Rapid Vulnerability Detection, Security Health Analytics 및 Web Security Scanner 감지기는 Security Command Center에서 제공되는 취약점 발견 항목을 생성합니다. Security Command Center에서 사용 설정된 경우 VM Manager와 같은 통합 서비스도 취약점 발견 항목을 생성합니다.
발견 항목을 보고 수정하는 기능은 사용자에게 부여된 Identity and Access Management(IAM) 역할 및 권한에 따라 결정됩니다. Security Command Center의 IAM 역할에 대한 자세한 내용은 액세스 제어를 참조하세요.
감지기 및 규정 준수
Security Command Center는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.
Security Command Center는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 항목 목록이 표시됩니다.
CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.
Security Command Center는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.
보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.
규정 준수 관리에 대한 자세한 내용은 보안 표준 준수 평가 및 보고를 참조하세요.
Google Cloud에서 지원되는 보안 표준
Security Command Center는 Google Cloud의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.
- Center for Information Security(CIS) 제어 8.0
- CIS Google Cloud Computing Foundations 벤치마크 v2.0.0, v1.3.0, v1.2.0, v1.1.0, v1.0.0
- CIS Kubernetes 벤치마크 v1.5.1
- Cloud Controls Matrix(CCM) 4
- 건강 보험 이동성 및 책임법(HIPAA)
- 국제표준화기구(ISO) 27001, 2022, 2013
- 미국 국립 표준 기술 연구소(NIST) 800-53 R5 및 R4
- NIST CSF 1.0
- Open Web Application Security Project(OWASP) 상위 10개, 2021년 및 2017년
- 결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 및 3.2.1
- 시스템 및 조직 제어(SOC) 2 2017 Trusted Services Criteria(TSC)
AWS에서 지원되는 보안 표준
Security Command Center는 Amazon Web Services(AWS)의 감지기를 다음 규정 준수 표준 하나 이상에 매핑합니다.
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 및 3.2.1
- SOC 2 2017 TSC
규정 준수 보고서 보기 및 내보내기에 대한 안내는 Google Cloud 콘솔에서 Security Command Center 사용의 규정 준수 섹션을 참조하세요.
해결 후 비활성화 찾기
취약점 또는 잘못된 구성 발견 항목이 해결되면, 발견 항목을 감지한 Security Command Center 서비스는 다음 번에 발견 항목을 스캔할 때 발견 항목 상태를 INACTIVE로 자동으로 설정합니다. Security Command Center가 해결된 발견 항목을 INACTIVE로 설정하는 데 걸리는 시간은 발견 항목을 감지하는 스캔 일정에 따라 다릅니다.
또한 Security Command Center 서비스는 스캔에서 발견 항목의 영향을 받는 리소스가 삭제된 것을 감지할 때 취약점 또는 잘못된 구성 발견 항목의 상태를 INACTIVE로 설정합니다.
스캔 간격에 대한 자세한 내용은 다음 주제를 참조하세요.
- Security Health Analytics 스캔 유형
- Rapid Vulnerability Detection 스캔 지연 시간 및 간격
- Web Security Scanner 스캔 유형
Security Health Analytics 발견 항목
Security Health Analytics 감지기는 Cloud 애셋 인벤토리(CAI)에서 리소스 하위 집합을 모니터링하고, 리소스 및 Identity and Access Management(IAM) 정책 변경사항에 대한 알림을 수신합니다. 일부 감지기는 이 페이지의 뒷부분에 있는 표에 표시된 것처럼 Google Cloud API를 직접 호출하여 데이터를 수신합니다.
Security Health Analytics, 스캔 일정, 기본 제공 및 커스텀 모듈 감지기에 대한 Security Health Analytics 지원에 대한 자세한 내용은 Security Health Analytics 개요를 참조하세요.
다음 표에서는 Security Health Analytics 감지기, 지원되는 애셋 및 규정 준수 표준, 검사에 사용되는 설정, 생성되는 발견 항목 유형을 설명합니다. 개발자는 Google Cloud 콘솔의 Security Command Center 취약점 페이지를 사용하여 다양한 속성별로 발견 항목을 필터링할 수 있습니다.
문제 해결 및 리소스 보호에 대한 안내는 Security Health Analytics 발견 항목 구제 조치를 참조하세요.
API 키 취약점 발견 항목
API_KEY_SCANNER 감지기는 클라우드 배포에서 사용되는 API 키와 관련된 취약점을 식별합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
API key APIs unrestricted
API의 카테고리 이름: |
발견 항목 설명: API 키가 너무 광범위하게 사용되고 있습니다. 이를 해결하려면 애플리케이션에 필요한 API만 허용하도록 API 키 사용을 제한합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트에서 모든 API 키의
|
API key apps unrestricted
API의 카테고리 이름: |
발견 항목 설명: API 키가 제한되지 않은 방식으로 사용되어 신뢰할 수 없는 앱에서 사용할 수 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
프로젝트에서 모든 API 키의
|
API key exists
API의 카테고리 이름: |
발견 항목 설명: 한 프로젝트에 표준 인증 대신 API 키가 사용됩니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
프로젝트가 소유하는 모든 API 키를 검색합니다.
|
API key not rotated
API의 카테고리 이름: |
발견 항목 설명: API 키가 90일 이상 순환되지 않았습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
모든 API 키의
|
Cloud 애셋 인벤토리 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud 애셋 인벤토리 구성과 관련이 있으며 CLOUD_ASSET_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Cloud Asset API disabled
API의 카테고리 이름: |
발견 항목 설명: Cloud 애셋 인벤토리로 Google Cloud 리소스 및 IAM 정책을 캡처하면 보안 분석, 리소스 변경 추적, 규정 준수 감사가 가능합니다. 모든 프로젝트에 Cloud 애셋 인벤토리 서비스를 사용 설정하는 것이 좋습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
Cloud 애셋 인벤토리 서비스가 사용 설정되어 있는지 확인합니다.
|
Compute 이미지 취약점 발견 항목
COMPUTE_IMAGE_SCANNER 감지기는 Google Cloud 이미지 구성과 관련된 취약점을 식별합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Public Compute image
API의 카테고리 이름: |
발견 항목 설명: Compute Engine 이미지에 공개적으로 액세스할 수 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드 지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는
|
Compute 인스턴스 취약점 발견 항목
COMPUTE_INSTANCE_SCANNER 감지기는 Compute Engine 인스턴스 구성과 관련된 취약점을 식별합니다.
COMPUTE_INSTANCE_SCANNER 감지기는 GKE에서 생성된 Compute Engine 인스턴스에 대해 발견 항목을 보고하지 않습니다. 이러한 인스턴스는 'gke-'로 시작하는 이름을 가지며, 사용자가 수정할 수 없습니다. 이러한 인스턴스를 보호하려면 컨테이너 취약점 발견 항목 섹션을 참조하세요.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Confidential Computing disabled
API의 카테고리 이름: |
발견 항목 설명: 컨피덴셜 컴퓨팅이 Compute Engine 인스턴스에서 사용 중지되었습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Compute project wide SSH keys allowed
API의 카테고리 이름: |
발견 항목 설명: 프로젝트 전체 SSH 키가 사용되어 프로젝트의 모든 인스턴스에 로그인할 수 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Compute Secure Boot disabled
API의 카테고리 이름: |
발견 항목 설명: 보안 VM에 보안 부팅이 사용 설정되지 않았습니다. 보안 부팅을 사용하면 루트킷 및 부트킷과 같은 고급 위협으로부터 가상 머신 인스턴스를 보호할 수 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
Compute Engine 인스턴스에서
|
Compute serial ports enabled
API의 카테고리 이름: |
발견 항목 설명: 인스턴스에 직렬 포트가 사용 설정되어 인스턴스의 직렬 콘솔 연결이 허용됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Default service account used
API의 카테고리 이름: |
발견 항목 설명: 인스턴스가 기본 서비스 계정을 사용하도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
인스턴스 메타데이터에서 서비스 계정 이메일 주소에 대해 Google이 만든 기본 서비스 계정임을 나타내는 프리픽스가
|
Disk CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: 이 VM의 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
|
Disk CSEK disabled
API의 카테고리 이름: |
발견 항목 설명: 이 VM의 디스크가 고객 제공 암호화 키(CSEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 특수 사례 감지기를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Full API access
API의 카테고리 이름: |
발견 항목 설명: 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용하도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
HTTP load balancer
API의 카테고리 이름: |
발견 항목 설명: 인스턴스에서 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기가 사용됩니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
IP forwarding enabled
API의 카테고리 이름: |
발견 항목 설명: IP 전달이 인스턴스에 사용 설정되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
인스턴스의
|
OS login disabled
API의 카테고리 이름: |
발견 항목 설명: 이 인스턴스에서 OS 로그인이 사용 중지되었습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Public IP address
API의 카테고리 이름: |
발견 항목 설명: 인스턴스에 공개 IP 주소가 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
|
Shielded VM disabled
API의 카테고리 이름: |
발견 항목 설명: 이 인스턴스에서 보안 VM이 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
Compute Engine 인스턴스에서
|
Weak SSL policy
API의 카테고리 이름: |
발견 항목 설명: 인스턴스에 약한 SSL 정책이 포함되어 있습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
애셋 메타데이터의
|
컨테이너 취약점 발견 항목
이러한 발견 유형은 모두 GKE 컨테이너 구성과 관련이 있으며 CONTAINER_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Alpha cluster enabled
API의 카테고리 이름: |
발견 항목 설명: 알파 클러스터 기능이 GKE 클러스터에 대해 사용 설정됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
클러스터의
|
Auto repair disabled
API의 카테고리 이름: |
발견 항목 설명: 노드를 실행 중인 정상 상태로 유지하는 GKE 클러스터의 자동 복구 기능이 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Auto upgrade disabled
API의 카테고리 이름: |
발견 항목 설명: 클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Binary authorization disabled
API의 카테고리 이름: |
발견 항목 설명: Binary Authorization이 GKE 클러스터에서 사용 중지되었거나 Binary Authorization 정책이 모든 이미지의 배포를 허용하도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
다음을 확인합니다.
|
Cluster logging disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터에 대해 Logging이 사용 설정되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
클러스터의
|
Cluster monitoring disabled
API의 카테고리 이름: |
발견 항목 설명: Monitoring이 GKE 클러스터에서 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
클러스터의
|
Cluster private Google access disabled
API의 카테고리 이름: |
발견 항목 설명: 클러스터 호스트가 Google API에 액세스하기 위해 비공개 내부 IP 주소만 사용하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
서브네트워크의
|
Cluster secrets encryption disabled
API의 카테고리 이름: |
발견 항목 설명: 애플리케이션 레이어 보안 비밀 암호화가 GKE 클러스터에서 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Cluster shielded nodes disabled
API의 카테고리 이름: |
발견 항목 설명: 클러스터에 대해 보안 GKE 노드가 사용 설정되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
COS not used
API의 카테고리 이름: |
발견 항목 설명: Compute Engine VM이 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용 중이 아닙니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Integrity monitoring disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터에 대해 무결성 모니터링이 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Intranode visibility disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터에 대해 노드 내 가시성이 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
IP alias disabled
API의 카테고리 이름: |
발견 항목 설명: 별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
클러스터에 있는
|
Legacy authorization enabled
API의 카테고리 이름: |
발견 항목 설명: 기존 승인이 GKE 클러스터에 사용 설정되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Legacy metadata enabled
API의 카테고리 이름: |
발견 항목 설명: 기존 메타데이터가 GKE 클러스터에 사용 설정되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Master authorized networks disabled
API의 카테고리 이름: |
발견 항목 설명: 제어 영역 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Network policy disabled
API의 카테고리 이름: |
발견 항목 설명: 네트워크 정책이 GKE 클러스터에서 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Nodepool boot CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: 이 노드 풀의 부팅 디스크가 고객 관리 암호화 키(CMEK)로 암호화되어 있지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
CMEK의 리소스 이름에 대해 노드 풀의
|
Nodepool secure boot disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터에 대해 보안 부팅이 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Over privileged account
API의 카테고리 이름: |
발견 항목 설명: 서비스 계정에 클러스터의 프로젝트 액세스 권한이 광범위하게 포함되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
노드 풀의
|
Over privileged scopes
API의 카테고리 이름: |
발견 항목 설명: 노드 서비스 계정의 액세스 범위가 광범위합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
노드 풀의 config.oauthScopes 속성에 나열된 액세스 범위가 제한된 서비스 계정 액세스 범위인 https://www.googleapis.com/auth/devstorage.read_only, https://www.googleapis.com/auth/logging.write, https://www.googleapis.com/auth/monitoring인지 확인합니다.
|
Pod security policy disabled
API의 카테고리 이름: |
발견 항목 설명: PodSecurityPolicy가 GKE 클러스터에서 사용 중지되어 있습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Private cluster disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터의 비공개 클러스터가 사용 중지되었습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Release channel disabled
API의 카테고리 이름: |
발견 항목 설명: GKE 클러스터가 출시 채널에 구독되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Web UI enabled
API의 카테고리 이름: |
발견 항목 설명: GKE 웹 UI(대시보드)가 사용 설정되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
Workload Identity disabled
API의 카테고리 이름: |
발견 항목 설명: 워크로드 아이덴티티가 GKE 클러스터에서 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
클러스터의
|
Dataproc 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Dataproc와 관련이 있으며 DATAPROC_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Dataproc CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: Dataproc 클러스터가 CMEK 암호화 구성 없이 생성되었습니다. CMEK를 사용하는 경우, Cloud Key Management Service에서 만들고 관리하는 키가 Google Cloud에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Dataproc image outdated
API의 카테고리 이름: |
발견 항목 설명: Dataproc 클러스터가 Apache Log4j 2 유틸리티의 보안 취약점(CVE-2021-44228 및 CVE-2021-45046)에 영향을 받는 Dataproc 이미지 버전을 사용하여 생성되었습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
|
데이터 세트 취약점 발견 항목
이 감지기 유형의 취약점은 모두 BigQuery 데이터 세트 구성과 관련되며 DATASET_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
BigQuery table CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: BigQuery 테이블은 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Dataset CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: BigQuery 데이터 세트가 기본 CMEK를 사용하도록 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Public dataset
API의 카테고리 이름: |
발견 항목 설명: 데이터 세트가 공개 액세스에 열리도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는
|
DNS 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud DNS 구성과 관련이 있으며 DNS_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
DNSSEC disabled
API의 카테고리 이름: |
발견 항목 설명: DNSSEC가 Cloud DNS 영역에 대해 사용 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
RSASHA1 for signing
API의 카테고리 이름: |
발견 항목 설명: RSASHA1이 Cloud DNS 영역에서 키 서명에 사용됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
방화벽 취약점 발견 항목
이 감지기 유형의 취약점은 모두 방화벽 구성과 관련이 있으며 FIREWALL_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Egress deny rule not set
API의 카테고리 이름: |
발견 항목 설명: 이그레스 거부 규칙이 방화벽에 설정되지 않았습니다. 이그레스 거부 규칙은 원치 않는 아웃바운드 트래픽을 차단하도록 설정해야 합니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
방화벽에서
|
Firewall rule logging disabled
API의 카테고리 이름: |
발견 항목 설명: 방화벽 규칙 로깅이 사용 중지되어 있습니다. 네트워크 액세스를 감사할 수 있도록 방화벽 규칙 로깅을 사용 설정해야 합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
방화벽 메타데이터에서
|
Open Cassandra port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 Cassandra 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open ciscosecure websm port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 CISCOSECURE_WEBSM 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
프로토콜 및 포트
|
Open directory services port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 DIRECTORY_SERVICES 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open DNS port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 DNS 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open elasticsearch port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 ELASTICSEARCH 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open firewall
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 공개 액세스에 열리도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
|
Open FTP port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 FTP 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로토콜 및 포트
|
Open HTTP port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 HTTP 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open LDAP port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 LDAP 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open Memcached port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MEMCACHED 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open MongoDB port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MONGODB 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open MySQL port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 MYSQL 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로토콜 및 포트
|
Open NetBIOS port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 NETBIOS 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open OracleDB port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 ORACLEDB 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open pop3 port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 POP3 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로토콜 및 포트
|
Open PostgreSQL port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 PostgreSQL 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open RDP port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 RDP 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
다음 프로토콜 및 포트
|
Open Redis port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 REDIS 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
방화벽 메타데이터의
|
Open SMTP port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 SMTP 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
방화벽 메타데이터의
|
Open SSH port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 SSH 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
방화벽 메타데이터의
|
Open Telnet port
API의 카테고리 이름: |
발견 항목 설명: 방화벽이 일반 액세스를 허용하는 열린 TELNET 포트를 갖도록 구성되어 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
방화벽 메타데이터의
|
IAM 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Identity and Access Management(IAM) 구성과 관련이 있으며 IAM_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Access Transparency disabled
API의 카테고리 이름: |
발견 항목 설명: 조직에서 Google Cloud 액세스 투명성이 사용 중지되었습니다. 액세스 투명성 로그는 Google Cloud 직원이 조직 내 프로젝트에 액세스하여 지원을 제공하는 경우 사용됩니다. 액세스 투명성을 사용 설정하여 Google Cloud에서 누가, 언제, 왜 정보에 액세스하는지 로깅합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
조직에서 액세스 투명성이 사용 설정되었는지 확인합니다.
