을 식별했습니다. 이 제어는 RDS DB 인스턴스가 CloudWatch Logs에 로그를 게시하도록 구성된 경우, PASSED 조사 결과를 생성합니다. 제어 기능의 제목이 현재 동작을 반영하여 업데이트되었습니다. |
| 2023년 12월 5일 | [EKS.8] EKS 클러스터에는 감사 로깅이 활성화되어 있어야 합니다. | 이 제어는 Amazon EKS 클러스터에 감사 로깅이 활성화되어 있는지 여부를 확인합니다. Security Hub CSPM이 이 제어를 평가하는 데 사용하는 AWS Config 규칙이 eks-cluster-logging-enabled에서 eks-cluster-log-enabled로 변경되었습니다. |
| 2023년 11월 17일 | [EC2.19] 보안 그룹은 위험이 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다. | EC2.19가 보안 그룹에 대한 무제한 수신 트래픽이 위험이 높다고 간주되는 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 원본으로 제공될 때 이를 반영하도록 이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우, FAILED 조사 결과를 생성합니다. |
| 2023년 11월 16일 | [CloudWatch.15] CloudWatch 경보에는 지정된 구성되어 있어야 합니다. | 제어 기능의 제목이 CloudWatch 경보에는 경보 상태에 맞게 구성된 작업이 있어야 합니다에서 CloudWatch 경보에는 지정된 작업이 구성되어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [CloudWatch.16] CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다. | 제어 기능의 제목이 CloudWatch 로그 그룹은 최소 1년 동안 보존되어야 합니다에서 CloudWatch 로그 그룹은 지정된 기간 동안 보존되어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [Lambda.5] VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다. | 제어 기능의 제목이 VPC Lambda 함수는 두 개 이상의 가용 영역에서 작동해야 합니다에서 VPC Lambda 함수는 여러 가용 영역에서 작동해야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [AppSync.2] AWS AppSync에는 필드 수준 로깅이 활성화되어 있어야 합니다. | 제어 기능의 제목이 AWS AppSync는 request-level 및 field-level 로깅을 활성화된 상태로 두어야 합니다에서 AWS AppSync는 field-level 로깅을 활성화된 상태로 두어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [EMR.1] Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다. | 제어 기능의 제목이 Amazon Elastic MapReduce 클러스터 마스터 노드에는 퍼블릭 IP 주소가 없어야 합니다에서 Amazon EMR 클러스터 프라이머리 노드에는 퍼블릭 IP 주소가 없어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [Opensearch.2] OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | 제어 기능의 제목이 OpenSearch 도메인은 VPC에 있어야 합니다에서 OpenSearch 도메인은 공개적으로 액세스할 수 없어야 합니다로 변경되었습니다. |
| 2023년 11월 16일 | [ES.2] Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다. | 제어 기능의 제목이 Elasticsearch 도메인은 VPC에 있어야 합니다에서 Elasticsearch 도메인은 공개적으로 액세스할 수 없어야 합니다로 변경되었습니다. |
| 2023년 10월 31일 | [ES.4] CloudWatch Logs에 대한 Elasticsearch 도메인 오류 로깅이 활성화되어야 합니다. | ES.4가 Elasticsearch 도메인이 오류 로그를 Amazon CloudWatch Logs로 전송하도록 구성되어 있는지 여부를 확인합니다. 이 제어 기능은 이전에 CloudWatch Logs로 전송하도록 구성된 모든 로그를 보유하고 있는 Elasticsearch 도메인에 대한 PASSED 조사 결과를 생성했습니다. Security Hub CSPM은 오류 로그를 CloudWatch Logs로 전송하도록 구성된 Elasticsearch 도메인에 대한 PASSED 조사 결과만 생성하도록 제어를 업데이트했습니다. 또한, 오류 로그를 지원하지 않는 Elasticsearch 버전을 평가에서 제외하도록 제어 기능을 업데이트했습니다. |
