취약점 발견 항목

Security Health Analytics 및 Web Security Scanner 감지기는 Security Command Center에서 제공되는 취약점 발견 항목을 생성합니다. Security Command Center에서 사용 설정된 경우 VM Manager와 같은 통합 서비스에서도 취약점 발견 항목을 생성합니다.

발견 항목을 보고 수정하는 기능은 할당된 Identity and Access Management(IAM) 역할과 권한에 따라 결정됩니다. Security Command Center의 IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.

감지기 및 규정 준수

Security Command Center는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.

Security Command Center는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 항목 목록이 표시됩니다.

CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.

Security Command Center는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.

보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.

규정 준수 관리에 대한 자세한 내용은 보안 표준 준수 평가 및 보고를 참조하세요.

지원되는 보안 표준

Google Cloud

Security Command Center는 Google Cloud의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

AWS

Security Command Center는 Amazon Web Services(AWS)의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

규정 준수 보고서 보기 및 내보내기에 대한 안내는 Google Cloud 콘솔에서 Security Command Center 사용규정 준수 섹션을 참조하세요.

해결 후 비활성화 찾기

취약점이나 잘못된 구성 발견 항목이 해결되면 발견 항목을 감지한 Security Command Center 서비스는 다음에 감지 서비스에서 발견 항목을 스캔할 때 발견 항목 상태를 INACTIVE로 자동 설정합니다. Security Command Center에서 해결된 발견 항목을 INACTIVE로 설정하는 데 걸리는 시간은 발견 항목을 감지하는 스캔 일정에 따라 다릅니다.

또한 Security Command Center 서비스는 스캔에서 발견 항목의 영향을 받는 리소스가 삭제됐음을 감지하면 취약점이나 잘못된 구성 발견 항목의 상태를 INACTIVE로 설정합니다.

스캔 간격에 대한 자세한 내용은 다음 주제를 참조하세요.

Security Health Analytics 발견 항목

Security Health Analytics 감지기는 Cloud 애셋 인벤토리(CAI)에서 리소스 하위 집합을 모니터링하고, 리소스 및 Identity and Access Management(IAM) 정책 변경사항에 대한 알림을 수신합니다. 일부 감지기는 이 페이지의 뒷부분에 있는 표에 표시된 것처럼 Google Cloud API를 직접 호출하여 데이터를 수신합니다.

Security Health Analytics, 스캔 일정, 기본 제공 및 커스텀 모듈 감지기 모두에 대한 Security Health Analytics 지원에 대한 자세한 내용은 Security Health Analytics 개요를 참조하세요.

다음 표에서는 Security Health Analytics 감지기, 지원되는 애셋 및 규정 준수 표준, 검사에 사용되는 설정, 생성되는 발견 항목 유형을 설명합니다. 개발자는 Google Cloud 콘솔의 Security Command Center 취약점 페이지를 사용하여 다양한 속성별로 발견 항목을 필터링할 수 있습니다.

문제 해결 및 리소스 보호에 대한 안내는 Security Health Analytics 발견 항목 구제 조치를 참조하세요.

API 키 취약점 발견 항목

API_KEY_SCANNER 감지기는 클라우드 배포에서 사용되는 API 키와 관련된 취약점을 식별합니다.

검사 프로그램 요약 애셋 검사 설정
API key APIs unrestricted

API의 카테고리 이름: API_KEY_APIS_UNRESTRICTED

발견 항목 설명: API 키가 너무 광범위하게 사용되고 있습니다. 이를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.12
  • CIS GCP Foundation 1.1: 1.14
  • CIS GCP Foundation 1.2: 1.14
  • CIS GCP Foundation 1.3: 1.14
  • CIS GCP Foundation 2.0: 1.14
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

프로젝트에서 모든 API 키의 restrictions 속성을 검색하고, cloudapis.googleapis.com으로 설정된 항목이 있는지 확인합니다.

  • 실시간 검사: 아니요
API key apps unrestricted

API의 카테고리 이름: API_KEY_APPS_UNRESTRICTED

발견 항목 설명: API 키가 제한되지 않은 방식으로 사용되어 신뢰할 수 없는 앱에서 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.11
  • CIS GCP Foundation 1.1: 1.13
  • CIS GCP Foundation 1.2: 1.13
  • CIS GCP Foundation 1.3: 1.13
  • CIS GCP Foundation 2.0: 1.13

프로젝트에서 모든 API 키의 restrictions 속성을 검색하고 browserKeyRestrictions, serverKeyRestrictions, androidKeyRestrictions, iosKeyRestrictions가 설정되었는지 확인합니다.

  • 실시간 검사: 아니요
API key exists

API의 카테고리 이름: API_KEY_EXISTS

발견 항목 설명: 한 프로젝트에 표준 인증 대신 API 키가 사용됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.10
  • CIS GCP Foundation 1.1: 1.12
  • CIS GCP Foundation 1.2: 1.12
  • CIS GCP Foundation 1.3: 1.12
  • CIS GCP Foundation 2.0: 1.12
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

프로젝트가 소유하는 모든 API 키를 검색합니다.

  • 실시간 검사: 아니요
API key not rotated

API의 카테고리 이름: API_KEY_NOT_ROTATED

발견 항목 설명: API 키가 90일 이상 순환되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.13
  • CIS GCP Foundation 1.1: 1.15
  • CIS GCP Foundation 1.2: 1.15
  • CIS GCP Foundation 1.3: 1.15
  • CIS GCP Foundation 2.0: 1.15
  • NIST 800-53 R5: PL-8, SA-8
  • PCI-DSS v4.0: 2.2.2, 6.2.1
  • ISO-27001 v2022: A.8.27
  • Cloud Controls Matrix 4: DSP-07
  • NIST Cybersecurity Framework 1.0: PR-IP-2
  • CIS Controls 8.0: 16.10

모든 API 키의 createTime 속성에 포함된 타임스탬프를 검색하고, 90일이 경과되었는지 확인합니다.

  • 실시간 검사: 아니요

Cloud 애셋 인벤토리 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud 애셋 인벤토리 구성과 관련이 있으며 CLOUD_ASSET_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Cloud Asset API disabled

API의 카테고리 이름: CLOUD_ASSET_API_DISABLED

발견 항목 설명: Cloud 애셋 인벤토리로 Google Cloud 리소스 및 IAM 정책을 캡처하면 보안 분석, 리소스 변경 추적, 규정 준수 감사가 사용 설정됩니다. 모든 프로젝트에 Cloud 애셋 인벤토리 서비스를 사용 설정하는 것이 좋습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
pubsub.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.3: 2.13
  • CIS GCP Foundation 2.0: 2.13
  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS Controls 8.0: 1.1, 6.6

Cloud 애셋 인벤토리 서비스가 사용 설정되어 있는지 확인합니다.

  • 실시간 검사: 예

Compute 이미지 취약점 발견 항목

COMPUTE_IMAGE_SCANNER 감지기는 Google Cloud 이미지 구성과 관련된 취약점을 식별합니다.

검사 프로그램 요약 애셋 검사 설정
Public Compute image

API의 카테고리 이름: PUBLIC_COMPUTE_IMAGE

발견 항목 설명: Compute Engine 이미지에 공개적으로 액세스할 수 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Image

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는 allUsers 또는 allAuthenticatedUsers 주 구성원을 확인합니다.

  • 실시간 검사: 예

컴퓨팅 인스턴스 취약점 발견 항목

COMPUTE_INSTANCE_SCANNER 감지기는 Compute Engine 인스턴스 구성과 관련된 취약점을 식별합니다.

COMPUTE_INSTANCE_SCANNER 감지기는 GKE에서 생성된 Compute Engine 인스턴스에 대해 발견 항목을 보고하지 않습니다. 이러한 인스턴스는 'gke-'로 시작하는 이름을 가지며, 사용자가 수정할 수 없습니다. 이러한 인스턴스를 보호하려면 컨테이너 취약점 발견 항목 섹션을 참조하세요.

검사 프로그램 요약 애셋 검사 설정
Confidential Computing disabled

API의 카테고리 이름: CONFIDENTIAL_COMPUTING_DISABLED

발견 항목 설명: 컨피덴셜 컴퓨팅이 Compute Engine 인스턴스에서 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 4.11
  • CIS GCP Foundation 1.3: 4.11
  • CIS GCP Foundation 2.0: 4.11
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

키-값 쌍 "enableConfidentialCompute":true에 대해 인스턴스 메타데이터의 confidentialInstanceConfig 속성을 확인합니다.

  • 스캔에서 제외된 애셋:
    • GKE 인스턴스
    • 서버리스 VPC 액세스
    • Dataflow 작업 관련 인스턴스
    • N2D 유형이 아닌 Compute Engine 인스턴스
  • 실시간 검사: 예
Compute project wide SSH keys allowed

API의 카테고리 이름: COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

발견 항목 설명: 프로젝트 전체 SSH 키가 사용되어 프로젝트의 모든 인스턴스에 로그인할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.2
  • CIS GCP Foundation 1.1: 4.3
  • CIS GCP Foundation 1.2: 4.3
  • CIS GCP Foundation 1.3: 4.3
  • CIS GCP Foundation 2.0: 4.3
  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.10, 5.2

키-값 쌍 "key": "block-project-ssh-keys", "value": TRUE에 대해 인스턴스 메타데이터에서 metadata.items[] 객체를 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업, Windows 인스턴스
  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 메타데이터를 읽습니다.
  • 실시간 검사: 아니요
Compute Secure Boot disabled

API의 카테고리 이름: COMPUTE_SECURE_BOOT_DISABLED

발견 항목 설명: 보안 VM에 보안 부팅이 사용 설정되지 않았습니다. 보안 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

Compute Engine 인스턴스에서 shieldedInstanceConfig 속성을 확인하여 enableSecureBoottrue로 설정되었는지 확인합니다. 이 감지기는 연결된 디스크가 보안 부팅과 호환되고 보안 부팅이 사용 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, GPU 액셀러레이터가 있고 Container-Optimized OS를 사용하지 않는 Compute Engine 디스크, 서버리스 VPC 액세스
  • 실시간 검사: 예
Compute serial ports enabled

API의 카테고리 이름: COMPUTE_SERIAL_PORTS_ENABLED

발견 항목 설명: 인스턴스에 직렬 포트가 사용 설정되어 인스턴스의 직렬 콘솔 연결이 허용됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.4
  • CIS GCP Foundation 1.1: 4.5
  • CIS GCP Foundation 1.2: 4.5
  • CIS GCP Foundation 1.3: 4.5
  • CIS GCP Foundation 2.0: 4.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

키-값 쌍 "key": "serial-port-enable", "value": TRUE에 대해 인스턴스 메타데이터에서 metadata.items[] 객체를 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스
  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 메타데이터를 읽습니다.
  • 실시간 검사: 예
Default service account used

API의 카테고리 이름: DEFAULT_SERVICE_ACCOUNT_USED

발견 항목 설명: 인스턴스가 기본 서비스 계정을 사용하도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 4.1
  • CIS GCP Foundation 1.2: 4.1
  • CIS GCP Foundation 1.3: 4.1
  • CIS GCP Foundation 2.0: 4.1
  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

인스턴스 메타데이터에서 서비스 계정 이메일 주소에 대해 Google이 만든 기본 서비스 계정임을 나타내는 프리픽스가 PROJECT_NUMBER-compute@developer.gserviceaccount.comserviceAccounts 속성을 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업
  • 실시간 검사: 예
Disk CMEK disabled

API의 카테고리 이름: DISK_CMEK_DISABLED

발견 항목 설명: 이 VM의 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Disk

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

diskEncryptionKey 객체, 디스크 메타데이터, CMEK의 리소스 이름에서 kmsKeyName 필드를 확인합니다.

  • 검사에서 제외된 애셋: Cloud Composer 환경, Dataflow 작업, GKE 인스턴스와 관련된 디스크
  • 실시간 검사: 예
Disk CSEK disabled

API의 카테고리 이름: DISK_CSEK_DISABLED

발견 항목 설명: 이 VM의 디스크가 고객 제공 암호화 키(CSEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 특수 사례 감지기를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Disk

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.6
  • CIS GCP Foundation 1.1: 4.7
  • CIS GCP Foundation 1.2: 4.7
  • CIS GCP Foundation 1.3: 4.7
  • CIS GCP Foundation 2.0: 4.7
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

diskEncryptionKey 객체에서 CSEK의 리소스 이름에 대해 kmsKeyName 필드를 확인합니다.

  • 검사에서 제외된 애셋:
    true로 설정된 enforce_customer_supplied_disk_encryption_keys 보안 표시가 없는 Compute Engine 디스크
  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 메타데이터를 읽습니다.
  • 실시간 검사: 예
Full API access

API의 카테고리 이름: FULL_API_ACCESS

발견 항목 설명: 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용하도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.1
  • CIS GCP Foundation 1.1: 4.2
  • CIS GCP Foundation 1.2: 4.2
  • CIS GCP Foundation 1.3: 4.2
  • CIS GCP Foundation 2.0: 4.2
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: IA-5
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 2.2.2, 2.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.8.2, A.8.9
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • SOC2 v2017: CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 4.7

serviceAccounts 속성에서 scopes 필드를 검색하여 기본 서비스 계정이 사용되는지 여부 및 cloud-platform 범위가 지정되었는지 여부를 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업
  • 실시간 검사: 예
HTTP load balancer

API의 카테고리 이름: HTTP_LOAD_BALANCER

발견 항목 설명: 인스턴스에서 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기가 사용됩니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/TargetHttpProxy

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 2.3

targetHttpProxy 리소스의 selfLink 속성이 전달 규칙의 target 속성과 일치하는지 그리고 전달 규칙에 External로 설정된 loadBalancingScheme 필드가 포함되어 있는지 확인합니다.

  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 대상 HTTP 프록시에 대해 전달 규칙을 읽고 외부 규칙을 확인합니다.
  • 실시간 검사: 예
Instance OS Login disabled

API의 카테고리 이름: INSTANCE_OS_LOGIN_DISABLED

발견 항목 설명: 이 인스턴스에서 OS 로그인이 사용 중지되었습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

인스턴스의 Custom metadata에서 enable-oslogin 속성이 TRUE로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업과 관련된 인스턴스, 서버리스 VPC 액세스
  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 메타데이터를 읽습니다.
  • 실시간 검사: 아니요
IP forwarding enabled

API의 카테고리 이름: IP_FORWARDING_ENABLED

발견 항목 설명: IP 전달이 인스턴스에 사용 설정되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.5
  • CIS GCP Foundation 1.1: 4.6
  • CIS GCP Foundation 1.2: 4.6
  • CIS GCP Foundation 1.3: 4.6
  • CIS GCP Foundation 2.0: 4.6
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

인스턴스의 canIpForward 속성이 true로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, 서버리스 VPC 액세스
  • 실시간 검사: 예
OS login disabled

API의 카테고리 이름: OS_LOGIN_DISABLED

발견 항목 설명: 이 인스턴스에서 OS 로그인이 사용 중지되었습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 4.3
  • CIS GCP Foundation 1.1: 4.4
  • CIS GCP Foundation 1.2: 4.4
  • CIS GCP Foundation 1.3: 4.4
  • CIS GCP Foundation 2.0: 4.4
  • NIST 800-53 R5: AC-2
  • ISO-27001 v2022: A.5.15
  • SOC2 v2017: CC6.1.4, CC6.1.6, CC6.1.8, CC6.1.9
  • CIS Controls 8.0: 5.6, 6.7

키-값 쌍 "key": "enable-oslogin", "value": TRUE에 대해 프로젝트 메타데이터에서 commonInstanceMetadata.items[] 객체를 확인합니다. 감지기는 또한 Compute Engine 프로젝트에서 모든 인스턴스를 검사하여 개별 인스턴스에 대해 OS 로그인이 사용 중지되었는지 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업과 관련된 인스턴스
  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: Compute Engine에서 메타데이터를 읽습니다. 또한 감지기가 프로젝트에서 Compute Engine 인스턴스를 검사합니다.
  • 실시간 검사: 아니요
Public IP address

API의 카테고리 이름: PUBLIC_IP_ADDRESS

발견 항목 설명: 인스턴스에 공개 IP 주소가 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 4.9
  • CIS GCP Foundation 1.2: 4.9
  • CIS GCP Foundation 1.3: 4.9
  • CIS GCP Foundation 2.0: 4.9
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

networkInterfaces 속성에 accessConfigs 필드가 포함되었는지 확인합니다. 이 필드는 공개 IP 주소를 사용하도록 구성되었음을 나타냅니다.

  • 검사에서 제외된 애셋: GKE 인스턴스, Dataflow 작업과 관련된 인스턴스
  • 실시간 검사: 예
Shielded VM disabled

API의 카테고리 이름: SHIELDED_VM_DISABLED

발견 항목 설명: 이 인스턴스에서 보안 VM이 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 4.8
  • CIS GCP Foundation 1.2: 4.8
  • CIS GCP Foundation 1.3: 4.8
  • CIS GCP Foundation 2.0: 4.8

Compute Engine 인스턴스에서 shieldedInstanceConfig 속성을 확인하여 enableIntegrityMonitoringenableVtpm 필드가 true로 설정되었는지 확인합니다. 이 필드는 보안 VM이 사용 설정되었는지 여부를 나타냅니다.

  • 스캔에서 제외된 애셋: GKE 인스턴스, 서버리스 VPC 액세스
  • 실시간 검사: 예
Weak SSL policy

API의 카테고리 이름: WEAK_SSL_POLICY

발견 항목 설명: 인스턴스에 약한 SSL 정책이 포함되어 있습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/TargetHttpsProxy
compute.googleapis.com/TargetSslProxy

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 3.9
  • CIS GCP Foundation 1.2: 3.9
  • CIS GCP Foundation 1.3: 3.9
  • CIS GCP Foundation 2.0: 3.9
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.14.1.3

애셋 메타데이터의 sslPolicy가 비어있는지 또는 Google Cloud 기본 정책을 사용 중인지, 연결된 sslPolicies 리소스에 대해 profileRestricted 또는 Modern으로 설정되었는지, minTlsVersionTLS 1.2로 설정되었는지, customFeatures가 비어 있거나 TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_GCM_SHA384, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_3DES_EDE_CBC_SHA 암호화를 포함하지 않는지 확인합니다.

  • 추가 IAM 권한: roles/compute.Viewer
  • 추가 입력: 대상 프록시 스토리지에 대해 SSL 정책을 읽고 약한 정책을 확인합니다.
  • 실시간 검사: 예, 하지만 SSL 정책이 업데이트될 때가 아니라 TargetSslProxy의 TargetHttpsProxy가 업데이트될 때만 해당합니다.

컨테이너 취약점 발견 항목

이러한 발견 유형은 모두 GKE 컨테이너 구성과 관련이 있으며 CONTAINER_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Alpha cluster enabled

API의 카테고리 이름: ALPHA_CLUSTER_ENABLED

발견 항목 설명: 알파 클러스터 기능이 GKE 클러스터에 대해 사용 설정됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.10.2

클러스터의 enableKubernetesAlpha 속성이 true로 설정되었는지 확인합니다.

  • 실시간 검사: 예
Auto repair disabled

API의 카테고리 이름: AUTO_REPAIR_DISABLED

발견 항목 설명: 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.7
  • CIS GKE 1.0: 6.5.2
  • PCI-DSS v3.2.1: 2.2

키-값 쌍 "key": "autoRepair", "value": true에 대해 노드 풀의 management 속성을 확인합니다.

  • 실시간 검사: 예
Auto upgrade disabled

API의 카테고리 이름: AUTO_UPGRADE_DISABLED

발견 항목 설명: 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.8
  • CIS GKE 1.0: 6.5.3
  • PCI-DSS v3.2.1: 2.2

키-값 쌍 "key": "autoUpgrade", "value": true에 대해 노드 풀의 management 속성을 확인합니다.

  • 실시간 검사: 예
Binary authorization disabled

API의 카테고리 이름: BINARY_AUTHORIZATION_DISABLED

발견 항목 설명: Binary Authorization이 GKE 클러스터에서 사용 중지되었거나 Binary Authorization 정책이 모든 이미지의 배포를 허용하도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

다음을 확인합니다.

  • binaryAuthorization 속성에 다음 키-값 쌍 중 하나가 있는지 확인합니다.
    • "evaluationMode": "PROJECT_SINGLETON_POLICY_ENFORCE"
    • "evaluationMode": "POLICY_BINDINGS"
    • "evaluationMode": "POLICY_BINDINGS_AND_PROJECT_SINGLETON_POLICY_ENFORCE"
  • defaultAdmissionRule 정책 속성에 키-값 쌍 evaluationMode: ALWAYS_ALLOW가 없는지 확인합니다.

  • 실시간 검사: 예
Cluster logging disabled

API의 카테고리 이름: CLUSTER_LOGGING_DISABLED

발견 항목 설명: GKE 클러스터에 대해 Logging이 사용 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.1
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.2.2, 10.2.7

클러스터의 loggingService 속성에 Cloud Logging이 로그 작성을 위해 사용해야 하는 위치가 포함되었는지 확인합니다.

  • 실시간 검사: 예
Cluster monitoring disabled

API의 카테고리 이름: CLUSTER_MONITORING_DISABLED

발견 항목 설명: Monitoring이 GKE 클러스터에서 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.2
  • CIS GKE 1.0: 6.7.1
  • PCI-DSS v3.2.1: 10.1, 10.2

클러스터의 monitoringService 속성에 Cloud Monitoring이 측정항목을 작성하기 위해 사용해야 하는 위치가 포함되었는지 확인합니다.

  • 실시간 검사: 예
Cluster private Google access disabled

API의 카테고리 이름: CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

발견 항목 설명: 클러스터 호스트가 Google API에 액세스하기 위해 비공개 내부 IP 주소만 사용하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.16
  • PCI-DSS v3.2.1: 1.3

서브네트워크의 privateIpGoogleAccess 속성이 false로 설정되었는지 확인합니다.

  • 추가 입력: 스토리지에서 서브네트워크를 읽고 서브네트워크가 있는 클러스터에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 예, 하지만 서브네트워크 업데이트가 아니라 클러스터가 업데이트될 때만 해당합니다.
Cluster secrets encryption disabled

API의 카테고리 이름: CLUSTER_SECRETS_ENCRYPTION_DISABLED

발견 항목 설명: 애플리케이션 레이어 보안 비밀 암호화가 GKE 클러스터에서 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.3.1

databaseEncryption 객체의 keyName 속성에서 키-값 쌍 "state": ENCRYPTED를 확인합니다.

  • 실시간 검사: 예
Cluster shielded nodes disabled

API의 카테고리 이름: CLUSTER_SHIELDED_NODES_DISABLED

발견 항목 설명: 클러스터에 대해 보안 GKE 노드가 사용 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.5.5

shieldedNodes 속성에서 키-값 쌍 "enabled": true를 확인합니다.

  • 실시간 검사: 예
COS not used

API의 카테고리 이름: COS_NOT_USED

발견 항목 설명: Compute Engine VM이 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용 중이 아닙니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.9
  • CIS GKE 1.0: 6.5.1
  • PCI-DSS v3.2.1: 2.2

키-값 쌍 "imageType": "COS"에 대해 노드 풀의 config 속성을 확인합니다.

  • 실시간 검사: 예
Integrity monitoring disabled

API의 카테고리 이름: INTEGRITY_MONITORING_DISABLED

발견 항목 설명: GKE 클러스터에 대해 무결성 모니터링이 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.5.6

nodeConfig 객체의 shieldedInstanceConfig 속성에서 키-값 쌍 "enableIntegrityMonitoring": true를 확인합니다.

  • 실시간 검사: 예
Intranode visibility disabled

API의 카테고리 이름: INTRANODE_VISIBILITY_DISABLED

발견 항목 설명: GKE 클러스터에 대해 노드 내 가시성이 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.6.1

networkConfig 속성에서 키-값 쌍 "enableIntraNodeVisibility": true를 확인합니다.

  • 실시간 검사: 예
IP alias disabled

API의 카테고리 이름: IP_ALIAS_DISABLED

발견 항목 설명: 별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.13
  • CIS GKE 1.0: 6.6.2
  • PCI-DSS v3.2.1: 1.3.4, 1.3.7

클러스터에 있는 ipAllocationPolicyuseIPAliases 필드가 false로 설정되었는지 확인합니다.

  • 실시간 검사: 예
Legacy authorization enabled

API의 카테고리 이름: LEGACY_AUTHORIZATION_ENABLED

발견 항목 설명: 기존 승인이 GKE 클러스터에 사용 설정되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.3
  • CIS GKE 1.0: 6.8.3
  • PCI-DSS v3.2.1: 4.1

키-값 쌍 "enabled": true에 대해 클러스터의 legacyAbac 속성을 확인합니다.

  • 실시간 검사: 예
Legacy metadata enabled

API의 카테고리 이름: LEGACY_METADATA_ENABLED

발견 항목 설명: 기존 메타데이터가 GKE 클러스터에 사용 설정되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.4.1

키-값 쌍 "disable-legacy-endpoints": "false"에 대해 노드 풀의 config 속성을 확인합니다.

  • 실시간 검사: 예
Master authorized networks disabled

API의 카테고리 이름: MASTER_AUTHORIZED_NETWORKS_DISABLED

발견 항목 설명: 제어 영역 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.4
  • CIS GKE 1.0: 6.6.3
  • PCI-DSS v3.2.1: 1.2.1, 1.3.2

키-값 쌍 "enabled": false에 대해 클러스터의 masterAuthorizedNetworksConfig 속성을 확인합니다.

  • 실시간 검사: 예
Network policy disabled

API의 카테고리 이름: NETWORK_POLICY_DISABLED

발견 항목 설명: 네트워크 정책이 GKE 클러스터에서 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.11
  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.3
  • ISO-27001 v2013: A.13.1.1

키-값 쌍 "disabled": true에 대해 addonsConfig 속성의 networkPolicy 필드를 확인합니다.