|
Admin service account
API의 카테고리 이름: |
발견 항목 설명: 서비스 계정에 관리자, 소유자, 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
iam.gserviceaccount.com 프리픽스로 표시되고
|
Essential Contacts Not Configured
API의 카테고리 이름: |
발견 항목 설명: 조직에서 Google Cloud 조직 내 공격, 취약점, 데이터 이슈와 같은 중요 이벤트에 대한 Google Cloud 알림을 수신하도록 사용자 또는 그룹을 지정하지 않았습니다. 비즈니스 조직에서 한 명 이상의 사용자 또는 그룹을 필수 연락처로 지정하는 것이 좋습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
다음 필수 연락처 카테고리에 연락처가 지정되어 있는지 확인합니다.
|
KMS role separation
API의 카테고리 이름: |
발견 항목 설명: 업무 분리가 시행되지 않으며 CryptoKey Encrypter/Decrypter, Encrypter, Decrypter와 같은 Cloud Key Management Service(Cloud KMS) 역할을 동시에 갖는 사용자가 존재합니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터에서 IAM 허용 정책을 확인하고
roles/cloudkms.cryptoKeyEncrypterDecrypter,
roles/cloudkms.cryptoKeyEncrypter,
roles/cloudkms.cryptoKeyDecrypter,
roles/cloudkms.signer,
roles/cloudkms.signerVerifier,
roles/cloudkms.publicKeyViewer 역할이 동시에 지정된 주 구성원을 검색합니다.
|
Non org IAM member
API의 카테고리 이름: |
발견 항목 설명: 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. CIS GCP Foundations 1.0을 기준으로 현재는 @gmail.com 이메일 주소가 있는 ID만 이 감지기를 트리거합니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
IAM 허용 정책 메타데이터의
|
Open group IAM member
API의 카테고리 이름: |
발견 항목 설명: 승인 없이 결합할 수 있는 Google 그룹스 계정이 IAM 허용 정책 주 구성원으로 사용됩니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
리소스 메타데이터의 IAM 정책에서 group 프리픽스가 있는 구성원(주 구성원)이 포함된 모든 바인딩을 확인합니다. 그룹이 공개 그룹인 경우 Security Health Analytics에서 이 발견 항목을 생성합니다.
|
Over privileged service account user
API의 카테고리 이름: |
발견 항목 설명: 사용자에게 특정 서비스 계정 대신 프로젝트 수준의 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서 프로젝트 수준에서 roles/iam.serviceAccountUser 또는 roles/iam.serviceAccountTokenCreator가 지정된 주 구성원을 확인합니다.
|
Primitive roles used
API의 카테고리 이름: |
발견 항목 설명: 사용자에게 다음 기본 역할 중 하나가 있습니다.
이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Redis role used on org
API의 카테고리 이름: |
발견 항목 설명: Redis IAM 역할이 조직 또는 폴더 수준에서 지정되었습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋
규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서 조직 또는 폴더 수준에서
|
Service account role separation
API의 카테고리 이름: |
발견 항목 설명: 사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 지정되었습니다. 이는 '업무 분리' 원칙을 위반하는 것입니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서 roles/iam.serviceAccountUser 및 roles/iam.serviceAccountAdmin이 지정된 주 구성원을 확인합니다.
|
Service account key not rotated
API의 카테고리 이름: |
발견 항목 설명: 서비스 계정 키가 90일 이상 순환되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
서비스 계정 키 메타데이터에서
|
User managed service account key
API의 카테고리 이름: |
발견 항목 설명: 사용자가 서비스 계정 키를 관리합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
서비스 계정 키 메타데이터에서
|
KMS 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud KMS 구성과 관련이 있으며 KMS_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
KMS key not rotated
API의 카테고리 이름: |
발견 항목 설명: Cloud KMS 암호화 키에 순환이 구성되지 않았습니다. 키는 90일 내에 순환되어야 합니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터에서
|
KMS project has owner
API의 카테고리 이름: |
발견 항목 설명: 사용자에게 암호화 키가 있는 프로젝트에 대한 소유자 권한이 있습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트 메타데이터의 IAM 허용 정책에서
|
KMS public key
API의 카테고리 이름: |
발견 항목 설명: Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서 공개 액세스 권한을 부여하는
|
Too many KMS users
API의 카테고리 이름: |
발견 항목 설명: 암호화 키 사용자가 3명을 초과합니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
IAM 허용 정책에서 키링, 프로젝트, 조직을 확인하고 Cloud KMS 키 roles/owner, roles/cloudkms.cryptoKeyEncrypterDecrypter, roles/cloudkms.cryptoKeyEncrypter, roles/cloudkms.cryptoKeyDecrypter, roles/cloudkms.signer, roles/cloudkms.signerVerifier를 사용하여 데이터를 암호화, 복호화, 서명하도록 허용하는 역할이 있는 주 구성원을 가져옵니다.
|
취약점 발견 항목 로깅
이 감지기 유형의 취약점은 모두 로깅 구성과 관련이 있으며 LOGGING_SCANNER 감지기 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Audit logging disabled
API의 카테고리 이름: |
발견 항목 설명: 감사 로깅이 이 리소스에 대해 사용 중지되어 있습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
리소스 메타데이터의 IAM 허용 정책에서
|
Bucket logging disabled
API의 카테고리 이름: |
발견 항목 설명: 로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
버킷의
|
Locked retention policy not set
API의 카테고리 이름: |
발견 항목 설명: 잠긴 보관 정책이 로그에 대해 설정되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
버킷의
|
Log not exported
API의 카테고리 이름: |
발견 항목 설명: 적합한 로그 싱크가 구성되지 않은 리소스가 있습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋
규정 준수 표준:
|
프로젝트에서
|
Object versioning disabled
API의 카테고리 이름: |
발견 항목 설명: 싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
버킷의
|
취약점 발견 항목 모니터링
이 감지기 유형의 취약점은 모두 모니터링 구성과 관련이 있으며 MONITORING_SCANNER 유형에 속합니다. 모든 모니터링 감지기의 발견 항목 속성에는 다음이 포함됩니다.
-
로그 측정항목을 만들 때 사용할
RecommendedLogFilter -
권장 로그 필터에 나열된 조건을 다루는
QualifiedLogMetricNames -
프로젝트에 검증된 로그 측정항목에 대해 생성된 알림 정책이 없거나 기존 알림 정책에 권장 설정이 없다는 것을 표시하는
AlertPolicyFailureReasons
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Audit config not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 감사 구성 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트 LogsMetric 리소스의 filter 속성이 protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.auditConfigDeltas:*로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Bucket IAM not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 Cloud Storage IAM 권한 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type=gcs_bucket AND
protoPayload.methodName="storage.setIamPermissions"로 설정되었는지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Custom role not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 커스텀 역할 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트의 LogsMetric 리소스의 filter 속성이 resource.type="iam_role" AND
(protoPayload.methodName="google.iam.admin.v1.CreateRole"
OR
protoPayload.methodName="google.iam.admin.v1.DeleteRole"
OR
protoPayload.methodName="google.iam.admin.v1.UpdateRole")로 설정되었는지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Firewall not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림은 Virtual Private Cloud(VPC) 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트의 LogsMetric 리소스의 filter 속성이
resource.type="gce_firewall_rule"
AND (protoPayload.methodName:"compute.firewalls.insert"
OR protoPayload.methodName:"compute.firewalls.patch"
OR protoPayload.methodName:"compute.firewalls.delete")로 설정되었는지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Network not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트의 LogsMetric 리소스의 filter 속성이
resource.type="gce_network"
AND (protoPayload.methodName:"compute.networks.insert"
OR protoPayload.methodName:"compute.networks.patch"
OR protoPayload.methodName:"compute.networks.delete"
OR protoPayload.methodName:"compute.networks.removePeering"
OR protoPayload.methodName:"compute.networks.addPeering")로 설정되었는지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Owner not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 프로젝트 소유권 지정 또는 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트 LogsMetric 리소스의 filter 속성이 (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
AND (ProjectOwnership OR projectOwnerInvitee) OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
OR
(protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
AND
protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
Route not monitored
API의 카테고리 이름: |
발견 항목 설명: 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트의 LogsMetric 리소스의 filter 속성이
resource.type="gce_route"
AND (protoPayload.methodName:"compute.routes.delete"
OR protoPayload.methodName:"compute.routes.insert")로 설정되었는지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
SQL instance not monitored
|
발견 항목 설명: 로그 측정항목 및 알림이 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
프로젝트 LogsMetric 리소스의 filter 속성이
protoPayload.methodName="cloudsql.instances.update"
OR protoPayload.methodName="cloudsql.instances.create"
OR protoPayload.methodName="cloudsql.instances.delete"로 설정되어 있는지 확인하고 resource.type가 지정된 경우 값이 global인지 확인합니다.
감지기가 또한 해당 alertPolicy 리소스를 검색하여 conditions 및 notificationChannels 속성이 올바르게 구성되었는지 확인합니다.
|
다단계 인증 발견 항목
MFA_SCANNER 감지기는 사용자의 다단계 인증과 관련된 취약점을 식별합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
MFA not enforced
API의 카테고리 이름: |
2단계 인증을 사용하지 않는 사용자가 있습니다. Google Workspace를 사용하면 신규 사용자가 2단계 인증에 등록해야 하는 등록 유예 기간을 지정할 수 있습니다. 이 감지기는 등록 유예 기간 동안 사용자에 대한 발견 항목을 만듭니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
Cloud ID에서 관리 계정의 사용자 설정 및 조직의 ID 관리 정책을 평가합니다.
|
네트워크 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직의 네트워크 구성과 관련이 있으며 NETWORK_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Default network
API의 카테고리 이름: |
발견 항목 설명: 기본 네트워크가 프로젝트에 존재합니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
네트워크 메타데이터에서
|
DNS logging disabled
API의 카테고리 이름: |
발견 항목 설명: DNS 로깅이 VPC 네트워크에서 사용 설정되지 않았습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
Legacy network
API의 카테고리 이름: |
발견 항목 설명: 레거시 네트워크가 프로젝트에 있습니다. Security Command Center 프리미엄 등급의 프로젝트 수준 활성화의 경우 스탠더드 등급이 상위 조직에서 사용 설정된 경우에만 이 발견 항목을 사용할 수 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
네트워크 메타데이터에서
|
Load balancer logging disabled
API의 카테고리 이름: |
발견 항목 설명: 부하 분산기에 로깅이 중지되어 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
부하 분산기에서 백엔드 서비스의
|
조직 정책 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직 정책 제약조건의 구성과 관련이 있으며 ORG_POLICY 유형에 속합니다.
Pub/Sub 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Pub/Sub 구성과 관련이 있으며 PUBSUB_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Pubsub CMEK disabled
API의 카테고리 이름: |
발견 설명: Pub/Sub 주제는 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
|
SQL 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud SQL 구성과 관련이 있으며 SQL_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
AlloyDB auto backup disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 AlloyDB 클러스터에 자동 백업이 사용 설정되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
PostgreSQL용 AlloyDB 클러스터의 메타데이터에서
|
AlloyDB log min error statement severity
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
로그에서 메시지 유형의 적절한 범위를 보장하기 위해
|
AlloyDB log min messages
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
로그에서 메시지 유형의 적절한 범위를 보장하기 위해
|
AlloyDB log error verbosity
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 AlloyDB 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
로그에서 메시지 유형의 적절한 범위를 보장하기 위해
|
Auto backup disabled
API의 카테고리 이름: |
발견 항목 설명: Cloud SQL 데이터베이스에 자동 백업이 사용 설정되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
Cloud SQL 데이터의
|
Public SQL instance
API의 카테고리 이름: |
발견 항목 설명: Cloud SQL 데이터베이스 인스턴스가 모든 IP 주소의 연결을 수락합니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
Cloud SQL 인스턴스의
|
SSL not enforced
API의 카테고리 이름: |
발견 항목 설명: Cloud SQL 데이터베이스 인스턴스에서 모든 수신 연결에 SSL 사용이 요구되지 않습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
Cloud SQL 인스턴스의
|
SQL CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: SQL 데이터베이스 인스턴스가 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
|
SQL contained database authentication
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL cross DB ownership chaining
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL external scripts enabled
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL local infile
API의 카테고리 이름: |
발견 항목 설명: MySQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log checkpoints disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log connections disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log disconnections disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log duration disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log error verbosity
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
|
SQL log lock waits disabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log min duration statement enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL log min error statement
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
SQL log min error statement severity
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스에 대한 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
SQL log min messages
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
로그에서 메시지 유형의 적절한 범위를 보장하기 위해
|
SQL log executor stats enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
SQL log hostname enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
|
SQL log parser stats enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
SQL log planner stats enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
|
SQL log statement
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
|
SQL log statement stats enabled
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
|
SQL log temp files
API의 카테고리 이름: |
발견 항목 설명: PostgreSQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL no root password
API의 카테고리 이름: |
발견 항목 설명: 공개 IP 주소가 있는 Cloud SQL 데이터베이스에 루트 계정 비밀번호가 구성되어 있지 않습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
루트 계정의
|
SQL public IP
API의 카테고리 이름: |
발견 항목 설명: Cloud SQL 데이터베이스에 공개 IP 주소가 있습니다. 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
Cloud SQL 데이터베이스의 IP 주소 유형이 공개임을 나타내는
|
SQL remote access enabled
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄 지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL skip show database disabled
API의 카테고리 이름: |
발견 항목 설명: MySQL용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL trace flag 3625
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스의 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL user connections configured
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스에 대한 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL user options configured
API의 카테고리 이름: |
발견 항목 설명: SQL Server용 Cloud SQL 인스턴스에 대한 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
키-값 쌍
|
SQL weak root password
API의 카테고리 이름: |
발견 항목 설명: 공개 IP 주소가 있는 Cloud SQL 데이터베이스에도 취약한 루트 계정 비밀번호가 구성되어 있습니다. 이 감지기를 사용하려면 추가 구성을 사용 설정해야 합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
Cloud SQL 데이터베이스의 루트 계정에 대한 비밀번호를 공통 비밀번호 목록과 비교합니다.
|
스토리지 취약점 발견 항목
이 감지기 유형의 취약점은 모두 Cloud Storage 버킷 구성과 관련이 있으며 STORAGE_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Bucket CMEK disabled
API의 카테고리 이름: |
발견 항목 설명: 버킷이 고객 관리 암호화 키(CMEK)로 암호화되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
CMEK의 리소스 이름에 대해 버킷 메타데이터의
|
Bucket policy only disabled
API의 카테고리 이름: |
발견 항목 설명: 이전에 버킷 정책 전용으로 알려진 균일한 버킷 수준 액세스가 구성되지 않았습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
버킷의
|
Public bucket ACL
API의 카테고리 이름: |
발견 항목 설명: Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
공개 역할
|
Public log bucket
API의 카테고리 이름: |
발견 항목 설명: 로그 싱크로 사용되는 스토리지 버킷에 공개적으로 액세스할 수 있습니다. 프로젝트 수준의 활성화에는 이 발견 항목을 사용할 수 없습니다. 가격 책정 등급: 프리미엄 또는 스탠더드
지원되는 애셋 규정 준수 표준:
|
버킷의 IAM 허용 정책에서 공개 액세스 권한을 부여하는
|
서브네트워크 취약점 발견 항목
이 감지기 유형의 취약점은 모두 조직의 서브네트워크 구성과 관련이 있으며 SUBNETWORK_SCANNER 유형에 속합니다.
