AWS
AWS 진단 항목
| 카테고리 | 리소스 | 옵션 | 항목 | 설명 | 위험도 | ISO27001 | CSAP | ISMS-P | 안정성 평가 |
|---|---|---|---|---|---|---|---|---|---|
| Backup | Backup Vault | Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Cloudfront | Cloudfront Distribution | Logging > Logging Enabled | 로깅 모니터링 | 로깅 비활성화 | MEDIUM | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Cloudfront | Cloudfront Distribution | Linked Waf Web Acl Name | 네트워크 보안 | 웹 방화벽 부재 | HIGH | 8.1 운영 계획 및 통제 | 11.1.1 네트워크 보안정책 수립 | 2.10 시스템 및 서비스 보안관리 | 8.3.1 인프라 보안 |
| Cloudfront | Cloudfront Distribution | Viewer Certificate > Default Certificate Enabled, Viewer Certificate > Minimum Protocol Version | 암호화 | 취약한 tls 버전 사용 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Cloudfront | Cloudfront Distribution | Cache Behavior > Viewer Protocol Policy | 암호화 | 모든 프로토콜 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Cloudtrail | Cloudtrail | Multi Region Enabled | 로깅 모니터링 | 멀티 리전 설정 비활성화 | MEDIUM | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Cloudwatch | Cloudwatch | Retention In Days | 로깅 모니터링 | 로그 보관 기간 1년 미만 | MEDIUM | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Cloudwatch | Cloudwatch | Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Dynamodb | Dynamodb | Point In Time Recovery Enabled | 데이터 보호 | 특정 시점 복구 설정 비활성화 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Dynamodb | Dynamodb | Server Side Encryption > Encryption Enabled | 암호화 | 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Ec2 | Instance | Http Tokens | 접근 통제 | 세션 토큰 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Ecr | Ecr Repository | Policy > Effect, Policy > Enabled Not Action, Policy > Actions | 접근 통제 | 전체 권한 부여 | HIGH | 8.1 운영 계획 및 통제 | 10.2.1. 사용자 등록 및 권한부여 | 2.5 인증 및 권한관리 | 7.2.2 접근권한 관리 |
| Ecr | Ecr Repository | Scan On Push | 데이터 보호 | 이미지 스캔 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Ecr | Ecr Repository | Image Tag Mutability | 데이터 보호 | 태그 변경 가능 | HIGH | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Ecr | Ecr Repository | Encryption Type | 암호화 | kms 미적용 >> AES256 암호화를 사용하여 이미지 데이터가 매우 강력하게 보호됨 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Ecs | Ecs Cluster | Set Container Insights | 로깅 모니터링 | cloudwatch container insights 비활성화 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Ecs | Ecs Cluster | Logging | 로깅 모니터링 | 로그 비활성화 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Ecs | Ecs Cluster | Logging, Cloud Watch Encryption Enabled | 암호화 | 로그 암호화 비활성화 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Ecs | Ecs Cluster | Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Efs | Efs | Access Point > Root Directory Path | 접근 통제 | 전체 파일시스템 노출 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Efs | Efs | Enable Encrypted | 암호화 | 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Eks | Eks Cluster | Enabled Cluster Log Types | 로깅 모니터링 | 로깅 설정 일부 비활성화 | MEDIUM | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Eks | Eks Cluster | Endpoint Access Type, Public Access Cidrs | 접근 통제 | public 네트워크에 cidr 전체 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Eks | Eks Cluster | Endpoint Access Type | 접근 통제 | eks public 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Eks | Eks Cluster | Enabled Encryption | 암호화 | secret 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Elasticache | Elasticache Cluster | Snapshot Retention Limit | 데이터 보호 | 스냅샷 보존 시간 설정 부재 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Elasticsearch | Elasticsearch | Tls Security Policy | 암호화 | 취약한 tls 버전 사용 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Elasticsearch | Elasticsearch | Encryption > Data At Rest Encryption Enabled | 암호화 | 저장된 데이터 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Elasticsearch | Elasticsearch | Encryption > Node To Node Encryption Enabled | 암호화 | 노드 간 트래픽 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Elasticsearch | Elasticsearch | Encryption > Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Elasticsearch | Elasticsearch | Encryption > Enforce Https | 암호화 | 암호화 되지 않은 프로토콜 사용 가능 | CRITICAL | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Kms | Kms Key | Enable Key Rotation | 암호화 | 키 자동 회전 비활성화 | MEDIUM | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Lambda Function | Lambda Function | Tracing Enabled | 로깅 모니터링 | 람다 X-Ray 추적 비활성화 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Lambda Function | Lambda Function | Environment Variable | 데이터 보호 | 환경변수에 시크릿 정보 포함 | CRITICAL | - | 9.1.1. 가상자원 관리 | 2.10 시스템 및 서비스 보안관리 | 8.1.1 가상화 보안 |
| Lambda Function | Lambda Function | Included Subnet Names, Linked Security Group Names | 네트워크 보안 | security group 미설정 | HIGH | 8.1 운영 계획 및 통제 | 11.1.1 네트워크 보안정책 수립 | 2.10 시스템 및 서비스 보안관리 | 8.3.1 인프라 보안 |
| Lb | Lb | Internal | 접근 통제 | 로드밸런서 외부 노출 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Lb | Lb | Drop Invalid Header | 네트워크 보안 | 부적절한 헤더 차단 설정 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 11.1.1 네트워크 보안정책 수립 | 2.10 시스템 및 서비스 보안관리 | 8.3.1 인프라 보안 |