  • 실시간 검사: 예
Nodepool boot CMEK disabled

API의 카테고리 이름: NODEPOOL_BOOT_CMEK_DISABLED

발견 항목 설명: 이 노드 풀의 부팅 디스크가 고객 관리 암호화 키(CMEK)로 암호화되어 있지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

CMEK의 리소스 이름에 대해 노드 풀의 bootDiskKmsKey 속성을 확인합니다.

  • 실시간 검사: 예
Nodepool secure boot disabled

API의 카테고리 이름: NODEPOOL_SECURE_BOOT_DISABLED

발견 항목 설명: GKE 클러스터에 대해 보안 부팅이 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.5.7

nodeConfig 객체의 shieldedInstanceConfig 속성에서 키-값 쌍 "enableSecureBoot": true를 확인합니다.

  • 실시간 검사: 예
Over privileged account

API의 카테고리 이름: OVER_PRIVILEGED_ACCOUNT

발견 항목 설명: 서비스 계정에 클러스터의 프로젝트 액세스 권한이 광범위하게 포함되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.17
  • NIST 800-53 R4: AC-6, SC-7
  • CIS GKE 1.0: 6.2.1
  • PCI-DSS v3.2.1: 2.1, 7.1.2
  • ISO-27001 v2013: A.9.2.3

노드 풀의 config 속성을 평가해서 서비스 계정이 지정되지 않았는지 또는 기본 서비스 계정이 사용되었는지 확인합니다.

  • 실시간 검사: 예
Over privileged scopes

API의 카테고리 이름: OVER_PRIVILEGED_SCOPES

발견 항목 설명: 노드 서비스 계정의 액세스 범위가 광범위합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.18
  • CIS GKE 1.0: 6.2.1
노드 풀의 config.oauthScopes 속성에 나열된 액세스 범위가 제한된 서비스 계정 액세스 범위인 https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, https://www.googleapis.com/auth/monitoring인지 확인합니다.
  • 실시간 검사: 예
Pod security policy disabled

API의 카테고리 이름: POD_SECURITY_POLICY_DISABLED

발견 항목 설명: PodSecurityPolicy가 GKE 클러스터에서 사용 중지되어 있습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.14
  • CIS GKE 1.0: 6.10.3

키-값 쌍 "enabled": false에 대해 클러스터의 podSecurityPolicyConfig 속성을 확인합니다.

  • 추가 IAM 권한: roles/container.clusterViewer
  • 추가 입력: 포드 보안 정책이 베타 기능이므로 GKE에서 클러스터 정보를 읽습니다. Kubernetes 버전 1.21에서 PodSecurityPolicy가 공식적으로 지원 중단되었습니다. PodSecurityPolicy는 버전 1.25에서 종료됩니다. 대안에 대한 자세한 내용은 PodSecurityPolicy 지원 중단을 참조하세요.
  • 실시간 검사: 아니요
Private cluster disabled

API의 카테고리 이름: PRIVATE_CLUSTER_DISABLED

발견 항목 설명: GKE 클러스터의 비공개 클러스터가 사용 중지되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.15
  • CIS GKE 1.0: 6.6.5
  • PCI-DSS v3.2.1: 1.3.2

privateClusterConfig 속성의 enablePrivateNodes 필드가 false로 설정되었는지 확인합니다.

  • 실시간 검사: 예
Release channel disabled

API의 카테고리 이름: RELEASE_CHANNEL_DISABLED

발견 항목 설명: GKE 클러스터가 출시 채널에 구독되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.5.4

releaseChannel 속성에서 키-값 쌍 "channel": UNSPECIFIED를 확인합니다.

  • 실시간 검사: 예
Web UI enabled

API의 카테고리 이름: WEB_UI_ENABLED

발견 항목 설명: GKE 웹 UI(대시보드)가 사용 설정되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 7.6
  • CIS GKE 1.0: 6.10.1
  • PCI-DSS v3.2.1: 6.6

키-값 쌍 "disabled": false에 대해 addonsConfig 속성의 kubernetesDashboard 필드를 확인합니다.

  • 실시간 검사: 예
Workload Identity disabled

API의 카테고리 이름: WORKLOAD_IDENTITY_DISABLED

발견 항목 설명: 워크로드 아이덴티티가 GKE 클러스터에서 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
container.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GKE 1.0: 6.2.2

클러스터의 workloadIdentityConfig 속성이 설정되었는지 확인합니다. 또한 감지기가 노드 풀의 workloadMetadataConfig 속성이 GKE_METADATA로 설정되었는지 확인합니다.

  • 추가 IAM 권한: roles/container.clusterViewer
  • 실시간 검사: 예

Dataproc 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Dataproc와 관련이 있으며 DATAPROC_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Dataproc CMEK disabled

API의 카테고리 이름: DATAPROC_CMEK_DISABLED

발견 항목 설명: Dataproc 클러스터가 CMEK 암호화 구성 없이 생성되었습니다. CMEK를 사용하는 경우, Cloud Key Management Service에서 만들고 관리하는 키가 Google Cloud에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
dataproc.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.3: 1.17
  • CIS GCP Foundation 2.0: 1.17
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration 속성의 kmsKeyName 필드가 비어 있는지 확인합니다.

  • 실시간 검사: 예
Dataproc image outdated

API의 카테고리 이름: DATAPROC_IMAGE_OUTDATED

발견 항목 설명: Dataproc 클러스터가 Apache Log4j 2 유틸리티의 보안 취약점(CVE-2021-44228CVE-2021-45046)에 영향을 받는 Dataproc 이미지 버전을 사용하여 생성되었습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
dataproc.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

Clusterconfig 속성에 있는 softwareConfig.imageVersion 필드가 1.3.95 이전이거나 1.4.77, 1.5.53 또는 2.0.27 이전의 하위 부 이미지 버전인지 확인합니다.

  • 실시간 검사: 예

데이터 세트 취약점 발견 항목

이 감지기 유형의 취약점은 모두 BigQuery 데이터 세트 구성과 관련되며 DATASET_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
BigQuery table CMEK disabled

API의 카테고리 이름: BIGQUERY_TABLE_CMEK_DISABLED

발견 항목 설명: BigQuery 테이블은 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
bigquery.googleapis.com/Table

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 7.2
  • CIS GCP Foundation 1.3: 7.2
  • CIS GCP Foundation 2.0: 7.2
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

encryptionConfiguration 속성의 kmsKeyName 필드가 비어 있는지 확인합니다.

  • 실시간 검사: 예
Dataset CMEK disabled

API의 카테고리 이름: DATASET_CMEK_DISABLED

발견 항목 설명: BigQuery 데이터 세트가 기본 CMEK를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
bigquery.googleapis.com/Dataset

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 7.3
  • CIS GCP Foundation 1.3: 7.3
  • CIS GCP Foundation 2.0: 7.3
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

defaultEncryptionConfiguration 속성의 kmsKeyName 필드가 비어 있는지 확인합니다.

  • 실시간 검사: 아니요
Public dataset

API의 카테고리 이름: PUBLIC_DATASET

발견 항목 설명: 데이터 세트가 공개 액세스에 열리도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
bigquery.googleapis.com/Dataset

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 7.1
  • CIS GCP Foundation 1.2: 7.1
  • CIS GCP Foundation 1.3: 7.1
  • CIS GCP Foundation 2.0: 7.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는 allUsers 또는 allAuthenticatedUsers 주 구성원을 확인합니다.

  • 실시간 검사: 예

DNS 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud DNS 구성과 관련이 있으며 DNS_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
DNSSEC disabled

API의 카테고리 이름: DNSSEC_DISABLED

발견 항목 설명: DNSSEC가 Cloud DNS 영역에 대해 사용 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
dns.googleapis.com/ManagedZone

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.3
  • CIS GCP Foundation 1.1: 3.3
  • CIS GCP Foundation 1.2: 3.3
  • CIS GCP Foundation 1.3: 3.3
  • CIS GCP Foundation 2.0: 3.3
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2013: A.8.2.3
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig 속성의 state 필드가 off로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: 공개가 아닌 Cloud DNS 영역
  • 실시간 검사: 예
RSASHA1 for signing

API의 카테고리 이름: RSASHA1_FOR_SIGNING

발견 항목 설명: RSASHA1이 Cloud DNS 영역에서 키 서명에 사용됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
dns.googleapis.com/ManagedZone

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.4, 3.5
  • CIS GCP Foundation 1.1: 3.4, 3.5
  • CIS GCP Foundation 1.2: 3.4, 3.5
  • CIS GCP Foundation 1.3: 3.4, 3.5
  • CIS GCP Foundation 2.0: 3.4, 3.5
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

dnssecConfig 속성의 defaultKeySpecs.algorithm 객체가 rsasha1로 설정되었는지 확인합니다.

  • 실시간 검사: 예

방화벽 취약점 발견 항목

이 감지기 유형의 취약점은 모두 방화벽 구성과 관련이 있으며 FIREWALL_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Egress deny rule not set

API의 카테고리 이름: EGRESS_DENY_RULE_NOT_SET

발견 항목 설명: 이그레스 거부 규칙이 방화벽에 설정되지 않았습니다. 이그레스 거부 규칙은 원치 않는 아웃바운드 트래픽을 차단하도록 설정해야 합니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 7.2

방화벽에서 destinationRanges 속성이 0.0.0.0/0으로 설정되었고 denied 속성에 키-값 쌍 "IPProtocol": "all"이 포함되는지 확인합니다.

  • 추가 입력: 스토리지에서 프로젝트의 이그레스 방화벽을 읽습니다.
  • 실시간 검사: 예, 하지만 방화벽 규칙 변경이 아닌 프로젝트 변경 시에만 해당합니다.
Firewall rule logging disabled

API의 카테고리 이름: FIREWALL_RULE_LOGGING_DISABLED

발견 항목 설명: 방화벽 규칙 로깅이 사용 중지되어 있습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

방화벽 메타데이터에서 logConfig 속성을 확인하여 비어 있는지 또는 키-값 쌍 "enable": false를 포함하는지 확인합니다.

Open Cassandra port

API의 카테고리 이름: OPEN_CASSANDRA_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 Cassandra 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:7000-7001, 7199, 8888, 9042, 9160, 61620-61621에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open ciscosecure websm port

API의 카테고리 이름: OPEN_CISCOSECURE_WEBSM_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 CISCOSECURE_WEBSM 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

프로토콜 및 포트 TCP:9090에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open directory services port

API의 카테고리 이름: OPEN_DIRECTORY_SERVICES_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 DIRECTORY_SERVICES 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:445UDP:445에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open DNS port

API의 카테고리 이름: OPEN_DNS_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 DNS 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:53UDP:53에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open elasticsearch port

API의 카테고리 이름: OPEN_ELASTICSEARCH_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 ELASTICSEARCH 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:9200, 9300에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open firewall

API의 카테고리 이름: OPEN_FIREWALL

발견 항목 설명: 방화벽이 공개 액세스에 열리도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 1.2.1

sourceRangesallowed 속성에 다음 두 구성 중 하나가 있는지 확인합니다.

  • sourceRanges 속성에는 0.0.0.0/0이 포함되고 allowed 속성에는 다음을 제외한 모든 protocol 또는 protocol:port를 포함하는 규칙의 조합이 포함됩니다.
    • icmp
    • tcp:22
    • tcp:443
    • tcp:3389
    • udp:3389
    • sctp:22
  • sourceRanges 속성에 비공개가 아닌 IP 주소가 포함된 IP 범위 조합이 포함되고, allowed 속성에 모든 tcp 포트 또는 모든 udp 포트를 허용하는 규칙의 조합이 포함됩니다.
Open FTP port

API의 카테고리 이름: OPEN_FTP_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 FTP 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

프로토콜 및 포트 TCP:21에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open HTTP port

API의 카테고리 이름: OPEN_HTTP_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 HTTP 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:80에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open LDAP port

API의 카테고리 이름: OPEN_LDAP_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 LDAP 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:389, 636UDP:389에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open Memcached port

API의 카테고리 이름: OPEN_MEMCACHED_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MEMCACHED 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:11211, 11214-11215UDP:11211, 11214-11215에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open MongoDB port

API의 카테고리 이름: OPEN_MONGODB_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MONGODB 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:27017-27019에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open MySQL port

API의 카테고리 이름: OPEN_MYSQL_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MYSQL 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

프로토콜 및 포트 TCP:3306에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open NetBIOS port

API의 카테고리 이름: OPEN_NETBIOS_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 NETBIOS 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:137-139UDP:137-139에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open OracleDB port

API의 카테고리 이름: OPEN_ORACLEDB_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 ORACLEDB 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:1521, 2483-2484UDP:2483-2484에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open pop3 port

API의 카테고리 이름: OPEN_POP3_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 POP3 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

프로토콜 및 포트 TCP:110에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open PostgreSQL port

API의 카테고리 이름: OPEN_POSTGRESQL_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 PostgreSQL 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

다음 프로토콜 및 포트 TCP:5432UDP:5432에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open RDP port

API의 카테고리 이름: OPEN_RDP_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 RDP 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.7
  • CIS GCP Foundation 1.1: 3.7
  • CIS GCP Foundation 1.2: 3.7
  • CIS GCP Foundation 1.3: 3.7
  • CIS GCP Foundation 2.0: 3.7
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

다음 프로토콜 및 포트 TCP:3389UDP:3389에 대해 방화벽 메타데이터에서 allowed 속성을 확인합니다.

  • 실시간 검사: 예
Open Redis port

API의 카테고리 이름: OPEN_REDIS_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 REDIS 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

방화벽 메타데이터의 allowed 속성에 프로토콜 및 포트 TCP:6379이 포함되는지 확인합니다.

  • 실시간 검사: 예
Open SMTP port

API의 카테고리 이름: OPEN_SMTP_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 SMTP 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

방화벽 메타데이터의 allowed 속성에 프로토콜 및 포트 TCP:25이 포함되는지 확인합니다.

  • 실시간 검사: 예
Open SSH port

API의 카테고리 이름: OPEN_SSH_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 SSH 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.6
  • CIS GCP Foundation 1.1: 3.6
  • CIS GCP Foundation 1.2: 3.6
  • CIS GCP Foundation 1.3: 3.6
  • CIS GCP Foundation 2.0: 3.6
  • NIST 800-53 R4: SC-7
  • NIST 800-53 R5: CA-9, SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.2.1, 1.4.1
  • ISO-27001 v2013: A.13.1.1
  • SOC2 v2017: CC6.6.1, CC6.6.4
  • CIS Controls 8.0: 4.4, 4.5

방화벽 메타데이터의 allowed 속성에 프로토콜 및 포트 TCP:22SCTP:22가 포함되는지 확인합니다.

  • 실시간 검사: 예
Open Telnet port

API의 카테고리 이름: OPEN_TELNET_PORT

발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 TELNET 포트를 갖도록 구성되어 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
compute.googleapis.com/Firewall

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 1.2.1
  • ISO-27001 v2013: A.13.1.1

방화벽 메타데이터의 allowed 속성에 프로토콜 및 포트 TCP:23이 포함되는지 확인합니다.

  • 실시간 검사: 예

IAM 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Identity and Access Management(IAM) 구성과 관련이 있으며 IAM_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Access Transparency disabled

API의 카테고리 이름: ACCESS_TRANSPARENCY_DISABLED

발견 항목 설명: 조직에서 Google Cloud 액세스 투명성이 사용 중지되었습니다. 액세스 투명성 로그는 Google Cloud 직원이 조직 내 프로젝트에 액세스하여 지원을 제공하는 경우 사용됩니다. 액세스 투명성을 사용 설정하여 Google Cloud에서 누가, 언제, 왜 정보에 액세스하는지 로깅합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.3: 2.14
  • CIS GCP Foundation 2.0: 2.14

조직에서 액세스 투명성이 사용 설정되었는지 확인합니다.

  • 실시간 검사: 아니요
Admin service account

API의 카테고리 이름: ADMIN_SERVICE_ACCOUNT

발견 항목 설명: 서비스 계정에 관리자, 소유자, 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.4
  • CIS GCP Foundation 1.1: 1.5
  • CIS GCP Foundation 1.2: 1.5
  • CIS GCP Foundation 1.3: 1.5
  • CIS GCP Foundation 2.0: 1.5
  • NIST 800-53 R5: AC-6
  • ISO-27001 v2022: A.5.15, A.8.2
  • Cloud Controls Matrix 4: IAM-09
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.7, CC6.1.8, CC6.3.1, CC6.3.2, CC6.3.3
  • CIS Controls 8.0: 5.4

iam.gserviceaccount.com 프리픽스로 표시되고 roles/Owner 또는 roles/Editor가 할당된 사용자 생성 서비스 계정이나 admin이 포함된 역할 ID의 리소스 메타데이터에서 IAM 허용 정책을 확인합니다.

  • 스캔에서 제외된 애셋: Container Registry 서비스 계정(containerregistry.iam.gserviceaccount.com) 및 Security Command Center 서비스 계정(security-center-api.iam.gserviceaccount.com)
  • 실시간 검사: 예(IAM 업데이트가 폴더에서 수행되지 않는 한)
Essential Contacts Not Configured

API의 카테고리 이름: ESSENTIAL_CONTACTS_NOT_CONFIGURED

발견 항목 설명: 조직에서 Google Cloud 조직 내 공격, 취약점, 데이터 이슈와 같은 중요 이벤트에 대한 Google Cloud 알림을 수신하도록 사용자 또는 그룹을 지정하지 않았습니다. 비즈니스 조직에서 한 명 이상의 사용자 또는 그룹을 필수 연락처로 지정하는 것이 좋습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.3: 1.16
  • CIS GCP Foundation 2.0: 1.16
  • NIST 800-53 R5: IR-6
  • ISO-27001 v2022: A.5.20, A.5.24, A.5.5, A.5.6
  • Cloud Controls Matrix 4: SEF-08
  • NIST Cybersecurity Framework 1.0: RS-CO-1
  • SOC2 v2017: CC2.3.1
  • CIS Controls 8.0: 17.2

다음 필수 연락처 카테고리에 연락처가 지정되어 있는지 확인합니다.

  • 법무
  • 보안
  • 정지
  • 기술

  • 실시간 검사: 아니요
KMS role separation

API의 카테고리 이름: KMS_ROLE_SEPARATION

발견 항목 설명: 업무 분리가 시행되지 않으며 CryptoKey Encrypter/Decrypter, Encrypter, Decrypter와 같은 Cloud Key Management Service(Cloud KMS) 역할을 동시에 갖는 사용자가 존재합니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.9
  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
리소스 메타데이터에서 IAM 허용 정책을 확인하고 roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier, roles/cloudkms.publicKeyViewer 역할이 동시에 지정된 주 구성원을 검색합니다.
  • 실시간 검사: 예
Non org IAM member

API의 카테고리 이름: NON_ORG_IAM_MEMBER

발견 항목 설명: 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. CIS GCP Foundations 1.0을 기준으로 현재는 @gmail.com 이메일 주소가 있는 ID만 이 감지기를 트리거합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.1
  • CIS GCP Foundation 1.1: 1.1
  • CIS GCP Foundation 1.2: 1.1
  • CIS GCP Foundation 1.3: 1.1
  • CIS GCP Foundation 2.0: 1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

IAM 허용 정책 메타데이터의 user 필드에 있는 @gmail.com 주소를 해당 조직에 승인된 ID 목록과 비교합니다.

  • 실시간 검사: 예
Open group IAM member

API의 카테고리 이름: OPEN_GROUP_IAM_MEMBER

발견 항목 설명: 승인 없이 결합할 수 있는 Google 그룹스 계정이 IAM 허용 정책 주 구성원으로 사용됩니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

리소스 메타데이터의 IAM 정책에서 group 프리픽스가 있는 구성원(주 구성원)이 포함된 모든 바인딩을 확인합니다. 그룹이 공개 그룹인 경우 Security Health Analytics에서 이 발견 항목을 생성합니다.
  • 추가 입력: Google 그룹스 메타데이터를 읽고 식별된 그룹이 공개 그룹인지 확인합니다.
  • 실시간 검사: 아니요
Over privileged service account user

API의 카테고리 이름: OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

발견 항목 설명: 사용자에게 특정 서비스 계정 대신 프로젝트 수준의 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.5
  • CIS GCP Foundation 1.1: 1.6
  • CIS GCP Foundation 1.2: 1.6
  • CIS GCP Foundation 1.3: 1.6
  • CIS GCP Foundation 2.0: 1.6
  • NIST 800-53 R4: AC-6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
리소스 메타데이터의 IAM 허용 정책에서 프로젝트 수준에서 roles/iam.serviceAccountUser 또는 roles/iam.serviceAccountTokenCreator가 지정된 주 구성원을 확인합니다.
  • 검사에서 제외된 애셋: Cloud Build 서비스 계정
  • 실시간 검사: 예
Primitive roles used

API의 카테고리 이름: PRIMITIVE_ROLES_USED

발견 항목 설명: 사용자에게 다음 기본 역할 중 하나가 있습니다.

  • 소유자(roles/owner)
  • 편집자(roles/editor)
  • 뷰어(roles/viewer)

이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: AC-6
  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

roles/owner, roles/editor, roles/viewer 역할이 할당된 주 구성원에 대해 리소스 메타데이터에서 IAM 허용 정책을 확인합니다.

  • 실시간 검사: 예
Redis role used on org

API의 카테고리 이름: REDIS_ROLE_USED_ON_ORG

발견 항목 설명: Redis IAM 역할이 조직 또는 폴더 수준에서 지정되었습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 7.1.2
  • ISO-27001 v2013: A.9.2.3

리소스 메타데이터의 IAM 허용 정책에서 조직 또는 폴더 수준에서 roles/redis.admin, roles/redis.editor, roles/redis.viewer가 지정된 주 구성원을 확인합니다.

  • 실시간 검사: 예
Service account role separation

API의 카테고리 이름: SERVICE_ACCOUNT_ROLE_SEPARATION

발견 항목 설명: 사용자에게 서비스 계정 관리자서비스 계정 사용자 역할이 지정되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.7
  • CIS GCP Foundation 1.1: 1.8
  • CIS GCP Foundation 1.2: 1.8
  • CIS GCP Foundation 1.3: 1.8
  • CIS GCP Foundation 2.0: 1.8
  • NIST 800-53 R4: AC-5
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3
리소스 메타데이터의 IAM 허용 정책에서 roles/iam.serviceAccountUserroles/iam.serviceAccountAdmin이 지정된 주 구성원을 확인합니다.
  • 실시간 검사: 예
Service account key not rotated

API의 카테고리 이름: SERVICE_ACCOUNT_KEY_NOT_ROTATED

발견 항목 설명: 서비스 계정 키가 90일 이상 순환되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
iam.googleapis.com/ServiceAccountKey

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.6
  • CIS GCP Foundation 1.1: 1.7
  • CIS GCP Foundation 1.2: 1.7
  • CIS GCP Foundation 1.3: 1.7
  • CIS GCP Foundation 2.0: 1.7

서비스 계정 키 메타데이터에서 validAfterTime 속성에 캡처된 키 생성 타임스탬프를 평가합니다.

  • 검사에서 제외된 애셋: 만료된 서비스 계정 키 및 사용자가 관리하지 않는 키
  • 실시간 검사: 예
User managed service account key

API의 카테고리 이름: USER_MANAGED_SERVICE_ACCOUNT_KEY

발견 항목 설명: 사용자가 서비스 계정 키를 관리합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
iam.googleapis.com/ServiceAccountKey

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.3
  • CIS GCP Foundation 1.1: 1.4
  • CIS GCP Foundation 1.2: 1.4
  • CIS GCP Foundation 1.3: 1.4
  • CIS GCP Foundation 2.0: 1.4

서비스 계정 키 메타데이터에서 keyType 속성이 User_Managed로 설정되었는지 확인합니다.

  • 실시간 검사: 예

KMS 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud KMS 구성과 관련이 있으며 KMS_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
KMS key not rotated

API의 카테고리 이름: KMS_KEY_NOT_ROTATED

발견 항목 설명: Cloud KMS 암호화 키에 순환이 구성되지 않았습니다. 키는 90일 내에 순환되어야 합니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudkms.googleapis.com/CryptoKey

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.8
  • CIS GCP Foundation 1.1: 1.10
  • CIS GCP Foundation 1.2: 1.10
  • CIS GCP Foundation 1.3: 1.10
  • CIS GCP Foundation 2.0: 1.10
  • NIST 800-53 R4: SC-12
  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2013: A.10.1.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

리소스 메타데이터에서 rotationPeriod 또는 nextRotationTime 속성이 존재하는지 확인합니다.

  • 검사에서 제외된 애셋: 비대칭 키 및 기본 버전이 사용 중지되었거나 삭제된 키
  • 실시간 검사: 예
KMS project has owner

API의 카테고리 이름: KMS_PROJECT_HAS_OWNER

발견 항목 설명: 사용자에게 암호화 키가 있는 프로젝트에 대한 소유자 권한이 있습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 1.11
  • CIS GCP Foundation 1.2: 1.11
  • CIS GCP Foundation 1.3: 1.11
  • CIS GCP Foundation 2.0: 1.11
  • NIST 800-53 R4: AC-6, SC-12
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 3.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.10.1.2, A.9.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

프로젝트 메타데이터의 IAM 허용 정책에서 roles/Owner가 지정된 주 구성원을 확인합니다 .

  • 추가 입력: 스토리지에서 프로젝트에 대해 CryptoKey를 읽고 CryptoKey가 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 예, 하지만 KMS 키 변경이 아닌 IAM 허용 정책 변경에만 해당합니다.
KMS public key

API의 카테고리 이름: KMS_PUBLIC_KEY

발견 항목 설명: Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudkms.googleapis.com/CryptoKey
cloudkms.googleapis.com/KeyRing

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 1.9
  • CIS GCP Foundation 1.2: 1.9
  • CIS GCP Foundation 1.3: 1.9
  • CIS GCP Foundation 2.0: 1.9
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는 allUsers 또는 allAuthenticatedUsers 주 구성원을 확인합니다.