| 감지기 | 요약 | 애셋 검사 설정 |
|---|---|---|
Flow logs disabled
API의 카테고리 이름: |
발견 항목 설명: 흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
Compute Engine 서브네트워크의
|
Flow logs settings not recommended
API의 카테고리 이름: |
발견 항목 설명: VPC 서브네트워크의 경우 VPC 흐름 로그가 사용 중지되었거나 CIS 벤치마크 1.3 권장사항에 따라 구성되지 않았습니다. 이 감지기를 사용하려면 추가 구성 설정이 필요합니다. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
VPC 서브네트워크의
|
Private Google access disabled
API의 카테고리 이름: |
발견 항목 설명: Google 공개 API에 대한 액세스 권한이 없는 비공개 서브네트워크가 있습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 규정 준수 표준:
|
Compute Engine 서브네트워크의
|
AWS 발견 항목
| 검사 프로그램 | 요약 | 애셋 검사 설정 |
|---|---|---|
AWS Cloud Shell Full Access Restricted
API의 카테고리 이름: |
발견 항목 설명: AWS CloudShell은 AWS 서비스에서 CLI 명령어를 편리하게 실행할 수 있는 방법입니다. 관리형 IAM 정책('AWSCloudShellFullAccess')은 CloudShell에 대한 전체 액세스 권한을 제공하므로 사용자의 로컬 시스템과 CloudShell 환경 간에 파일을 업로드하고 다운로드할 수 있습니다. CloudShell 환경 내에서 사용자는 sudo 권한을 가지며 인터넷에 액세스할 수 있습니다. 따라서 파일 전송 소프트웨어(예)를 설치하고 데이터를 CloudShell에서 외부 인터넷 서버로 이동할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWSCloudShellFullAccess에 대한 액세스가 제한되어 있는지 확인하세요.
|
Access Keys Rotated Every 90 Days or Less
API의 카테고리 이름: |
발견 항목 설명: 액세스 키는 AWS에 보낸 프로그래매틱 요청에 서명하는 데 사용되는 액세스 키 ID 및 보안 비밀 액세스 키로 구성됩니다. AWS 명령줄 인터페이스(AWS CLI), Windows PowerShell용 도구, AWS SDK에서 AWS로 프로그래매틱 호출을 수행하거나 개별 AWS 서비스용 API를 사용하여 직접 HTTP 호출을 수행하려면 AWS 사용자에게 고유한 액세스 키가 있어야 합니다. 모든 액세스 키를 정기적으로 순환하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
액세스 키가 최소 90일마다 순환되는지 확인하세요.
|
All Expired Ssl Tls Certificates Stored Aws Iam Removed
API의 카테고리 이름: |
발견 항목 설명: AWS에서 웹사이트나 애플리케이션에 대한 HTTPS 연결을 사용 설정하려면 SSL/TLS 서버 인증서가 필요합니다. ACM 또는 IAM을 사용하여 서버 인증서를 저장하고 배포할 수 있습니다. ACM에서 지원하지 않는 리전에서 HTTPS 연결을 지원해야 하는 경우에만 IAM을 인증서 관리자로 사용합니다. IAM은 비공개 키를 안전하게 암호화하고 암호화된 버전을 IAM SSL 인증서 스토리지에 저장합니다. IAM은 모든 리전에서 서버 인증서를 배포할 수 있지만 AWS에서 사용하려면 외부 제공업체로부터 인증서를 가져와야 합니다. ACM 인증서를 IAM에 업로드할 수 없습니다. 또한 IAM 콘솔에서 인증서를 관리할 수 없습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS IAM에 저장된 만료 SSL/TLS 인증서가 모두 삭제되었는지 확인하세요.
|
Autoscaling Group Elb Healthcheck Required
API의 카테고리 이름: |
발견 항목 설명: 부하 분산기와 연결된 자동 확장 그룹에서 Elastic Load Balancing 상태 점검을 사용하고 있는지 확인합니다. 이렇게 하면 부하 분산기에서 제공하는 추가 테스트를 기반으로 그룹에서 인스턴스 상태를 확인할 수 있습니다. Elastic Load Balancing 상태 점검을 사용하면 EC2 자동 확장 그룹을 사용하는 애플리케이션의 가용성을 지원할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
부하 분산기와 연결된 모든 자동 확장 그룹이 상태 점검을 사용하는지 확인하세요.
|
Auto Minor Version Upgrade Feature Enabled Rds Instances
API의 카테고리 이름: |
발견 항목 설명: 지정된 유지보수 기간 동안 부 엔진 업그레이드를 자동으로 수신하기 위해 RDS 데이터베이스 인스턴스에 자동 부 버전 업그레이드 플래그가 사용 설정되어 있는지 확인합니다. 따라서 RDS 인스턴스에서 데이터베이스 엔진의 새로운 기능, 버그 수정, 보안 패치를 가져올 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
RDS 인스턴스에 자동 마이너 버전 업그레이드 기능이 사용 설정되어 있는지 확인하세요.
|
Aws Config Enabled All Regions
API의 카테고리 이름: |
발견 항목 설명: AWS Config는 계정 내에서 지원되는 AWS 리소스의 구성 관리를 수행하고 로그 파일을 개발자에게 전송하는 웹 서비스입니다. 기록된 정보에는 구성 항목(AWS 리소스), 구성 항목 간의 관계(AWS 리소스), 리소스 간 구성 변경사항이 포함됩니다. 모든 리전에서 AWS Config를 사용 설정하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 리전에 AWS Config가 사용 설정되어 있는지 확인하세요.
|
Aws Security Hub Enabled
API의 카테고리 이름: |
발견 항목 설명: Security Hub는 AWS 계정, 서비스, 지원되는 서드 파티 파트너 제품에서 보안 데이터를 수집하고 보안 추세를 분석하고 우선순위가 가장 높은 보안 문제를 식별하는 데 도움이 됩니다. Security Hub를 사용 설정하면 Amazon GuardDuty, Amazon Inspector, Amazon Macie와 같은 사용 설정한 AWS 서비스의 발견 항목을 사용, 집계, 구성하고 우선순위를 지정합니다. AWS 파트너 보안 제품과의 통합을 사용 설정할 수도 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS Security Hub가 사용 설정되어 있는지 확인하세요.
|
Cloudtrail Logs Encrypted Rest Using Kms Cmks
API의 카테고리 이름: |
발견 항목 설명: AWS CloudTrail은 계정에 대한 AWS API 호출을 기록하고 IAM 정책에 따라 사용자와 리소스에 해당 로그를 제공하는 웹 서비스입니다. AWS Key Management Service(KMS)는 계정 데이터 암호화에 사용되는 암호화 키를 생성 및 제어할 수 있게 해주는 관리형 서비스로, 하드웨어 보안 모듈(HSM)을 사용하여 암호화 키를 보호합니다. 서버 측 암호화(SSE) 및 KMS 고객 생성 마스터 키(CMK)를 활용하여 CloudTrail 로그를 추가로 보호하도록 CloudTrail 로그를 구성할 수 있습니다. SSE-KMS를 사용하도록 CloudTrail을 구성하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
CloudTrail 로그가 KMS CMK를 사용하여 저장 시 암호화되는지 확인하세요.
|
Cloudtrail Log File Validation Enabled
API의 카테고리 이름: |
발견 항목 설명: CloudTrail 로그 파일 유효성 검사는 CloudTrail에서 S3에 기록하는 각 로그의 해시가 포함된 디지털 서명된 다이제스트 파일을 만듭니다. 이러한 다이제스트 파일을 사용하여 CloudTrail에서 로그를 전송한 후 로그 파일이 변경 또는 삭제되었거나 변경되지 않았는지 여부를 확인할 수 있습니다. 모든 CloudTrail에서 파일 유효성 검사를 사용 설정하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
CloudTrail 로그 파일 검증이 사용 설정되어 있는지 확인하세요.
|
Cloudtrail Trails Integrated Cloudwatch Logs
API의 카테고리 이름: |
발견 항목 설명: AWS CloudTrail은 지정된 AWS 계정에서 수행된 AWS API 호출을 기록하는 웹 서비스입니다. 기록된 정보에는 API 호출자 ID, API 호출 시간, API 호출자의 소스 IP 주소, 요청 매개변수, AWS 서비스에서 반환한 응답 요소가 포함됩니다. CloudTrail은 로그 파일 저장과 전송에 Amazon S3를 사용하므로 로그 파일이 지속적으로 저장됩니다. 장기 분석을 위해 지정된 S3 버킷 내에서 CloudTrail 로그 캡처 외에도 로그를 CloudWatch Logs로 보내도록 CloudTrail을 구성하여 실시간 분석을 수행할 수 있습니다. 계정의 모든 리전에서 사용 설정된 추적의 경우 CloudTrail에서 모든 리전의 로그 파일을 CloudWatch Logs 로그 그룹으로 전송합니다. CloudTrail 로그를 CloudWatch Logs로 보내는 것이 좋습니다. 참고: 이 권장사항의 목적은 AWS 계정 활동이 캡처, 모니터링되고 적절하게 경보되는지 확인하기 위함입니다. CloudWatch Logs는 AWS 서비스를 사용하여 이를 수행하는 기본 방법이지만 다른 솔루션을 사용해야 하는 것은 아닙니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
CloudTrail 추적이 CloudWatch 로그와 통합되어 있는지 확인하세요.
|
Cloudwatch Alarm Action Check
API의 카테고리 이름: |
발견 항목 설명: 경보가 'OK', 'ALARM' 또는 'INSUFFICIENT_DATA'로 전환될 때 Amazon Cloudwatch에 정의된 작업이 있는지 여부를 확인합니다. 모니터링되는 측정항목이 기준점을 위반할 때 즉각적인 응답을 트리거하려면 Amazon CloudWatch 경보에서 ALARM 상태에 대한 작업을 구성하는 것이 매우 중요합니다. 이를 통해 문제를 빠르게 해결하고 다운타임을 줄이며 자동화된 문제 해결을 사용 설정하여 시스템 상태를 유지하고 서비스 중단을 방지할 수 있습니다. 경보에 작업이 최소 하나 이상 있습니다. 경보가 다른 상태에서 'INSUFFICIENT_DATA' 상태로 전환되면 경보에 작업이 최소 하나 이상 있습니다. (선택사항) 경보가 다른 상태에서 'OK' 상태로 전환되면 경보에 작업이 최소 하나 이상 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
CloudWatch 알람에 알람 작업 1개, INSUFFICIENT_DATA 작업 1개 또는 OK 작업 1개 이상이 사용 설정되어 있는지 확인하세요.
|
Cloudwatch Log Group Encrypted
API의 카테고리 이름: |
발견 항목 설명: 이 검사에서는 CloudWatch Logs가 KMS로 구성되었는지 확인합니다. 로그 그룹 데이터는 항상 CloudWatch Logs에서 암호화됩니다. 기본적으로 CloudWatch Logs는 저장 로그 데이터에 서버 측 암호화를 사용합니다. 대신 이 암호화에 AWS Key Management Service를 사용할 수 있습니다. 이렇게 하면 AWS KMS 키를 통해 암호화가 수행됩니다. 로그 그룹을 만들 때나 로그 그룹이 존재한 후에 KMS 키를 로그 그룹과 연결하면 AWS KMS를 사용하는 암호화가 로그 그룹 수준에서 사용 설정됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
Amazon CloudWatch Logs의 모든 로그 그룹이 KMS로 암호화되는지 확인하세요.
|
CloudTrail CloudWatch Logs Enabled
API의 카테고리 이름: |
발견 항목 설명: 이 제어에서는 CloudTrail 추적이 로그를 CloudWatch Logs로 전송하도록 구성되었는지 확인합니다. 추적의 CloudWatchLogsLogGroupArn 속성이 비어 있으면 제어가 실패합니다. CloudTrail은 지정된 계정에서 수행된 AWS API 호출을 기록합니다. 기록된 정보에는 다음이 포함됩니다. - API 호출자 ID - API 호출 시간 - API 호출자의 소스 IP 주소 - 요청 매개변수 - AWS 서비스에서 반환하는 응답 요소 CloudTrail은 로그 파일 저장과 전송에 Amazon S3를 사용합니다. 장기 분석을 위해 지정된 S3 버킷에서 CloudTrail 로그를 캡처할 수 있습니다. 실시간 분석을 수행하려면 CloudTrail을 구성하여 로그를 CloudWatch Logs로 전송하면 됩니다. 계정의 모든 리전에서 사용 설정된 추적의 경우 CloudTrail에서 모든 리전의 로그 파일을 CloudWatch Logs 로그 그룹으로 전송합니다. Security Hub에서는 CloudTrail 로그를 CloudWatch Logs로 보내는 것이 좋습니다. 이 권장사항의 목적은 계정 활동을 캡처, 모니터링하고 적절하게 경보를 보내기 위함입니다. CloudWatch Logs를 사용하여 AWS 서비스로 이 작업을 설정할 수 있습니다. 이 권장사항으로 인해 다른 솔루션을 사용하지 않아도 됩니다. CloudTrail 로그를 CloudWatch Logs로 전송하면 사용자, API, 리소스, IP 주소를 기반으로 실시간 및 이전 활동 로깅이 용이해집니다. 이 방식을 사용하여 비정상 또는 민감한 계정 활동에 대한 경보와 알림을 설정할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 CloudTrail 추적이 AWS CloudWatch로 로그를 전송하도록 구성되어 있는지 확인하세요.
|
No AWS Credentials in CodeBuild Project Environment Variables
API의 카테고리 이름: |
발견 항목 설명: 프로젝트에 `AWS_ACCESS_KEY_ID` 및 `AWS_SECRET_ACCESS_KEY` 환경 변수가 포함되어 있는지 확인합니다. 인증 사용자 인증 정보 `AWS_ACCESS_KEY_ID` 및 `AWS_SECRET_ACCESS_KEY`는 일반 텍스트로 저장되어서는 안 됩니다. 의도치 않은 데이터 노출과 무단 액세스가 발생할 수 있기 때문입니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
환경 변수 AWS_ACCESS_KEY_ID 및 AWS_SECRET_ACCESS_KEY가 포함된 모든 프로젝트가 일반 텍스트가 아닌지 확인하세요.
|
Codebuild Project Source Repo Url Check
API의 카테고리 이름: |
발견 항목 설명: AWS CodeBuild 프로젝트 Bitbucket 소스 저장소 URL에 개인 액세스 토큰 또는 사용자 이름과 비밀번호가 포함되어 있는지 확인합니다. Bitbucket 소스 저장소 URL에 개인 액세스 토큰 또는 사용자 이름과 비밀번호가 포함되어 있으면 제어가 실패합니다. 로그인 사용자 인증 정보는 일반 텍스트로 저장 또는 전송되거나 소스 저장소 URL에 표시되어서는 안 됩니다. 개인 액세스 토큰이나 로그인 사용자 인증 정보 대신 CodeBuild에서 소스 제공업체에 액세스하고 Bitbucket 저장소 위치 경로만 포함되도록 소스 저장소 URL을 변경해야 합니다. 개인 액세스 토큰이나 로그인 사용자 인증 정보를 사용하면 의도치 않은 데이터 노출 또는 무단 액세스가 발생할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
GitHub 또는 Bitbucket을 소스로 사용하는 모든 프로젝트가 OAuth를 사용하는지 확인하세요.
|
Credentials Unused 45 Days Greater Disabled
API의 카테고리 이름: |
발견 항목 설명: AWS IAM 사용자는 비밀번호 또는 액세스 키와 같은 여러 가지 유형의 사용자 인증 정보를 사용하여 AWS 리소스에 액세스할 수 있습니다. 45일 이상 사용되지 않은 모든 사용자 인증 정보를 비활성화하거나 삭제하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
45일 이상 사용되지 않은 사용자 인증 정보가 사용 중지되어 있는지 확인하세요.
|
Default Security Group Vpc Restricts All Traffic
API의 카테고리 이름: |
발견 항목 설명: VPC에 초기 설정에서 모든 인바운드 트래픽을 거부하고 모든 아웃바운드 트래픽을 허용하며 보안 그룹에 할당된 인스턴스 간의 모든 트래픽을 허용하는 기본 보안 그룹이 제공됩니다. 인스턴스를 시작할 때 보안 그룹을 지정하지 않으면 인스턴스가 자동으로 이 기본 보안 그룹에 할당됩니다. 보안 그룹은 AWS 리소스에 대한 인그레스/이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 기본 보안 그룹에서 모든 트래픽을 제한하는 것이 좋습니다. 모든 리전의 기본 VPC에서는 이 권장사항을 준수하도록 기본 보안 그룹이 업데이트되어야 합니다. 새로 생성된 모든 VPC에는 이 권장사항을 준수하려면 해결이 필요한 기본 보안 그룹이 자동으로 포함됩니다. **참고:** 이 권장사항을 구현할 때 VPC 흐름 로깅은 현재 보안 그룹에서 발생하는 모든 패킷 수락과 거부를 로깅할 수 있으므로 시스템이 제대로 작동하는 데 필요한 최소 권한 포트 액세스를 결정하는 데 매우 유용합니다. 이로 인해 최소 권한 엔지니어링에 대한 주요 장벽이 크게 낮아집니다. 즉, 환경의 시스템에 필요한 최소 포트 수를 탐색할 수 있습니다. 이 벤치마크의 VPC 흐름 로깅 권장사항이 영구 보안 조치로 채택되지 않더라도 최소 권한이 부여된 보안 그룹의 탐색 및 엔지니어링 기간 중에는 이 권장사항을 따라야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 VPC의 기본 보안 그룹이 전체 트래픽을 제한하는지 확인하세요.