| 2023년 10월 16일 | [EC2.13] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 22로의 수신을 허용해서는 안 됩니다. | EC2.13은 보안 그룹이 포트 22에 대한 무제한 수신 액세스를 허용하는지 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 원본으로 제공될 때 이를 반영하도록 이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [EC2.14] 보안 그룹은 0.0.0.0/0 또는 ::/0에서 포트 3389로의 수신을 허용해서는 안 됩니다. | EC2.14는 보안 그룹이 포트 3389에 대한 무제한 수신 액세스를 허용하는지 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 원본으로 제공될 때 이를 반영하도록 이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [EC2.18] 보안 그룹은 승인된 포트에 대해 무제한 수신 트래픽만 허용해야 합니다. | EC2.18은 사용 중인 보안 그룹이 무제한 수신 트래픽을 허용하는지 여부를 확인합니다. Security Hub CSPM은 관리형 접두사 목록이 보안 그룹 규칙의 원본으로 제공될 때 이를 반영하도록 이 제어를 업데이트했습니다. 이 제어는 접두사 목록에 '0.0.0.0/0' 또는 '::/0' 문자열이 포함된 경우 FAILED 결과를 생성합니다. |
| 2023년 10월 16일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 python3.11를 파라미터로 지원합니다. |
| 2023년 10월 4일 | [S3.7] S3 범용 버킷은 리전 간 복제를 사용해야 합니다 | Security Hub CSPM은 S3 버킷에서 동일 리전 복제 대신 리전 간 복제가 활성화되도록 하기 위해 값이 CROSS-REGION인 파라미터 ReplicationType을 추가했습니다. |
| 2023년 9월 27일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | Security Hub CSPM은 통과된 조사 결과를 생성하기 위해 Amazon EKS 클러스터를 실행할 수 있도록 지원하는 Kubernetes의 가장 오래된 버전을 업데이트했습니다. 현재 지원되는 버전 중 가장 오래된 버전은 Kubernetes 1.24입니다. |
| 2023년 9월 20일 | [CloudFront.2] CloudFront 배포에는 오리진 액세스 ID가 활성화되어 있어야 합니다. | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. 대신 [CloudFront.13] CloudFront 배포는 오리진 액세스 제어를 사용해야 합니다. 섹션을 참조하세요. 원본 액세스 제어 기능은 현재 보안 모범 사례입니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 20일 | [EC2.22] 사용하지 않는 Amazon EC2 보안 그룹을 제거해야 합니다. | Security Hub CSPM은 AWS 기본 보안 모범 사례(FSBP) 및 미국 국립표준기술연구소(NIST) SP 800-53 Rev. 5에서 이 제어를 제거했습니다. 여전히 이 제어는 서비스 관리형 표준: AWS Control Tower의 일부입니다. 이 제어는 보안 그룹이 EC2 인스턴스 또는 탄력적 네트워크 인터페이스에 연결된 경우, 통과된 조사 결과를 생성합니다. 하지만, 특정 사용 사례에 대해서는 연결되지 않은 보안 그룹이 보안 위험을 초래하지는 않습니다. EC2.2, EC2.13, EC2.14, EC2.18, EC2.19 등의 다른 EC2 제어를 사용하여 보안 그룹을 모니터링할 수 있습니다. |
| 2023년 9월 20일 | [EC2.29] EC2 인스턴스는 VPC에서 시작해야 합니다. | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. Amazon EC2는 EC2-Classic 인스턴스를 VPC로 마이그레이션했습니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 20일 | [S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다. | Security Hub CSPM은 이 제어를 사용 중지했고 모든 표준에서 제거했습니다. Amazon S3는 이제 새로운 및 기존 S3 버킷에 S3 관리형 키(SS3-S3)를 사용한 기본 암호화를 제공합니다. SS3-S3 또는 SS3-KMS 서버 측 암호화로 암호화된 기존 버킷의 암호화 설정은 변경되지 않습니다. 이 제어는 90일 후에 설명서에서 제거됩니다. |