  • 실시간 검사: 예
Too many KMS users

API의 카테고리 이름: TOO_MANY_KMS_USERS

발견 항목 설명: 암호화 키 사용자가 3명을 초과합니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudkms.googleapis.com/CryptoKey

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 3.5.2
  • ISO-27001 v2013: A.9.2.3
IAM 허용 정책에서 키링, 프로젝트, 조직을 확인하고 Cloud KMS 키 roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier를 사용하여 데이터를 암호화, 복호화, 서명하도록 허용하는 역할이 있는 주 구성원을 가져옵니다.
  • 추가 입력: 스토리지에서 CryptoKey의 CryptoKey 버전을 읽고 활성 버전의 키에 대해서만 발견 항목을 기록합니다. 감지기는 또한 스토리지에서 키링, 프로젝트, 조직 IAM 허용 정책을 읽습니다.
  • 실시간 검사: 예

취약점 발견 항목 로깅

이 감지기 유형의 취약점은 모두 로깅 구성과 관련이 있으며 LOGGING_SCANNER 감지기 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Audit logging disabled

API의 카테고리 이름: AUDIT_LOGGING_DISABLED

발견 항목 설명: 감사 로깅이 이 리소스에 대해 사용 중지되어 있습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization
cloudresourcemanager.googleapis.com/Folder
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.1
  • CIS GCP Foundation 1.1: 2.1
  • CIS GCP Foundation 1.2: 2.1
  • CIS GCP Foundation 1.3: 2.1
  • CIS GCP Foundation 2.0: 2.1
  • NIST 800-53 R4: AC-2, AU-2
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v3.2.1: 10.1, 10.2
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2013: A.12.4.1, A.16.1.7
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2

리소스 메타데이터의 IAM 허용 정책에서 auditLogConfigs 객체가 존재하는지 확인합니다.

  • 실시간 검사: 예
Bucket logging disabled

API의 카테고리 이름: BUCKET_LOGGING_DISABLED

발견 항목 설명: 로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 5.3

버킷의 logging 속성에서 logBucket 필드가 비어 있는지 확인합니다.

  • 실시간 검사: 예
Locked retention policy not set

API의 카테고리 이름: LOCKED_RETENTION_POLICY_NOT_SET

발견 항목 설명: 잠긴 보관 정책이 로그에 대해 설정되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 2.3
  • CIS GCP Foundation 1.2: 2.3
  • CIS GCP Foundation 1.3: 2.3
  • CIS GCP Foundation 2.0: 2.3
  • NIST 800-53 R4: AU-11
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 10.5
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.12.4.2, A.18.1.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

버킷의 retentionPolicy 속성에서 isLocked 필드가 true로 설정되었는지 확인합니다.

  • 추가 입력: 버킷에 대해 로그 싱크(로그 필터 및 로그 대상)를 읽고 로그 버킷인지 확인합니다.
  • 실시간 검사: 예
Log not exported

API의 카테고리 이름: LOG_NOT_EXPORTED

발견 항목 설명: 적합한 로그 싱크가 구성되지 않은 리소스가 있습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.2
  • CIS GCP Foundation 1.1: 2.2
  • CIS GCP Foundation 1.2: 2.2
  • CIS GCP Foundation 1.3: 2.2
  • CIS GCP Foundation 2.0: 2.2
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2013: A.18.1.3
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.3

프로젝트에서 logSink 객체를 검색하여, includeChildren 필드가 true로 설정되었고, destination 필드에 로그를 기록할 위치가 포함되어 있고, filter 필드가 채워졌는지 확인합니다.

  • 추가 입력: 버킷에 대해 로그 싱크(로그 필터 및 로그 대상)를 읽고 로그 버킷인지 확인합니다.
  • 실시간 검사: 예, 하지만 로그 내보내기가 폴더 또는 조직에 설정된 경우가 아니라면 프로젝트 변경의 경우만 해당합니다.
Object versioning disabled

API의 카테고리 이름: OBJECT_VERSIONING_DISABLED

발견 항목 설명: 싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.3
  • NIST 800-53 R4: AU-11
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3

버킷의 versioning 속성에서 enabled 필드가 true로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: 보관 정책이 잠겨 있는 Cloud Storage 버킷
  • 추가 입력: 버킷에 대해 로그 싱크(로그 필터 및 로그 대상)를 읽고 로그 버킷인지 확인합니다.
  • 실시간 검사: 예, 하지만 로그 버킷이 생성된 경우가 아니라면 객체 버전 관리가 변경되는 경우만 해당합니다.

취약점 발견 항목 모니터링

이 감지기 유형의 취약점은 모두 모니터링 구성과 관련이 있으며 MONITORING_SCANNER 유형에 속합니다. 모든 모니터링 감지기의 발견 항목 속성에는 다음이 포함됩니다.

  • 로그 측정항목을 만들 때 사용할 RecommendedLogFilter
  • 권장 로그 필터에 나열된 조건을 다루는 QualifiedLogMetricNames
  • 프로젝트에 검증된 로그 측정항목에 대해 생성된 알림 정책이 없거나 기존 알림 정책에 권장 설정이 없다는 것을 표시하는 AlertPolicyFailureReasons
검사 프로그램 요약 애셋 검사 설정
Audit config not monitored

API의 카테고리 이름: AUDIT_CONFIG_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 감사 구성 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.5
  • CIS GCP Foundation 1.1: 2.5
  • CIS GCP Foundation 1.2: 2.5
  • CIS GCP Foundation 1.3: 2.5
  • CIS GCP Foundation 2.0: 2.5
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트 LogsMetric 리소스의 filter 속성이 protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Bucket IAM not monitored

API의 카테고리 이름: BUCKET_IAM_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 Cloud Storage IAM 권한 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.10
  • CIS GCP Foundation 1.1: 2.10
  • CIS GCP Foundation 1.2: 2.10
  • CIS GCP Foundation 1.3: 2.10
  • CIS GCP Foundation 2.0: 2.10
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type=gcs_bucket AND protoPayload.methodName="storage.setIamPermissions"로 설정되었는지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Custom role not monitored

API의 카테고리 이름: CUSTOM_ROLE_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 커스텀 역할 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.6
  • CIS GCP Foundation 1.1: 2.6
  • CIS GCP Foundation 1.2: 2.6
  • CIS GCP Foundation 1.3: 2.6
  • CIS GCP Foundation 2.0: 2.6
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type="iam_role" AND (protoPayload.methodName="google.iam.admin.v1.CreateRole" OR protoPayload.methodName="google.iam.admin.v1.DeleteRole" OR protoPayload.methodName="google.iam.admin.v1.UpdateRole")로 설정되었는지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Firewall not monitored

API의 카테고리 이름: FIREWALL_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림은 Virtual Private Cloud(VPC) 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.7
  • CIS GCP Foundation 1.1: 2.7
  • CIS GCP Foundation 1.2: 2.7
  • CIS GCP Foundation 1.3: 2.7
  • CIS GCP Foundation 2.0: 2.7
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type="gce_firewall_rule" AND (protoPayload.methodName:"compute.firewalls.insert" OR protoPayload.methodName:"compute.firewalls.patch" OR protoPayload.methodName:"compute.firewalls.delete")로 설정되었는지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Network not monitored

API의 카테고리 이름: NETWORK_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.9
  • CIS GCP Foundation 1.1: 2.9
  • CIS GCP Foundation 1.2: 2.9
  • CIS GCP Foundation 1.3: 2.9
  • CIS GCP Foundation 2.0: 2.9
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type="gce_network" AND (protoPayload.methodName:"compute.networks.insert" OR protoPayload.methodName:"compute.networks.patch" OR protoPayload.methodName:"compute.networks.delete" OR protoPayload.methodName:"compute.networks.removePeering" OR protoPayload.methodName:"compute.networks.addPeering")로 설정되었는지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Owner not monitored

API의 카테고리 이름: OWNER_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 프로젝트 소유권 지정 또는 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.4
  • CIS GCP Foundation 1.1: 2.4
  • CIS GCP Foundation 1.2: 2.4
  • CIS GCP Foundation 1.3: 2.4
  • CIS GCP Foundation 2.0: 2.4
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2
프로젝트 LogsMetric 리소스의 filter 속성이 (protoPayload.serviceName="cloudresourcemanager.googleapis.com") AND (ProjectOwnership OR projectOwnerInvitee) OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner") OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD" AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
Route not monitored

API의 카테고리 이름: ROUTE_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type="gce_route" AND (protoPayload.methodName:"compute.routes.delete" OR protoPayload.methodName:"compute.routes.insert")로 설정되었는지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요
SQL instance not monitored

SQL_INSTANCE_NOT_MONITORED

발견 항목 설명: 로그 측정항목 및 알림이 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
cloudresourcemanager.googleapis.com/Project

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 2.8
  • CIS GCP Foundation 1.1: 2.8
  • CIS GCP Foundation 1.2: 2.8
  • CIS GCP Foundation 1.3: 2.8
  • CIS GCP Foundation 2.0: 2.8
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2, 8.5
프로젝트 LogsMetric 리소스의 filter 속성이 protoPayload.methodName="cloudsql.instances.update" OR protoPayload.methodName="cloudsql.instances.create" OR protoPayload.methodName="cloudsql.instances.delete"로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다. 감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditionsnotificationChannels 속성이 올바르게 구성되었는지 확인합니다.
  • 추가 IAM 권한: roles/monitoring.alertPolicyViewer
  • 추가 입력: 스토리지에서 프로젝트의 로그 측정항목을 읽습니다. Google Cloud Observability에서 Google Cloud Observability 계정 정보를 읽고, 활성 계정이 있는 프로젝트에 대해서만 발견 항목을 기록합니다.
  • 실시간 검사: 아니요

다단계 인증 발견 항목

MFA_SCANNER 감지기는 사용자의 다단계 인증과 관련된 취약점을 식별합니다.

검사 프로그램 요약 애셋 검사 설정
MFA not enforced

API의 카테고리 이름: MFA_NOT_ENFORCED

2단계 인증을 사용하지 않는 사용자가 있습니다.

Google Workspace를 사용하면 신규 사용자가 2단계 인증에 등록해야 하는 등록 유예 기간을 지정할 수 있습니다. 이 감지기는 등록 유예 기간 동안 사용자에 대한 발견 항목을 만듭니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
cloudresourcemanager.googleapis.com/Organization

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 1.2
  • CIS GCP Foundation 1.1: 1.2
  • CIS GCP Foundation 1.2: 1.2
  • CIS GCP Foundation 1.3: 1.2
  • CIS GCP Foundation 2.0: 1.2
  • NIST 800-53 R4: IA-2
  • PCI-DSS v3.2.1: 8.3
  • ISO-27001 v2013: A.9.4.2
  • ISO-27001 v2022: A.8.5

Cloud ID에서 관리 계정의 사용자 설정 및 조직의 ID 관리 정책을 평가합니다.

  • 검사에서 제외된 애셋: 조직 단위에서 정책에 대한 예외 부여
  • 추가 입력: Google Workspace에서 데이터 읽기
  • 실시간 검사: 아니요

네트워크 취약점 발견 항목

이 감지기 유형의 취약점은 모두 조직의 네트워크 구성과 관련이 있으며 NETWORK_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Default network

API의 카테고리 이름: DEFAULT_NETWORK

발견 항목 설명: 기본 네트워크가 프로젝트에 존재합니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Network

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.1
  • CIS GCP Foundation 1.1: 3.1
  • CIS GCP Foundation 1.2: 3.1
  • CIS GCP Foundation 1.3: 3.1
  • CIS GCP Foundation 2.0: 3.1
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

네트워크 메타데이터에서 name 속성이 default로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: Compute Engine API가 사용 중지되었고 Compute Engine 리소스가 고정된 상태인 프로젝트
  • 실시간 검사: 예
DNS logging disabled

API의 카테고리 이름: DNS_LOGGING_DISABLED

발견 항목 설명: DNS 로깅이 VPC 네트워크에서 사용 설정되지 않았습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Network
dns.googleapis.com/Policy

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 2.12
  • CIS GCP Foundation 1.3: 2.12
  • CIS GCP Foundation 2.0: 2.12
  • NIST 800-53 R5: AU-6, AU-7
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS Controls 8.0: 8.11, 8.2, 8.6

networks[].networkUrl 필드를 통해 VPC 네트워크와 연결된 모든 policies를 확인하고 enableLoggingtrue로 설정된 정책을 하나 이상 찾습니다.

  • 검사에서 제외된 애셋: Compute Engine API가 사용 중지되었고 Compute Engine 리소스가 고정된 상태인 프로젝트
  • 실시간 검사: 예
Legacy network

API의 카테고리 이름: LEGACY_NETWORK

발견 항목 설명: 레거시 네트워크가 프로젝트에 있습니다.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Network

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.2
  • CIS GCP Foundation 1.1: 3.2
  • CIS GCP Foundation 1.2: 3.2
  • CIS GCP Foundation 1.3: 3.2
  • CIS GCP Foundation 2.0: 3.2
  • NIST 800-53 R5: AC-18, CM-2, CM-6, CM-7, CM-9
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.4.2, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.9
  • Cloud Controls Matrix 4: IVS-04
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC5.2.2
  • CIS Controls 8.0: 4.2

네트워크 메타데이터에서 IPv4Range 속성이 존재하는지 확인합니다.

  • 검사에서 제외된 애셋: Compute Engine API가 사용 중지되었고 Compute Engine 리소스가 고정된 상태인 프로젝트
  • 실시간 검사: 예
Load balancer logging disabled

API의 카테고리 이름: LOAD_BALANCER_LOGGING_DISABLED

발견 항목 설명: 부하 분산기에 로깅이 중지되어 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/BackendServices

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 2.0: 2.16
  • NIST 800-53 R5: AU-12, AU-2, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1, 10.2.1.2, 10.2.1.3, 10.2.1.4, 10.2.1.5, 10.2.1.6, 10.2.1.7, 10.2.2, 5.3.4, 6.4.1, 6.4.2
  • ISO-27001 v2022: A.8.15, A.8.20
  • Cloud Controls Matrix 4: LOG-08
  • NIST Cybersecurity Framework 1.0: DE-AE-3, PR-PT-1
  • HIPAA: 164.312(b)
  • CIS Controls 8.0: 8.2

부하 분산기에서 백엔드 서비스의 enableLogging 속성이 true로 설정되었는지 확인합니다.

  • 실시간 검사: 예

조직 정책 취약점 발견 항목

이 감지기 유형의 취약점은 모두 조직 정책 제약조건의 구성과 관련이 있으며 ORG_POLICY 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Org policy Confidential VM policy

API의 카테고리 이름: ORG_POLICY_CONFIDENTIAL_VM_POLICY

발견 항목 설명: Compute Engine 리소스가 constraints/compute.restrictNonConfidentialComputing 조직 정책을 준수하지 않습니다. 이 조직 정책 제약조건에 대한 자세한 내용은 컨피덴셜 VM에서 조직 정책 제약조건 적용을 참조하세요.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

Compute Engine 인스턴스의 enableConfidentialCompute 속성이 true로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: GKE 인스턴스
  • 추가 IAM 권한: permissions/orgpolicy.policy.get
  • 추가 입력: 조직 정책 서비스에서 효과적인 조직 정책을 읽습니다.
  • 실시간 검사: 아니요
Org policy location restriction

API의 카테고리 이름: ORG_POLICY_LOCATION_RESTRICTION

발견 항목 설명: Compute Engine 리소스가 constraints/gcp.resourceLocations 제약조건을 준수하지 않습니다. 이 조직 정책 제약조건에 대한 자세한 내용은 조직 정책 제약조건 적용을 참조하세요.

Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
다음 행의 ORG_POLICY_LOCATION_RESTRICTION에 지원되는 애셋을 참조하세요.

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

지원되는 리소스의 메타데이터에 있는 listPolicy 속성에서 허용 또는 거부되는 위치 목록을 확인합니다.

  • 추가 IAM 권한: permissions/orgpolicy.policy.get
  • 추가 입력: 조직 정책 서비스에서 효과적인 조직 정책을 읽습니다.
  • 실시간 검사: 아니요

ORG_POLICY_LOCATION_RESTRICTION에 지원되는 애셋

Compute Engine
compute.googleapis.com/Autoscaler
compute.googleapis.com/Address
compute.googleapis.com/Commitment
compute.googleapis.com/Disk
compute.googleapis.com/ForwardingRule
compute.googleapis.com/HealthCheck
compute.googleapis.com/Image
compute.googleapis.com/Instance
compute.googleapis.com/InstanceGroup
compute.googleapis.com/InstanceGroupManager
compute.googleapis.com/InterconnectAttachment
compute.googleapis.com/NetworkEndpointGroup
compute.googleapis.com/NodeGroup
compute.googleapis.com/NodeTemplate
compute.googleapis.com/PacketMirroring
compute.googleapis.com/RegionBackendService
compute.googleapis.com/RegionDisk
compute.googleapis.com/ResourcePolicy
compute.googleapis.com/Reservation
compute.googleapis.com/Router
compute.googleapis.com/Snapshot
compute.googleapis.com/SslCertificate
compute.googleapis.com/Subnetwork
compute.googleapis.com/TargetHttpProxy
compute.google.apis.com/TargetHttpsProxy
compute.googleapis.com/TargetInstance
compute.googleapis.com/TargetPool
compute.googleapis.com/TargetVpnGateway
compute.googleapis.com/UrlMap
compute.googleapis.com/VpnGateway
compute.googleapis.com/VpnTunnel

GKE
container.googleapis.com/Cluster
container.googleapis.com/NodePool

Cloud Storage
storage.googleapis.com/Bucket

Cloud KMS
cloudkms.googleapis.com/CryptoKey1
cloudkms.googleapis.com/CryptoKeyVersion1
cloudkms.googleapis.com/ImportJob2
cloudkms.googleapis.com/KeyRing1

Dataproc
dataproc.googleapis.com/Cluster

BigQuery
bigquery.googleapis.com/Dataset

Dataflow
dataflow.googleapis.com/Job3

Cloud SQL
sqladmin.googleapis.com/Instance

Cloud Composer
composer.googleapis.com/Environment

Logging
logging.googleapis.com/LogBucket

Pub/Sub
pubsub.googleapis.com/Topic

Vertex AI
aiplatform.googleapis.com/BatchPredictionJob
aiplatform.googleapis.com/CustomJob
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Endpoint
aiplatform.googleapis.com/HyperparameterTuningJob
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/SpecialistPool
aiplatform.googleapis.com/TrainingPipeline

Artifact Registry
artifactregistry.googleapis.com/Repository

1 Cloud KMS 애셋을 삭제할 수 없기 때문에 애셋 데이터가 삭제되었으면 애셋이 리전을 벗어난 것으로 고려됩니다.

2 Cloud KMS 가져오기 작업이 제어되는 수명 주기를 포함하고 조기에 종료될 수 없기 때문에 작업이 만료되고 더 이상 키 가져오기에 사용될 수 없으면 ImportJob이 리전을 벗어난 것으로 고려되지 않습니다.

3 Dataflow 작업의 수명 주기를 관리할 수 없기 때문에 터미널 상태(중지 또는 소진됨)에 도달하여, 더 이상 데이터 처리에 사용될 수 없으면 작업이 리전을 벗어난 것으로 고려되지 않습니다.

Pub/Sub 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Pub/Sub 구성과 관련이 있으며 PUBSUB_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Pubsub CMEK disabled

API의 카테고리 이름: PUBSUB_CMEK_DISABLED

발견 설명: Pub/Sub 주제는 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
pubsub.googleapis.com/Topic

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

kmsKeyName 필드에서 CMEK의 리소스 이름을 확인합니다.

  • 실시간 검사: 예

SQL 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud SQL 구성과 관련이 있으며 SQL_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
AlloyDB auto backup disabled

API의 카테고리 이름: ALLOYDB_AUTO_BACKUP_DISABLED

발견 항목 설명: PostgreSQL용 AlloyDB 클러스터에 자동 백업이 사용 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

PostgreSQL용 AlloyDB 클러스터의 메타데이터에서 automated_backup_policy.enabled 속성이 true로 설정되었는지 확인합니다.

  • 스캔에서 제외된 애셋: PostgreSQL용 AlloyDB 보조 클러스터
  • 실시간 검사: 예
AlloyDB backups disabled

API의 카테고리 이름: ALLOYDB_BACKUPS_DISABLED

발견 항목 설명: PostgreSQL용 AlloyDB 클러스터에 백업이 사용 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)

PostgreSQL용 AlloyDB 클러스터의 메타데이터에서 automated_backup_policy.enabled 또는 continuous_backup_policy.enabled 속성이 true로 설정되었는지 확인합니다.

  • 스캔에서 제외된 애셋: PostgreSQL용 AlloyDB 보조 클러스터
  • 실시간 검사: 예
AlloyDB CMEK disabled

API의 카테고리 이름: ALLOYDB_CMEK_DISABLED

발견 항목 설명: AlloyDB 클러스터가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Cluster

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS Controls 8.0: 3.11

클러스터 메타데이터에서 encryption_type 필드를 확인하여 CMEK가 사용 설정되었는지 여부를 확인합니다.

  • 실시간 검사: 예
AlloyDB log min error statement severity

API의 카테고리 이름: ALLOYDB_LOG_MIN_ERROR_STATEMENT_SEVERITY

발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 log_min_error_statement 데이터베이스 플래그가 error 또는 다른 권장 값으로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Instances

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

로그에서 메시지 유형의 적절한 범위를 보장하기 위해 databaseFlags 속성의 log_min_error_statement 필드 값이 debug5, debug4, debug3, debug2, debug1, info, notice warning 또는 기본값인 error 중 하나로 설정되어 있지 않은 경우 발견 항목을 생성합니다.

  • 실시간 검사: 예
AlloyDB log min messages

API의 카테고리 이름: ALLOYDB_LOG_MIN_MESSAGES

발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 log_min_messages 데이터베이스 플래그가 warning 또는 다른 권장 값으로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Instances

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

로그에서 메시지 유형의 적절한 범위를 보장하기 위해 databaseFlags 속성의 log_min_messages 필드 값이 debug5, debug4, debug3, debug2, debug1, info, notice 또는 기본값인 warning 중 하나로 설정되어 있지 않은 경우 발견 항목을 생성합니다.

  • 실시간 검사: 예
AlloyDB log error verbosity

API의 카테고리 이름: ALLOYDB_LOG_ERROR_VERBOSITY

발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 log_error_verbosity 데이터베이스 플래그가 default 또는 다른 권장 값으로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Instances

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3

로그에서 메시지 유형의 적절한 범위를 보장하기 위해 databaseFlags 속성의 log_error_verbosity 필드 값이 verbose 또는 기본값인 default 중 하나로 설정되어 있지 않은 경우 발견 항목을 생성합니다.

  • 실시간 검사: 예
AlloyDB public IP

API의 카테고리 이름: ALLOYDB_PUBLIC_IP

발견 항목 설명: PostgreSQL용 AlloyDB 데이터베이스 인스턴스에는 공개 IP 주소가 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Instances

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

instanceNetworkConfig 속성 enablePublicIp 필드가 공개 IP 주소를 허용하도록 구성되었는지 확인합니다.

  • 실시간 검사: 예
AlloyDB SSL not enforced

API의 카테고리 이름: ALLOYDB_SSL_NOT_ENFORCED

발견 항목 설명: PostgreSQL용 AlloyDB 데이터베이스 인스턴스에서 모든 수신 연결에 SSL 사용이 요구되지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
alloydb.googleapis.com/Instances

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

PostgreSQL용 AlloyDB 인스턴스의 sslMode 속성이 ENCRYPTED_ONLY로 설정되어 있는지 여부를 확인합니다.

  • 실시간 검사: 예
Auto backup disabled

API의 카테고리 이름: AUTO_BACKUP_DISABLED

발견 항목 설명: Cloud SQL 데이터베이스에 자동 백업이 사용 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.7
  • CIS GCP Foundation 1.2: 6.7
  • CIS GCP Foundation 1.3: 6.7
  • CIS GCP Foundation 2.0: 6.7
  • NIST 800-53 R4: CP-9
  • NIST 800-53 R5: CP-10, CP-9
  • ISO-27001 v2013: A.12.3.1
  • ISO-27001 v2022: A.8.13
  • NIST Cybersecurity Framework 1.0: PR-IP-4
  • HIPAA: 164.308(a)(7)(ii)
  • CIS Controls 8.0: 11.2

Cloud SQL 데이터의 backupConfiguration.enabled 속성이 true로 설정되었는지 확인합니다.

  • 검사에서 제외된 애셋: Cloud SQL 복제본
  • 추가 입력: Security Health Analytics 애셋 스토리지에서 상위 항목에 대해 IAM 허용 정책을 읽습니다.
  • 실시간 검사: 예
Public SQL instance

API의 카테고리 이름: PUBLIC_SQL_INSTANCE

발견 항목 설명: Cloud SQL 데이터베이스 인스턴스가 모든 IP 주소의 연결을 수락합니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 6.2
  • CIS GCP Foundation 1.1: 6.5
  • CIS GCP Foundation 1.2: 6.5
  • CIS GCP Foundation 1.3: 6.5
  • CIS GCP Foundation 2.0: 6.5
  • NIST 800-53 R4: CA-3, SC-7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 1.2.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.13.1.3, A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

Cloud SQL 인스턴스의 authorizedNetworks 속성이 단일 IP 주소 또는 IP 주소 범위로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SSL not enforced

API의 카테고리 이름: SSL_NOT_ENFORCED

발견 항목 설명: Cloud SQL 데이터베이스 인스턴스에서 모든 수신 연결에 SSL 사용이 요구되지 않습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: SC-7
  • PCI-DSS v3.2.1: 4.1
  • ISO-27001 v2013: A.13.2.1, A.14.1.3, A.8.2.3

Cloud SQL 인스턴스의 sslMode 속성이 승인된 SSL 모드인 ENCRYPTED_ONLY 또는 TRUSTED_CLIENT_CERTIFICATE_REQUIRED로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL CMEK disabled

API의 카테고리 이름: SQL_CMEK_DISABLED

발견 항목 설명: SQL 데이터베이스 인스턴스가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

diskEncryptionKey 객체, 인스턴스 메타데이터, CMEK의 리소스 이름에서 kmsKeyName 필드를 확인합니다.