|
Dms Replication Not Public
API의 카테고리 이름: |
발견 항목 설명: AWS DMS 복제 인스턴스가 공개 상태인지 확인합니다. 이를 위해 `PubliclyAccessible` 필드 값을 검사합니다. 비공개 복제 인스턴스에는 복제 네트워크 외부에서 액세스할 수 없는 비공개 IP 주소가 있습니다. 소스 데이터베이스와 대상 데이터베이스가 같은 네트워크에 있으면 복제 인스턴스에 비공개 IP 주소가 있어야 합니다. 또한 VPN, AWS Direct Connect 또는 VPC 피어링을 사용하여 네트워크를 복제 인스턴스의 VPC에 연결해야 합니다. 공개 및 비공개 복제 인스턴스에 대한 자세한 내용은 AWS Database Migration Service 사용자 가이드의 [공개 및 비공개 복제 인스턴스](https://docs.aws.amazon.com/dms/latest/userguide/CHAP_ReplicationInstance.html#CHAP_ReplicationInstance.PublicPrivate)를 참조하세요. 또한 AWS DMS 인스턴스 구성에 대한 액세스 권한이 승인된 사용자로만 제한되는지 확인해야 합니다. 이렇게 하려면 AWS DMS 설정과 리소스를 수정하도록 사용자의 IAM 권한을 제한합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS Database Migration Service 복제 인스턴스가 공개 상태인지 확인하세요.
|
Do Setup Access Keys During Initial User Setup All Iam Users Console
API의 카테고리 이름: |
발견 항목 설명: 새 IAM 사용자를 만들 때 AWS 콘솔은 체크박스가 선택 취소된 상태로 기본 설정됩니다. IAM 사용자 인증 정보를 만들 때 필요한 액세스 유형을 결정해야 합니다. 프로그래매틱 액세스: IAM 사용자는 API 호출을 수행하거나 AWS CLI를 사용하거나 Windows PowerShell용 도구를 사용해야 할 수 있습니다. 이 경우 해당 사용자의 액세스 키(액세스 키 ID 및 보안 비밀 액세스 키)를 만듭니다. AWS Management Console 액세스: 사용자가 AWS Management Console에 액세스해야 하는 경우 사용자의 비밀번호를 만듭니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
콘솔 비밀번호가 있는 모든 IAM 사용자의 초기 사용자 설정 중에 액세스 키를 설정해서는 안 됩니다.
|
Dynamodb Autoscaling Enabled
API의 카테고리 이름: |
발견 항목 설명: Amazon DynamoDB 테이블이 필요에 따라 읽기 및 쓰기 용량을 확장할 수 있는지 여부를 확인합니다. 테이블에서 주문형 용량 모드 또는 자동 확장이 구성된 프로비저닝 모드를 사용하는 경우에는 이 제어가 통과됩니다. 수요에 따라 용량을 확장하면 예외 제한이 방지되어 애플리케이션 가용성을 유지할 수 있습니다. 주문형 용량 모드의 DynamoDB 테이블은 DynamoDB 처리량 기본 테이블 할당량에 의해서만 제한됩니다. 이러한 할당량을 늘리려면 AWS Support를 통해 지원 티켓을 제출하면 됩니다. 자동 확장을 사용하는 프로비저닝 모드의 DynamoDB 테이블은 트래픽 패턴에 대응하여 프로비저닝된 처리량 용량을 동적으로 조정합니다. DynamoDB 요청 제한에 대한 자세한 내용은 Amazon DynamoDB 개발자 가이드의 요청 제한 및 버스트 용량을 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
DynamoDB 테이블이 수요에 맞춰 용량을 자동 확장해야 합니다.
|
Dynamodb In Backup Plan
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 DynamoDB 테이블이 백업 계획에 포함되는지 여부를 평가합니다. DynamoDB 테이블이 백업 계획에 포함되지 않으면 제어가 실패합니다. 이 제어는 ACTIVE 상태의 DynamoDB 테이블만 평가합니다. 백업은 보안 사고로부터 더욱 빠르게 복구하는 데 도움이 됩니다. 또한 시스템 복원력을 강화합니다. 백업 계획에 DynamoDB 테이블을 포함하면 의도치 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
DynamoDB 테이블에 백업 계획이 적용되어야 합니다.
|
Dynamodb Pitr Enabled
API의 카테고리 이름: |
발견 항목 설명: PITR(point-in-time recovery)은 DynamoDB 테이블 백업에 사용할 수 있는 메커니즘 중 하나입니다. 특정 시점 백업은 35일 동안 유지됩니다. 더 오래 보관해야 하는 경우에는 AWS 문서의 [AWS 백업을 사용하여 Amazon DynamoDB에 예약된 백업 설정](https://aws.amazon.com/blogs/database/set-up-scheduled-backups-for-amazon-dynamodb-using-aws-backup/)을 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 AWS DynamoDB 테이블에 PITR(point-in-time recovery)이 사용 설정되어 있는지 확인하세요.
|
Dynamodb Table Encrypted Kms
API의 카테고리 이름: |
발견 항목 설명: 모든 DynamoDB 테이블이 고객 관리 KMS 키(기본값 아님)로 암호화되었는지 여부를 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 DynamoDB 테이블이 AWS Key Management Service(KMS)로 암호화되었는지 확인하세요.
|
Ebs Optimized Instance
API의 카테고리 이름: |
발견 항목 설명: EBS 최적화가 가능한 EC2 인스턴스에 EBS 최적화가 사용 설정되었는지 여부를 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EBS 최적화를 지원하는 모든 인스턴스에 EBS 최적화가 사용 설정되어 있는지 확인하세요.
|
Ebs Snapshot Public Restorable Check
API의 카테고리 이름: |
발견 항목 설명: Amazon Elastic Block Store 스냅샷이 공개가 아닌지 여부를 확인합니다. 누군가 Amazon EBS 스냅샷을 복원할 수 있으면 제어가 실패합니다. EBS 스냅샷은 특정 시점에 EBS 볼륨에 있는 데이터를 Amazon S3에 백업하는 데 사용됩니다. 스냅샷을 사용하여 EBS 볼륨의 이전 상태를 복원할 수 있습니다. 스냅샷을 공개적으로 공유하는 것은 거의 허용되지 않습니다. 일반적으로 스냅샷을 공개적으로 공유하기로 한 결정은 잘못되거나 영향에 대한 완전한 이해 없이 진행되었습니다. 이러한 확인은 이러한 모든 공유가 완전히 계획되고 의도한 것인지 확인하는 데 도움이 됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
Amazon EBS 스냅샷을 공개적으로 복원할 수 있어서는 안 됩니다.
|
Ebs Volume Encryption Enabled All Regions
API의 카테고리 이름: |
발견 항목 설명: Elastic Block Store(EBS) 서비스를 사용할 때 Elastic Compute Cloud(EC2)에서 저장 데이터를 암호화할 수 있습니다. 기본적으로 중지되어 있지만 EBS 볼륨을 만들 때 암호화를 강제 적용할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 리전에 EBS 볼륨 암호화가 사용 설정되어 있는지 확인하세요.
|
Ec2 Instances In Vpc
API의 카테고리 이름: |
발견 항목 설명: Amazon VPC는 EC2 Classic보다 더 많은 보안 기능을 제공합니다. 모든 노드가 Amazon VPC에 포함되는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 인스턴스가 VPC에 속하는지 확인하세요.
|
Ec2 Instance No Public Ip
API의 카테고리 이름: |
발견 항목 설명: 공개 IP 주소가 있는 EC2 인스턴스에서 손상 위험이 증가합니다. EC2 인스턴스를 공개 IP 주소로 구성하지 않는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
공개 IP가 있는 인스턴스가 없는지 확인하세요.
|
Ec2 Managedinstance Association Compliance Status Check
API의 카테고리 이름: |
발견 항목 설명: State Manager 연결은 관리형 인스턴스에 할당된 구성입니다. 이 구성은 인스턴스에서 유지할 상태를 정의합니다. 예를 들어 연결에서 인스턴스에 바이러스 백신 소프트웨어를 설치 및 실행하거나 특정 포트를 닫도록 지정할 수 있습니다. AWS Systems Manager와 연결된 EC2 인스턴스는 Systems Manager의 관리를 통해 패치를 더 쉽게 적용하고 잘못된 구성을 수정하며 보안 이벤트에 대응할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
규정 준수 상태 AWS 시스템 관리자 연결을 확인합니다.
|
Ec2 Managedinstance Patch Compliance Status Check
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 연결이 인스턴스에서 실행된 후 AWS Systems Manager 연결 규정 준수 상태가 COMPLIANT 또는 NON_COMPLIANT인지 여부를 확인합니다. 연결 규정 준수 상태가 NON_COMPLIANT이면 제어가 실패합니다. State Manager 연결은 관리형 인스턴스에 할당된 구성입니다. 이 구성은 인스턴스에서 유지할 상태를 정의합니다. 예를 들어 연결에서 인스턴스에 바이러스 백신 소프트웨어를 설치 및 실행하거나 특정 포트를 닫도록 지정할 수 있습니다. State Manager 연결을 하나 이상 만들면 규정 준수 상태 정보가 자동으로 제공됩니다. 콘솔에서 또는 AWS CLI 명령어나 해당 Systems Manager API 작업에 대한 응답으로 규정 준수 상태를 볼 수 있습니다. 연결의 경우 구성 규정 준수에는 규정 준수 상태(준수 또는 미준수)가 표시됩니다. 연결에 할당된 심각도 수준도 표시됩니다(예: 심각 또는 중간). State Manager 연결 규정 준수에 대한 자세한 내용은 AWS Systems Manager 사용자 가이드의 [State Manager 연결 규정 준수 정보](https://docs.aws.amazon.com/systems-manager/latest/userguide/sysman-compliance-about.html#sysman-compliance-about-association)를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS Systems Manager 패치 규정 준수의 상태를 확인하세요.
|
Ec2 Metadata Service Allows Imdsv2
API의 카테고리 이름: |
발견 항목 설명: AWS EC2 인스턴스에서 메타데이터 서비스를 사용 설정할 때 사용자는 인스턴스 메타데이터 서비스 버전 1(IMDSv1, 요청/응답 메서드) 또는 인스턴스 메타데이터 서비스 버전 2(IMDSv2, 세션 중심 메서드)를 사용할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EC2 메타데이터 서비스가 IMDSv2만 허용하는지 확인하세요.
|
Ec2 Volume Inuse Check
API의 카테고리 이름: |
발견 항목 설명: 월별 AWS 청구서 비용을 낮추기 위해 AWS 계정에서 연결되지 않은(사용되지 않는) Elastic Block Store(EBS) 볼륨을 식별하고 삭제합니다. 사용하지 않는 EBS 볼륨을 삭제하면 기밀/민감한 정보가 프레미스에서 손실될 위험이 줄어듭니다. 또한 이 제어는 EC2 인스턴스가 종료 시 볼륨을 삭제하도록 구성되어 있는지 여부도 확인합니다. 기본적으로 EC2 인스턴스는 인스턴스와 연결된 모든 EBS 볼륨의 데이터를 삭제하고 인스턴스의 루트 EBS 볼륨을 삭제하도록 구성됩니다. 하지만 기본적으로 시작 시 또는 실행 중에 인스턴스에 연결된 루트가 아닌 EBS 볼륨은 종료 후에도 유지됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EBS 볼륨이 EC2 인스턴스에 연결되어 있고 인스턴스 종료 시 삭제되도록 구성되어 있는지 확인하세요.
|
Efs Encrypted Check
API의 카테고리 이름: |
발견 항목 설명: Amazon EFS는 두 가지 형태의 파일 시스템 암호화 즉, 전송 중 데이터 암호화와 저장 데이터 암호화를 지원합니다. 이를 통해 계정에서 사용 설정된 모든 리전에서 모든 EFS 파일 시스템이 저장 데이터 암호화로 구성되었는지 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EFS가 KMS를 사용하여 파일 데이터를 암호화하도록 구성되어 있는지 확인하세요.
|
Efs In Backup Plan
API의 카테고리 이름: |
발견 항목 설명: Amazon 권장사항에서는 Elastic File Systems(EFS)의 백업을 구성할 것을 권장합니다. 이를 통해 AWS 계정에서 사용 설정된 모든 리전에서 모든 EFS에 백업이 사용 설정되었는지 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EFS 파일 시스템이 AWS 백업 계획에 포함되어 있는지 확인하세요.
|
Elb Acm Certificate Required
API의 카테고리 이름: |
발견 항목 설명: Classic Load Balancer가 AWS Certificate Manager(ACM)에서 제공하는 HTTPS/SSL 인증서를 사용하는지 여부를 확인합니다. HTTPS/SSL 리스너로 구성된 Classic Load Balancer가 ACM에서 제공하는 인증서를 사용하지 않으면 제어가 실패합니다. 인증서를 만들려면 ACM 또는 OpenSSL과 같이 SSL 및 TLS 프로토콜을 지원하는 도구를 사용하면 됩니다. Security Hub에서는 ACM을 사용하여 부하 분산기의 인증서를 만들거나 가져오는 것이 좋습니다. ACM은 Classic Load Balancer와 통합되므로 부하 분산기에 인증서를 배포할 수 있습니다. 또한 이러한 인증서를 자동으로 갱신해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 기존 부하 분산기가 AWS Certificate Manager에서 제공하는 SSL 인증서를 사용하는지 확인하세요.
|
Elb Deletion Protection Enabled
API의 카테고리 이름: |
발견 항목 설명: Application Load Balancer에서 삭제 보호가 사용 설정되었는지 여부를 확인합니다. 삭제 보호가 구성되지 않으면 제어가 실패합니다. Application Load Balancer가 삭제되지 않도록 보호하려면 삭제 보호를 사용 설정합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
애플리케이션 부하 분산기 삭제 보호가 사용 설정되어야 합니다.
|
Elb Logging Enabled
API의 카테고리 이름: |
발견 항목 설명: Application Load Balancer 및 Classic Load Balancer에서 로깅이 사용 설정되었는지 여부를 확인합니다. access_logs.s3.enabled가 false이면 제어가 실패합니다. Elastic Load Balancing은 부하 분산기로 전송된 요청에 대한 자세한 정보를 캡처하는 액세스 로그를 제공합니다. 각 로그에는 요청이 수신된 시간, 클라이언트의 IP 주소, 지연 시간, 요청 경로, 서버 응답과 같은 정보가 포함됩니다. 이러한 액세스 로그를 사용하여 트래픽 패턴을 분석하고 문제를 해결할 수 있습니다. 자세한 내용은 Classic Load Balancer 사용자 가이드의 [Classic Load Balancer 액세스 로그](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/access-log-collection.html)를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
기존 및 애플리케이션 부하 분산기에 로깅이 사용 설정되어 있는지 확인하세요.
|
Elb Tls Https Listeners Only
API의 카테고리 이름: |
발견 항목 설명: 이 검사에서는 모든 Classic Load Balancer가 보안 통신을 사용하도록 구성되었는지 확인합니다. 리스너는 연결 요청을 확인하는 프로세스입니다. 이는 프런트엔드(클라이언트-부하 분산기) 연결에 사용되는 프로토콜과 포트, 백엔드(부하 분산기-인스턴스) 연결에 사용되는 프로토콜로 구성됩니다. Elastic Load Balancing에서 지원하는 포트, 프로토콜, 리스너 구성에 대한 자세한 내용은 [Classic Load Balancer의 리스너](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 기존 부하 분산기가 SSL 또는 HTTPS 리스너로 구성되어 있는지 확인하세요.
|
Encrypted Volumes
API의 카테고리 이름: |
발견 항목 설명: 연결된 상태의 EBS 볼륨이 암호화되었는지 여부를 확인합니다. 이 검사를 통과하려면 EBS 볼륨이 사용 중이고 암호화되어야 합니다. EBS 볼륨이 연결되지 않은 경우에는 이 검사가 적용되지 않습니다. EBS 볼륨의 민감한 정보에 대한 보안을 강화하려면 EBS 저장 데이터 암호화를 사용 설정해야 합니다. Amazon EBS 암호화는 EBS 리소스를 위한 직관적인 암호화 솔루션을 제공하므로 자체 키 관리 인프라를 빌드, 유지, 보호할 필요가 없습니다. 암호화된 볼륨과 스냅샷을 만들 때 KMS 키를 사용합니다. Amazon EBS 암호화에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용자 가이드의 Amazon EBS 암호화를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
연결된 Amazon EBS 볼륨의 저장 데이터가 암호화되어야 합니다.