| Lb | Lb | Listener > Ssl Policy | 암호화 | 취약한 tls 버전 사용 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Lb | Lb | Listener > Protocol | 암호화 | 암호화 되지 않은 프로토콜 사용 | CRITICAL | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Rds | Aurora | Monitoring > Performance Insights Enabled | 로깅 모니터링 | 성능 인사이트 비활성화 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Rds | Aurora | Multi Az Enabled | 데이터 보호 | 다중 az 설정 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 6.2.2. 이중화 및 백업 | 2.9 시스템 및 서비스 운영관리 | 5.2.1 서비스 가용성 |
| Rds | Aurora | Backup > Backup Retention Period | 데이터 보호 | 데이터 보존 기간 디폴트 값 사용 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Rds | Aurora | Monitoring > Performance Insights Enabled, Monitoring > Kms Key Name | 암호화 | 성능 인사이트 암호화 비활성화 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Rds | Aurora | Encryption > Storage Encrypted | 암호화 | rds 클러스터 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Monitoring > Performance Insights Enabled | 로깅 모니터링 | 성능 인사이트 비활성화 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Multi Az Enabled | 데이터 보호 | 다중 az 설정 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 6.2.2. 이중화 및 백업 | 2.9 시스템 및 서비스 운영관리 | 5.2.1 서비스 가용성 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Publicly Accessible | 접근 통제 | 데이터베이스 퍼블릭 접근 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Backup > Backup Retention Period | 데이터 보호 | 데이터 보존 기간 디폴트 값 사용 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Monitoring > Performance Insights Enabled, Monitoring > Kms Key Name | 암호화 | 성능 인사이트 암호화 비활성화 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Rds | Mariadb, Mssql, Mysql, Oracle, Postgresql | Encryption > Storage Encrypted | 암호화 | rds 데이터베이스 암호화 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| S3 | S3 Bucket | Enabled Logging | 로깅 모니터링 | 로깅 비활성화 | MEDIUM | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| S3 | S3 Bucket | Public Access Block > Block Public Acls | 접근 통제 | 퍼블릭 acl 차단 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| S3 | S3 Bucket | Public Access Block > Block Public Policy | 접근 통제 | 퍼블릭 정책 차단 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| S3 | S3 Bucket | Public Access Block > Ignore Public Acls | 접근 통제 | 퍼블릭 acl 무시 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| S3 | S3 Bucket | Public Access Block > Restrict Public Buckets | 접근 통제 | 퍼블릭 버킷 정책 제한 비활성화 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| S3 | S3 Bucket | Versioning Status | 데이터 보호 | 버전관리 중단 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| S3 | S3 Bucket | Sse Algorithm | 암호화 | kms 미적용 >> AES256 암호화를 사용하여 이미지 데이터가 매우 강력하게 보호됨 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| S3 | S3 Bucket | Sse Algorithm, Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Sns | Sns Topic | Kms Key Name | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Vpc | Endpoint Service | Acceptance Required | 접근 통제 | 연결 요청 수동 수락 비활성화 | LOW | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 FTP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 SSH 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 HTTP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Cidr Block, Ingress > Action, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 RDP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Cidr Block | 접근 통제 | cidr 전체 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Acl | Ingress > Protocol | 접근 통제 | 포트 전체 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Network Firewall | Enabled Delete Protection | 네트워크 보안 | 삭제 보호 설정 비활성화 | MEDIUM | 8.1 운영 계획 및 통제 | 12.1.4. 데이터 보호 | 2.9 시스템 및 서비스 운영관리 | 10.1.4 데이터 보호 |
| Vpc | Network Firewall | Encryption Configuration > Enabled Custom Configuration | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Vpc | Network Firewall Policy | Encryption Configuration > Enabled Custom Configuration | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Vpc | Network Firewall Rule Group | Encryption Configuration > Enabled Custom Configuration | 암호화 | kms 미적용 | LOW | 8.1 운영 계획 및 통제 | 12.3.1. 암호 정책 수립 | 2.7 암호화 적용 | 10.2.1 암호화 |
| Vpc | Security Group | Description | 로깅 모니터링 | 보안 그룹에 설명이 없어 관리 및 식별이 어려움 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Vpc | Security Group | Ingress > Description | 로깅 모니터링 | 인바운드 규칙에 설명이 없어 특정 규칙의 목적을 이해하기 어려움 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Vpc | Security Group | Egress > Description | 로깅 모니터링 | 아웃바운드 규칙에 설명이 없어 특정 규칙의 목적을 이해하기 어려움 | LOW | 9.1 모니터링, 측정, 분석 및 평가 | 7.2.2 감사기록 및 모니터링 | 2.11 사고 예방 및 대응 | 1.4.1 보안감사 |
| Vpc | Security Group | Ingress > Cidr Block | 접근 통제 | cidr 전체 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 FTP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 SSH 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 HTTP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Security Group | Ingress > Cidr Block, Ingress > From Port, To Port | 접근 통제 | 인터넷에서 RDP 액세스 허용 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Security Group | Egress > Cidr Block | 접근 통제 | cidr 전체 노출 | CRITICAL | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |
| Vpc | Subnet | Pip Enable | 접근 통제 | subnet public 노출 | HIGH | 8.1 운영 계획 및 통제 | 10.1.1. 접근통제 정책 수립 | 2.6 접근통제 | 7.1.1 접근통제 정책 |