| 2023년 9월 14일 | [EC2.2] VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됩니다. | 제어 기능의 제목이 VPC 기본 보안 그룹은 인바운드 및 아웃바운드 트래픽을 허용해서는 안 됨에서 VPC 기본 보안 그룹들은 인바운드 또는 아웃바운드 트래픽을 허용해서는 안 됨으로 변경되었습니다. |
| 2023년 9월 14일 | [IAM.9] 루트 사용자에 대해 MFA를 활성화해야 합니다. | 제어 기능의 제목이 가상 MFA는 루트 사용자에 대해 활성화되어야 함에서 MFA는 루트 사용자에 대해 활성화되어야 함으로 변경되었습니다. |
|
2023년 9월 14일 |
[RDS.19] 중요한 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다. | 제어 기능의 제목이 중요 클러스터 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 함에서 중요 클러스터 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [RDS.20] 중요한 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 합니다. | 제어 기능의 제목이 중요 데이터베이스 인스턴스 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 함에서 중요 데이터베이스 인스턴스 이벤트에 대해 기존 RDS 이벤트 알림 구독을 구성해야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.2] AWS WAF 클래식 리전별 규칙에는 하나 이상의 조건이 있어야 합니다. | 제어 기능의 제목이 WAF 리전 규칙에는 하나 이상의 조건이 있어야 함에서 AWS WAF 클래식 리전 규칙에는 하나 이상의 조건이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.3] AWS WAF 클래식 리전별 규칙 그룹에는 규칙이 하나 이상 있어야 합니다. | 제어 기능의 제목이 WAF 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 함에서 AWS WAF 클래식 리전 규칙 그룹에는 하나 이상의 규칙이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.4] AWS WAF 클래식 리전별 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다. | 제어 기능의 제목이 WAF 리전 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 클래식 리전 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.6] AWS WAF 클래식 글로벌 규칙에는 하나 이상의 조건이 있어야 합니다. | 제어 기능의 제목이 WAF 전역 규칙에는 하나 이상의 조건이 있어야 함에서 AWS WAF 클래식 전역 규칙에는 하나 이상의 조건이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.7] AWS WAF 클래식 글로벌 규칙 그룹에는 규칙이 하나 이상 있어야 합니다. | 제어 기능이 제목이 WAF 전역 규칙 그룹에는 하나 이상의 규칙이 있어야 함에서 AWS WAF 클래식 전역 규칙 그룹에는 하나 이상의 규칙이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.8] AWS WAF 클래식 글로벌 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 합니다. | 제어 기능의 제목이 WAF 전역 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 클래식 전역 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.10] AWS WAF 웹 ACL에는 규칙 또는 규칙 그룹이 하나 이상 있어야 합니다. | 제어 기능의 제목이 WAFv2 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함에서 AWS WAF 웹 ACL에는 하나 이상의 규칙 또는 규칙 그룹이 있어야 함으로 변경되었습니다. |
| 2023년 9월 14일 | [WAF.11] AWS WAF 웹 ACL 로깅을 활성화해야 합니다. | 제어 기능의 제목이 AWS WAFv2 웹 ACL 로깅을 활성화해야 함에서 AWS WAF 웹 ACL 로깅을 활성화해야 함으로 변경되었습니다. |
|
2023년 7월 20일 |