|
Encryption At Rest Enabled Rds Instances
API의 카테고리 이름: |
발견 항목 설명: Amazon RDS 암호화된 DB 인스턴스는 업계 표준 AES-256 암호화 알고리즘을 사용하여 Amazon RDS DB 인스턴스를 호스팅하는 서버에서 데이터를 암호화합니다. 데이터가 암호화되면 Amazon RDS는 성능에 미치는 영향을 최소화하면서 액세스 인증과 데이터 복호화를 투명하게 처리합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
RDS 인스턴스에 저장 데이터 암호화가 사용 설정되어 있는지 확인하세요.
|
Encryption Enabled Efs File Systems
API의 카테고리 이름: |
발견 항목 설명: EFS 데이터는 AWS KMS(Key Management Service)를 통해 저장 상태에서 암호화되어야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
EFS 파일 시스템에 암호화가 사용 설정되어 있는지 확인하세요.
|
Iam Password Policy
API의 카테고리 이름: |
발견 항목 설명: AWS는 IAM 사용자 비밀번호에 대한 복잡성 요구사항과 필수 순환 기간을 지정할 수 있도록 AWS 계정에 대한 커스텀 비밀번호 정책을 허용합니다. 커스텀 비밀번호 정책을 설정하지 않으면 IAM 사용자 비밀번호가 기본 AWS 비밀번호 정책을 충족해야 합니다. AWS 보안 권장사항에서는 다음과 같은 비밀번호 복잡성 요구사항을 권장합니다. - 비밀번호에 대문자가 최소 한 자 이상 포함되어야 합니다. - 비밀번호에 소문자가 최소 한 자 이상 포함되어야 합니다. - 비밀번호에 기호가 하나 이상 포함되어야 합니다. - 비밀번호에 숫자가 최소 한 자 이상 포함되어야 합니다. - 비밀번호는 최소 14자 이상이어야 합니다. - 재사용을 허용하려면 비밀번호가 최소 24개 이상 필요합니다. - 비밀번호가 만료되기 전 최소 90일 이전이어야 합니다. 이 제어는 지정된 모든 비밀번호 정책 요구사항을 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
IAM 사용자의 계정 비밀번호 정책이 지정된 요구사항을 준수하는지 확인하세요.
|
Iam Password Policy Prevents Password Reuse
API의 카테고리 이름: |
발견 항목 설명: IAM 비밀번호 정책은 동일한 사용자가 지정된 비밀번호를 재사용하지 못하도록 할 수 있습니다. 비밀번호 정책에서 비밀번호 재사용을 방지하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
IAM 비밀번호 정책이 비밀번호 재사용을 방지하는지 확인하세요.
|
Iam Password Policy Requires Minimum Length 14 Greater
API의 카테고리 이름: |
발견 항목 설명: 비밀번호 정책은 부분적으로 비밀번호 복잡성 요구사항을 적용하는 데 사용됩니다. IAM 비밀번호 정책을 사용하여 비밀번호가 지정된 최소 길이 이상인지 확인할 수 있습니다. 비밀번호 정책에서 비밀번호 길이를 최소 14자 이상 요구하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
IAM 비밀번호 정책이 14자(영문 기준) 이상을 요구하는지 확인하세요.
|
Iam Policies Allow Full Administrative Privileges Attached
API의 카테고리 이름: |
발견 항목 설명: IAM 정책은 사용자, 그룹 또는 역할에 권한이 부여되는 방법입니다. _최소 권한_ 즉, 태스크를 수행하는 데 필요한 권한만 부여하는 것이 좋으며 표준 보안 조언으로 간주됩니다. 사용자가 수행해야 하는 작업을 결정한 후 전체 관리 권한을 허용하는 대신 해당 태스크만 수행할 수 있게 하는 정책을 만듭니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
전체 '*:*' 관리 권한을 허용하는 IAM 정책이 연결되지 않았는지 확인하세요.
|
Iam Users Receive Permissions Groups
API의 카테고리 이름: |
발견 항목 설명: IAM 정책을 통해 IAM 사용자에게 서비스, 함수, 데이터에 대한 액세스 권한이 부여됩니다. 사용자 정책을 정의하는 방법에는 4가지가 있습니다. 1) 사용자 정책(인라인 또는 사용자, 정책이라고도 함)을 직접 수정합니다. 2) 정책을 사용자에게 직접 연결합니다. 3) 사용자를 연결된 정책이 있는 IAM 그룹에 추가합니다. 4) 사용자를 인라인 정책이 있는 IAM 그룹에 추가합니다. 세 번째 구현만 권장됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
IAM 사용자가 그룹을 통해서만 권한을 받는지 확인하세요.
|
Iam User Group Membership Check
API의 카테고리 이름: |
발견 항목 설명: IAM 보안 권장사항을 준수하려면 IAM 사용자가 항상 IAM 그룹에 속해야 합니다. 사용자를 그룹에 추가하면 여러 사용자 유형 간에 정책을 공유할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
IAM 사용자가 IAM 그룹 하나 이상의 구성원인지 확인하세요.
|
Iam User Mfa Enabled
API의 카테고리 이름: |
발견 항목 설명: 다중 인증(MFA)은 사용자 이름과 비밀번호 외에 보안을 강화하는 권장사항입니다. MFA를 사용하면 사용자가 AWS Management Console에 로그인할 때 등록된 가상 기기나 실제 기기에서 제공하는 시간에 민감한 인증 코드를 제공해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS IAM 사용자가 다중 인증(MFA)을 사용 설정했는지 확인하세요.
|
Iam User Unused Credentials Check
API의 카테고리 이름: |
발견 항목 설명: 지난 90일 동안 사용되지 않은 IAM 비밀번호나 활성 액세스 키가 있는지 확인합니다. 90일 이상 사용하지 않은 모든 사용자 인증 정보를 삭제, 비활성화 또는 순환하는 것이 좋습니다. 이렇게 하면 도용되거나 폐기된 계정과 연결된 사용자 인증 정보를 사용할 수 있는 기간이 줄어듭니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 AWS IAM 사용자에게 maxCredentialUsageAge 일수(기본 90일) 동안 사용되지 않은 비밀번호나 활성 액세스 키가 있는지 확인하세요.
|
Kms Cmk Not Scheduled For Deletion
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 KMS 키 삭제가 예약되었는지 여부를 확인합니다. KMS 키 삭제가 예약되면 제어가 실패합니다. KMS 키가 삭제되면 복구될 수 없습니다. 또한 KMS 키가 삭제되면 KMS 키로 암호화된 데이터는 영구적으로 복구 불가합니다. 삭제가 예약된 KMS 키로 의미 있는 데이터가 암호화된 경우 의도적으로 암호화 삭제를 수행하지 않는 한 데이터를 복호화하거나 새 KMS 키로 데이터를 다시 암호화하는 것이 좋습니다. KMS 키 삭제가 예약되면 잘못 예약된 경우에 삭제를 취소할 수 있도록 필수 대기 기간이 적용됩니다. 기본 대기 기간은 30일이지만 KMS 키 삭제를 예약할 때 최대 7일까지 줄일 수 있습니다. 대기 기간 중에는 예약된 삭제를 취소할 수 있지만 KMS 키는 삭제되지 않습니다. KMS 키 삭제에 대한 자세한 내용은 AWS Key Management Service 개발자 가이드의 [KMS 키 삭제](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html)를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 CMK에 삭제가 예약되지 않았는지 확인하세요.
|
Lambda Concurrency Check
API의 카테고리 이름: |
발견 항목 설명: Lambda 함수가 함수 수준 동시 실행 제한으로 구성되었는지 확인합니다. Lambda 함수가 함수 수준 동시 실행 제한으로 구성되지 않으면 규칙은 NON_COMPLIANT입니다. 가격 책정 등급: Enterprise 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
람다 함수가 함수 수준 동시 실행 한도로 구성되어 있는지 확인하세요.
|
Lambda Dlq Check
API의 카테고리 이름: |
발견 항목 설명: Lambda 함수가 데드 레터 큐로 구성되었는지 확인합니다. Lambda 함수가 데드 레터 큐로 구성되지 않으면 규칙은 NON_COMPLIANT입니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
Lambda 함수가 데드 레터 큐로 구성되어 있는지 확인하세요.
|
Lambda Function Public Access Prohibited
API의 카테고리 이름: |
발견 항목 설명: AWS에서는 Lambda 함수를 공개적으로 노출하면 안 된다고 권장합니다. 이 정책은 계정 내에서 사용 설정된 모든 리전에 배포된 모든 Lambda 함수를 확인하고 공개 액세스를 허용하도록 구성되어 있으면 실패합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
람다 함수에 연결된 정책이 공개 액세스를 금지하는지 확인하세요.
|
Lambda Inside Vpc
API의 카테고리 이름: |
발견 항목 설명: Lambda 함수가 VPC에 있는지 여부를 확인합니다. Lambda@Edge 리소스의 실패한 발견 항목이 표시될 수 있습니다. 공개 연결 가능성을 결정하기 위해 VPC 서브넷 라우팅 구성을 평가하지 않습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
Lambda 함수가 VPC 내에 있는지 확인하세요.
|
Mfa Delete Enabled S3 Buckets
API의 카테고리 이름: |
발견 항목 설명: 민감하고 분류된 S3 버킷에 MFA 삭제가 사용 설정되면 사용자에게 두 가지 형태의 인증이 필요합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
S3 버킷에 MFA 삭제가 사용 설정되어 있는지 확인하세요.
|
Mfa Enabled Root User Account
API의 카테고리 이름: |
발견 항목 설명: '루트' 사용자 계정은 AWS 계정에서 가장 많은 권한이 있는 사용자입니다. 다중 인증(MFA)은 사용자 이름과 비밀번호 외에 보안을 강화합니다. MFA를 사용 설정한 경우 사용자가 AWS 웹사이트에 로그인하면 사용자 이름과 비밀번호뿐만 아니라 AWS MFA 기기의 인증 코드를 입력하라는 메시지가 표시됩니다. **참고:** '루트' 계정에 가상 MFA를 사용하는 경우 사용되는 기기는 개인 기기가 아닌 개별 개인 기기와 별도로 충전되고 보호되도록 관리되는 전용 휴대기기(태블릿 또는 휴대전화)인 것이 좋습니다. ('비개인 가상 MFA') 이렇게 하면 기기 손실, 기기 보상 판매로 인해 또는 기기를 소유한 개인이 더 이상 회사에서 근무하지 않는 경우 MFA에 대한 액세스 권한을 상실할 위험이 줄어듭니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
'루트' 사용자 계정에 MFA가 사용 설정되어 있는지 확인하세요.
|
Multi Factor Authentication Mfa Enabled All Iam Users Console
API의 카테고리 이름: |
발견 항목 설명: 다중 인증(MFA)은 기존 사용자 인증 정보 외에 인증 보증을 강화합니다. MFA를 사용 설정한 경우 사용자가 AWS Console에 로그인하면 사용자 이름과 비밀번호뿐만 아니라 물리적 또는 가상 MFA 토큰의 인증 코드를 입력하라는 메시지가 표시됩니다. 콘솔 비밀번호가 있는 모든 계정에 MFA를 사용 설정하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
콘솔 비밀번호를 보유한 모든 IAM 사용자에게 다중 인증(MFA)이 사용 설정되어 있는지 확인하세요.
|
No Network Acls Allow Ingress 0 0 0 0 Remote Server Administration
API의 카테고리 이름: |
발견 항목 설명: 네트워크 액세스 제어 목록(NACL) 함수에서 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트리스(Stateless) 필터링을 제공합니다. NACL에서는 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용한 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 `22`로, RDP에서 포트 `3389`로 연결)를 허용하지 않는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
0.0.0.0/0에서 원격 서버 관리 포트로 인그레스를 허용하는 네트워크 ACL이 없는지 확인하세요.
|
No Root User Account Access Key Exists
API의 카테고리 이름: |
발견 항목 설명: '루트' 사용자 계정은 AWS 계정에서 가장 많은 권한이 있는 사용자입니다. AWS 액세스 키는 지정된 AWS 계정에 대한 프로그래매틱 액세스 권한을 제공합니다. '루트' 사용자 계정과 연결된 모든 액세스 키를 삭제하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
'루트' 사용자 계정 액세스 키가 없는지 확인하세요.
|
No Security Groups Allow Ingress 0 0 0 0 Remote Server Administration
API의 카테고리 이름: |
발견 항목 설명: 보안 그룹에서 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹에서는 TDP(6), UDP(17) 또는 ALL(-1) 프로토콜을 사용한 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 `22`로, RDP에서 포트 `3389`로 연결)를 허용하지 않는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
0.0.0.0/0에서 원격 서버 관리 포트로 인그레스를 허용하는 보안 그룹이 없는지 확인하세요.
|
No Security Groups Allow Ingress 0 Remote Server Administration
API의 카테고리 이름: |
발견 항목 설명: 보안 그룹에서 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹에서는 원격 서버 관리 포트에 대한 무제한 인그레스 액세스(예: SSH를 포트 `22`로, RDP에서 포트 `3389`로 연결)를 허용하지 않는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
::/0에서 원격 서버 관리 포트로 인그레스를 허용하는 보안 그룹이 없는지 확인하세요.
|
One Active Access Key Available Any Single Iam User
API의 카테고리 이름: |
발견 항목 설명: 액세스 키는 IAM 사용자 또는 AWS 계정 '루트' 사용자의 장기 사용자 인증 정보입니다. 액세스 키를 사용하여 AWS CLI 또는 AWS API에 대한 프로그래매틱 요청에 직접 또는 AWS SDK를 사용하여 서명할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
단일 IAM 사용자가 사용할 수 있는 활성 액세스 키가 1개만 있는지 확인하세요.
|
Public Access Given Rds Instance
API의 카테고리 이름: |
발견 항목 설명: 보안 위험을 최소화하기 위해 AWS 계정에 프로비저닝된 RDS 데이터베이스 인스턴스가 무단 액세스를 제한하는지 확인합니다. 공개적으로 액세스할 수 있는 RDS 데이터베이스 인스턴스에 대한 액세스를 제한하려면 데이터베이스 공개 액세스 가능 플래그를 중지하고 인스턴스와 연결된 VPC 보안 그룹을 업데이트해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
RDS 인스턴스에 공개 액세스 권한이 부여되지 않았는지 확인하세요.
|
Rds Enhanced Monitoring Enabled
API의 카테고리 이름: |
발견 항목 설명: 향상된 모니터링은 인스턴스에 설치된 에이전트를 통해 RDS 인스턴스가 실행되는 운영체제에 대한 실시간 측정항목을 제공합니다. 자세한 내용은 [향상된 모니터링으로 OS 측정항목 모니터링](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html)을 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 RDS DB 인스턴스에 고급 모니터링이 사용 설정되어 있는지 확인하세요.
|
Rds Instance Deletion Protection Enabled
API의 카테고리 이름: |
발견 항목 설명: 인스턴스 삭제 보호를 사용 설정하면 실수로 인한 데이터베이스 삭제나 승인되지 않은 항목에 의한 삭제로부터 보호됩니다. 삭제 보호가 사용 설정된 동안에는 RDS DB 인스턴스를 삭제할 수 없습니다. 삭제 요청이 성공하려면 먼저 삭제 보호를 중지해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 RDS 인스턴스에 삭제 보호가 사용 설정되어 있는지 확인하세요.
|
Rds In Backup Plan
API의 카테고리 이름: |
발견 항목 설명: 이 검사는 Amazon RDS DB 인스턴스에 백업 계획이 적용되는지 평가합니다. RDS DB 인스턴스에 백업 계획이 적용되지 않으면 이 제어가 실패합니다. AWS Backup은 AWS 서비스의 데이터 백업을 중앙화 및 자동화하는 완전 관리형 백업 서비스입니다. AWS Backup을 사용하여 백업 계획이라는 백업 정책을 만들 수 있습니다. 이러한 플랜을 사용하여 데이터 백업 빈도 및 백업 보관 기간과 같은 백업 요구사항을 정의할 수 있습니다. 백업 계획에 RDS DB 인스턴스를 포함하면 의도치 않은 손실이나 삭제로부터 데이터를 보호할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
RDS DB 인스턴스에 백업 계획이 적용되어야 합니다.