  • 실시간 검사: 예
SQL contained database authentication

API의 카테고리 이름: SQL_CONTAINED_DATABASE_AUTHENTICATION

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스의 contained database authentication 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.3.2
  • CIS GCP Foundation 1.2: 6.3.7
  • CIS GCP Foundation 1.3: 6.3.7
  • CIS GCP Foundation 2.0: 6.3.7
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

키-값 쌍 "name": "contained database authentication", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성 또는 기본적으로 사용 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL cross DB ownership chaining

API의 카테고리 이름: SQL_CROSS_DB_OWNERSHIP_CHAINING

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스의 cross_db_ownership_chaining 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.3.1
  • CIS GCP Foundation 1.2: 6.3.2
  • CIS GCP Foundation 1.3: 6.3.2
  • CIS GCP Foundation 2.0: 6.3.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

키-값 쌍 "name": "cross_db_ownership_chaining", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL external scripts enabled

API의 카테고리 이름: SQL_EXTERNAL_SCRIPTS_ENABLED

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스의 external scripts enabled 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.3.1
  • CIS GCP Foundation 1.3: 6.3.1
  • CIS GCP Foundation 2.0: 6.3.1
  • NIST 800-53 R5: CM-7, SI-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.3
  • NIST Cybersecurity Framework 1.0: PR-IP-1, PR-PT-3
  • SOC2 v2017: CC5.2.1, CC5.2.2, CC5.2.3, CC5.2.4
  • CIS Controls 8.0: 2.7

키-값 쌍 "name": "external scripts enabled", "value": "off"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL local infile

API의 카테고리 이름: SQL_LOCAL_INFILE

발견 항목 설명: MySQL용 Cloud SQL 인스턴스의 local_infile 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.1.2
  • CIS GCP Foundation 1.2: 6.1.3
  • CIS GCP Foundation 1.3: 6.1.3
  • CIS GCP Foundation 2.0: 6.1.3
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 2.2.1
  • ISO-27001 v2022: A.8.8
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • CIS Controls 8.0: 16.7

키-값 쌍 "name": "local_infile", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log checkpoints disabled

API의 카테고리 이름: SQL_LOG_CHECKPOINTS_DISABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_checkpoints 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.1
  • CIS GCP Foundation 1.2: 6.2.1

키-값 쌍 "name": "log_checkpoints", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log connections disabled

API의 카테고리 이름: SQL_LOG_CONNECTIONS_DISABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_connections 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.2
  • CIS GCP Foundation 1.2: 6.2.3
  • CIS GCP Foundation 1.3: 6.2.2
  • CIS GCP Foundation 2.0: 6.2.2
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

키-값 쌍 "name": "log_connections", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log disconnections disabled

API의 카테고리 이름: SQL_LOG_DISCONNECTIONS_DISABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_disconnections 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.3
  • CIS GCP Foundation 1.2: 6.2.4
  • CIS GCP Foundation 1.3: 6.2.3
  • CIS GCP Foundation 2.0: 6.2.3
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

키-값 쌍 "name": "log_disconnections", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log duration disabled

API의 카테고리 이름: SQL_LOG_DURATION_DISABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_duration 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.5

키-값 쌍 "name": "log_duration", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log error verbosity

API의 카테고리 이름: SQL_LOG_ERROR_VERBOSITY

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_error_verbosity 데이터베이스 플래그가 default 또는 verbose로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.2
  • CIS GCP Foundation 1.3: 6.2.1
  • CIS GCP Foundation 2.0: 6.2.1
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_error_verbosity 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 default 또는 verbose로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log lock waits disabled

API의 카테고리 이름: SQL_LOG_LOCK_WAITS_DISABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_lock_waits 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.4
  • CIS GCP Foundation 1.2: 6.2.6

키-값 쌍 "name": "log_lock_waits", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log min duration statement enabled

API의 카테고리 이름: SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_min_duration_statement 데이터베이스 플래그가 "-1"로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.7
  • CIS GCP Foundation 1.2: 6.2.16
  • CIS GCP Foundation 1.3: 6.2.8
  • CIS GCP Foundation 2.0: 6.2.7
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

키-값 쌍 "name": "log_min_duration_statement", "value": "-1"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL log min error statement

API의 카테고리 이름: SQL_LOG_MIN_ERROR_STATEMENT

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_min_error_statement 데이터베이스 플래그가 올바르게 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.5

databaseFlags 속성의 log_min_error_statement 필드가 debug5, debug4, debug3, debug2, debug1, info, notice, warning, 기본값 error 중 하나로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log min error statement severity

API의 카테고리 이름: SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스에 대한 log_min_error_statement 데이터베이스 플래그의 심각도 수준이 적절하지 않습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.14
  • CIS GCP Foundation 1.3: 6.2.7
  • CIS GCP Foundation 2.0: 6.2.6
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

databaseFlags 속성의 log_min_error_statement 필드가 error, log, fatal, panic 값 중 하나로 설정되어 있는지 확인합니다.

  • 실시간 검사: 예
SQL log min messages

API의 카테고리 이름: SQL_LOG_MIN_MESSAGES

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_min_messages 데이터베이스 플래그가 warning 또는 다른 권장 값으로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.13
  • CIS GCP Foundation 1.3: 6.2.6
  • CIS GCP Foundation 2.0: 6.2.5
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

로그에서 메시지 유형의 적절한 범위를 보장하기 위해 databaseFlags 속성의 log_min_messages 필드 값이 debug5, debug4, debug3, debug2, debug1, info, notice 또는 기본값인 warning 중 하나로 설정되어 있지 않은 경우 발견 항목을 생성합니다.

  • 실시간 검사: 예
SQL log executor stats enabled

API의 카테고리 이름: SQL_LOG_EXECUTOR_STATS_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_executor_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.11

log_executor_stats 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 on로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log hostname enabled

API의 카테고리 이름: SQL_LOG_HOSTNAME_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_hostname 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.8

log_hostname 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 on로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log parser stats enabled

API의 카테고리 이름: SQL_LOG_PARSER_STATS_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_parser_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.9

log_parser_stats 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 on로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log planner stats enabled

API의 카테고리 이름: SQL_LOG_PLANNER_STATS_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_planner_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.10

log_planner_stats 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 on로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log statement

API의 카테고리 이름: SQL_LOG_STATEMENT

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_statement 데이터베이스 플래그가 ddl(모든 데이터 정의 문)로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.7
  • CIS GCP Foundation 1.3: 6.2.4
  • CIS GCP Foundation 2.0: 6.2.4
  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS Controls 8.0: 8.5

log_statement 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 ddl로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log statement stats enabled

API의 카테고리 이름: SQL_LOG_STATEMENT_STATS_ENABLED

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_statement_stats 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.2.12

log_statement_stats 필드에 대한 인스턴스 메타데이터의 databaseFlags 속성이 on로 설정되었는지 확인합니다.

  • 실시간 검사: 예
SQL log temp files

API의 카테고리 이름: SQL_LOG_TEMP_FILES

발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 log_temp_files 데이터베이스 플래그가 "0"으로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.2.6
  • CIS GCP Foundation 1.2: 6.2.15

키-값 쌍 "name": "log_temp_files", "value": "0"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL no root password

API의 카테고리 이름: SQL_NO_ROOT_PASSWORD

발견 항목 설명: 공개 IP 주소가 있는 Cloud SQL 데이터베이스에 루트 계정 비밀번호가 구성되어 있지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 6.3
  • CIS GCP Foundation 1.1: 6.1.1
  • CIS GCP Foundation 1.2: 6.1.1
  • CIS GCP Foundation 1.3: 6.1.1
  • CIS GCP Foundation 2.0: 6.1.1
  • NIST 800-53 R4: AC-3
  • PCI-DSS v3.2.1: 2.1
  • ISO-27001 v2013: A.8.2.3, A.9.4.2
  • ISO-27001 v2022: A.8.5

루트 계정의 rootPassword 속성이 비어 있는지 확인합니다.

  • 추가 IAM 권한: roles/cloudsql.client
  • 추가 입력: 라이브 인스턴스 쿼리
  • 실시간 검사: 아니요
SQL public IP

API의 카테고리 이름: SQL_PUBLIC_IP

발견 항목 설명: Cloud SQL 데이터베이스에 공개 IP 주소가 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.1: 6.6
  • CIS GCP Foundation 1.2: 6.6
  • CIS GCP Foundation 1.3: 6.6
  • CIS GCP Foundation 2.0: 6.2.9, 6.6
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MA-4, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.2, CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3, 4.6

Cloud SQL 데이터베이스의 IP 주소 유형이 공개임을 나타내는 Primary로 설정되어 있는지 확인합니다.

  • 실시간 검사: 예
SQL remote access enabled

API의 카테고리 이름: SQL_REMOTE_ACCESS_ENABLED

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스의 remote access 데이터베이스 플래그가 off로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.3.5
  • CIS GCP Foundation 1.3: 6.3.5
  • CIS GCP Foundation 2.0: 6.3.5
  • NIST 800-53 R5: CM-6, CM-7
  • PCI-DSS v4.0: 1.2.5, 2.2.4, 6.4.1
  • ISO-27001 v2022: A.8.9
  • SOC2 v2017: CC6.6.1, CC6.6.3, CC6.6.4
  • CIS Controls 8.0: 4.8

키-값 쌍 "name": "remote access", "value": "off"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL skip show database disabled

API의 카테고리 이름: SQL_SKIP_SHOW_DATABASE_DISABLED

발견 항목 설명: MySQL용 Cloud SQL 인스턴스의 skip_show_database 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.1.2
  • CIS GCP Foundation 1.3: 6.1.2
  • CIS GCP Foundation 2.0: 6.1.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

키-값 쌍 "name": "skip_show_database", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL trace flag 3625

API의 카테고리 이름: SQL_TRACE_FLAG_3625

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스의 3625 (trace flag) 데이터베이스 플래그가 on로 설정되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.3.6
  • CIS GCP Foundation 2.0: 6.3.6
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

키-값 쌍 "name": "3625 (trace flag)", "value": "on"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL user connections configured

API의 카테고리 이름: SQL_USER_CONNECTIONS_CONFIGURED

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스에 대한 user connections 데이터베이스 플래그가 구성되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.3.3
  • CIS GCP Foundation 1.3: 6.3.3
  • CIS GCP Foundation 2.0: 6.3.3
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

키-값 쌍 "name": "user connections", "value": "0"에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL user options configured

API의 카테고리 이름: SQL_USER_OPTIONS_CONFIGURED

발견 항목 설명: SQL 서버용 Cloud SQL 인스턴스에 대한 user options 데이터베이스 플래그가 구성되었습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 6.3.4
  • CIS GCP Foundation 1.3: 6.3.4
  • CIS GCP Foundation 2.0: 6.3.4
  • NIST 800-53 R5: CM-1, CM-2, CM-6, CM-7, CM-9, SA-10, SA-3, SA-8
  • PCI-DSS v4.0: 1.1.1, 1.2.1, 1.2.6, 1.2.7, 1.5.1, 2.1.1, 2.2.1
  • ISO-27001 v2022: A.8.1, A.8.9
  • Cloud Controls Matrix 4: CCC-01
  • NIST Cybersecurity Framework 1.0: PR-IP-1
  • SOC2 v2017: CC7.1.2, CC7.1.3, CC7.1.4, CC8.1.1, CC8.1.10, CC8.1.11, CC8.1.12, CC8.1.13, CC8.1.14, CC8.1.15, CC8.1.2, CC8.1.3, CC8.1.4, CC8.1.5, CC8.1.6, CC8.1.7, CC8.1.8, CC8.1.9
  • CIS Controls 8.0: 4.1

키-값 쌍 "name": "user options", "value": ""(비어 있음)에 대해 인스턴스 메타데이터의 databaseFlags 속성을 확인합니다.

  • 실시간 검사: 예
SQL weak root password

API의 카테고리 이름: SQL_WEAK_ROOT_PASSWORD

발견 항목 설명: 공개 IP 주소가 있는 Cloud SQL 데이터베이스에도 취약한 루트 계정 비밀번호가 구성되어 있습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
sqladmin.googleapis.com/Instance

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

Cloud SQL 데이터베이스의 루트 계정에 대한 비밀번호를 공통 비밀번호 목록과 비교합니다.

  • 추가 IAM 권한: roles/cloudsql.client
  • 추가 입력: 라이브 인스턴스 쿼리
  • 실시간 검사: 아니요

스토리지 취약점 발견 항목

이 감지기 유형의 취약점은 모두 Cloud Storage 버킷 구성과 관련이 있으며 STORAGE_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Bucket CMEK disabled

API의 카테고리 이름: BUCKET_CMEK_DISABLED

발견 항목 설명: 버킷이 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

CMEK의 리소스 이름에 대해 버킷 메타데이터의 encryption 필드를 확인합니다.

  • 실시간 검사: 예
Bucket policy only disabled

API의 카테고리 이름: BUCKET_POLICY_ONLY_DISABLED

발견 항목 설명: 이전에 버킷 정책 전용으로 알려진 균일한 버킷 수준 액세스가 구성되지 않았습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.2: 5.2
  • CIS GCP Foundation 1.3: 5.2
  • CIS GCP Foundation 2.0: 5.2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

버킷의 uniformBucketLevelAccess 속성이 "enabled":false로 설정되었는지 확인합니다.

  • 실시간 검사: 예
Public bucket ACL

API의 카테고리 이름: PUBLIC_BUCKET_ACL

발견 항목 설명: Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 5.1
  • CIS GCP Foundation 1.1: 5.1
  • CIS GCP Foundation 1.2: 5.1
  • CIS GCP Foundation 1.3: 5.1
  • CIS GCP Foundation 2.0: 5.1
  • NIST 800-53 R4: AC-2
  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 7.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2013: A.14.1.3, A.8.2.3
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS Controls 8.0: 3.3

공개 역할 allUsers 또는 allAuthenticatedUsers에 대한 버킷의 IAM 허용 정책을 확인합니다.

  • 실시간 검사: 예
Public log bucket

API의 카테고리 이름: PUBLIC_LOG_BUCKET

발견 항목 설명: 로그 싱크로 사용되는 스토리지 버킷에 공개적으로 액세스할 수 있습니다.

프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다.

가격 책정 등급: 프리미엄 또는 스탠더드

지원되는 애셋
storage.googleapis.com/Bucket

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R4: AU-9
  • PCI-DSS v3.2.1: 10.5
  • ISO-27001 v2013: A.12.4.2, A.18.1.3, A.8.2.3

버킷의 IAM 허용 정책에서 공개 액세스 권한을 부여하는 allUsers 또는 allAuthenticatedUsers 주 구성원을 확인합니다.

  • 추가 입력: 버킷에 대해 로그 싱크(로그 필터 및 로그 대상)를 읽고 로그 버킷인지 확인합니다.
  • 실시간 검사: 예, 하지만 로그 싱크가 변경된 경우가 아닌 버킷의 IAM 정책이 변경되는 경우만 해당합니다.

서브네트워크 취약점 발견 항목

이 감지기 유형의 취약점은 모두 조직의 서브네트워크 구성과 관련이 있으며 SUBNETWORK_SCANNER 유형에 속합니다.

검사 프로그램 요약 애셋 검사 설정
Flow logs disabled

API의 카테고리 이름: FLOW_LOGS_DISABLED

발견 항목 설명: 흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Subnetwork

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.9
  • CIS GCP Foundation 1.1: 3.8
  • CIS GCP Foundation 1.2: 3.8
  • NIST 800-53 R4: SI-4
  • PCI-DSS v3.2.1: 10.1, 10.2
  • ISO-27001 v2013: A.13.1.1

Compute Engine 서브네트워크의 enableFlowLogs 속성이 누락되었거나 false로 설정되었는지 확인합니다.

  • 검사에서 제외된 자산: 서버리스 VPC 액세스, 부하 분산기 서브네트워크
  • 실시간 검사: 예

발견 항목 설명: VPC 서브네트워크의 경우 VPC 흐름 로그가 사용 중지되었거나 CIS 벤치마크 1.3 권장사항에 따라 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

가격 책정 등급: 프리미엄

지원되는 애셋
compute.googleapis.com/Subnetwork

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.3: 3.8
  • CIS GCP Foundation 2.0: 3.8
  • NIST 800-53 R5: SI-4
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS Controls 8.0: 13.6, 8.2

VPC 서브네트워크의 enableFlowLogs 속성이 누락되었거나 false로 설정되었는지 확인합니다. VPC 흐름 로그가 사용 설정된 경우 5초로 설정된 Aggregation Interval 속성, true로 설정된 Include metadata, 100%로 설정된 Sample rate를 확인합니다.

  • 검사에서 제외된 자산: 서버리스 VPC 액세스, 부하 분산기 서브네트워크
  • 실시간 검사: 예
Private Google access disabled

API의 카테고리 이름: PRIVATE_GOOGLE_ACCESS_DISABLED

발견 항목 설명: Google 공개 API에 대한 액세스 권한이 없는 비공개 서브네트워크가 있습니다.

가격 책정 등급: 프리미엄

지원되는 애셋
storage.googleapis.com/Bucket
compute.googleapis.com/Subnetwork

이 발견 항목 수정

규정 준수 표준:

  • CIS GCP Foundation 1.0: 3.8

Compute Engine 서브네트워크의 privateIpGoogleAccess 속성이 false로 설정되었는지 확인합니다.

  • 실시간 검사: 예

AWS 발견 항목

검사 프로그램 요약 애셋 검사 설정

AWS Cloud Shell Full Access Restricted

API의 카테고리 이름: ACCESS_AWSCLOUDSHELLFULLACCESS_RESTRICTED

발견 항목 설명:

AWS CloudShell은 AWS 서비스에서 CLI 명령어를 편리하게 실행할 수 있는 방법입니다. 관리형 IAM 정책('AWSCloudShellFullAccess')은 CloudShell에 대한 전체 액세스 권한을 제공하므로 사용자의 로컬 시스템과 CloudShell 환경 간에 파일을 업로드하고 다운로드할 수 있습니다. CloudShell 환경 내에서 사용자는 sudo 권한을 가지며 인터넷에 액세스할 수 있습니다. 예를 들어 파일 전송 소프트웨어를 설치하고 데이터를 CloudShell에서 외부 인터넷 서버로 이동할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 1.22

AWSCloudShellFullAccess에 대한 액세스가 제한되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Access Keys Rotated Every 90 Days or Less

API의 카테고리 이름: ACCESS_KEYS_ROTATED_90_DAYS_LESS

발견 항목 설명:

액세스 키는 AWS에 보낸 프로그래매틱 요청에 서명하는 데 사용되는 액세스 키 ID 및 보안 비밀 액세스 키로 구성됩니다. AWS 명령줄 인터페이스(AWS CLI), Windows PowerShell용 도구, AWS SDK에서 AWS로 프로그래매틱 호출을 수행하거나 개별 AWS 서비스용 API를 사용하여 직접 HTTP 호출을 수행하려면 AWS 사용자에게 고유한 액세스 키가 있어야 합니다. 모든 액세스 키를 정기적으로 순환하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4
  • CIS AWS Foundation 2.0.0: 1.14
  • CIS Controls 8.0: 5

액세스 키가 최소 90일마다 순환되는지 확인하세요.

  • 실시간 검사: 아니요

All Expired Ssl Tls Certificates Stored Aws Iam Removed

API의 카테고리 이름: ALL_EXPIRED_SSL_TLS_CERTIFICATES_STORED_AWS_IAM_REMOVED

발견 항목 설명:

AWS에서 웹사이트나 애플리케이션에 대한 HTTPS 연결을 사용 설정하려면 SSL/TLS 서버 인증서가 필요합니다. ACM 또는 IAM을 사용하여 서버 인증서를 저장하고 배포할 수 있습니다.
ACM에서 지원하지 않는 리전에서 HTTPS 연결을 지원해야 하는 경우에만 IAM을 인증서 관리자로 사용합니다. IAM은 비공개 키를 안전하게 암호화하고 암호화된 버전을 IAM SSL 인증서 스토리지에 저장합니다. IAM은 모든 리전에서 서버 인증서를 배포할 수 있지만 AWS에서 사용하려면 외부 제공업체로부터 인증서를 가져와야 합니다. ACM 인증서를 IAM에 업로드할 수 없습니다. 또한 IAM 콘솔에서 인증서를 관리할 수 없습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-11, CM-12, SI-12
  • PCI-DSS v4.0: 9.4.2
  • ISO-27001 v2022: A.5.10, A.5.9, A.8.1
  • Cloud Controls Matrix 4: DSP-01
  • NIST Cybersecurity Framework 1.0: PR-IP-6
  • CIS AWS Foundation 2.0.0: 1.19
  • CIS Controls 8.0: 3.1

AWS IAM에 저장된 만료 SSL/TLS 인증서가 모두 삭제되었는지 확인하세요.

  • 실시간 검사: 아니요

Autoscaling Group Elb Healthcheck Required

API의 카테고리 이름: AUTOSCALING_GROUP_ELB_HEALTHCHECK_REQUIRED

발견 항목 설명:

부하 분산기와 연결된 자동 확장 그룹에서 Elastic Load Balancing 상태 점검을 사용하고 있는지 확인합니다.

이렇게 하면 부하 분산기에서 제공하는 추가 테스트를 기반으로 그룹에서 인스턴스 상태를 확인할 수 있습니다. Elastic Load Balancing 상태 점검을 사용하면 EC2 자동 확장 그룹을 사용하는 애플리케이션의 가용성을 지원할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-2

부하 분산기와 연결된 모든 자동 확장 그룹이 상태 점검을 사용하는지 확인하세요.

  • 실시간 검사: 아니요

Auto Minor Version Upgrade Feature Enabled Rds Instances

API의 카테고리 이름: AUTO_MINOR_VERSION_UPGRADE_FEATURE_ENABLED_RDS_INSTANCES

발견 항목 설명:

지정된 유지보수 기간 동안 부 엔진 업그레이드를 자동으로 수신하기 위해 RDS 데이터베이스 인스턴스에 자동 부 버전 업그레이드 플래그가 사용 설정되어 있는지 확인합니다. 따라서 RDS 인스턴스에서 데이터베이스 엔진의 새로운 기능, 버그 수정, 보안 패치를 가져올 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: RA-5, RA-7, SI-2
  • ISO-27001 v2022: A.8.8
  • Cloud Controls Matrix 4: UEM-03
  • NIST Cybersecurity Framework 1.0: ID-RA-1
  • SOC2 v2017: CC7.1.1, CC7.1.2, CC7.1.3, CC7.1.4, CC7.1.5
  • CIS AWS Foundation 2.0.0: 2.3.2
  • CIS Controls 8.0: 7.4

RDS 인스턴스에 자동 마이너 버전 업그레이드 기능이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Aws Config Enabled All Regions

API의 카테고리 이름: AWS_CONFIG_ENABLED_ALL_REGIONS

발견 항목 설명:

AWS Config는 계정 내에서 지원되는 AWS 리소스의 구성 관리를 수행하고 로그 파일을 개발자에게 전송하는 웹 서비스입니다. 기록된 정보에는 구성 항목(AWS 리소스), 구성 항목 간의 관계(AWS 리소스), 리소스 간 구성 변경사항이 포함됩니다. 모든 리전에서 AWS Config를 사용 설정하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: CM-8, PM-5
  • PCI-DSS v4.0: 11.2.1, 11.2.2, 12.5.1, 9.5.1, 9.5.1.1
  • ISO-27001 v2022: A.5.9, A.8.8
  • Cloud Controls Matrix 4: UEM-04
  • NIST Cybersecurity Framework 1.0: ID-AM-1, PR-DS-3
  • SOC2 v2017: CC3.2.6, CC6.1.1
  • HIPAA: 164.310(d)(2)(iii)
  • CIS AWS Foundation 2.0.0: 3.5
  • CIS Controls 8.0: 1.1

모든 리전에 AWS Config가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Aws Security Hub Enabled

API의 카테고리 이름: AWS_SECURITY_HUB_ENABLED

발견 항목 설명:

Security Hub는 AWS 계정, 서비스, 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집하고 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다. Security Hub를 사용 설정하면 Amazon GuardDuty, Amazon Inspector, Amazon Macie와 같은 사용 설정한 AWS 서비스의 발견 항목을 사용, 집계, 구성하고 우선순위를 지정합니다. AWS 파트너 보안 제품과의 통합을 사용 설정할 수도 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: CA-7
  • PCI-DSS v3.2.1: 11.5
  • CIS AWS Foundation 2.0.0: 4.16

AWS Security Hub가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Cloudtrail Logs Encrypted Rest Using Kms Cmks

API의 카테고리 이름: CLOUDTRAIL_LOGS_ENCRYPTED_REST_USING_KMS_CMKS

발견 항목 설명:

AWS CloudTrail은 계정에 대한 AWS API 호출을 기록하고 IAM 정책에 따라 사용자와 리소스에 해당 로그를 제공하는 웹 서비스입니다. AWS 키 관리 서비스(KMS)는 계정 데이터 암호화에 사용되는 암호화 키를 생성 및 제어할 수 있게 해주는 관리형 서비스로, 하드웨어 보안 모듈(HSM)을 사용하여 암호화 키를 보호합니다. 서버 측 암호화(SSE) 및 KMS 고객 생성 마스터 키(CMK)를 활용하여 CloudTrail 로그를 추가로 보호하도록 CloudTrail 로그를 구성할 수 있습니다. SSE-KMS를 사용하도록 CloudTrail을 구성하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.7
  • CIS Controls 8.0: 3.11

CloudTrail 로그가 KMS CMK를 사용하여 저장 시 암호화되는지 확인하세요.