[S3.4] S3 버킷에는 서버 측 암호화가 활성화되어 있어야 합니다. | S3.4는 Amazon S3 버킷에 서버 측 암호화가 활성화되어 있는지 또는 S3 버킷 정책이 서버 측 암호화되지 않은 PutObject 요청을 명시적으로 거부하는지 확인합니다. Security Hub CSPM은 KMS 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS)를 포함하도록 이 제어를 업데이트했습니다. 이 제어 기능은 S3 버킷이 SSE-S3, SSE-KMS 또는 DSSE-KMS로 암호화될 때 통과된 조사 결과를 생성합니다. |
| 2023년 7월 17일 | [S3.17] S3 버킷은 저장 시 AWS KMS keys로 암호화되어야 합니다 | S3.17은 Amazon S3 버킷이 AWS KMS key을(를) 사용하여 암호화되었는지 여부를 확인합니다. Security Hub CSPM은 KMS 키를 사용한 이중 계층 서버 측 암호화(DSSE-KMS)를 포함하도록 이 제어를 업데이트했습니다. 이 제어 기능은 S3 버킷이 SSE-KMS 또는 DSSE-KMS로 암호화될 때 통과된 조사 결과를 생성합니다. |
| 2023년 6월 9일 | [EKS.2] EKS 클러스터는 지원되는 Kubernetes 버전에서 실행되어야 합니다. | EKS.2는 Amazon EKS 클러스터가 지원되는 Kubernetes 버전에서 실행되고 있는지 확인합니다. 현재 지원되는 가장 오래된 버전은 1.23입니다. |
| 2023년 6월 9일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 ruby3.2를 파라미터로 지원합니다. |
| 2023년 6월 5일 | [APIGateway.5] API Gateway REST API 캐시 데이터는 저장 시 암호화되어야 합니다. | APIGateway.5.는 Amazon API Gateway REST API 스테이지의 모든 메서드가 저장 시 암호화되어 있는지 확인합니다. Security Hub CSPM은 특정 메서드에 대해 캐싱이 활성화된 경우에만 해당 메서드의 암호화를 평가하도록 제어를 업데이트했습니다. |
| 2023년 5월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 java17를 파라미터로 지원합니다. |
| 2023년 5월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 nodejs12.x를 파라미터로 지원하지 않습니다. |
| 2023년 4월 23일 | [ECS.10] ECS Fargate 서비스는 최신 Fargate 플랫폼 버전에서 실행되어야 합니다. | ECS.10은 Amazon ECS Fargate 서비스가 최신 Fargate 플랫폼 버전을 실행하고 있는지 여부를 확인합니다. 고객은 ECS를 통해 직접 또는 CodeDeploy를 사용하여 Amazon ECS를 배포할 수 있습니다. Security Hub CSPM은 CodeDeploy를 사용하여 ECS Fargate 서비스를 배포할 때 통과됨 조사 결과를 생성하도록 이 제어를 업데이트했습니다. |
| 2023년 4월 20일 | [S3.6] S3 범용 버킷 정책은 다른 AWS 계정에 대한 액세스를 제한해야 합니다. | S3.6은 Amazon Storage Service(Amazon S3) 버킷 정책이 다른 AWS 계정의 보안 주체가 S3 버킷의 리소스에서 거부된 작업을 수행하는 것을 방지하는지 여부를 확인합니다. Security Hub CSPM은 버킷 정책에서 조건문을 반영하도록 제어를 업데이트했습니다. |
| 2023년 4월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 이제 python3.10를 파라미터로 지원합니다. |
| 2023년 4월 18일 | [Lambda.2] Lambda 함수는 지원되는 런타임을 사용해야 합니다. | Lambda.2는 런타임에 대한 AWS Lambda 함수 설정이 지원되는 각 언어의 최신 런타임에 설정된 예상 값과 일치하는지 확인합니다. Security Hub CSPM은 더 이상 dotnetcore3.1를 파라미터로 지원하지 않습니다. |
| 2023년 4월 17일 | [RDS.11] RDS 인스턴스에는 자동 백업이 활성화되어 있어야 합니다. | RDS.11은 Amazon RDS 인스턴스에 백업 보존 기간이 7일 이상인 자동 백업이 활성화되어 있는지 여부를 확인합니다. 모든 엔진이 읽기 전용 복제본의 자동 백업을 지원하는 것은 아니므로 Security Hub CSPM은 읽기 전용 복제본을 평가에서 제외하도록 이 제어를 업데이트했습니다. 또한, RDS는 읽기 전용 복제본을 생성할 때 백업 보존 기간을 지정하는 옵션을 제공하지 않습니다. 읽기 전용 복제본은 기본적으로 백업 보존 기간을 0(으)로 설정하여 생성됩니다. |