|
Rds Logging Enabled
API의 카테고리 이름: |
발견 항목 설명: Amazon RDS의 다음 로그가 사용 설정되어 CloudWatch로 전송되는지 여부를 확인합니다. RDS 데이터베이스에서 관련 로그가 사용 설정되어 있어야 합니다. 데이터베이스 로깅은 RDS에 수행된 요청에 대한 상세 레코드를 제공합니다. 데이터베이스 로그는 보안 및 액세스 감사에 도움이 되며 가용성 문제를 진단하는 데 유용할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 RDS DB 인스턴스에 내보낸 로그가 사용 설정되어 있는지 확인하세요.
|
Rds Multi Az Support
API의 카테고리 이름: |
발견 항목 설명: RDS DB 인스턴스가 여러 가용성 영역(AZ)에 구성되어야 합니다. 이렇게 하면 저장된 데이터의 가용성이 보장됩니다. 멀티 AZ 배포는 가용성 영역 가용성에 문제가 있고 정기 RDS 유지보수 중에 발생하는 자동 장애 조치를 허용합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 RDS DB 인스턴스에 고가용성이 사용 설정되어 있는지 확인하세요.
|
Redshift Cluster Configuration Check
API의 카테고리 이름: |
발견 항목 설명: Redshift 클러스터의 필수 요소인 저장 데이터 암호화, 로깅, 노드 유형을 확인합니다. 이러한 구성 항목은 안전하고 관측 가능한 Redshift 클러스터 유지보수에 중요합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 Redshift 클러스터에 저장 데이터 암호화, 로깅, 노드 유형이 있는지 확인하세요.
|
Redshift Cluster Maintenancesettings Check
API의 카테고리 이름: |
발견 항목 설명: 자동 주 버전 업그레이드가 유지보수 기간에 따라 수행됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 Redshift 클러스터에 allowVersionUpgrade가 사용 설정되어 있고 preferredMaintenanceWindow 및 automatedSnapshotRetentionPeriod가 설정되어 있는지 확인하세요.
|
Redshift Cluster Public Access Check
API의 카테고리 이름: |
발견 항목 설명: Amazon Redshift 클러스터 구성의 PubliclyAccessible 속성은 클러스터에 공개적으로 액세스할 수 있는지 여부를 나타냅니다. PubliclyAccessible을 true로 설정한 상태에서 클러스터를 구성하면 클러스터는 공개 IP 주소로 확인되는 공개적으로 확인 가능한 DNS 이름이 있는 인터넷 연결 인스턴스가 됩니다. 클러스터에 공개적으로 액세스할 수 없으면 클러스터는 비공개 IP 주소로 확인되는 DNS 이름이 있는 내부 인스턴스가 됩니다. 클러스터에 공개적으로 액세스할 의도가 없으면 PubliclyAccessible을 true로 설정한 상태에서 클러스터를 구성해서는 안 됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
Redshift 클러스터에 공개적으로 액세스할 수 있는지 확인하세요.
|
Restricted Common Ports
API의 카테고리 이름: |
발견 항목 설명: 보안 그룹에 제한되지 않은 수신 트래픽이 가장 위험한 지정된 포트에 액세스할 수 있는지 여부를 확인합니다. 보안 그룹의 규칙 중 하나라도 해당 포트의 '0.0.0.0/0' 또는 '::/0'에서 인그레스 트래픽을 허용하면 이 제어가 실패합니다. 무제한 액세스(0.0.0.0/0)로 인해 해킹, DoS 공격, 데이터 손실과 같은 악의적인 활동 가능성이 증가합니다. 보안 그룹은 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹에서 다음 포트에 대한 무제한 인그레스 액세스를 허용하면 안 됩니다. - 20, 21(FTP) - 22(SSH) - 23(텔넷) - 25(SMTP) - 110(POP3) - 135(RPC) - 143(IMAP) - 445(CIFS) - 1433, 1434(MSSQL) - 3000(Go, Node.js, Ruby 웹 개발 프레임워크) - 3306(mySQL) - 3389(RDP) - 4333(ahsp) - 5000(Python 웹 개발 프레임워크) - 5432(postgresql) - 5500(fcp-addr-srvr1) - 5601(OpenSearch 대시보드) - 8080(프록시) - 8088(기존 HTTP 포트) - 8888(대체 HTTP 포트) - 9200 또는 9300(OpenSearch) 가격 책정 등급: Enterprise 규정 준수 표준:
|
보안 그룹은 위험도가 높은 포트에 대한 무제한 액세스를 허용해서는 안 됩니다.
|
Restricted Ssh
API의 카테고리 이름: |
발견 항목 설명: 보안 그룹에서 AWS 리소스에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. CIS는 보안 그룹에서 포트 22에 대한 무제한 인그레스 액세스를 허용하지 않는 것을 권장합니다. SSH와 같은 원격 콘솔 서비스에 대한 무제한 연결을 제거하면 서버가 위험에 노출될 가능성이 줄어듭니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
보안 그룹은 0.0.0.0/0에서 포트 22로의 인그레스를 허용해서는 안 됩니다.
|
Rotation Customer Created Cmks Enabled
API의 카테고리 이름: |
발견 항목 설명: 키마다 자동 키 순환이 사용 설정되어 있고 고객이 만든 AWS KMS 키의 키 ID와 일치하는지 확인합니다. 리소스에 대한 AWS Config 레코더 역할에 kms:DescribeKey 권한이 없으면 규칙은 NON_COMPLIANT입니다. 가격 책정 등급: Enterprise 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
고객이 만든 CMK에 순환이 사용 설정되어 있는지 확인하세요.
|
Rotation Customer Created Symmetric Cmks Enabled
API의 카테고리 이름: |
발견 항목 설명: AWS Key Management Service(KMS)를 사용하면 고객이 만든 고객 마스터 키(CMK)의 키 ID에 연결된 KMS 내에 저장된 키 자료인 예비 키를 순환할 수 있습니다. 암호화 및 복호화와 같은 암호화 작업을 수행하는 데 사용되는 예비 키입니다. 자동 키 순환은 암호화된 데이터 복호화가 투명하게 수행될 수 있도록 현재 모든 이전 예비 키를 보존합니다. 대칭 키에 CMK 키 순환을 사용 설정하는 것이 좋습니다. 비대칭 CMK에는 키 순환을 사용 설정할 수 없습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
고객이 만든 대칭 CMK에 순환이 사용 설정되어 있는지 확인하세요.
|
Routing Tables Vpc Peering Are Least Access
API의 카테고리 이름: |
발견 항목 설명: VPC 피어링의 경로 테이블이 최소 권한의 주 구성원으로 구성되었는지 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
VPC 피어링의 라우팅 테이블이 '최소 액세스 권한'인지 확인하세요.
|
S3 Account Level Public Access Blocks
API의 카테고리 이름: |
발견 항목 설명: Amazon S3 퍼블릭 액세스 차단은 Amazon S3 리소스에 대한 공개 액세스를 관리하는 데 도움이 되는 액세스 포인트, 버킷, 계정에 대한 설정을 제공합니다. 기본적으로 새 버킷, 액세스 포인트, 객체에서는 공개 액세스를 허용하지 않습니다. 가격 책정 등급: Enterprise 규정 준수 표준: 이 발견 항목 카테고리는 규정 준수 표준 제어에 매핑되지 않습니다. |
필요한 S3 공개 액세스 블록 설정이 계정 수준에서 구성되어 있는지 확인합니다.
|
S3 Bucket Logging Enabled
API의 카테고리 이름: |
발견 항목 설명: AWS S3 서버 액세스 로깅 기능에서 보안 감사에 유용한 스토리지 버킷에 대한 액세스 요청을 기록합니다. 기본적으로 S3 버킷에는 서버 액세스 로깅이 사용 설정되지 않습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 S3 버킷에 로깅이 사용 설정되어 있는지 확인하세요.
|
S3 Bucket Policy Set Deny Http Requests
API의 카테고리 이름: |
발견 항목 설명: Amazon S3 버킷 수준에서는 HTTPS를 통해서만 객체에 액세스할 수 있게 해주는 버킷 정책을 통해 권한을 구성할 수 있습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
S3 버킷 정책이 HTTP 요청을 거부하도록 설정되어 있는지 확인하세요.
|
S3 Bucket Replication Enabled
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 Amazon S3 버킷에 리전 간 복제가 사용 설정되었는지 여부를 확인합니다. 버킷에 리전 간 복제가 사용 설정되지 않았거나 동일 리전 복제도 사용 설정된 경우에는 제어가 실패합니다. 복제는 같거나 다른 AWS 리전의 버킷 간에 객체를 비동기적으로 자동 복사하는 것입니다. 복제는 새로 생성된 객체와 객체 업데이트를 소스 버킷에서 대상 버킷으로 복사합니다. AWS 권장사항에서는 같은 AWS 계정에서 소유하는 소스 및 대상 버킷의 복제를 권장합니다. 가용성 외에도 다른 시스템 강화 설정을 고려해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
S3 버킷에 리전 간 복제가 사용 설정되어 있는지 확인하세요.
|
S3 Bucket Server Side Encryption Enabled
API의 카테고리 이름: |
발견 항목 설명: S3 버킷에 Amazon S3 기본 암호화가 사용 설정되었는지 또는 S3 버킷 정책에서 서버 측 암호화를 사용하지 않는 객체 내보내기 요청을 명시적으로 거부하는지 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 S3 버킷이 저장 데이터 암호화를 사용하는지 확인하세요.
|
S3 Bucket Versioning Enabled
API의 카테고리 이름: |
발견 항목 설명: Amazon S3는 같은 버킷에 객체 변형 여러 개를 보관하는 수단이며 의도치 않은 사용자 작업과 애플리케이션 오류로부터 더 쉽게 복구할 수 있도록 도와줍니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 S3 버킷에 버전 관리가 사용 설정되어 있는지 확인하세요.
|
S3 Default Encryption Kms
API의 카테고리 이름: |
발견 항목 설명: Amazon S3 버킷이 AWS Key Management Service(AWS KMS)로 암호화되었는지 여부를 확인합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 버킷이 KMS로 암호화되어 있는지 확인하세요.
|
Sagemaker Notebook Instance Kms Key Configured
API의 카테고리 이름: |
발견 항목 설명: AWS Key Management Service(AWS KMS) 키가 Amazon SageMaker 노트북 인스턴스에 구성되었는지 확인합니다. 'KmsKeyId'가 SageMaker 노트북 인스턴스에 지정되지 않으면 규칙은 NON_COMPLIANT입니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 SageMaker 노트북 인스턴스가 KMS를 사용하도록 구성되어 있는지 확인하세요.
|
Sagemaker Notebook No Direct Internet Access
API의 카테고리 이름: |
발견 항목 설명: SageMaker 노트북 인스턴스에 직접 인터넷 액세스가 중지되었는지 여부를 확인합니다. 이렇게 하려면 노트북 인스턴스에 DirectInternetAccess 필드가 중지되었는지 여부를 확인합니다. VPC 없이 SageMaker 인스턴스를 구성하면 기본적으로 인스턴스에 직접 인터넷 액세스가 사용 설정됩니다. VPC를 사용하여 인스턴스를 구성하고 기본 설정을 VPC를 통해 인터넷 액세스 중지로 변경해야 합니다. 노트북에서 모델을 학습시키거나 호스팅하려면 인터넷 액세스가 필요합니다. 인터넷 액세스를 사용 설정하려면 VPC에 NAT 게이트웨이가 있고 보안 그룹에서 아웃바운드 연결을 허용하는지 확인합니다. 노트북 인스턴스를 VPC의 리소스에 연결하는 방법에 대한 자세한 내용은 Amazon SageMaker 개발자 가이드의 VPC에 있는 리소스에 노트북 인스턴스 연결을 참조하세요. 또한 SageMaker 구성에 대한 액세스 권한이 승인된 사용자로만 제한되도록 해야 합니다. SageMaker 설정과 리소스를 수정할 수 있는 사용자의 IAM 권한을 제한합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 Amazon SageMaker 노트북 인스턴스에 직접 인터넷 액세스가 사용 중지되어 있는지 확인하세요.
|
Secretsmanager Rotation Enabled Check
API의 카테고리 이름: |
발견 항목 설명: AWS Secrets Manager에 저장된 보안 비밀이 자동 순환으로 구성되었는지 여부를 확인합니다. 보안 비밀이 자동 순환으로 구성되지 않으면 제어가 실패합니다. `maximumAllowedRotationFrequency` 매개변수에 커스텀 값을 제공하면 보안 비밀이 지정된 기간 내에 자동으로 순환하는 경우에만 제어가 통과합니다. Secret Manager는 조직의 보안 상황을 개선하는 데 도움이 됩니다. 보안 비밀에는 데이터베이스 사용자 인증 정보, 비밀번호, 서드 파티 API 키가 포함됩니다. Secret Manager를 사용하여 보안 비밀을 중앙에서 저장하고 보안 비밀을 자동으로 암호화하고 보안 비밀에 대한 액세스를 제어하며 보안 비밀을 안전하게 자동으로 순환할 수 있습니다. Secret Manager에서 보안 비밀을 순환할 수 있습니다. 순환을 사용하여 장기 보안 비밀을 단기 보안 비밀로 바꿀 수 있습니다. 보안 비밀을 순환하면 승인되지 않은 사용자가 보안 침해된 보안 비밀을 사용할 수 있는 시간이 제한됩니다. 따라서 보안 비밀을 자주 순환해야 합니다. 순환에 대한 자세한 내용은 AWS Secrets Manager 사용자 가이드의 AWS Secrets Manager 보안 암호 교체를 참조하세요. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 AWS Secrets Manager 보안 비밀에 순환이 사용 설정되어 있는지 확인하세요.
|
Sns Encrypted Kms
API의 카테고리 이름: |
발견 항목 설명: SNS 주제가 AWS KMS를 통해 저장 상태에서 암호화되었는지 여부를 확인합니다. SNS 주제에서 서버 측 암호화(SSE)에 KMS 키를 사용하지 않으면 제어가 실패합니다. 저장 데이터를 암호화하면 AWS에 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. 또한 승인되지 않은 사용자의 데이터 액세스를 제한하는 또 다른 액세스 제어 세트가 추가됩니다. 예를 들어 데이터를 읽으려면 먼저 복호화할 수 있는 API 권한이 필요합니다. SNS 주제는 보안 강화를 위해 저장 상태에서 암호화되어야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 SNS 주제가 KMS로 암호화되었는지 확인하세요.
|
Vpc Default Security Group Closed
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 VPC의 기본 보안 그룹에서 인바운드 또는 아웃바운드 트래픽을 허용하는지 여부를 확인합니다. 보안 그룹에서 인바운드 또는 아웃바운드 트래픽을 허용하면 제어가 실패합니다. 기본 보안 그룹 규칙은 같은 보안 그룹에 할당된 네트워크 인터페이스(및 연결된 인스턴스)의 모든 아웃바운드 및 인바운드 트래픽을 허용합니다. 기본 보안 그룹을 사용하지 않는 것이 좋습니다. 기본 보안 그룹을 삭제할 수 없으므로 기본 보안 그룹 규칙 설정을 변경하여 인바운드 및 아웃바운드 트래픽을 제한해야 합니다. 이렇게 하면 EC2 인스턴스와 같은 리소스에 기본 보안 그룹이 실수로 구성된 경우에도 의도하지 않은 트래픽이 방지됩니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 VPC의 기본 보안 그룹이 전체 트래픽을 제한하는지 확인하세요.
|
Vpc Flow Logging Enabled All Vpcs
API의 카테고리 이름: |
발견 항목 설명: VPC 흐름 로그는 VPC의 네트워크 인터페이스에서 송수신되는 IP 트래픽에 대한 정보를 캡처할 수 있는 기능입니다. 흐름 로그를 만든 후에는 Amazon CloudWatch Logs에서 데이터를 보고 검색할 수 있습니다. VPC의 경우 패킷 '거부'에 VPC 흐름 로그를 사용 설정하는 것이 좋습니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
모든 VPC에 VPC 흐름 로깅이 사용 설정되어 있는지 확인하세요.
|
Vpc Sg Open Only To Authorized Ports
API의 카테고리 이름: |
발견 항목 설명: 이 제어는 Amazon EC2 보안 그룹이 승인되지 않은 포트에서 제한되지 않은 수신 트래픽을 허용하는지 여부를 확인합니다. 제어 상태는 다음과 같이 결정됩니다. authorizedTcpPorts의 기본값을 사용하는 경우 보안 그룹에서 포트 80 및 443 이외의 모든 포트에서 제한되지 않은 수신 트래픽을 허용하면 제어가 실패합니다. authorizedTcpPorts 또는 authorizedUdpPorts의 커스텀 값을 제공하는 경우 보안 그룹이 비공개 포트에서 제한되지 않은 수신 트래픽을 허용하면 제어가 실패합니다. 매개변수를 사용하지 않으면 제한되지 않은 인바운드 트래픽 규칙이 있는 보안 그룹에 대한 제어가 실패합니다. 보안 그룹은 AWS에 대한 인그레스 및 이그레스 네트워크 트래픽의 스테이트풀(Stateful) 필터링을 제공합니다. 보안 그룹 규칙은 최소 액세스 권한의 주 구성원을 따라야 합니다. 무제한 액세스(/0 서픽스가 있는 IP 주소)로 인해 해킹, DoS 공격, 데이터 손실과 같은 악의적인 활동 가능성이 증가합니다. 포트가 특별히 허용되지 않는 한 포트는 제한되지 않은 액세스를 거부해야 합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
VPC가 0.0.0.0/0인 보안 그룹이 특정 인바운드 TCP/UDP 트래픽만 허용하는지 확인하세요.
|
Both VPC VPN Tunnels Up
API의 카테고리 이름: |
발견 항목 설명: VPN 터널은 AWS Site-to-Site VPN 연결 내에서 고객 네트워크에서 또는 AWS에서 데이터가 전달될 수 있는 암호화된 링크입니다. 각 VPN 연결에는 고가용성을 위해 동시에 사용할 수 있는 VPN 터널 2개가 포함됩니다. AWS VPC와 원격 네트워크 간의 안전하고 가용성이 높은 연결을 확인하려면 VPN 연결에 대해 두 VPN 터널 모두 작동하는지 확인해야 합니다. 이 제어는 AWS Site-to-Site VPN에서 제공하는 두 VPN 터널 모두 UP 상태인지 확인합니다. 터널 중 하나가 또는 모두 DOWN 상태이면 제어가 실패합니다. 가격 책정 등급: Enterprise 규정 준수 표준:
|
AWS 사이트 간에서 제공되는 두 AWS VPN 터널이 모두 UP(작동) 상태인지 확인합니다.
|
Web Security Scanner 발견 항목
Web Security Scanner 커스텀 스캔 및 관리형 스캔은 다음 발견 항목 유형을 식별합니다. 표준 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.
| 카테고리 | 발견 항목 설명 | OWASP 2017 상위 10개 | OWASP 2021 상위 10개 |
|---|---|---|---|
Accessible Git repository
API의 카테고리 이름: |
GIT 저장소가 공개됩니다. 이 발견 항목을 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.