  • 실시간 검사: 아니요

Cloudtrail Log File Validation Enabled

API의 카테고리 이름: CLOUDTRAIL_LOG_FILE_VALIDATION_ENABLED

발견 항목 설명:

CloudTrail 로그 파일 유효성 검사는 CloudTrail에서 S3에 기록하는 각 로그의 해시가 포함된 디지털 서명된 다이제스트 파일을 만듭니다. 이러한 다이제스트 파일을 사용하여 CloudTrail에서 로그를 전송한 후 로그 파일이 변경 또는 삭제되었거나 변경되지 않았는지 여부를 확인할 수 있습니다. 모든 CloudTrail에서 파일 유효성 검사를 사용 설정하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-6, AU-7, SI-7(7)
  • PCI-DSS v3.2.1: 11.5
  • PCI-DSS v4.0: 10.4.1, 10.4.1.1, 10.4.2, 10.4.3
  • ISO-27001 v2022: A.5.25
  • Cloud Controls Matrix 4: LOG-05
  • NIST Cybersecurity Framework 1.0: DE-AE-2, PR-PT-1, RS-AN-1
  • SOC2 v2017: CC4.1.1, CC4.1.2, CC4.1.3, CC4.1.4, CC4.1.5, CC4.1.6, CC4.1.7, CC4.1.8, CC7.3.1, CC7.3.2, CC7.3.3, CC7.3.4, CC7.3.5
  • HIPAA: 164.308(a)(1)(ii), 164.312(b)
  • CIS AWS Foundation 2.0.0: 3.2
  • CIS Controls 8.0: 8.11

CloudTrail 로그 파일 검증이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Cloudtrail Trails Integrated Cloudwatch Logs

API의 카테고리 이름: CLOUDTRAIL_TRAILS_INTEGRATED_CLOUDWATCH_LOGS

발견 항목 설명:

AWS CloudTrail은 지정된 AWS 계정에서 수행된 AWS API 호출을 기록하는 웹 서비스입니다. 기록된 정보에는 API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소, 요청 매개변수, AWS 서비스에서 반환한 응답 요소가 포함됩니다. CloudTrail은 로그 파일 저장과 전송에 Amazon S3를 사용하므로 로그 파일이 지속적으로 저장됩니다. 장기 분석을 위해 지정된 S3 버킷 내에서 CloudTrail 로그 캡처 외에도 로그를 CloudWatch Logs로 보내도록 CloudTrail을 구성하여 실시간 분석을 수행할 수 있습니다. 계정의 모든 리전에서 사용 설정된 추적의 경우 CloudTrail에서 모든 리전의 로그 파일을 CloudWatch Logs 로그 그룹으로 전송합니다. CloudTrail 로그를 CloudWatch Logs로 보내는 것이 좋습니다.

참고: 이 권장사항의 목적은 AWS 계정 활동이 캡처, 모니터링되고 적절하게 경보되는지 확인하기 위함입니다. CloudWatch Logs는 AWS 서비스를 사용하여 이를 수행하는 기본 방법이지만 다른 솔루션을 사용해야 하는 것은 아닙니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AU-12, AU-3, AU-7
  • PCI-DSS v4.0: 10.2.1, 10.2.1.2, 10.2.1.5, 9.4.5
  • ISO-27001 v2022: A.5.28, A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: DE-AE-3, DE-CM-1
  • SOC2 v2017: CC5.2.3, CC7.2.1, CC7.2.2, CC7.2.3
  • CIS AWS Foundation 2.0.0: 3.4
  • CIS Controls 8.0: 8.5, 8.9

CloudTrail 추적이 CloudWatch 로그와 통합되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Cloudwatch Alarm Action Check

API의 카테고리 이름: CLOUDWATCH_ALARM_ACTION_CHECK

발견 항목 설명:

알람이 'OK', 'ALARM' 또는 'INSUFFICIENT_DATA'로 전환될 때 Amazon Cloudwatch에 정의된 작업이 있는지 여부를 확인합니다.

모니터링되는 측정항목이 기준점을 위반할 때 즉각적인 응답을 트리거하려면 Amazon CloudWatch 알람에서 ALARM 상태에 대한 작업을 구성하는 것이 매우 중요합니다.
이를 통해 문제를 빠르게 해결하고 다운타임을 줄이며 자동화된 문제 해결을 사용 설정하여 시스템 상태를 유지하고 서비스 중단을 방지할 수 있습니다.

알람에 작업이 최소 하나 이상 있습니다.
알람이 다른 상태에서 'INSUFFICIENT_DATA' 상태로 전환되면 알람에 작업이 최소 하나 이상 있습니다.
(선택사항) 알람이 다른 상태에서 'OK' 상태로 전환되면 알람에 작업이 최소 하나 이상 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-20

CloudWatch 알람에 알람 작업 1개, INSUFFICIENT_DATA 작업 1개 또는 OK 작업 1개 이상이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Cloudwatch Log Group Encrypted

API의 카테고리 이름: CLOUDWATCH_LOG_GROUP_ENCRYPTED

발견 항목 설명:

이 검사에서는 CloudWatch 로그가 KMS로 구성되었는지 확인합니다.

로그 그룹 데이터는 항상 CloudWatch Logs에서 암호화됩니다. 기본적으로 CloudWatch Logs는 저장 로그 데이터에 서버 측 암호화를 사용합니다. 대신 이 암호화에 AWS 키 관리 서비스를 사용할 수 있습니다. 이렇게 하면 AWS KMS 키를 통해 암호화가 수행됩니다. 로그 그룹을 만들 때나 로그 그룹이 존재한 후에 KMS 키를 로그 그룹과 연결하면 AWS KMS를 사용하는 암호화가 로그 그룹 수준에서 사용 설정됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 3.4

Amazon CloudWatch Logs의 모든 로그 그룹이 KMS로 암호화되는지 확인하세요.

  • 실시간 검사: 아니요

CloudTrail CloudWatch Logs Enabled

API의 카테고리 이름: CLOUD_TRAIL_CLOUD_WATCH_LOGS_ENABLED

발견 항목 설명:

이 제어에서는 CloudTrail 추적이 로그를 CloudWatch Logs로 전송하도록 구성되어 있는지 확인합니다. 추적의 CloudWatchLogsLogGroupArn 속성이 비어 있으면 제어가 실패합니다.

CloudTrail은 지정된 계정에서 수행된 AWS API 호출을 기록합니다. 기록된 정보에는 다음이 포함됩니다.

  • API 호출자의 ID
  • API 호출 시간
  • API 호출자의 소스 IP 주소
  • 요청 매개변수
  • AWS 서비스에서 반환한 응답 요소

CloudTrail은 로그 파일 저장 및 전송에 Amazon S3를 사용합니다. 장기 분석을 위해 지정된 S3 버킷에서 CloudTrail 로그를 캡처할 수 있습니다. 실시간 분석을 수행하려면 CloudTrail을 구성하여 로그를 CloudWatch Logs로 전송하면 됩니다.

계정의 모든 리전에서 사용 설정된 추적의 경우 CloudTrail에서 모든 리전의 로그 파일을 CloudWatch Logs 로그 그룹으로 전송합니다.

Security Hub에서는 CloudTrail 로그를 CloudWatch Logs로 보내는 것이 좋습니다. 이 권장사항의 목적은 계정 활동을 캡처, 모니터링하고 적절하게 알람을 보내기 위함입니다. CloudWatch Logs를 사용하여 AWS 서비스로 이 작업을 설정할 수 있습니다. 이 권장사항으로 인해 다른 솔루션을 사용하지 않아도 됩니다.

CloudTrail 로그를 CloudWatch Logs로 전송하면 사용자, API, 리소스, IP 주소를 기반으로 실시간 및 이전 활동 로깅이 용이해집니다. 이 방식을 사용하여 비정상 또는 민감한 계정 활동에 대한 알람과 알림을 설정할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-20
  • PCI-DSS v3.2.1: 10.5.3

모든 CloudTrail 추적이 AWS CloudWatch로 로그를 전송하도록 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

No AWS Credentials in CodeBuild Project Environment Variables

API의 카테고리 이름: CODEBUILD_PROJECT_ENVVAR_AWSCRED_CHECK

발견 항목 설명:

프로젝트에 환경 변수 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY가 포함되어 있는지 확인합니다.

인증 사용자 인증 정보 AWS_ACCESS_KEY_IDAWS_SECRET_ACCESS_KEY는 일반 텍스트로 저장되어서는 안 됩니다. 의도치 않은 데이터 노출과 무단 액세스가 발생할 수 있기 때문입니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SA-3

환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함된 모든 프로젝트가 일반 텍스트가 아닌지 확인하세요.

  • 실시간 검사: 아니요

Codebuild Project Source Repo Url Check

API의 카테고리 이름: CODEBUILD_PROJECT_SOURCE_REPO_URL_CHECK

발견 항목 설명:

AWS CodeBuild 프로젝트 Bitbucket 소스 저장소 URL에 개인 액세스 토큰 또는 사용자 이름과 비밀번호가 포함되어 있는지 확인합니다. Bitbucket 소스 저장소 URL에 개인 액세스 토큰 또는 사용자 이름과 비밀번호가 포함되어 있으면 제어가 실패합니다.

로그인 사용자 인증 정보는 일반 텍스트로 저장 또는 전송되거나 소스 저장소 URL에 표시되어서는 안 됩니다. 개인 액세스 토큰이나 로그인 사용자 인증 정보 대신 CodeBuild에서 소스 제공업체에 액세스하고 Bitbucket 저장소 위치 경로만 포함되도록 소스 저장소 URL을 변경해야 합니다. 개인 액세스 토큰이나 로그인 사용자 인증 정보를 사용하면 의도치 않은 데이터 노출 또는 무단 액세스가 발생할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

GitHub 또는 Bitbucket을 소스로 사용하는 모든 프로젝트가 OAuth를 사용하는지 확인하세요.

  • 실시간 검사: 아니요

Credentials Unused 45 Days Greater Disabled

API의 카테고리 이름: CREDENTIALS_UNUSED_45_DAYS_GREATER_DISABLED

발견 항목 설명:

AWS IAM 사용자는 비밀번호 또는 액세스 키와 같은 여러 가지 유형의 사용자 인증 정보를 사용하여 AWS 리소스에 액세스할 수 있습니다. 45일 이상 사용되지 않은 모든 사용자 인증 정보를 비활성화하거나 삭제하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-2
  • PCI-DSS v4.0: 8.3.7
  • NIST Cybersecurity Framework 1.0: PR-AC-1
  • CIS AWS Foundation 2.0.0: 1.12
  • CIS Controls 8.0: 5.3

45일 이상 사용되지 않은 사용자 인증 정보가 사용 중지되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Default Security Group Vpc Restricts All Traffic

API의 카테고리 이름: DEFAULT_SECURITY_GROUP_VPC_RESTRICTS_ALL_TRAFFIC

발견 항목 설명:

VPC에 초기 설정에서 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용하며 보안 그룹에 할당된 인스턴스 간의 모든 트래픽을 허용하는 기본 보안 그룹이 제공됩니다. 인스턴스를 시작할 때 보안 그룹을 지정하지 않으면 인스턴스가 자동으로 이 기본 보안 그룹에 할당됩니다. 보안 그룹에서 AWS 리소스에 대한 인그레스/이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 기본 보안 그룹에서 모든 트래픽을 제한하는 것이 좋습니다.

모든 리전의 기본 VPC에서는 이 권장사항을 준수하도록 기본 보안 그룹이 업데이트되어야 합니다. 새로 생성된 모든 VPC에는 이 권장사항을 준수하려면 해결이 필요한 기본 보안 그룹이 자동으로 포함됩니다.

참고: 이 권장사항을 구현할 때 VPC 흐름 로깅은 현재 보안 그룹에서 발생하는 모든 패킷 수락과 거부를 로깅할 수 있으므로 시스템이 제대로 작동하는 데 필요한 최소 권한 포트 액세스를 결정하는 데 매우 유용합니다. 이로 인해 최소 권한 엔지니어링에 대한 주요 장벽이 크게 낮아집니다. 즉, 환경의 시스템에 필요한 최소 포트 수를 탐색할 수 있습니다. 이 벤치마크의 VPC 흐름 로깅 권장사항이 영구 보안 조치로 채택되지 않더라도 최소 권한이 부여된 보안 그룹의 탐색 및 엔지니어링 기간 중에는 이 권장사항을 따라야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 5.4
  • CIS Controls 8.0: 3.3

모든 VPC의 기본 보안 그룹이 전체 트래픽을 제한하는지 확인하세요.

  • 실시간 검사: 아니요

Dms Replication Not Public

API의 카테고리 이름: DMS_REPLICATION_NOT_PUBLIC

발견 항목 설명:

AWS DMS 복제 인스턴스가 공개 상태인지 확인하세요. 이를 위해 PubliclyAccessible 필드 값을 검사합니다.

비공개 복제 인스턴스에는 복제 네트워크 외부에서 액세스할 수 없는 비공개 IP 주소가 있습니다. 소스 데이터베이스와 대상 데이터베이스가 같은 네트워크에 있으면 복제 인스턴스에 비공개 IP 주소가 있어야 합니다. 또한 VPN, AWS Direct Connect 또는 VPC 피어링을 사용하여 네트워크를 복제 인스턴스의 VPC에 연결해야 합니다. 공개 및 비공개 복제 인스턴스에 대한 자세한 내용은 AWS Database Migration Service 사용자 가이드의 공개 및 비공개 복제 인스턴스를 참조하세요.

또한 AWS DMS 인스턴스 구성에 대한 액세스 권한이 승인된 사용자로만 제한되도록 해야 합니다. 이를 위해 AWS DMS 설정 및 리소스를 수정할 수 있는 사용자의 IAM 권한을 제한합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

AWS Database Migration Service 복제 인스턴스가 공개 상태인지 확인하세요.

  • 실시간 검사: 아니요

Do Setup Access Keys During Initial User Setup All Iam Users Console

API의 카테고리 이름: DO_SETUP_ACCESS_KEYS_DURING_INITIAL_USER_SETUP_ALL_IAM_USERS_CONSOLE

발견 항목 설명:

새 IAM 사용자를 만들 때 AWS 콘솔은 체크박스가 선택 취소된 상태로 기본 설정됩니다. IAM 사용자 인증 정보를 만들 때 필요한 액세스 유형을 결정해야 합니다.

프로그래매틱 액세스: IAM 사용자는 API 호출을 수행하거나 AWS CLI를 사용하거나 Windows PowerShell용 도구를 사용해야 할 수 있습니다. 이 경우 해당 사용자의 액세스 키(액세스 키 ID 및 보안 비밀 액세스 키)를 만듭니다.

AWS Management Console 액세스: 사용자가 AWS Management Console에 액세스해야 하는 경우 사용자의 비밀번호를 만듭니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.11
  • CIS Controls 8.0: 3.3, 5.4

콘솔 비밀번호가 있는 모든 IAM 사용자의 초기 사용자 설정 중에 액세스 키를 설정해서는 안 됩니다.

  • 실시간 검사: 아니요

Dynamodb Autoscaling Enabled

API의 카테고리 이름: DYNAMODB_AUTOSCALING_ENABLED

발견 항목 설명:

Amazon DynamoDB 테이블이 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 확인합니다. 테이블에서 주문형 용량 모드 또는 자동 확장이 구성된 프로비저닝 모드를 사용하는 경우에는 이 제어가 통과됩니다. 수요에 따라 용량을 확장하면 예외 제한이 방지되어 애플리케이션 가용성을 유지할 수 있습니다.

주문형 용량 모드의 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 이러한 할당량을 늘리려면 AWS 지원팀을 통해 지원 티켓을 제출하면 됩니다.

자동 확장을 사용하는 프로비저닝 모드의 DynamoDB 테이블은 트래픽 패턴에 대응하여 프로비저닝된 처리량 용량을 동적으로 조정합니다. DynamoDB 요청 제한에 대한 자세한 내용은 Amazon DynamoDB 개발자 가이드의 요청 제한 및 버스트 용량을 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

DynamoDB 테이블이 수요에 맞춰 용량을 자동 확장해야 합니다.

  • 실시간 검사: 아니요

Dynamodb In Backup Plan

API의 카테고리 이름: DYNAMODB_IN_BACKUP_PLAN

발견 항목 설명:

이 제어는 DynamoDB 테이블이 백업 계획에 포함되는지 여부를 평가합니다. DynamoDB 테이블이 백업 계획에 포함되지 않으면 제어가 실패합니다. 이 제어는 ACTIVE 상태의 DynamoDB 테이블만 평가합니다.

백업은 보안 사고로부터 더욱 빠르게 복구하는 데 도움이 됩니다. 또한 시스템 복원력을 강화합니다. 백업 계획에 DynamoDB 테이블을 포함하면 의도치 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

DynamoDB 테이블에 백업 계획이 적용되어야 합니다.

  • 실시간 검사: 아니요

Dynamodb Pitr Enabled

API의 카테고리 이름: DYNAMODB_PITR_ENABLED

발견 항목 설명:

PITR(point-in-time recovery)은 DynamoDB 테이블 백업에 사용할 수 있는 메커니즘 중 하나입니다.

특정 시점 백업은 35일 동안 유지됩니다. 더 오래 보관해야 하는 경우에는 AWS 문서의 AWS Backup을 사용하여 Amazon DynamoDB에 대해 예약된 백업 설정을 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

모든 AWS DynamoDB 테이블에 PITR(point-in-time recovery)이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Dynamodb Table Encrypted Kms

API의 카테고리 이름: DYNAMODB_TABLE_ENCRYPTED_KMS

발견 항목 설명:

모든 DynamoDB 테이블이 고객 관리 KMS 키(기본값 아님)로 암호화되었는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)

모든 DynamoDB 테이블이 AWS Key Management Service(KMS)로 암호화되었는지 확인하세요.

  • 실시간 검사: 아니요

Ebs Optimized Instance

API의 카테고리 이름: EBS_OPTIMIZED_INSTANCE

발견 항목 설명:

EBS 최적화가 가능한 EC2 인스턴스에 EBS 최적화가 사용 설정되어 있는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-5(2)

EBS 최적화를 지원하는 모든 인스턴스에 EBS 최적화가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Ebs Snapshot Public Restorable Check

API의 카테고리 이름: EBS_SNAPSHOT_PUBLIC_RESTORABLE_CHECK

발견 항목 설명:

Amazon Elastic Block Store 스냅샷이 공개 상태가 아닌지 확인합니다. 누군가 Amazon EBS 스냅샷을 복원할 수 있으면 제어가 실패합니다.

EBS 스냅샷은 특정 시점에 EBS 볼륨에 있는 데이터를 Amazon S3에 백업하는 데 사용됩니다. 스냅샷을 사용하여 EBS 볼륨의 이전 상태를 복원할 수 있습니다. 스냅샷을 공개적으로 공유하는 것은 거의 허용되지 않습니다. 일반적으로 스냅샷을 공개적으로 공유하기로 한 결정은 잘못되었거나 영향에 대한 완전한 이해 없이 진행된 것입니다. 이러한 확인은 이러한 모든 공유가 완전히 계획되고 의도한 것인지 확인하는 데 도움이 됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Amazon EBS 스냅샷을 공개적으로 복원할 수 있어서는 안 됩니다.

  • 실시간 검사: 아니요

Ebs Volume Encryption Enabled All Regions

API의 카테고리 이름: EBS_VOLUME_ENCRYPTION_ENABLED_ALL_REGIONS

발견 항목 설명:

Elastic Block Store(EBS) 서비스를 사용할 때 Elastic Compute Cloud(EC2)에서 저장 데이터를 암호화할 수 있습니다. 기본적으로 사용 중지되어 있지만 EBS 볼륨을 만들 때 암호화를 강제 적용할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.2.1
  • CIS Controls 8.0: 3.11

모든 리전에 EBS 볼륨 암호화가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Ec2 Instances In Vpc

API의 카테고리 이름: EC2_INSTANCES_IN_VPC

발견 항목 설명:

Amazon VPC는 EC2 Classic보다 더 많은 보안 기능을 제공합니다. 모든 노드가 Amazon VPC에 속하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7

모든 인스턴스가 VPC에 속하는지 확인하세요.

  • 실시간 검사: 아니요

Ec2 Instance No Public Ip

API의 카테고리 이름: EC2_INSTANCE_NO_PUBLIC_IP

발견 항목 설명:

공개 IP 주소가 있는 EC2 인스턴스의 손상 위험이 증가합니다. EC2 인스턴스를 공개 IP 주소로 구성하지 않는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

공개 IP가 있는 인스턴스가 없는지 확인하세요.

  • 실시간 검사: 아니요

Ec2 Managedinstance Association Compliance Status Check

API의 카테고리 이름: EC2_MANAGEDINSTANCE_ASSOCIATION_COMPLIANCE_STATUS_CHECK

발견 항목 설명:

State Manager 연결은 사용자의 관리형 인스턴스에 할당된 구성입니다. 이 구성은 인스턴스에서 유지하려는 상태를 정의합니다. 예를 들어 연결에서 인스턴스에 바이러스 백신 소프트웨어를 설치 및 실행하거나 특정 포트를 닫도록 지정할 수 있습니다. AWS Systems Manager와 연결된 EC2 인스턴스는 Systems Manager의 관리를 통해 패치를 더 쉽게 적용하고 잘못된 구성을 수정하며 보안 이벤트에 대응할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 6.2

규정 준수 상태 AWS 시스템 관리자 연결을 확인합니다.

  • 실시간 검사: 아니요

Ec2 Managedinstance Patch Compliance Status Check

API의 카테고리 이름: EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK

발견 항목 설명:

이 제어는 연결이 인스턴스에서 실행된 후 AWS Systems Manager 연결 규정 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 여부를 확인합니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다.

State Manager 연결은 사용자의 관리형 인스턴스에 할당된 구성입니다. 이 구성은 인스턴스에서 유지하려는 상태를 정의합니다. 예를 들어 연결에서 인스턴스에 바이러스 백신 소프트웨어를 설치 및 실행하거나 특정 포트를 닫도록 지정할 수 있습니다.

State Manager 연결을 하나 이상 만들면 규정 준수 상태 정보가 자동으로 제공됩니다. 콘솔에서 또는 AWS CLI 명령어나 해당하는 Systems Manager API 작업에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. 연결의 경우 구성 규정 준수에는 규정 준수 상태(준수 또는 미준수)가 표시됩니다. 연결에 할당된 심각도 수준도 표시됩니다(예: 심각 또는 중간).

State Manager 연결 규정 준수에 대한 자세한 내용은 AWS Systems Manager 사용자 가이드의 State Manager 연결 규정 준수 정보를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-2
  • PCI-DSS v3.2.1: 6.2

AWS Systems Manager 패치 규정 준수의 상태를 확인하세요.

  • 실시간 검사: 아니요

Ec2 Metadata Service Allows Imdsv2

API의 카테고리 이름: EC2_METADATA_SERVICE_ALLOWS_IMDSV2

발견 항목 설명:

AWS EC2 인스턴스에서 메타데이터 서비스를 사용 설정할 때 사용자는 인스턴스 메타데이터 서비스 버전 1(IMDSv1, 요청/응답 메서드) 또는 인스턴스 메타데이터 서비스 버전 2(IMDSv2, 세션 중심 메서드)를 사용할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-6
  • CIS AWS Foundation 2.0.0: 5.6

EC2 메타데이터 서비스가 IMDSv2만 허용하는지 확인하세요.

  • 실시간 검사: 아니요

Ec2 Volume Inuse Check

API의 카테고리 이름: EC2_VOLUME_INUSE_CHECK

발견 항목 설명:

월별 AWS 청구서 비용을 낮추기 위해 AWS 계정에서 연결되지 않은(사용되지 않는) Elastic Block Store(EBS) 볼륨을 식별하고 삭제합니다. 사용하지 않는 EBS 볼륨을 삭제하면 기밀/민감한 정보가 프레미스에서 손실될 위험이 줄어듭니다. 또한 이 제어는 EC2 인스턴스가 종료 시 볼륨을 삭제하도록 구성되어 있는지 여부도 확인합니다.

기본적으로 EC2 인스턴스는 인스턴스와 연결된 모든 EBS 볼륨의 데이터를 삭제하고 인스턴스의 루트 EBS 볼륨을 삭제하도록 구성됩니다. 하지만 기본적으로 시작 시 또는 실행 중에 인스턴스에 연결된 루트가 아닌 EBS 볼륨은 종료 후에도 유지됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: CM-2

EBS 볼륨이 EC2 인스턴스에 연결되어 있고 인스턴스 종료 시 삭제되도록 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Efs Encrypted Check

API의 카테고리 이름: EFS_ENCRYPTED_CHECK

발견 항목 설명:

Amazon EFS는 두 가지 형태의 파일 시스템 암호화 즉, 전송 중 데이터 암호화와 저장 데이터 암호화를 지원합니다. 이를 통해 계정에서 사용 설정된 모든 리전에서 모든 EFS 파일 시스템이 저장 데이터 암호화로 구성되었는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

EFS가 KMS를 사용하여 파일 데이터를 암호화하도록 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Efs In Backup Plan

API의 카테고리 이름: EFS_IN_BACKUP_PLAN

발견 항목 설명:

Amazon 권장사항에서는 Elastic File Systems(EFS)의 백업을 구성할 것을 권장합니다. 이를 통해 AWS 계정에서 사용 설정된 모든 리전에서 모든 EFS에 백업이 사용 설정되었는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

EFS 파일 시스템이 AWS 백업 계획에 포함되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Elb Acm Certificate Required

API의 카테고리 이름: ELB_ACM_CERTIFICATE_REQUIRED

발견 항목 설명:

클래식 부하 분산기가 AWS Certificate Manager(ACM)에서 제공하는 HTTPS/SSL 인증서를 사용하는지 확인합니다. HTTPS/SSL 리스너로 구성된 클래식 부하 분산기가 ACM에서 제공하는 인증서를 사용하지 않으면 제어가 실패합니다.

인증서를 만들려면 ACM 또는 OpenSSL과 같이 SSL 및 TLS 프로토콜을 지원하는 도구를 사용하면 됩니다. Security Hub에서는 ACM을 사용하여 부하 분산기의 인증서를 만들거나 가져오는 것이 좋습니다.