가격 책정 등급: 스탠더드 |
A5 | A01 |
Accessible SVN repository
API의 카테고리 이름: |
SVN 저장소가 공개됩니다. 이 발견 항목을 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제합니다.
가격 책정 등급: 스탠더드 |
A5 | A01 |
Cacheable password input
API의 카테고리 이름: |
웹 애플리케이션에 입력한 비밀번호는 보안 비밀번호 스토리지 대신 일반 브라우저 캐시에 캐시될 수 있습니다.
가격 책정 등급: 프리미엄 |
A3 | A04 |
Clear text password
API의 카테고리 이름: |
비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 발견 항목을 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화합니다.
가격 책정 등급: 스탠더드 |
A3 | A02 |
Insecure allow origin ends with validation
API의 카테고리 이름: |
교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 서픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 루트 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영되기 전에 Origin 헤더 값의 일부인지 확인하세요. 하위 도메인 와일드 카드의 경우 루트 도메인 앞에 마침표를 추가합니다(예: .endsWith(".google.com")).
가격 책정 등급: 프리미엄 |
A5 | A01 |
Insecure allow origin starts with validation
API의 카테고리 이름: |
교차 사이트 HTTP 또는 HTTPS 엔드포인트는 Access-Control-Allow-Origin 응답 헤더 내에 반영하기 전에 Origin 요청 헤더의 프리픽스만 검사합니다. 이 발견 항목을 해결하려면 예상 도메인이 Access-Control-Allow-Origin 응답 헤더에 반영하기 전의 Origin 헤더 값과 완전히 일치하는지 확인합니다(예: .equals(".google.com")).
가격 책정 등급: 프리미엄 |
A5 | A01 |
Invalid content type
API의 카테고리 이름: |
리소스가 로드되었지만 응답의 Content-Type HTTP 헤더와 일치하지 않습니다. 이 발견 항목을 해결하려면 X-Content-Type-Options HTTP 헤더를 올바른 값으로 설정합니다.
가격 책정 등급: 스탠더드 |
A6 | A05 |
Invalid header
API의 카테고리 이름: |
보안 헤더에 문법 오류가 있으며 브라우저에서 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
가격 책정 등급: 스탠더드 |
A6 | A05 |
Mismatching security header values
API의 카테고리 이름: |
보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
가격 책정 등급: 스탠더드 |
A6 | A05 |
Misspelled security header name
API의 카테고리 이름: |
보안 헤더가 잘못 입력되어 무시됩니다. 이 발견 항목을 해결하려면 HTTP 보안 헤더를 올바르게 설정합니다.
가격 책정 등급: 스탠더드 |
A6 | A05 |
Mixed content
API의 카테고리 이름: |
리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 발견 항목을 해결하려면 모든 리소스가 HTTPS를 통해 제공되는지 확인합니다.
가격 책정 등급: 스탠더드 |
A6 | A05 |
Outdated library
API의 카테고리 이름: |
알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 발견 항목을 해결하려면 라이브러리를 최신 버전으로 업그레이드합니다.
가격 책정 등급: 스탠더드 |
A9 | A06 |
Server side request forgery
API의 카테고리 이름: |
서버 측 요청 위조(SSRF) 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 허용 목록을 사용하여 웹 애플리케이션에서 요청할 수 있는 도메인과 IP 주소를 제한합니다.
가격 책정 등급: 스탠더드 |
해당 없음 | A10 |
Session ID leak
API의 카테고리 이름: |
교차 도메인 요청을 수행할 때 웹 애플리케이션은 Referer 요청 헤더에 사용자의 세션 식별자를 포함합니다. 이 취약점은 수신 도메인에 세션 식별자에 대한 액세스 권한을 부여하므로 사용자를 가장하거나 고유하게 식별하는 데 사용될 수 있습니다.
가격 책정 등급: 프리미엄 |
A2 | A07 |
SQL injection
API의 카테고리 이름: |
잠재적인 SQL 삽입 취약점이 감지되었습니다. 이 발견 항목을 해결하려면 매개변수화된 쿼리를 사용하여 사용자 입력이 SQL 쿼리 구조에 영향을 미치지 않도록 합니다.
가격 책정 등급: 프리미엄 |
A1 | A03 |
Struts insecure deserialization
API의 카테고리 이름: |
취약한 Apache Struts 버전 사용이 감지되었습니다. 이 발견 항목을 해결하려면 Apache Struts를 최신 버전으로 업그레이드합니다.
가격 책정 등급: 프리미엄 |
A8 | A08 |
XSS
API의 카테고리 이름: |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
가격 책정 등급: 스탠더드 |
A7 | A03 |
XSS angular callback
API의 카테고리 이름: |
사용자 제공 문자열은 이스케이프 처리되지 않으며 AngularJS가 이를 보간할 수 있습니다. 이 발견 항목을 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
가격 책정 등급: 스탠더드 |
A7 | A03 |
XSS error
API의 카테고리 이름: |
이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 발견 항목을 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리합니다.
가격 책정 등급: 스탠더드 |
A7 | A03 |
XXE reflected file leakage
API의 카테고리 이름: |
XXE(XML External Entity) 취약점이 감지되었습니다. 이 취약점으로 인해 웹 애플리케이션이 호스트에서 파일을 유출할 수 있습니다. 이 발견 항목을 해결하려면 외부 항목을 허용하지 않도록 XML 파서를 구성하세요.
가격 책정 등급: 프리미엄 |
A4 | A05 |
Prototype pollution
API의 카테고리 이름: |
애플리케이션이 프로토타입 오염에 취약합니다. 이 취약점은 Object.prototype 객체의 속성에 공격자가 제어할 수 있는 값을 할당할 수 있는 경우에 발생합니다. 이 프로토타입에 할당된 값은 일반적으로 교차 사이트 스크립팅, 유사한 클라이언트 측 취약점, 로직 버그로 변환되는 것으로 가정됩니다.
가격 책정 등급: 스탠더드 |
A1 | A03 |
Rapid Vulnerability Detection 발견 항목 및 해결 방법
Rapid Vulnerability Detection은 취약한 사용자 인증 정보, 완전하지 않은 소프트웨어 설치, 악용 가능성이 높은 기타 중요한 취약점을 감지합니다. 이 서비스는 네트워크 엔드포인트, 프로토콜, 열려 있는 포트, 네트워크 서비스, 설치된 소프트웨어 패키지를 자동으로 검색합니다.
신속한 취약점 감지 발견 항목은 즉시 해결하는 것이 좋은 취약점 조기 경고입니다.
발견 항목을 보는 방법은 Security Command Center에서 발견 항목 검토를 참조하세요.
Rapid Vulnerability Detection 스캔은 다음 발견 항목 유형을 식별합니다.
| 발견 항목 유형 | 발견 항목 설명 | OWASP 상위 10개 코드 |
|---|---|---|
| 취약한 사용자 인증 정보 발견 항목 | ||
WEAK_CREDENTIALS
|
이 감지기는 ncrack 무작위 공격 방법을 사용하여 취약한 사용자 인증 정보를 점검합니다. 지원되는 서비스: SSH, RDP, FTP, WordPress, TELNET, POP3, IMAP, VCS, SMB, SMB2, VNC, SIP, REDIS, PSQL, MYSQL, MSSQL, MQTT, MONGODB, WINRM, DICOM 해결 방법: 강력한 비밀번호 정책을 적용합니다. 서비스에 고유한 사용자 인증 정보를 만들고 비밀번호에 사전 단어를 사용하지 않아야 합니다. |
2021 A07 2017 A2 |
| 노출된 인터페이스 발견 항목 | ||
ELASTICSEARCH_API_EXPOSED
|
Elasticsearch API를 사용하면 호출자가 임의의 쿼리를 수행하고 스크립트를 작성 및 실행하고 서비스에 문서를 추가할 수 있습니다.
해결 방법: 애플리케이션을 통해 요청을 라우팅하여 Elasticsearch API에 대한 직접 액세스를 삭제하거나 인증된 사용자로만 액세스를 제한합니다. 자세한 내용은 Elasticsearch의 보안 설정을 참조하세요. |
2021 A01, A05 2017 A5, A6 |
EXPOSED_GRAFANA_ENDPOINT
|
Grafana 8.0.0~8.3.0에서는 디렉터리 순회 취약점이 있는 엔드포인트에 사용자가 인증 없이 액세스할 수 있어 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있습니다. 자세한 내용은 CVE-2021-43798을 참조하세요. 해결 방법: Grafana를 패치하거나 Grafana를 이후 버전으로 업그레이드합니다. 자세한 내용은 Grafana 경로 순회를 참조하세요. |
2021 A06, A07 2017 A2, A9 |
EXPOSED_METABASE
|
오픈소스 데이터 분석 플랫폼인 Metabase의 x.40.0~x.40.4 버전에는 커스텀 GeoJSON 맵 지원과 환경 변수를 비롯한 잠재적 로컬 파일 포함에 대한 취약점이 있습니다. URL이 로드 전에 검증되지 않았습니다. 자세한 내용은 CVE-2021-41277을 참조하세요. 해결 방법: 유지보수 출시 버전인 0.40.5 이상 또는 1.40.5 이상으로 업그레이드합니다. 자세한 내용은 GeoJSON URL 검증이 승인되지 않은 사용자에게 서버 파일 및 환경 변수를 노출할 수 있음을 참조하세요. |
2021 A06 2017 A3, A9 |
EXPOSED_SPRING_BOOT_ACTUATOR_ENDPOINT
|
이 감지기는 Spring Boot 애플리케이션의 민감한 액추에이터 엔드포인트가 노출되었는지 여부를 확인합니다. /heapdump와 같은 일부 기본 엔드포인트에서 민감한 정보가 노출될 수 있습니다. /env와 같은 다른 엔드포인트는 원격 코드 실행으로 이어질 수 있습니다.
현재는 /heapdump만 선택되어 있습니다.
해결 방법: 민감한 액추에이터 엔드포인트에 대한 액세스를 사용 중지합니다. 자세한 내용은 HTTP 엔드포인트 보안을 참조하세요. |
2021 A01, A05 2017 A5, A6 |
HADOOP_YARN_UNAUTHENTICATED_RESOURCE_MANAGER_API
|
이 감지기는 Hadoop 클러스터의 계산 및 스토리지 리소스를 제어하는 Hadoop Yarn ResourceManager API가 노출되어 인증되지 않은 코드 실행이 허용되는지 확인합니다. 해결 방법: API와 함께 액세스 제어 목록을 사용합니다. |
2021 A01, A05 2017 A5, A6 |
JAVA_JMX_RMI_EXPOSED
|
자바 관리 확장 프로그램(JMX)을 사용하면 자바 애플리케이션을 원격으로 모니터링하고 진단할 수 있습니다. 보호되지 않는 원격 메서드 호출 엔드포인트로 JMX를 실행하면 모든 원격 사용자가 javax.management.loading.MLet MBean을 만들고 이를 사용하여 임의 URL에서 새로운 MBean을 만들 수 있습니다.
해결 방법: 원격 모니터링을 올바르게 구성하려면 JMX 기술을 사용하여 모니터링 및 관리를 참조하세요. |
2021 A01, A05 2017 A5, A6 |
JUPYTER_NOTEBOOK_EXPOSED_UI
|
이 감지기는 인증되지 않은 Jupyter Notebook이 노출되었는지 여부를 확인합니다. Jupyter는 호스트 머신에서 기본적으로 원격 코드 실행을 허용합니다.
인증되지 않은 Jupyter Notebook으로 인해 VM 호스팅이 원격 코드 실행 위험에 처할 수 있습니다.
해결 방법: Jupyter Notebook 서버에 토큰 인증을 추가하거나 기본적으로 토큰 인증을 사용하는 최신 버전의 Jupyter Notebook을 사용하세요. |
2021 A01, A05 2017 A5, A6 |
KUBERNETES_API_EXPOSED
|
Kubernetes API는 노출되어 인증되지 않은 호출자가 액세스할 수 있습니다. 이렇게 하면 Kubernetes 클러스터에서 임의 코드를 실행할 수 있습니다.
해결 방법: 모든 API 요청에 인증을 요구합니다. 자세한 내용은 Kubernetes API 인증 가이드를 참조하세요. |
2021 A01, A05 2017 A5, A6 |
UNFINISHED_WORDPRESS_INSTALLATION
|
이 감지기는 WordPress 설치가 완료되었는지 여부를 확인합니다. 완료되지 않은 WordPress 설치는 /wp-admin/install.php 페이지를 노출시킵니다. 공격자가 이를 이용해서 관리 암호를 설정하고 시스템을 손상시킬 수 있습니다.
해결 방법: WordPress 설치를 완료합니다. |
2021 A05 2017 A6 |
UNAUTHENTICATED_JENKINS_NEW_ITEM_CONSOLE
|
이 감지기는 /view/all/newJob 엔드포인트에 익명 방문자로 프로브 핑을 전송하여 인증되지 않은 Jenkins 인스턴스를 확인합니다. 인증된 Jenkins 인스턴스는 createItem 형식을 보여줍니다. 이 형식을 사용하면 원격 코드 실행으로 이어질 수 있는 임의 작업을 만들 수 있습니다.