ACM은 클래식 부하 분산기와 통합되므로 부하 분산기에 인증서를 배포할 수 있습니다. 또한 이러한 인증서를 자동으로 갱신해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-17, AC-4, IA-5, SC-12, SC-13, SC-23, SC-7, SC-8, SI-7, SI-7(6)

모든 기존 부하 분산기가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인하세요.

  • 실시간 검사: 아니요

Elb Deletion Protection Enabled

API의 카테고리 이름: ELB_DELETION_PROTECTION_ENABLED

발견 항목 설명:

애플리케이션 부하 분산기에 삭제 보호가 사용 설정되어 있는지 확인합니다. 삭제 보호가 구성되지 않으면 제어가 실패합니다.

Application Load Balancer가 삭제되지 않도록 보호하려면 삭제 보호를 사용 설정합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-5(2)

애플리케이션 부하 분산기 삭제 보호가 사용 설정되어야 합니다.

  • 실시간 검사: 아니요

Elb Logging Enabled

API의 카테고리 이름: ELB_LOGGING_ENABLED

발견 항목 설명:

애플리케이션 부하 분산기 및 클래식 부하 분산기에서 로깅이 사용 설정되었는지 여부를 확인합니다. access_logs.s3.enabled가 false이면 제어가 실패합니다.

Elastic Load Balancing은 부하 분산기로 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청이 수신된 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로, 서버 응답과 같은 정보가 포함됩니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다.

자세한 내용은 Classic Load Balancer 사용자 가이드의 Classic Load Balancer 액세스 로그를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

기존 및 애플리케이션 부하 분산기에 로깅이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Elb Tls Https Listeners Only

API의 카테고리 이름: ELB_TLS_HTTPS_LISTENERS_ONLY

발견 항목 설명:

이 검사에서는 모든 클래식 부하 분산기가 보안 통신을 사용하도록 구성되었는지 확인합니다.

리스너는 연결 요청을 확인하는 프로세스입니다. 이는 프런트엔드(클라이언트-부하 분산기) 연결에 사용되는 프로토콜과 포트, 백엔드(부하 분산기-인스턴스) 연결에 사용되는 프로토콜로 구성됩니다. Elastic Load Balancing에서 지원하는 포트, 프로토콜, 리스너 구성에 대한 자세한 내용은 Classic Load Balancer의 리스너를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)

모든 기존 부하 분산기가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Encrypted Volumes

API의 카테고리 이름: ENCRYPTED_VOLUMES

발견 항목 설명:

연결된 상태의 EBS 볼륨이 암호화되었는지 확인합니다. 이 검사를 통과하려면 EBS 볼륨이 사용 중이고 암호화되어야 합니다. EBS 볼륨이 연결되지 않은 경우에는 이 검사가 적용되지 않습니다.

EBS 볼륨의 민감한 정보에 대한 보안을 강화하려면 EBS 저장 데이터 암호화를 사용 설정해야 합니다. Amazon EBS 암호화는 EBS 리소스를 위한 직관적인 암호화 솔루션을 제공하므로 자체 키 관리 인프라를 빌드, 유지, 보호할 필요가 없습니다. 암호화된 볼륨과 스냅샷을 만들 때 KMS 키를 사용합니다.

Amazon EBS 암호화에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용자 가이드의 Amazon EBS 암호화를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

연결된 Amazon EBS 볼륨의 저장 데이터가 암호화되어야 합니다.

  • 실시간 검사: 아니요

Encryption At Rest Enabled Rds Instances

API의 카테고리 이름: ENCRYPTION_AT_REST_ENABLED_RDS_INSTANCES

발견 항목 설명:

Amazon RDS 암호화된 DB 인스턴스는 업계 표준 AES-256 암호화 알고리즘을 사용하여 Amazon RDS DB 인스턴스를 호스팅하는 서버에서 데이터를 암호화합니다. 데이터가 암호화되면 Amazon RDS는 성능에 미치는 영향을 최소화하면서 액세스 인증과 데이터 복호화를 투명하게 처리합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28, SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.3.1
  • CIS Controls 8.0: 3.11

RDS 인스턴스에 저장 데이터 암호화가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Encryption Enabled Efs File Systems

API의 카테고리 이름: ENCRYPTION_ENABLED_EFS_FILE_SYSTEMS

발견 항목 설명:

EFS 데이터에 AWS KMS(Key Management Service)를 통해 저장 데이터 암호화가 적용되어야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.4.1
  • CIS Controls 8.0: 3.11

EFS 파일 시스템에 암호화가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Iam Password Policy

API의 카테고리 이름: IAM_PASSWORD_POLICY

발견 항목 설명:

AWS는 IAM 사용자 비밀번호에 대한 복잡성 요구사항과 필수 순환 기간을 지정할 수 있도록 AWS 계정에 대한 커스텀 비밀번호 정책을 허용합니다. 커스텀 비밀번호 정책을 설정하지 않으면 IAM 사용자 비밀번호가 기본 AWS 비밀번호 정책을 충족해야 합니다. AWS 보안 권장사항에서는 다음과 같은 비밀번호 복잡성 요구사항을 권장합니다.

  • 비밀번호에 대문자가 한 자 이상 포함되어야 합니다.
  • 비밀번호에 소문자가 한 자 이상 포함되어야 합니다.
  • 비밀번호에 기호가 하나 이상 포함되어야 합니다.
  • 비밀번호에 숫자가 한 자 이상 포함되어야 합니다.
  • 비밀번호는 최소 14자 이상이어야 합니다.
  • 재사용을 허용하려면 비밀번호가 24개 이상 필요합니다.
  • 비밀번호가 만료되기 전 최소 90일 이전이어야 합니다.

이 제어는 지정된 모든 비밀번호 정책 요구사항을 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5(1)
  • PCI-DSS v3.2.1: 8.2.5

IAM 사용자의 계정 비밀번호 정책이 지정된 요구사항을 준수하는지 확인하세요.

  • 실시간 검사: 아니요

Iam Password Policy Prevents Password Reuse

API의 카테고리 이름: IAM_PASSWORD_POLICY_PREVENTS_PASSWORD_REUSE

발견 항목 설명:

IAM 비밀번호 정책은 동일한 사용자가 지정된 비밀번호를 재사용하지 못하도록 할 수 있습니다. 비밀번호 정책에서 비밀번호 재사용을 방지하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5
  • PCI-DSS v4.0: 2.2.2, 8.3.5, 8.3.6, 8.6.3
  • ISO-27001 v2022: A.5.17
  • Cloud Controls Matrix 4: IAM-02
  • SOC2 v2017: CC6.1.3, CC6.1.8, CC6.1.9
  • CIS AWS Foundation 2.0.0: 1.9
  • CIS Controls 8.0: 5.2

IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인하세요.

  • 실시간 검사: 아니요

Iam Password Policy Requires Minimum Length 14 Greater

API의 카테고리 이름: IAM_PASSWORD_POLICY_REQUIRES_MINIMUM_LENGTH_14_GREATER

발견 항목 설명:

비밀번호 정책은 부분적으로 비밀번호 복잡성 요구사항을 적용하는 데 사용됩니다. IAM 비밀번호 정책을 사용하여 비밀번호가 지정된 최소 길이 이상인지 확인할 수 있습니다. 비밀번호 정책에서 비밀번호 길이를 최소 14자 이상 요구하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 1.8
  • CIS Controls 8.0: 5, 5.2

IAM 비밀번호 정책이 14자(영문 기준) 이상을 요구하는지 확인하세요.

  • 실시간 검사: 아니요

Iam Policies Allow Full Administrative Privileges Attached

API의 카테고리 이름: IAM_POLICIES_ALLOW_FULL_ADMINISTRATIVE_PRIVILEGES_ATTACHED

발견 항목 설명:

IAM 정책은 사용자, 그룹 또는 역할에 권한이 부여되는 방법입니다. 최소 권한 즉, 태스크를 수행하는 데 필요한 권한만 부여하는 것이 좋으며 표준 보안 조언으로 간주됩니다. 사용자가 수행해야 하는 작업을 결정한 후 전체 관리 권한을 허용하는 대신 해당 태스크 수행할 수 있게 하는 정책을 만듭니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.16
  • CIS Controls 8.0: 3.3

전체 '*:*' 관리 권한을 허용하는 IAM 정책이 연결되지 않았는지 확인하세요.

  • 실시간 검사: 아니요

Iam Users Receive Permissions Groups

API의 카테고리 이름: IAM_USERS_RECEIVE_PERMISSIONS_GROUPS

발견 항목 설명:

IAM 정책을 통해 IAM 사용자에게 서비스, 함수, 데이터에 대한 액세스 권한이 부여됩니다. 사용자 정책을 정의하는 방법에는 4가지가 있습니다. 1) 사용자 정책(인라인 또는 사용자, 정책이라고도 함)을 직접 수정합니다. 2) 정책을 사용자에게 직접 연결합니다. 3) 사용자를 연결된 정책이 있는 IAM 그룹에 추가합니다. 4) 사용자를 인라인 정책이 있는 IAM 그룹에 추가합니다.

세 번째 구현만 권장됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-2, AC-5, AC-6, AU-9
  • PCI-DSS v4.0: 10.3.1, 7.1.1, 7.2.1, 7.2.2, 7.2.4, 7.2.6, 7.3.1, 7.3.2
  • ISO-27001 v2022: A.5.15, A.5.3, A.8.2, A.8.3
  • Cloud Controls Matrix 4: IAM-04
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.3.1, CC6.3.2, CC6.3.3
  • HIPAA: 164.308(a)(3)(ii), 164.308(a)(4)(i), 164.308(a)(4)(ii)
  • CIS AWS Foundation 2.0.0: 1.15
  • CIS Controls 8.0: 6.8

IAM 사용자가 그룹을 통해서만 권한을 받는지 확인하세요.

  • 실시간 검사: 아니요

Iam User Group Membership Check

API의 카테고리 이름: IAM_USER_GROUP_MEMBERSHIP_CHECK

발견 항목 설명:

IAM 보안 권장사항을 준수하려면 IAM 사용자가 항상 IAM 그룹에 속해야 합니다.

사용자를 그룹에 추가하면 여러 사용자 유형 간에 정책을 공유할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-6

IAM 사용자가 IAM 그룹 하나 이상의 구성원인지 확인하세요.

  • 실시간 검사: 아니요

Iam User Mfa Enabled

API의 카테고리 이름: IAM_USER_MFA_ENABLED

발견 항목 설명:

다중 인증(MFA)은 사용자 이름과 비밀번호 외에 보안을 강화하는 권장사항입니다. MFA를 사용하면 사용자가 AWS Management Console에 로그인할 때 등록된 가상 기기나 실제 기기에서 제공하는 시간에 민감한 인증 코드를 제공해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • PCI-DSS v3.2.1: 8.3.2

AWS IAM 사용자가 다중 인증(MFA)을 사용 설정했는지 확인하세요.

  • 실시간 검사: 아니요

Iam User Unused Credentials Check

API의 카테고리 이름: IAM_USER_UNUSED_CREDENTIALS_CHECK

발견 항목 설명:

지난 90일 동안 사용되지 않은 IAM 비밀번호나 활성 액세스 키가 있는지 확인합니다.

90일 이상 사용하지 않은 모든 사용자 인증 정보를 삭제, 비활성화 또는 순환하는 것이 좋습니다. 이렇게 하면 도용되거나 폐기된 계정과 연결된 사용자 인증 정보를 사용할 수 있는 기간이 줄어듭니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-6
  • PCI-DSS v3.2.1: 8.1.4

모든 AWS IAM 사용자에게 maxCredentialUsageAge 일수(기본 90일) 동안 사용되지 않은 비밀번호나 활성 액세스 키가 있는지 확인하세요.

  • 실시간 검사: 아니요

Kms Cmk Not Scheduled For Deletion

API의 카테고리 이름: KMS_CMK_NOT_SCHEDULED_FOR_DELETION

발견 항목 설명:

이 제어는 KMS 키 삭제가 예약되었는지 여부를 확인합니다. KMS 키 삭제가 예약되면 제어가 실패합니다.

KMS 키는 삭제되면 복구될 수 없습니다. 또한 KMS 키가 삭제되면 KMS 키로 암호화된 데이터는 영구적으로 복구 불가합니다. 삭제가 예약된 KMS 키로 의미 있는 데이터가 암호화된 경우 의도적으로 암호화 삭제를 수행하지 않는 한 데이터를 복호화하거나 새 KMS 키로 데이터를 다시 암호화하는 것이 좋습니다.

KMS 키 삭제가 예약되면 잘못 예약된 경우에 삭제를 취소할 수 있도록 필수 대기 기간이 적용됩니다. 기본 대기 기간은 30일이지만 KMS 키 삭제를 예약할 때 최대 7일까지 줄일 수 있습니다. 대기 기간 중에는 예약된 삭제를 취소할 수 있지만 KMS 키는 삭제되지 않습니다.

KMS 키 삭제에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 KMS 키 삭제를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-12

모든 CMK에 삭제가 예약되지 않았는지 확인하세요.

  • 실시간 검사: 아니요

Lambda Concurrency Check

API의 카테고리 이름: LAMBDA_CONCURRENCY_CHECK

발견 항목 설명:

람다 함수가 함수 수준 동시 실행 제한으로 구성되었는지 확인합니다. Lambda 함수가 함수 수준 동시 실행 제한으로 구성되지 않으면 규칙은 NON_COMPLIANT입니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

람다 함수가 함수 수준 동시 실행 한도로 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Lambda Dlq Check

API의 카테고리 이름: LAMBDA_DLQ_CHECK

발견 항목 설명:

람다 함수가 데드 레터 큐로 구성되었는지 확인합니다. 람다 함수가 데드 레터 큐로 구성되지 않으면 규칙은 NON_COMPLIANT입니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-2

Lambda 함수가 데드 레터 큐로 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Lambda Function Public Access Prohibited

API의 카테고리 이름: LAMBDA_FUNCTION_PUBLIC_ACCESS_PROHIBITED

발견 항목 설명:

AWS 권장사항에서는 Lambda 함수를 공개적으로 노출하면 안 된다고 권장합니다. 이 정책은 계정 내에서 사용 설정된 모든 리전에 배포된 모든 Lambda 함수를 확인하고 공개 액세스를 허용하도록 구성되어 있으면 실패합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

람다 함수에 연결된 정책이 공개 액세스를 금지하는지 확인하세요.

  • 실시간 검사: 아니요

Lambda Inside Vpc

API의 카테고리 이름: LAMBDA_INSIDE_VPC

발견 항목 설명:

람다 함수가 VPC에 있는지 여부를 확인합니다. Lambda@Edge 리소스의 실패한 발견 항목이 표시될 수 있습니다.

공개 연결 가능성을 결정하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Lambda 함수가 VPC 내에 있는지 확인하세요.

  • 실시간 검사: 아니요

Mfa Delete Enabled S3 Buckets

API의 카테고리 이름: MFA_DELETE_ENABLED_S3_BUCKETS

발견 항목 설명:

민감하고 분류된 S3 버킷에 MFA 삭제가 사용 설정되면 사용자에게 두 가지 형태의 인증이 필요합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.2
  • CIS Controls 8.0: 3.3, 6.5

S3 버킷에 MFA 삭제가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Mfa Enabled Root User Account

API의 카테고리 이름: MFA_ENABLED_ROOT_USER_ACCOUNT

발견 항목 설명:

'루트' 사용자 계정은 AWS 계정에서 가장 많은 권한이 있는 사용자입니다. 다중 인증(MFA)은 사용자 이름과 비밀번호 외에 보안을 강화합니다. MFA를 사용 설정한 경우 사용자가 AWS 웹사이트에 로그인하면 사용자 이름과 비밀번호뿐만 아니라 AWS MFA 기기의 인증 코드를 입력하라는 메시지가 표시됩니다.

참고: '루트' 계정에 가상 MFA를 사용하는 경우 사용되는 기기는 개인 기기가 아닌 개별 개인 기기와 별도로 충전되고 보호되도록 관리되는 전용 휴대기기(태블릿 또는 휴대전화)인 것이 좋습니다. ('비개인 가상 MFA') 이렇게 하면 기기 손실, 기기 보상 판매로 인해 또는 기기를 소유한 개인이 더 이상 회사에서 근무하지 않는 경우 MFA에 대한 액세스 권한을 상실할 위험이 줄어듭니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.5
  • CIS Controls 8.0: 6.5

'루트' 사용자 계정에 MFA가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Multi Factor Authentication Mfa Enabled All Iam Users Console

API의 카테고리 이름: MULTI_FACTOR_AUTHENTICATION_MFA_ENABLED_ALL_IAM_USERS_CONSOLE

발견 항목 설명:

다중 인증(MFA)은 기존 사용자 인증 정보 외에 인증 보증을 강화합니다. MFA를 사용 설정한 경우 사용자가 AWS Console에 로그인하면 사용자 이름과 비밀번호뿐만 아니라 물리적 또는 가상 MFA 토큰의 인증 코드를 입력하라는 메시지가 표시됩니다. 콘솔 비밀번호가 있는 모든 계정에 MFA를 사용 설정하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-2, IA-2(8)
  • PCI-DSS v3.2.1: 8.3.2
  • PCI-DSS v4.0: 2.2.7, 8.4.1
  • ISO-27001 v2022: A.8.2
  • Cloud Controls Matrix 4: IAM-10
  • NIST Cybersecurity Framework 1.0: PR-AC-7
  • SOC2 v2017: CC6.1.3, CC6.1.4, CC6.1.6, CC6.1.7, CC6.1.8
  • CIS AWS Foundation 2.0.0: 1.10
  • CIS Controls 8.0: 6.5

콘솔 비밀번호를 보유한 모든 IAM 사용자에게 다중 인증(MFA)이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration

API의 카테고리 이름: NO_NETWORK_ACLS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

발견 항목 설명:

네트워크 액세스 제어 목록(NACL) 함수에서 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트리스(Stateless) 필터링을 제공합니다. NACL에서는 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용한 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 22로, RDP에서 포트 3389로 연결)를 허용하지 않는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 5.1

0.0.0.0/0에서 원격 서버 관리 포트로 인그레스를 허용하는 네트워크 ACL이 없는지 확인하세요.

  • 실시간 검사: 아니요

No Root User Account Access Key Exists

API의 카테고리 이름: NO_ROOT_USER_ACCOUNT_ACCESS_KEY_EXISTS

발견 항목 설명:

'루트' 사용자 계정은 AWS 계정에서 가장 많은 권한이 있는 사용자입니다. AWS 액세스 키는 지정된 AWS 계정에 대한 프로그래매틱 액세스 권한을 제공합니다. '루트' 사용자 계정과 연결된 모든 액세스 키를 삭제하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2
  • PCI-DSS v3.2.1: 8.1.1
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 1.4
  • CIS Controls 8.0: 3.3, 5.4

'루트' 사용자 계정 액세스 키가 없는지 확인하세요.

  • 실시간 검사: 아니요

No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration

API의 카테고리 이름: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_0_0_0_REMOTE_SERVER_ADMINISTRATION

발견 항목 설명:

보안 그룹은 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹에서는 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용한 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 22로, RDP에서 포트 3389로 연결)를 허용하지 않는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 5.2

0.0.0.0/0에서 원격 서버 관리 포트로 인그레스를 허용하는 보안 그룹이 없는지 확인하세요.

  • 실시간 검사: 아니요

No Security Groups Allow Ingress 0 Remote Server Administration

API의 카테고리 이름: NO_SECURITY_GROUPS_ALLOW_INGRESS_0_REMOTE_SERVER_ADMINISTRATION

발견 항목 설명:

보안 그룹은 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹에서는 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 22로, RDP에서 포트 3389로 연결)를 허용하지 않는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 5.3

::/0에서 원격 서버 관리 포트로 인그레스를 허용하는 보안 그룹이 없는지 확인하세요.

  • 실시간 검사: 아니요

One Active Access Key Available Any Single Iam User

API의 카테고리 이름: ONE_ACTIVE_ACCESS_KEY_AVAILABLE_ANY_SINGLE_IAM_USER

발견 항목 설명:

액세스 키는 IAM 사용자 또는 AWS 계정 '루트' 사용자의 장기 사용자 인증 정보입니다. 액세스 키를 사용하여 AWS CLI 또는 AWS API에 대한 프로그래매틱 요청에 직접 또는 AWS SDK를 사용하여 서명할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • CIS AWS Foundation 2.0.0: 1.13
  • CIS Controls 8.0: 5

단일 IAM 사용자가 사용할 수 있는 활성 액세스 키가 1개만 있는지 확인하세요.

  • 실시간 검사: 아니요

Public Access Given Rds Instance

API의 카테고리 이름: PUBLIC_ACCESS_GIVEN_RDS_INSTANCE

발견 항목 설명:

보안 위험을 최소화하기 위해 AWS 계정에 프로비저닝된 RDS 데이터베이스 인스턴스가 무단 액세스를 제한하는지 확인합니다. 공개적으로 액세스할 수 있는 RDS 데이터베이스 인스턴스에 대한 액세스를 제한하려면 데이터베이스 공개 액세스 가능 플래그를 중지하고 인스턴스와 연결된 VPC 보안 그룹을 업데이트해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v3.2.1: 2.2.2
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.3.3
  • CIS Controls 8.0: 3.3

RDS 인스턴스에 공개 액세스 권한이 부여되지 않았는지 확인하세요.

  • 실시간 검사: 아니요

Rds Enhanced Monitoring Enabled

API의 카테고리 이름: RDS_ENHANCED_MONITORING_ENABLED

발견 항목 설명:

고급 모니터링은 인스턴스에 설치된 에이전트를 통해 RDS 인스턴스가 실행되는 운영체제에 대한 실시간 측정항목을 제공합니다.

자세한 내용은 고급 모니터링으로 OS 측정항목 모니터링을 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-2

모든 RDS DB 인스턴스에 고급 모니터링이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Rds Instance Deletion Protection Enabled

API의 카테고리 이름: RDS_INSTANCE_DELETION_PROTECTION_ENABLED

발견 항목 설명:

인스턴스 삭제 방지를 사용 설정하면 실수로 인한 데이터베이스 삭제나 승인되지 않은 항목에 의한 삭제로부터 보호됩니다.

삭제 방지가 사용 설정된 동안에는 RDS DB 인스턴스를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 방지를 중지해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

모든 RDS 인스턴스에 삭제 보호가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Rds In Backup Plan

API의 카테고리 이름: RDS_IN_BACKUP_PLAN

발견 항목 설명:

이 검사는 Amazon RDS DB 인스턴스에 백업 계획이 적용되는지 평가합니다. RDS DB 인스턴스에 백업 계획이 적용되지 않으면 이 제어가 실패합니다.

AWS Backup은 AWS 서비스의 데이터 백업을 중앙화 및 자동화하는 완전 관리형 백업 서비스입니다. AWS Backup을 사용하여 백업 계획이라는 백업 정책을 만들 수 있습니다. 이러한 플랜을 사용하여 데이터 백업 빈도 및 백업 보관 기간과 같은 백업 요구사항을 정의할 수 있습니다. 백업 계획에 RDS DB 인스턴스를 포함하면 의도치 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

RDS DB 인스턴스에 백업 계획이 적용되어야 합니다.

  • 실시간 검사: 아니요

Rds Logging Enabled

API의 카테고리 이름: RDS_LOGGING_ENABLED

발견 항목 설명:

Amazon RDS의 다음 로그가 사용 설정되어 CloudWatch로 전송되는지 여부를 확인합니다.

RDS 데이터베이스에서 관련 로그가 사용 설정되어 있어야 합니다. 데이터베이스 로깅은 RDS에 수행된 요청에 대한 상세 레코드를 제공합니다. 데이터베이스 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 유용할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(8)

모든 RDS DB 인스턴스에 내보낸 로그가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Rds Multi Az Support

API의 카테고리 이름: RDS_MULTI_AZ_SUPPORT

발견 항목 설명:

RDS DB 인스턴스가 여러 가용성 영역(AZ)에 구성되어야 합니다. 이렇게 하면 저장된 데이터의 가용성이 보장됩니다. 다중 AZ 배포는 가용성 영역 가용성에 문제가 있고 정기 RDS 유지보수 중에 발생하는 자동 장애 조치를 허용합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

모든 RDS DB 인스턴스에 고가용성이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Redshift Cluster Configuration Check

API의 카테고리 이름: REDSHIFT_CLUSTER_CONFIGURATION_CHECK

발견 항목 설명:

Redshift 클러스터의 필수 요소인 저장 데이터 암호화, 로깅, 노드 유형을 확인합니다.

이러한 구성 항목은 안전하고 관측 가능한 Redshift 클러스터 유지보수에 중요합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

모든 Redshift 클러스터에 저장 데이터 암호화, 로깅, 노드 유형이 있는지 확인하세요.

  • 실시간 검사: 아니요

Redshift Cluster Maintenancesettings Check

API의 카테고리 이름: REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK

발견 항목 설명:

자동 주 버전 업그레이드가 유지보수 기간에 따라 수행됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-2

모든 Redshift 클러스터에 allowVersionUpgrade가 사용 설정되어 있고 preferredMaintenanceWindow 및 automatedSnapshotRetentionPeriod가 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Redshift Cluster Public Access Check

API의 카테고리 이름: REDSHIFT_CLUSTER_PUBLIC_ACCESS_CHECK

발견 항목 설명:

Amazon Redshift 클러스터 구성의 PubliclyAccessible 속성은 클러스터에 공개적으로 액세스할 수 있는지 여부를 나타냅니다. PubliclyAccessible을 true로 설정한 상태에서 클러스터를 구성하면 클러스터는 공개 IP 주소로 확인되는 공개적으로 확인 가능한 DNS 이름이 있는 인터넷 연결 인스턴스가 됩니다.

클러스터에 공개적으로 액세스할 수 없는 경우, 이는 비공개 IP 주소로 확인되는 DNS 이름이 있는 내부 인스턴스가 됩니다. 클러스터에 공개적으로 액세스할 의도가 없으면 PubliclyAccessible을 true로 설정한 상태에서 클러스터를 구성해서는 안 됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

Redshift 클러스터에 공개적으로 액세스할 수 있는지 확인하세요.

  • 실시간 검사: 아니요

Restricted Common Ports

API의 카테고리 이름: RESTRICTED_COMMON_PORTS

발견 항목 설명:

보안 그룹에 제한되지 않은 수신 트래픽이 가장 위험한 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 하나라도 해당 포트의 '0.0.0.0/0' 또는 '::/0'에서 인그레스 트래픽을 허용하면 이 제어가 실패합니다.

무제한 액세스(0.0.0.0/0)로 인해 해킹, DoS 공격, 데이터 손실과 같은 악의적인 활동 가능성이 증가합니다.

보안 그룹은 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹은 다음 포트에 대한 무제한 인그레스 액세스를 허용하면 안 됩니다.

  • 20, 21(FTP)
  • 22(SSH)
  • 23(텔넷)
  • 25(SMTP)
  • 110(POP3)
  • 135(RPC)
  • 143(IMAP)
  • 445(CIFS)
  • 1433, 1434(MSSQL)
  • 3000(Go, Node.js, Ruby 웹 개발 프레임워크)
  • 3306(mySQL)
  • 3389(RDP)
  • 4333(ahsp)
  • 5000(Python 웹 개발 프레임워크)
  • 5432(postgresql)
  • 5500(fcp-addr-srvr1)
  • 5601(OpenSearch 대시보드)
  • 8080(프록시)
  • 8088(기존 HTTP 포트)
  • 8888(대체 HTTP 포트)
  • 9200 또는 9300(OpenSearch)

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

보안 그룹은 위험도가 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.

  • 실시간 검사: 아니요

Restricted Ssh

API의 카테고리 이름: RESTRICTED_SSH

발견 항목 설명:

보안 그룹은 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다.

CIS는 보안 그룹에서 포트 22에 대한 무제한 인그레스 액세스를 허용하지 않도록 권장합니다. SSH와 같은 원격 콘솔 서비스에 대한 무제한 연결을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

보안 그룹은 0.0.0.0/0에서 포트 22로의 인그레스를 허용해서는 안 됩니다.

  • 실시간 검사: 아니요

Rotation Customer Created Cmks Enabled

API의 카테고리 이름: ROTATION_CUSTOMER_CREATED_CMKS_ENABLED

발견 항목 설명:

키마다 자동 키 순환이 사용 설정되어 있고 고객이 만든 AWS KMS 키의 키 ID와 일치하는지 확인합니다. 리소스에 대한 AWS Config 레코더 역할에 kms:DescribeKey 권한이 없으면 규칙은 NON_COMPLIANT입니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

고객이 만든 CMK에 순환이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Rotation Customer Created Symmetric Cmks Enabled

API의 카테고리 이름: ROTATION_CUSTOMER_CREATED_SYMMETRIC_CMKS_ENABLED

발견 항목 설명:

AWS Key Management Service(KMS)를 사용하면 고객이 만든 고객 마스터 키(CMK)의 키 ID에 연결된 KMS 내에 저장된 키 자료인 예비 키를 순환할 수 있습니다. 암호화 및 복호화와 같은 암호화 작업을 수행하는 데 사용되는 예비 키입니다. 자동 키 순환은 암호화된 데이터 복호화가 투명하게 수행될 수 있도록 현재 모든 이전 예비 키를 보관합니다. 대칭 키에 CMK 키 순환을 사용 설정하는 것이 좋습니다. 비대칭 CMK에는 키 순환을 사용 설정할 수 없습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: IA-5, SC-28
  • PCI-DSS v4.0: 3.1.1, 3.3.2, 3.3.3, 3.5.1, 3.5.1.2, 3.5.1.3, 8.3.2
  • ISO-27001 v2022: A.5.33
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-1
  • SOC2 v2017: CC6.1.10, CC6.1.3
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 3.8
  • CIS Controls 8.0: 3.11

고객이 만든 대칭 CMK에 순환이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Routing Tables Vpc Peering Are Least Access

API의 카테고리 이름: ROUTING_TABLES_VPC_PEERING_ARE_LEAST_ACCESS

발견 항목 설명:

VPC 피어링의 경로 테이블이 최소 권한의 주 구성원으로 구성되었는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

VPC 피어링의 라우팅 테이블이 '최소 액세스 권한'인지 확인하세요.

  • 실시간 검사: 아니요

S3 Account Level Public Access Blocks

API의 카테고리 이름: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS

발견 항목 설명:

Amazon S3 퍼블릭 액세스 차단은 Amazon S3 리소스에 대한 공개 액세스를 관리하는 데 도움이 되는 액세스 포인트, 버킷, 계정에 대한 설정을 제공합니다. 기본적으로 새 버킷, 액세스 포인트, 객체에서는 공개 액세스를 허용하지 않습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다.

필요한 S3 공개 액세스 블록 설정이 계정 수준에서 구성되어 있는지 확인합니다.

  • 실시간 검사: 아니요

S3 Buckets Configured Block Public Access Bucket And Account Settings

API의 카테고리 이름: S3_BUCKETS_CONFIGURED_BLOCK_PUBLIC_ACCESS_BUCKET_AND_ACCOUNT_SETTINGS

발견 항목 설명:

Amazon S3는 Amazon S3 리소스에 대한 공개 액세스를 관리하는 데 도움이 되는 Block public access (bucket settings)Block public access (account settings)를 제공합니다. 기본적으로 S3 버킷과 객체는 공개 액세스가 중지된 상태로 생성됩니다. 하지만 충분한 S3 권한이 있는 AWS IAM 주 구성원은 버킷 또는 객체 수준에서 공개 액세스를 사용 설정할 수 있습니다. 사용 설정하면 Block public access (bucket settings)는 공개적으로 개별 버킷과 포함된 객체에 액세스할 수 없게 합니다. 마찬가지로 Block public access (account settings)는 전체 계정에서 공개적으로 모든 버킷과 포함된 객체에 액세스할 수 없게 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3, AC-5, AC-6, MP-2, SC-7
  • PCI-DSS v4.0: 1.3.1
  • ISO-27001 v2022: A.5.10, A.5.15, A.8.3, A.8.4
  • Cloud Controls Matrix 4: DSP-17
  • NIST Cybersecurity Framework 1.0: PR-AC-4
  • SOC2 v2017: CC5.2.3, CC6.1.3, CC6.1.7
  • HIPAA: 164.308(a)(3)(i), 164.308(a)(3)(ii), 164.312(a)(1)
  • CIS AWS Foundation 2.0.0: 2.1.4
  • CIS Controls 8.0: 3.3

S3 버킷이 Block public access (bucket settings)로 구성되었는지 확인합니다.

  • 실시간 검사: 아니요

S3 Bucket Access Logging Enabled Cloudtrail S3 Bucket

API의 카테고리 이름: S3_BUCKET_ACCESS_LOGGING_ENABLED_CLOUDTRAIL_S3_BUCKET

발견 항목 설명:

S3 버킷 액세스 로깅은 S3 버킷에 보낸 각 요청에 대한 액세스 레코드가 포함된 로그를 생성합니다. 액세스 로그 레코드에는 요청 유형, 작업된 요청에 지정된 리소스, 요청이 처리된 시간과 날짜와 같은 요청에 대한 세부정보가 포함됩니다. CloudTrail S3 버킷에서 버킷 액세스 로깅을 사용 설정하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-6, AU-12, AU-2
  • PCI-DSS v4.0: 10.2.1, 10.2.1.1
  • ISO-27001 v2022: A.8.15
  • Cloud Controls Matrix 4: DSP-17
  • SOC2 v2017: CC6.1.1, CC6.1.10, CC6.1.11, CC6.1.12, CC6.1.13, CC6.1.2, CC6.1.3, CC6.1.4, CC6.1.5, CC6.1.6, CC6.1.7, CC6.1.8, CC6.1.9
  • HIPAA: 164.312(b), 164.312(c)(1), 164.312(c)(2)
  • CIS AWS Foundation 2.0.0: 3.6
  • CIS Controls 8.0: 3.14, 8.2

CloudTrail S3 버킷에 S3 버킷 액세스 로깅이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

S3 Bucket Logging Enabled

API의 카테고리 이름: S3_BUCKET_LOGGING_ENABLED

발견 항목 설명:

AWS S3 서버 액세스 로깅 기능에서 보안 감사에 유용한 스토리지 버킷에 대한 액세스 요청을 기록합니다. 기본적으로 S3 버킷에는 서버 액세스 로깅이 사용 설정되지 않습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1

모든 S3 버킷에 로깅이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

S3 Bucket Policy Set Deny Http Requests

API의 카테고리 이름: S3_BUCKET_POLICY_SET_DENY_HTTP_REQUESTS

발견 항목 설명:

Amazon S3 버킷 수준에서는 HTTPS를 통해서만 객체에 액세스할 수 있게 해주는 버킷 정책을 통해 권한을 구성할 수 있습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-17, IA-5, SC-8
  • PCI-DSS v4.0: 2.2.7, 4.1.1, 4.2.1, 4.2.1.2, 4.2.2, 8.3.2
  • ISO-27001 v2022: A.5.14
  • Cloud Controls Matrix 4: CEK-03
  • NIST Cybersecurity Framework 1.0: PR-DS-2
  • SOC2 v2017: CC6.1.11, CC6.1.3, CC6.1.8, CC6.7.2
  • HIPAA: 164.312(a)(2)(iv), 164.312(e)(1), 164.312(e)(2)(i), 164.312(e)(2)(ii)
  • CIS AWS Foundation 2.0.0: 2.1.1
  • CIS Controls 8.0: 3.10

S3 버킷 정책이 HTTP 요청을 거부하도록 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

S3 Bucket Replication Enabled

API의 카테고리 이름: S3_BUCKET_REPLICATION_ENABLED

발견 항목 설명:

이 제어는 Amazon S3 버킷에 리전 간 복제가 사용 설정되었는지 여부를 확인합니다. 버킷에 리전 간 복제가 사용 설정되지 않았거나 동일 리전 복제도 사용 설정된 경우에는 제어가 실패합니다.

복제는 같거나 다른 AWS 리전의 버킷 간에 객체를 비동기적으로 자동 복사하는 것입니다. 복제는 새로 생성된 객체와 객체 업데이트를 소스 버킷에서 대상 버킷으로 복사합니다. AWS 권장사항에서는 같은 AWS 계정에서 소유하는 소스 및 대상 버킷의 복제를 권장합니다. 가용성 외에도 다른 시스템 강화 설정을 고려해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

S3 버킷에 리전 간 복제가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

S3 Bucket Server Side Encryption Enabled

API의 카테고리 이름: S3_BUCKET_SERVER_SIDE_ENCRYPTION_ENABLED

발견 항목 설명:

S3 버킷에 Amazon S3 기본 암호화가 사용 설정되었는지 또는 S3 버킷 정책에서 서버 측 암호화를 사용하지 않는 객체 내보내기 요청을 명시적으로 거부하는지 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 10.5.2

모든 S3 버킷이 저장 데이터 암호화를 사용하는지 확인하세요.

  • 실시간 검사: 아니요

S3 Bucket Versioning Enabled

API의 카테고리 이름: S3_BUCKET_VERSIONING_ENABLED

발견 항목 설명:

Amazon S3는 같은 버킷에 객체 변형 여러 개를 보관하는 수단이며 의도치 않은 사용자 작업과 애플리케이션 오류로부터 더 쉽게 복구할 수 있도록 도와줍니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)
  • PCI-DSS v3.2.1: 10.5.5

모든 S3 버킷에 버전 관리가 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

S3 Default Encryption Kms

API의 카테고리 이름: S3_DEFAULT_ENCRYPTION_KMS

발견 항목 설명:

Amazon S3 버킷이 AWS Key Management Service(AWS KMS)로 암호화되었는지 여부를 확인합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)

모든 버킷이 KMS로 암호화되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Sagemaker Notebook Instance Kms Key Configured

API의 카테고리 이름: SAGEMAKER_NOTEBOOK_INSTANCE_KMS_KEY_CONFIGURED

발견 항목 설명:

AWS Key Management Service(AWS KMS) 키가 Amazon SageMaker 노트북 인스턴스에 구성되었는지 확인합니다. 'KmsKeyId'가 SageMaker 노트북 인스턴스에 지정되지 않으면 규칙은 NON_COMPLIANT입니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)
  • PCI-DSS v3.2.1: 8.2.1

모든 SageMaker 노트북 인스턴스가 KMS를 사용하도록 구성되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Sagemaker Notebook No Direct Internet Access

API의 카테고리 이름: SAGEMAKER_NOTEBOOK_NO_DIRECT_INTERNET_ACCESS

발견 항목 설명:

SageMaker 노트북 인스턴스에 직접 인터넷 액세스가 사용 중지되어 있는지 확인합니다. 이렇게 하려면 노트북 인스턴스에 DirectInternetAccess 필드가 중지되었는지 여부를 확인합니다.

VPC 없이 SageMaker 인스턴스를 구성하면 기본적으로 인스턴스에 직접 인터넷 액세스가 사용 설정됩니다. VPC를 사용하여 인스턴스를 구성하고 기본 설정을 VPC를 통해 인터넷 액세스 중지로 변경해야 합니다.

노트북에서 모델을 학습시키거나 호스팅하려면 인터넷 액세스가 필요합니다. 인터넷 액세스를 사용 설정하려면 VPC에 NAT 게이트웨이가 있고 보안 그룹에서 아웃바운드 연결을 허용하는지 확인합니다. 노트북 인스턴스를 VPC의 리소스에 연결하는 방법에 대한 자세한 내용은 Amazon SageMaker 개발자 가이드의 VPC에 있는 리소스에 노트북 인스턴스 연결을 참조하세요.

또한 SageMaker 구성에 대한 액세스 권한이 승인된 사용자로만 제한되도록 해야 합니다. SageMaker 설정과 리소스를 수정할 수 있는 사용자의 IAM 권한을 제한합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

모든 Amazon SageMaker 노트북 인스턴스에 직접 인터넷 액세스가 사용 중지되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Secretsmanager Rotation Enabled Check

API의 카테고리 이름: SECRETSMANAGER_ROTATION_ENABLED_CHECK

발견 항목 설명:

AWS Secrets Manager에 저장된 보안 비밀이 자동 순환으로 구성되었는지 여부를 확인합니다. 보안 비밀이 자동 순환으로 구성되지 않으면 제어가 실패합니다. maximumAllowedRotationFrequency 매개변수에 커스텀 값을 제공하면 보안 비밀이 지정된 기간 내에 자동으로 순환하는 경우에만 제어가 통과합니다.

Secret Manager는 조직의 보안 상황을 개선하는 데 도움이 됩니다. 보안 비밀에는 데이터베이스 사용자 인증 정보, 비밀번호, 서드 파티 API 키가 포함됩니다. Secret Manager를 사용하여 보안 비밀을 중앙에서 저장하고 보안 비밀을 자동으로 암호화하고 보안 비밀에 대한 액세스를 제어하며 보안 비밀을 안전하게 자동으로 순환할 수 있습니다.

Secret Manager는 보안 비밀을 순환할 수 있습니다. 순환을 사용하여 장기 보안 비밀을 단기 보안 비밀로 바꿀 수 있습니다. 보안 비밀을 순환하면 승인되지 않은 사용자가 보안 침해된 보안 비밀을 사용할 수 있는 시간이 제한됩니다. 따라서 보안 비밀을 자주 순환해야 합니다. 순환에 대한 자세한 내용은 AWS Secrets Manager 사용자 가이드의 AWS Secrets Manager 보안 암호 교체를 참조하세요.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: AC-3(15)
  • PCI-DSS v3.2.1: 8.2.4

모든 AWS Secrets Manager 보안 비밀에 순환이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Sns Encrypted Kms

API의 카테고리 이름: SNS_ENCRYPTED_KMS

발견 항목 설명:

SNS 주제에 AWS KMS를 통해 저장 데이터 암호화가 적용되는지 여부를 확인합니다. SNS 주제에서 서버 측 암호화(SSE)에 KMS 키를 사용하지 않으면 제어가 실패합니다.

저장 데이터를 암호화하면 AWS에 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. 또한 승인되지 않은 사용자의 데이터 액세스를 제한하는 또 다른 액세스 제어 세트가 추가됩니다. 예를 들어 데이터를 읽으려면 먼저 복호화할 수 있는 API 권한이 필요합니다. SNS 주제에는 보안 강화를 위해 저장 데이터 암호화가 적용되어야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-7(6)

모든 SNS 주제가 KMS로 암호화되었는지 확인하세요.

  • 실시간 검사: 아니요

Vpc Default Security Group Closed

API의 카테고리 이름: VPC_DEFAULT_SECURITY_GROUP_CLOSED

발견 항목 설명:

이 제어는 VPC의 기본 보안 그룹에서 인바운드 또는 아웃바운드 트래픽을 허용하는지 여부를 확인합니다. 보안 그룹에서 인바운드 또는 아웃바운드 트래픽을 허용하면 제어가 실패합니다.

기본 보안 그룹 규칙은 같은 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)의 모든 아웃바운드 및 인바운드 트래픽을 허용합니다. 기본 보안 그룹을 사용하지 않는 것이 좋습니다. 기본 보안 그룹을 삭제할 수 없으므로 기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 이렇게 하면 EC2 인스턴스와 같은 리소스에 기본 보안 그룹이 실수로 구성된 경우에도 의도하지 않은 트래픽이 방지됩니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

모든 VPC의 기본 보안 그룹이 전체 트래픽을 제한하는지 확인하세요.

  • 실시간 검사: 아니요

Vpc Flow Logging Enabled All Vpcs

API의 카테고리 이름: VPC_FLOW_LOGGING_ENABLED_ALL_VPCS

발견 항목 설명:

VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있는 기능입니다. 흐름 로그를 만든 후에는 Amazon CloudWatch Logs에서 데이터를 보고 검색할 수 있습니다. VPC의 경우 패킷 '거부'에 VPC 흐름 로그를 사용 설정하는 것이 좋습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-4, SI-7(8)
  • PCI-DSS v3.2.1: 10.3.1
  • ISO-27001 v2022: A.8.15, A.8.16
  • Cloud Controls Matrix 4: IVS-03
  • NIST Cybersecurity Framework 1.0: DE-CM-1
  • SOC2 v2017: CC7.2.1, CC7.2.2, CC7.2.3, CC7.2.4
  • CIS AWS Foundation 2.0.0: 3.9
  • CIS Controls 8.0: 13.6, 8.2

모든 VPC에 VPC 흐름 로깅이 사용 설정되어 있는지 확인하세요.

  • 실시간 검사: 아니요

Vpc Sg Open Only To Authorized Ports

API의 카테고리 이름: VPC_SG_OPEN_ONLY_TO_AUTHORIZED_PORTS

발견 항목 설명:

이 제어는 Amazon EC2 보안 그룹이 승인되지 않은 포트에서 제한되지 않은 수신 트래픽을 허용하는지 여부를 확인합니다. 제어 상태는 다음과 같이 결정됩니다.

authorizedTcpPorts의 기본값을 사용하는 경우 보안 그룹에서 포트 80 및 443 이외의 모든 포트에서 제한되지 않은 수신 트래픽을 허용하면 제어가 실패합니다.

authorizedTcpPorts 또는 authorizedUdpPorts의 커스텀 값을 제공하는 경우 보안 그룹이 비공개 포트에서 제한되지 않은 수신 트래픽을 허용하면 제어가 실패합니다.

매개변수를 사용하지 않으면 제한되지 않은 인바운드 트래픽 규칙이 있는 보안 그룹에 대한 제어가 실패합니다.

보안 그룹은 AWS에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹 규칙은 최소 액세스 권한의 주 구성원을 따라야 합니다. 무제한 액세스(/0 서픽스가 있는 IP 주소)로 인해 해킹, DoS 공격, 데이터 손실과 같은 악의적인 활동 가능성이 증가합니다. 포트가 특별히 허용되지 않는 한 포트는 제한되지 않은 액세스를 거부해야 합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SC-7
  • PCI-DSS v3.2.1: 2.2.2

VPC가 0.0.0.0/0인 보안 그룹이 특정 인바운드 TCP/UDP 트래픽만 허용하는지 확인하세요.

  • 실시간 검사: 아니요

Both VPC VPN Tunnels Up

API의 카테고리 이름: VPC_VPN_2_TUNNELS_UP

발견 항목 설명:

VPN 터널은 AWS Site-to-Site VPN 연결 내에서 고객 네트워크에서 또는 AWS에서 데이터가 전달될 수 있는 암호화된 링크입니다. 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 VPN 터널 2개가 포함됩니다. AWS VPC와 원격 네트워크 간의 안전하고 가용성이 높은 연결을 확인하려면 VPN 연결에 대해 두 VPN 터널 모두 작동하는지 확인해야 합니다.

이 제어는 AWS Site-to-Site VPN에서 제공하는 두 VPN 터널 모두 UP 상태인지 확인합니다. 터널 중 하나가 또는 모두 DOWN 상태이면 제어가 실패합니다.

가격 책정 등급: Enterprise

이 발견 항목 수정

규정 준수 표준:

  • NIST 800-53 R5: SI-13(5)

AWS 사이트 간에서 제공되는 두 AWS VPN 터널이 모두 UP(작동) 상태인지 확인합니다.

  • 실시간 검사: 아니요

Web Security Scanner 발견 항목

Web Security Scanner 커스텀 스캔 및 관리형 스캔은 다음 발견 항목 유형을 식별합니다. Standard 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.

카테고리 발견 항목 설명 OWASP 2017 상위 10개 OWASP 2021 상위 10개

Accessible Git repository

API의 카테고리 이름: ACCESSIBLE_GIT_REPOSITORY

GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A5 A01

Accessible SVN repository

API의 카테고리 이름: ACCESSIBLE_SVN_REPOSITORY

SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A5 A01

Cacheable password input

API의 카테고리 이름: CACHEABLE_PASSWORD_INPUT

웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A3 A04

Clear text password

API의 카테고리 이름: CLEAR_TEXT_PASSWORD

비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A3 A02

Insecure allow origin ends with validation

API의 카테고리 이름: INSECURE_ALLOW_ORIGIN_ENDS_WITH_VALIDATION

교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 서픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 루트 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영되기 전에 Origin 헤더 값의 일부인지 확인하세요. 하위 도메인 와일드 카드의 경우 루트 도메인 앞에 마침표를 추가합니다(예: .endsWith(".google.com")).

가격 책정 등급: 프리미엄

이 발견 항목 수정

A5 A01

Insecure allow origin starts with validation

API의 카테고리 이름: INSECURE_ALLOW_ORIGIN_STARTS_WITH_VALIDATION

교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 프리픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영하기 전의 Origin 헤더 값과 완전히 일치하는지 확인합니다(예: .equals(".google.com")).

가격 책정 등급: 프리미엄

이 발견 항목 수정

A5 A01

Invalid content type

API의 카테고리 이름: INVALID_CONTENT_TYPE

리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 X-Content-Type-Options HTTP 헤더를 올바른 값으로 설정합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A6 A05

Invalid header

API의 카테고리 이름: INVALID_HEADER

보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A6 A05

Mismatching security header values

API의 카테고리 이름: MISMATCHING_SECURITY_HEADER_VALUES

보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A6 A05

Misspelled security header name

API의 카테고리 이름: MISSPELLED_SECURITY_HEADER_NAME

보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A6 A05

Mixed content

API의 카테고리 이름: MIXED_CONTENT

리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A6 A05

Outdated library

API의 카테고리 이름: OUTDATED_LIBRARY

알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A9 A06

Server side request forgery

API의 카테고리 이름: SERVER_SIDE_REQUEST_FORGERY

서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다.

가격 책정 등급: 표준

이 발견 항목 수정

해당 사항 없음 A10

Session ID leak

API의 카테고리 이름: SESSION_ID_LEAK

교차 도메인 요청을 수행할 때 웹 애플리케이션은 Referer 요청 헤더에 사용자의 세션 식별자를 포함합니다. 이 취약점은 수신 도메인에 세션 식별자에 대한 액세스 권한을 부여하므로 사용자를 가장하거나 고유하게 식별하는 데 사용될 수 있습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A2 A07

SQL injection

API의 카테고리 이름: SQL_INJECTION

잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 파라미터화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A1 A03

Struts insecure deserialization

API의 카테고리 이름: STRUTS_INSECURE_DESERIALIZATION

취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A8 A08

XSS

API의 카테고리 이름: XSS

이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A7 A03

XSS angular callback

API의 카테고리 이름: XSS_ANGULAR_CALLBACK

사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A7 A03

XSS error

API의 카테고리 이름: XSS_ERROR

이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.

가격 책정 등급: 표준

이 발견 항목 수정

A7 A03

XXE reflected file leakage

API의 카테고리 이름: XXE_REFLECTED_FILE_LEAKAGE

XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요.

가격 책정 등급: 프리미엄

이 발견 항목 수정

A4 A05

Prototype pollution

API의 카테고리 이름: PROTOTYPE_POLLUTION

애플리케이션이 프로토타입 오염에 취약합니다. 이 취약점은 Object.prototype 객체의 속성에 공격자가 제어할 수 있는 값을 할당할 수 있을 때 발생합니다. 이 프로토타입에 할당된 값은 일반적으로 교차 사이트 스크립팅, 유사한 클라이언트 측 취약점, 로직 버그로 변환되는 것으로 가정됩니다.

가격 책정 등급: 표준

이 발견 항목 수정

A1 A03

IAM 추천자 발견 항목

다음 표에는 IAM 추천자에서 생성한 Security Command Center 발견 항목이 나와 있습니다.

각 IAM 추천자 발견 항목에는 Google Cloud 환경에서 주 구성원의 과도한 권한이 포함된 역할을 삭제하거나 교체하기 위한 구체적인 권장사항이 포함되어 있습니다.

IAM 추천자에서 생성한 발견 항목은 Google Cloud 콘솔에 있는 영향을 받는 프로젝트, 폴더 또는 조직의 IAM 페이지에 표시되는 권장사항에 해당합니다.

IAM 추천자와 Security Command Center 통합에 대한 자세한 내용은 보안 소스를 참조하세요.

검사 프로그램 요약

IAM role has excessive permissions

API의 카테고리 이름: IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS

발견 항목 설명: IAM 추천자가 사용자 계정에 과도한 권한을 부여하는 하나 이상의 IAM 역할이 있는 서비스 계정을 감지했습니다.

가격 책정 등급: 프리미엄

지원되는 애셋:

이 발견 항목 수정 :

IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.

  1. Google Cloud 콘솔에 있는 발견 항목 세부정보의 다음 단계 섹션에서 IAM 페이지의 URL을 복사하여 브라우저 주소 표시줄에 붙여넣고 Enter 키를 누릅니다. IAM 페이지가 로드됩니다.
  2. 오른쪽의 IAM 페이지 상단 근처에서 표에서 권장사항 보기를 클릭합니다. 표에 권장사항이 표시됩니다.
  3. 보안 통계 열에서 초과 권한과 관련된 권장사항을 클릭합니다. 추천 세부정보 패널이 열립니다.
  4. 문제를 해결하기 위해 취할 수 있는 조치에 대한 권장사항을 검토합니다.
  5. 적용을 클릭합니다.

문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 INACTIVE로 업데이트합니다.

Service agent role replaced with basic role

API의 카테고리 이름: SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE

발견 항목 설명: IAM 추천자가 서비스 에이전트에 부여된 원래 기본 IAM 역할이 기본 IAM 역할(소유자, 편집자 또는 뷰어) 중 하나로 대체되었음을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여되어서는 안 됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋:

이 발견 항목 수정 :

IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.

  1. Google Cloud 콘솔에 있는 발견 항목 세부정보의 다음 단계 섹션에서 IAM 페이지의 URL을 복사하여 브라우저 주소 표시줄에 붙여넣고 Enter 키를 누릅니다. IAM 페이지가 로드됩니다.
  2. 오른쪽의 IAM 페이지 상단 근처에서 표에서 권장사항 보기를 클릭합니다. 표에 권장사항이 표시됩니다.
  3. 보안 통계 열에서 초과 권한과 관련된 권한을 클릭합니다. 추천 세부정보 패널이 열립니다.
  4. 초과 권한을 검토합니다.
  5. 적용을 클릭합니다.

문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 INACTIVE로 업데이트합니다.

Service agent granted basic role

API의 카테고리 이름: SERVICE_AGENT_GRANTED_BASIC_ROLE

발견 항목 설명: IAM 추천자가 서비스 에이전트에 기본 IAM 역할(소유자, 편집자, 뷰어) 중 하나가 부여된 IAM을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여되어서는 안 됩니다.

가격 책정 등급: 프리미엄

지원되는 애셋:

이 발견 항목 수정 :

IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.

  1. Google Cloud 콘솔에 있는 발견 항목 세부정보의 다음 단계 섹션에서 IAM 페이지의 URL을 복사하여 브라우저 주소 표시줄에 붙여넣고 Enter 키를 누릅니다. IAM 페이지가 로드됩니다.
  2. 오른쪽의 IAM 페이지 상단 근처에서 표에서 권장사항 보기를 클릭합니다. 표에 권장사항이 표시됩니다.
  3. 보안 통계 열에서 초과 권한과 관련된 권한을 클릭합니다. 추천 세부정보 패널이 열립니다.
  4. 초과 권한을 검토합니다.
  5. 적용을 클릭합니다.

문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 INACTIVE로 업데이트합니다.

Unused IAM role

API의 카테고리 이름: UNUSED_IAM_ROLE

발견 항목 설명: IAM 추천자가 지난 90일 동안 사용되지 않은 IAM 역할이 있는 사용자 계정을 감지했습니다.

가격 책정 등급: 프리미엄

지원되는 애셋:

이 발견 항목 수정 :

IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.

  1. Google Cloud 콘솔에 있는 발견 항목 세부정보의 다음 단계 섹션에서 IAM 페이지의 URL을 복사하여 브라우저 주소 표시줄에 붙여넣고 Enter 키를 누릅니다. IAM 페이지가 로드됩니다.
  2. 오른쪽의 IAM 페이지 상단 근처에서 표에서 권장사항 보기를 클릭합니다. 표에 권장사항이 표시됩니다.
  3. 보안 통계 열에서 초과 권한과 관련된 권한을 클릭합니다. 추천 세부정보 패널이 열립니다.
  4. 초과 권한을 검토합니다.
  5. 적용을 클릭합니다.

문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 INACTIVE로 업데이트합니다.

CIEM 발견 항목

다음 표에는 클라우드 인프라 사용 권한 관리(CIEM)에서 생성한 AWS의 Security Command Center ID 및 액세스 발견 항목이 나와 있습니다.

CIEM 발견 항목에는 AWS 환경에서 가정된 ID, 사용자 또는 그룹과 연결된 높은 권한이 있는 AWS IAM 정책을 삭제하거나 교체하기 위한 구체적인 권장 사항이 포함되어 있습니다.

CIEM에 대한 자세한 내용은 클라우드 인프라 사용 권한 관리 개요를 참조하세요.

검사 프로그램 요약

Assumed identity has excessive permissions

API의 카테고리 이름: ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS

발견 항목 설명: CIEM은 AWS 환경에서 최소 권한의 원칙을 위반하고 보안 위험을 증가시키는 높은 권한이 있는 정책이 하나 이상 있는 가정된 IAM 역할을 감지했습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정 :

발견 항목에 따라 AWS Management Console을 사용하여 다음 해결 작업 중 하나를 수행합니다.

  • 높은 권한이 있는 정책을 삭제합니다.
  • 사용자, 그룹 또는 역할에 필요한 최소 권한이 있는 새 정책을 만듭니다. 그런 다음 새 정책을 사용자, 그룹 또는 역할에 연결하고 높은 권한이 있는 정책을 삭제합니다.

구체적인 해결 단계는 발견 항목의 세부정보를 참조하세요.

Group has excessive permissions

API의 카테고리 이름: GROUP_HAS_EXCESSIVE_PERMISSIONS

발견 항목 설명: CIEM은 AWS 환경에서 최소 권한의 원칙을 위반하고 보안 위험을 증가시키는 높은 권한의 정책이 하나 이상 있는 IAM 그룹을 감지했습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정 :

발견 항목에 따라 AWS Management Console을 사용하여 다음 해결 작업 중 하나를 수행합니다.

  • 높은 권한이 있는 정책을 삭제합니다.
  • 사용자, 그룹 또는 역할에 필요한 최소 권한이 있는 새 정책을 만듭니다. 그런 다음 새 정책을 사용자, 그룹 또는 역할에 연결하고 높은 권한이 있는 정책을 삭제합니다.

구체적인 해결 단계는 발견 항목의 세부정보를 참조하세요.

User has excessive permissions

API의 카테고리 이름: USER_HAS_EXCESSIVE_PERMISSIONS

발견 항목 설명: CIEM은 AWS 환경에서 최소 권한의 원칙을 위반하고 보안 위험을 증가시키는 높은 권한이 있는 정책을 하나 이상 가지고 있는 IAM 사용자를 감지했습니다.

가격 책정 등급: Enterprise

이 발견 항목 수정 :

발견 항목에 따라 AWS Management Console을 사용하여 다음 해결 작업 중 하나를 수행합니다.

  • 높은 권한이 있는 정책을 삭제합니다.
  • 사용자, 그룹 또는 역할에 필요한 최소 권한이 있는 새 정책을 만듭니다. 그런 다음 새 정책을 사용자, 그룹 또는 역할에 연결하고 높은 권한이 있는 정책을 삭제합니다.

구체적인 해결 단계는 발견 항목의 세부정보를 참조하세요.

보안 상황 서비스 발견 항목

다음 표에는 보안 상황서비스에서 생성한 Security Command Center 발견 항목이 나와 있습니다.

각 보안 상황 서비스 발견 항목은 정의된 보안 상황에서의 드리프트 인스턴스를 식별합니다.

발견 항목 요약

SHA Canned Module Drifted

API의 카테고리 이름: SECURITY_POSTURE_DETECTOR_DRIFT

발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 감지기의 변경사항을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 상황 및 환경의 감지기 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 감지기를 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 감지기를 업데이트하세요. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

SHA Custom Module Drifted

API의 카테고리 이름: SECURITY_POSTURE_DETECTOR_DRIFT

발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 커스텀 모듈의 변경사항을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 상황 및 환경의 커스텀 모듈 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 커스텀 모듈을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 커스텀 모듈을 업데이트하세요. 자세한 내용은 커스텀 제약조건 업데이트를 참고하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

SHA Custom Module Deleted

API의 카테고리 이름: SECURITY_POSTURE_DETECTOR_DELETE

발견 항목 설명: 보안 상황 서비스에서 Security Health Analytics 커스텀 모듈이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 상황 및 환경의 커스텀 모듈 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 커스텀 모듈을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 커스텀 모듈을 업데이트하세요. 자세한 내용은 커스텀 제약조건 업데이트를 참고하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Org Policy Canned Constraint Drifted

API의 카테고리 이름: SECURITY_POSTURE_POLICY_DRIFT

발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 조직 정책의 변경사항을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 사용자의 상황 및 환경의 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 조직 정책을 업데이트합니다. 자세한 내용은 정책 만들기 및 수정을 참조하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Org Policy Canned Constraint Deleted

API의 카테고리 이름: SECURITY_POSTURE_POLICY_DELETE

발견 항목 설명: 보안 상황 서비스에서 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 사용자의 상황 및 환경의 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 조직 정책을 업데이트합니다. 자세한 내용은 정책 만들기 및 수정을 참조하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Org Policy Custom Constraint Drifted

API의 카테고리 이름: SECURITY_POSTURE_POLICY_DRIFT

발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 커스텀 조직 정책의 변경사항을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 사용자의 상황 및 환경의 커스텀 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 커스텀 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 커스텀 조직 정책을 업데이트합니다. 자세한 내용은 커스텀 제약조건 업데이트를 참고하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Org Policy Custom Constraint Deleted

API의 카테고리 이름: SECURITY_POSTURE_POLICY_DELETE

발견 항목 설명: 보안 상황 서비스에서 커스텀 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 사용자의 상황 및 환경의 커스텀 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 커스텀 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다.

변경사항을 되돌리려면 Google Cloud 콘솔에서 커스텀 조직 정책을 업데이트합니다. 자세한 내용은 커스텀 제약조건 업데이트를 참고하세요.

변경사항을 수락하려면 다음 단계를 완료하세요.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

다음 표에는 정의된 보안 상황을 위반하는 리소스 인스턴스를 식별하는 보안 상황 발견 항목이 나와 있습니다.

발견 항목 요약

Disable VPC External IPv6

API의 카테고리 이름: DISABLE_VPC_EXTERNAL_IP_V6_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 외부 IPv6 주소가 사용 설정되어 있는 서브네트워크를 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 삭제하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 삭제하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 삭제합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Disable VPC Internal IPv6

API의 카테고리 이름: DISABLE_VPC_INTERNAL_IP_V6_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 내부 IPv6 주소가 사용 설정되어 있는 서브네트워크를 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 삭제하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 삭제하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 삭제합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Require OS Login

API의 카테고리 이름: REQUIRE_OS_LOGIN_ORG_POLICY

발견 항목 설명: 보안 상황 서비스가 VM 인스턴스에서 OS 로그인이 중지되었음을 감지되었습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 수정합니다. 메타데이터 섹션을 찾아 키가 enable-oslogin인 항목을 TRUE로 변경합니다.
  5. 리소스를 저장합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Restrict Authorized Networks

API의 카테고리 이름: RESTRICT_AUTHORIZED_NETWORKS_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 승인된 네트워크가 SQL 인스턴스에 추가됐음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

이 발견 항목을 사용하려면 위반을 수정하거나 상황을 업데이트해야 합니다. 위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 수정합니다. 연결 섹션에서 승인된 네트워크 섹션을 찾아 해당 항목을 모두 삭제합니다.
  5. 리소스를 저장합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Require VPC Connector

API의 카테고리 이름: REQUIRE_VPC_CONNECTOR_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 VPC 커넥터가 Cloud Run 함수 인스턴스에 사용 설정되지 않은 것을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 수정을 클릭합니다.
  5. 연결 탭을 클릭합니다.
  6. 이그레스 설정 섹션을 찾습니다. 네트워크 메뉴에서 적절한 VPC 커넥터를 선택합니다.
  7. 다음을 클릭합니다.
  8. 배포를 클릭합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Disabled Serial Port Access

API의 카테고리 이름: DISABLED_SERIAL_PORT_ACCESS_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 VM 인스턴스에 대한 직렬 포트 액세스가 사용 설정되었음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 수정합니다. 원격 액세스 섹션을 찾아 직렬 포트 연결 사용 설정 체크박스를 선택 해제합니다.
  5. 리소스를 저장합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Skip Default Network Creation

API의 카테고리 이름: SKIP_DEFAULT_NETWORK_CREATION_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 기본 네트워크가 생성되었음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 삭제하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 삭제하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 리소스를 삭제합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Allowed Ingress

API의 카테고리 이름: ALLOWED_INGRESS_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 Cloud Run 서비스가 지정된 인그레스 설정을 준수하지 않음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 네트워킹 탭을 클릭합니다. 허용되는 인그레스 정책과 일치하도록 설정을 변경합니다.
  5. 리소스를 저장합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Uniform Bucket Level Access

API의 카테고리 이름: UNIFORM_BUCKET_LEVEL_ACCESS_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 버킷 수준 액세스가 균일하지 않고 세분화되었음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 권한 탭을 클릭합니다. 액세스 제어 카드에서 균일한 권한으로 전환하기를 클릭합니다.
  5. 균일한 액세스 제어를 선택하고 저장합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

Allowed VPC Egress

API의 카테고리 이름: ALLOWED_VPC_EGRESS_ORG_POLICY

발견 항목 설명: 보안 상황 서비스에서 Cloud Run 서비스가 지정된 이그레스 설정을 준수하지 않음을 감지했습니다.

가격 책정 등급: 프리미엄

이 발견 항목 수정 :

위반하는 리소스를 업데이트하거나 상황을 업데이트하고 상황을 다시 배포하는 두 가지 방법으로 이 발견 항목을 해결할 수 있습니다.

리소스를 업데이트하려면 다음 단계를 완료합니다.

  1. 발견 항목 요약을 엽니다.
  2. 영향을 받는 리소스 섹션을 확인하고 상황 정책을 위반하는 리소스 전체 이름을 찾습니다.
  3. 리소스 전체 이름을 클릭하여 세부정보를 엽니다.
  4. 새 버전 수정 및 배포를 클릭한 후 네트워킹 탭을 클릭합니다. 아웃바운드 트래픽을 위해 VPC에 연결 섹션에서 트래픽 라우팅 설정을 허용된 이그레스 정책과 일치하도록 변경합니다.
  5. 리소스를 배포합니다.

리소스를 같은 구성으로 유지하려면 상황을 업데이트해야 합니다. 상황을 업데이트하려면 다음 단계를 완료합니다.

  1. posture.yaml 파일을 변경사항으로 업데이트합니다.
  2. gcloud scc postures update 명령어를 실행합니다. 자세한 내용은 상황의 정책 정의 업데이트를 참고하세요.
  3. 새 버전 ID로 업데이트된 상황을 배포합니다. 자세한 내용은 상황 배포 업데이트를 참조하세요.

VM Manager

VM Manager는 Compute Engine에서 Windows 및 Linux를 실행하는 대규모 가상 머신(VM) 그룹의 운영체제 관리에 사용할 수 있는 도구 모음입니다.

조직 수준에서 Security Command Center 프리미엄을 사용하여 VM Manager를 사용 설정하면 VM Manager는 미리보기 상태에 있는 취약점 보고서의 발견 항목을 Security Command Center에 작성합니다. 이 보고서는 Common Vulnerabilities and Exposures(CVE)를 포함한 VM에 설치된 운영체제의 취약점을 식별합니다.

Security Command Center 프리미엄의 프로젝트 수준 활성화로 VM Manager를 사용하려면 상위 조직에서 Security Command Center 표준을 활성화합니다.

Security Command Center 표준에 대해 사용 가능한 취약점 보고서가 없습니다.

발견 항목은 미리보기 버전인 VM Manager의 패치 규정 준수 기능을 사용하는 프로세스를 간소화해 줍니다. 이 기능을 사용하면 모든 프로젝트에서 조직 수준으로 패치를 관리할 수 있습니다.

VM Manager에서 수신된 취약점 발견 항목의 심각도는 항상 CRITICAL 또는 HIGH입니다.

VM Manager 발견 항목

이 유형의 모든 취약점은 지원되는 Compute Engine VM에 설치된 운영체제 패키지와 관련이 있습니다.

검사 프로그램 요약 애셋 검사 설정

OS vulnerability

API의 카테고리 이름: OS_VULNERABILITY

발견 항목 설명: VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다.

가격 책정 등급: 프리미엄

지원되는 애셋

compute.googleapis.com/Instance

이 발견 항목 수정

VM Manager의 취약점 보고서Common Vulnerabilities and Exposures(CVE) 등 Compute Engine VM용으로 설치된 운영체제 패키지의 취약점을 자세히 설명합니다.

지원되는 운영체제의 전체 목록은 운영체제 세부정보를 참조하세요.

발견 항목은 취약점이 감지된 후 바로 Security Command Center에 표시됩니다. VM Manager의 취약점 보고서는 다음과 같이 생성됩니다.

  • 패키지가 VM 운영체제에 설치되거나 업데이트되면 Security Command Center에서 VM에 대한 Common Vulnerabilities and Exposures(CVE) 정보가 변경 2시간 후 표시될 수 있습니다.
  • 운영체제에 대한 새로운 보안 권고가 게시되면 일반적으로 운영체제 공급업체가 권고를 게시한 후 24시간 내에 업데이트된 CVE가 제공됩니다.

콘솔에서 발견 항목 검토

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 VM Manager를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. VM Manager를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

VM Manager 발견 항목 해결

OS_VULNERABILITY 발견 항목은 VM Manager가 Compute Engine VM의 설치된 운영체제 패키지에서 취약점을 발견했음을 나타냅니다.

이 발견 항목을 해결하려면 다음을 수행하세요.

  1. OS vulnerability 발견 항목을 열고 JSON 정의를 봅니다.

  2. externalUri 필드 값을 복사합니다. 이 값은 취약한 운영체제가 설치된 Compute Engine VM 인스턴스의 OS 정보 페이지의 URI입니다.

  3. 기본 정보 섹션에 표시된 OS에 모든 적절한 패치를 적용합니다. 패치 배포 방법에 대한 자세한 내용은 패치 작업 만들기를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

VM Manager 발견 항목 숨기기

보안 요구 사항과 관련이 없는 경우 Security Command Center에서 VM Manager 발견 항목의 일부 또는 전체를 숨길 수 있습니다.

숨기기 규칙을 만들고 숨기려는 VM Manager 발견 항목과 관련된 쿼리 속성을 추가하여 VM Manager 발견 항목을 숨길 수 있습니다.

Google Cloud 콘솔을 사용하여 VM Manager에 대한 숨기기 규칙을 만들려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.

  3. 숨기기 옵션을 클릭한 후 숨기기 규칙 만들기를 선택합니다.

  4. 숨기기 규칙 ID를 입력합니다. 이 값은 필수 항목입니다.

  5. 발견 항목이 숨겨진 이유에 대한 컨텍스트를 제공하는 숨기기 규칙 설명을 입력합니다. 이 값은 선택사항이지만 권장됩니다.

  6. 상위 리소스 값을 확인하여 숨기기 규칙 범위를 확인합니다.

  7. 발견 항목 쿼리 필드에서 필터 추가를 클릭하여 쿼리 문을 빌드합니다. 또는 쿼리 문을 수동으로 입력할 수 있습니다.

    1. 필터 선택 대화상자에서 발견 항목 > 소스 표시 이름 > VM Manager를 선택합니다.

    2. 적용을 클릭합니다.

    3. 숨기려는 모든 속성이 숨기기 쿼리에 포함될 때까지 반복합니다.

    예를 들어 VM Manager 취약점 발견 항목에서 특정 CVE ID를 숨기려면 취약점 > CVE ID를 선택한 후 숨기려는 CVE ID를 선택합니다.

    발견 항목 쿼리는 다음과 유사합니다.

    VM Manager 발견 항목 숨기기

  8. 일치하는 발견 항목 미리보기를 클릭합니다.

    테이블에 쿼리와 일치하는 발견 항목이 표시됩니다.

  9. 저장을 클릭합니다.

Sensitive Data Protection

이 섹션에서는 Sensitive Data Protection에서 생성되는 취약점 발견 항목, 지원되는 규정 준수 표준, 발견 항목 해결 방법을 설명합니다.

Sensitive Data Protection에서는 관찰 발견 항목을 Security Command Center로 전송합니다. 관찰 발견 항목 및 Sensitive Data Protection에 대한 자세한 내용은 Sensitive Data Protection을 참조하세요.

발견 항목을 보는 방법은 Google Cloud 콘솔에서 Sensitive Data Protection 발견 항목 검토를 참조하세요.

Sensitive Data Protection 검색 서비스를 사용하면 보호되지 않는 매우 민감한 정보를 저장하고 있는지 확인할 수 있습니다.

카테고리 요약

Public sensitive data

API의 카테고리 이름:

PUBLIC_SENSITIVE_DATA

발견 항목 설명: 지정된 리소스에 모든 사용자가 인터넷에서 액세스할 수 있는 매우 민감한 정보가 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

Google Cloud 데이터의 경우 데이터 애셋의 IAM 정책에서 allUsersallAuthenticatedUsers를 삭제합니다.

Amazon S3 데이터의 경우 공개 액세스 차단 설정을 구성하거나 객체의 ACL을 업데이트하여 공개 읽기 액세스를 거부합니다.

규정 준수 표준: 매핑되지 않음

Secrets in environment variables

API의 카테고리 이름:

SECRETS_IN_ENVIRONMENT_VARIABLES

발견 항목 설명: 환경 변수에 비밀번호, 인증 토큰, Google Cloud 사용자 인증 정보와 같은 보안 비밀이 있습니다.

이 감지기를 사용 설정하려면 Sensitive Data Protection 문서의 Security Command Center에 환경 변수의 보안 비밀 보고를 참조하세요.

지원되는 애셋:

해결:

Cloud Run Functions 환경 변수의 경우 환경 변수에서 보안 비밀을 삭제하고 대신 Secret Manager에 저장합니다.

Cloud Run 서비스 버전 환경 변수의 경우 모든 트래픽을 버전 외부로 이동한 후 버전을 삭제합니다.

규정 준수 표준:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

API의 카테고리 이름:

SECRETS_IN_STORAGE

발견 항목 설명: 지정된 리소스에 비밀번호, 인증 토큰, 클라우드 사용자 인증 정보와 같은 보안 비밀이 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

  1. Google Cloud 데이터의 경우 Sensitive Data Protection을 사용하여 지정된 리소스에 심층 검사 스캔을 실행하여 영향을 받는 모든 리소스를 식별합니다. Cloud SQL 데이터의 경우 데이터를 Cloud Storage 버킷의 CSV 또는 AVRO 파일로 내보내고 버킷 심층 검사 스캔을 실행합니다.

    Amazon S3 데이터의 경우 지정된 버킷을 수동으로 검사합니다.

  2. 감지된 보안 비밀을 삭제합니다.
  3. 사용자 인증 정보를 재설정하는 것이 좋습니다.
  4. Google Cloud 데이터의 경우 감지된 보안 비밀을 대신 Secret Manager에 저장하는 것이 좋습니다.

규정 준수 표준: 매핑되지 않음

정책 컨트롤러

정책 컨트롤러를 사용 설정하면 Fleet 멤버십으로 등록된 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 이러한 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다.

이 페이지에는 모든 개별 정책 컨트롤러 발견 항목이 나열되지 않지만 정책 컨트롤러에서 Security Command Center에 작성하는 Misconfiguration 클래스 발견 항목에 대한 정보는 각 정책 컨트롤러 번들에 대해 설명된 클러스터 위반과 동일합니다. 개별 정책 컨트롤러 발견 항목 유형에 대한 문서는 다음 정책 컨트롤러 번들에 있습니다.

이 기능은 Stackdriver API의 VPC 서비스 제어 서비스 경계와 호환되지 않습니다.

정책 컨트롤러 발견 항목 찾기 및 해결

정책 컨트롤러 카테고리는 정책 컨트롤러 번들 문서에 나열된 제약 조건 이름에 해당합니다. 예를 들어 require-namespace-network-policies 발견 항목은 네임스페이스가 클러스터의 모든 네임스페이스에 NetworkPolicy가 있어야 하는 정책을 위반했음을 나타냅니다.

발견 항목을 해결하려면 다음을 수행합니다.

Google Cloud 콘솔

  1. Google Cloud 콘솔에서 Security Command Center의 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. Google Cloud 프로젝트 또는 조직을 선택합니다.
  3. 빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 클러스터의 정책 컨트롤러를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

Security Operations 콘솔

  1. Security Operations 콘솔에서 발견 항목 페이지로 이동합니다.
    https://CUSTOMER_SUBDOMAIN.backstory.chronicle.security/posture/findings
    

    CUSTOMER_SUBDOMAIN을 고객별 식별자로 바꿉니다.

  2. 집계 섹션에서 소스 표시 이름 하위 섹션을 클릭하여 펼칩니다.
  3. 클러스터의 정책 컨트롤러를 선택합니다. 이 소스의 발견 항목만 표시되도록 발견 항목 쿼리 결과가 업데이트됩니다.
  4. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.
  5. 요약 탭에서 감지된 항목, 영향을 받은 리소스, 발견 항목을 해결하기 위해 취할 수 있는 단계(있는 경우)에 관한 정보를 포함하여 발견 항목의 세부정보를 검토합니다.
  6. 선택사항: 발견 항목의 전체 JSON 정의를 보려면 JSON 탭을 클릭합니다.

다음 단계