해결 방법: 보안 관리에 대한 Jenkins 가이드에 따라 인증되지 않은 액세스를 차단합니다. |
2021 A01, A05 2017 A5, A6 |
| 취약한 소프트웨어 발견 항목 | ||
APACHE_HTTPD_RCE
|
공격자가 경로 순회 공격을 사용하여 예상 문서 루트 외부에 있는 파일에 URL을 매핑하고 CGI 스크립트와 같은 해석된 파일의 소스를 확인할 수 있는 결함이 Apache HTTP 서버 2.4.49에서 발견되었습니다. 이 문제는 실제로 악용되고 있는 것으로 알려져 있습니다. 이 문제는 Apache 2.4.49 및 2.4.50에 영향을 주지만 이전 버전에 영향을 주지 않습니다. 이 취약점에 대한 자세한 내용은 다음을 참조하세요. 해결 방법: Apache HTTP 서버에서 'require all denied' 지시문을 구성하여 문서 루트 외부의 파일을 보호합니다. |
2021 A01, A06 2017 A5, A9 |
APACHE_HTTPD_SSRF
|
공격자가 선택한 원본 서버로 요청을 전달하게 해결 방법: Apache HTTP 서버를 최신 버전으로 업그레이드합니다. |
2021 A06, A10 2017 A9 |
CONSUL_RCE
|
Consul 인스턴스는
확인 후 Rapid Vulnerability Detection이 해결 방법: 콘솔 인스턴스 구성에서 enable-script-check를 |
2021 A05, A06 2017 A6, A9 |
DRUID_RCE
|
Apache Druid에는 여러 유형의 요청에 포함된 사용자 제공 자바스크립트 코드를 실행하는 기능이 포함되어 있습니다. 이 기능은 신뢰도가 높은 환경에서 사용하기 위한 것이며 기본적으로 중지됩니다. 하지만 Druid 0.20.0 이하에서는 인증된 사용자가 서버 구성에 관계없이 해당 요청에 사용자 제공 자바스크립트 코드를 실행하도록 Druid를 강제하는 특별히 조작된 요청을 보낼 수 있습니다. 이를 활용해서 Druid 서버 프로세스 권한을 사용하여 대상 머신에서 코드를 실행할 수 있습니다. 자세한 내용은 CVE-2021-25646 세부정보를 참조하세요. 해결 방법: Apache Druid를 이후 버전으로 업그레이드합니다. |
2021 A05, A06 2017 A6, A9 |
DRUPAL_RCE
이 카테고리에는 Drupal의 두 가지 취약점이 있습니다. 이 유형의 발견 항목이 여러 개 있으면 취약점이 1개 넘게 나타날 수 있습니다. |
Drupal 버전 7.58 이전, 8.3.9 이전의 8.x, 8.4.6 이전의 8.4.x 및 8.5.1 이전의 8.5.x는 Form API AJAX 요청에 대한 원격 코드 실행에 취약합니다.
해결 방법: 대체 Drupal 버전으로 업그레이드합니다. |
2021 A06 2017 A9 |
| Drupal 버전 8.5.11 이전의 8.5.x 및 8.6.10 이전의 8.6.x는 RESTful 웹 서비스 모듈이나 JSON API가 사용 설정된 경우 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 커스텀 POST 요청을 사용하여 이 취약점을 악용할 수 있습니다.
해결 방법: 대체 Drupal 버전으로 업그레이드합니다. |
2021 A06 2017 A9 |
|
FLINK_FILE_DISCLOSURE
|
Apache Flink 버전 1.11.0, 1.11.1, 1.11.2의 취약점으로 인해 공격자가 JobManager 프로세스의 REST 인터페이스를 통해 JobManager의 로컬 파일 시스템에 있는 파일을 읽을 수 있습니다. 액세스는 JobManager 프로세스에서 액세스할 수 있는 파일로 제한됩니다.
해결 방법: Flink 인스턴스가 노출된 경우 Flink 1.11.3 또는 1.12.0으로 업그레이드합니다. |
2021 A01, A05, A06 2017 A5, A6, A9 |
GITLAB_RCE
|
GitLab Community Edition(CE) 및 Enterprise Edition(EE) 버전 11.9 이상에서 GitLab이 파일 파서로 전달된 이미지 파일의 유효성을 올바르게 검사하지 않습니다. 공격자가 원격 명령어 실행을 위해 이 취약점을 악용할 수 있습니다. 해결 방법: GitLab CE 또는 EE 버전 13.10.3, 13.9.6, 13.8.8 이상으로 업그레이드합니다. 자세한 내용은 CVE-2021-22205에 대한 대응으로 자체 관리형 고객에게 필요한 조치를 참조하세요. |
2021 A06 2017 A9 |
GoCD_RCE
|
GoCD 21.2.0 이하에는 인증 없이 액세스할 수 있는 엔드포인트가 있습니다. 이 엔드포인트에는 사용자가 인증 없이 서버의 모든 파일을 읽을 수 있는 디렉터리 순회 취약점이 있습니다. 해결 방법: 버전 21.3.0 이상으로 업그레이드합니다. 자세한 내용은 GoCD 21.3.0 출시 노트를 참조하세요. |
2021 A06, A07 2017 A2, A9 |
JENKINS_RCE
|
Jenkins 버전 2.56 이하 및 2.46.1 LTS 이하는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 직렬화된 악성 Java 객체를 사용하여 이 취약점을 트리거할 수 있습니다.
해결 방법: 대체 Jenkins 버전을 설치합니다. |
2021 A06, A08 2017 A8, A9 |
JOOMLA_RCE
이 카테고리에는 Joomla의 두 가지 취약점이 있습니다. 이 유형의 발견 항목이 여러 개 있으면 취약점이 1개 넘게 나타날 수 있습니다. |
Joomla 버전 1.5.x, 2.x, 3.4.6 이전의 3.x는 원격 코드 실행에 취약합니다. 이 취약점은 직렬화된 PHP 객체가 포함된 조작된 헤더로 트리거될 수 있습니다.
해결 방법: 대체 Joomla 버전을 설치합니다. |
2021 A06, A08 2017 A8, A9 |
| Joomla 버전 3.0.0~3.4.6은 원격 코드 실행에 취약합니다. 이 취약점은 조작된 직렬화된 PHP 객체가 포함된 POST 요청을 전송하여 트리거할 수 있습니다.
해결 방법: 대체 Joomla 버전을 설치합니다. |
2021 A06 2017 A9 |
|
LOG4J_RCE
|
Apache Log4j2 2.14.1 이하에서 구성에 사용되는 JNDI 기능, 로그 메시지 및 매개변수는 공격자가 제어하는 LDAP 및 기타 JNDI 관련 엔드포인트로부터 보호 기능을 제공하지 않습니다. 자세한 내용은 CVE-2021-44228을 참조하세요. 해결 방법: 자세한 내용은 Apache Log4j 보안 취약점을 참조하세요. |
2021 A06 2017 A9 |
MANTISBT_PRIVILEGE_ESCALATION
|
버전 2.3.0까지의 MantisBT는 빈 confirm_hash 값을 verify.php에 제공하여 임의 비밀번호 재설정 및 인증되지 않은 관리자 액세스를 허용합니다.
해결 방법: MantisBT를 최신 버전으로 업데이트하거나 Mantis 안내에 따라 중요한 보안 수정사항을 적용합니다. |
2021 A06 2017 A9 |
OGNL_RCE
|
Confluence Server 및 데이터 센터 인스턴스에는 인증되지 않은 공격자가 임의의 코드를 실행할 수 있게 해주는 OGNL 삽입 취약점이 있습니다. 자세한 내용은 CVE-2021-26084를 참조하세요. 해결 방법: 해결 방법은 Confluence Server Webwork OGNL injection - CVE-2021-26084를 참조하세요. |
2021 A03 2017 A1 |
OPENAM_RCE
|
OpenAM 서버 14.6.2 이하 및 ForgeRock AM 서버 6.5.3 이하에서는 여러 페이지의 해결 방법: 최신 버전으로 업그레이드합니다. ForgeRock 해결 방법에 대한 자세한 내용은 AM Security Advisory #202104를 참조하세요. |
2021 A06 2017 A9 |
ORACLE_WEBLOGIC_RCE
|
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 취약점이 포함되어 있습니다. 쉽게 악용할 수 있는 취약점으로 인해 HTTP를 통한 네트워크 액세스 권한이 있는 인증되지 않은 공격자가 Oracle WebLogic 서버를 손상시킬 수 있습니다. 이 취약점 공격에 성공하면 Oracle WebLogic 서버를 탈취할 수 있습니다. 자세한 내용은 CVE-2020-14882를 참조하세요. 해결 방법: 패치 정보는 Oracle Critical Patch Update Advisory - October 2020을 참조하세요. |
2021 A06, A07 2017 A2, A9 |
PHPUNIT_RCE
|
PHPUnit 버전 5.6.3 이전은 인증되지 않은 단일 POST 요청으로 원격 코드 실행을 허용합니다.
해결 방법: 최신 PHPUnit 버전으로 업그레이드합니다. |
2021: A05 2017: A6 |
PHP_CGI_RCE
|
5.3.12 이전 및 5.4.2 이전의 5.4.x 버전의 PHP는 CGI 스크립트로 구성되면 원격 코드 실행을 허용합니다. 취약한 코드는 =(등호 기호) 문자가 없는 쿼리 문자열을 올바르게 처리하지 않습니다. 이로 인해 공격자가 서버에서 실행되는 명령줄 옵션을 추가할 수 있습니다.
해결 방법: 대체 PHP 버전을 설치합니다. |
2021 A05, A06 2017 A6, A9 |
PORTAL_RCE
|
CE GA2 7.2.1 이전의 Liferay 포털 버전에서 신뢰할 수 없는 데이터를 역직렬화하면 원격 공격자가 JSON 웹 서비스를 통해 임의의 코드를 실행할 수 있습니다.
해결 방법: 최신 Liferay Portal 버전으로 업그레이드합니다. |
2021 A06, A08 2017 A8, A9 |
REDIS_RCE
|
관리 명령어 실행을 위해 Redis 인스턴스에 인증이 필요하지 않으면 공격자가 임의 코드를 실행할 수 있습니다. 해결 방법: 인증을 요구하도록 Redis를 구성합니다. |
2021 A01, A05 2017 A5, A6 |
SOLR_FILE_EXPOSED
|
오픈소스 검색 서버인 Apache Solr에서는 인증이 사용 설정되지 않습니다. Apache Solr에서 인증을 요구하지 않으면 공격자가 특정 구성을 사용 설정하기 위해 요청을 직접 조작한 후 서버 측 요청 위조(SSRF)를 구현하거나 임의 파일을 읽을 수 있습니다. 해결 방법: 대체 Apache Solr 버전으로 업그레이드합니다. |
2021 A07, A10 2017 A2 |
SOLR_RCE
|
Apache Solr 버전 5.0.0~8.3.1은 params.resource.loader.enabled가 true로 설정된 경우 VelocityResponseWriter를 통한 원격 코드 실행에 취약합니다. 공격자는 이를 통해 악성 속도 템플릿이 포함된 매개변수를 만들 수 있습니다.
해결 방법: 대체 Apache Solr 버전으로 업그레이드합니다. |
2021 A06 2017 A9 |
STRUTS_RCE
이 카테고리에는 Apache Struts의 세 가지 취약점이 포함됩니다. 이 유형의 발견 항목이 여러 개 있으면 취약점이 1개 넘게 나타날 수 있습니다. |
Apache Struts 버전 2.3.32 및 2.5.10.1 이전의 2.5.x는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 조작된 Content-Type 헤더를 제공하여 이 취약점을 트리거할 수 있습니다.
해결 방법: 대체 Apache Struts 버전을 설치합니다. |
2021 A06 2017 A9 |
| Apache Struts 버전 2.1.1~2.3.34 이전의 2.3.x 및 2.5.13 이전의 2.5.x의 REST 플러그인은 조작된 XML 페이로드 역직렬화 시 원격 코드 실행에 취약합니다. 해결 방법: 대체 Apache Struts 버전을 설치합니다. |
2021 A06, A08 2017 A8, A9 |
|
Apache Struts 버전 2.3~2.3.34 및 2.5~2.5.16은 alwaysSelectFullNamespace가 true로 설정되고 특정 기타 작업 구성이 있으면 원격 코드 실행에 취약합니다.
해결 방법: 버전 2.3.35 또는 2.5.17을 설치합니다. |
2021 A06 2017 A9 |
|
TOMCAT_FILE_DISCLOSURE
|
Apache Tomcat 버전 9.0.31 이전의 9.x, 8.5.51 이전의 8.x, 7.0.100 이전의 7.x, 모든 6.x는 노출된 Apache JServ 프로토콜 커넥터를 통한 소스 코드와 구성 공개에 취약합니다. 경우에 따라 파일 업로드가 허용되면 원격 코드 실행을 수행할 때 이 방법이 활용됩니다.
해결 방법: 대체 Apache Tomcat 버전으로 업그레이드합니다. |
2021 A06 2017 A3, A9 |
VBULLETIN_RCE
|
버전 5.0.0~5.5.4를 실행하는 vBulletin 서버는 원격 코드 실행에 취약합니다. 인증되지 않은 공격자가 routestring 요청에 쿼리 매개변수를 사용하여 이 취약점을 악용할 수 있습니다.
해결 방법: 대체 VMware vCenter Server 버전으로 업그레이드합니다. |
2021 A03, A06 2017 A1, A9 |
VCENTER_RCE
|
VMware vCenter Server 버전 7.0 U1c 이전의 7.x, 6.7 U3l 이전의 6.7, 6.5 U3n 이전의 6.5는 원격 코드 실행에 취약합니다. 공격자는 조작된 자바 서버 페이지 파일을 웹 액세스 가능한 디렉터리에 업로드한 후 파일 실행을 트리거하여 이 취약점을 트리거할 수 있습니다.
해결 방법: 대체 VMware vCenter Server 버전으로 업그레이드합니다. |
2021 A06 2017 A9 |
WEBLOGIC_RCE
|
10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0, 14.1.1.0.0 버전을 포함한 Oracle Fusion Middleware(구성요소: 콘솔)의 특정 버전 Oracle WebLogic Server 제품에는 원격 코드 실행 취약점이 포함되어 있습니다. 이 취약점은 CVE-2020-14750, CVE-2020-14882, CVE-2020-14883과 관련이 있습니다. 자세한 내용은 CVE-2020-14883을 참조하세요. 해결 방법: 패치 정보는 Oracle Critical Patch Update Advisory - October 2020을 참조하세요. |
2021 A06, A07 2017 A2, A9 |
IAM 추천자 발견 항목
다음 표에는 IAM 추천자에서 생성한 Security Command Center 발견 항목이 나와 있습니다.
각 IAM 추천자 발견 항목에는 Google Cloud 환경에서 주 구성원의 과도한 권한이 포함된 역할을 삭제하거나 교체하기 위한 특정 권장사항이 포함됩니다.
IAM 추천자가 생성한 발견 항목은 영향을 받는 프로젝트, 폴더 또는 조직의 IAM 페이지에 있는 Google Cloud 콘솔에 표시되는 권장사항에 해당합니다.
IAM 추천자와 Security Command Center의 통합에 대한 자세한 내용은 보안 소스를 참조하세요.
| 감지기 | 요약 |
|---|---|
IAM role has excessive permissions
API의 카테고리 이름: |
발견 항목 설명: IAM 추천자가 사용자 계정에 과도한 권한을 부여하는 하나 이상의 IAM 역할이 있는 서비스 계정을 감지했습니다. 가격 책정 등급: 프리미엄 지원되는 애셋
이 발견 항목 수정 : IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.
문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 |
Service agent role replaced with basic role
API의 카테고리 이름: |
발견 항목 설명: IAM 추천자는 서비스 에이전트에 부여된 원래 기본 IAM 역할이 기본 IAM 역할(소유자 ,편집자 또는 뷰어) 중 하나로 대체되었음을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여해서는 안 됩니다. 가격 책정 등급: 프리미엄 지원되는 애셋
이 발견 항목 수정 : IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.
문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 |
Service agent granted basic role
API의 카테고리 이름: |
발견 항목 설명: IAM 추천자는 서비스 에이전트에 기본 IAM 역할(소유자, 편집자, 뷰어) 중 하나가 부여된 IAM을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여해서는 안 됩니다. 가격 책정 등급: 프리미엄 지원되는 애셋
이 발견 항목 수정 : IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.
문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 |
Unused IAM role
API의 카테고리 이름: |
발견 항목 설명: IAM 추천자가 지난 90일 동안 사용되지 않은 IAM 역할이 있는 사용자 계정을 감지했습니다. 가격 책정 등급: 프리미엄 지원되는 애셋
이 발견 항목 수정 : IAM 추천자를 사용하여 다음 단계에 따라 이 발견 항목에 권장되는 수정사항을 적용합니다.
문제가 해결되면 IAM 추천자는 24시간 이내에 발견 항목 상태를 |
보안 상황 서비스 발견 항목
다음 표에는 보안 상황서비스에서 생성된 Security Command Center 발견 항목이 나와 있습니다.
각 보안 상황 서비스 발견 항목은 정의된 보안 상황에서의 드리프트 인스턴스를 식별합니다.
| 발견된 항목 | 요약 |
|---|---|
SHA Canned Module Drifted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 감지기의 변경사항을 감지했습니다. 가격 책정 등급: 프리미엄
이 발견 항목 수정 : 이 발견 항목을 사용하려면 상황 및 환경의 감지기 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 감지기를 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 감지기를 업데이트하세요. 자세한 내용은 감지기 사용 설정 및 중지를 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
SHA Custom Module Drifted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 Security Health Analytics 커스텀 모듈의 변경사항을 감지했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 상황 및 환경의 커스텀 모듈 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 커스텀 모듈을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 커스텀 모듈을 업데이트하세요. 자세한 내용은 커스텀 모듈 업데이트를 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
SHA Custom Module Deleted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 Security Health Analytics 커스텀 모듈이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 상황 및 환경의 커스텀 모듈 설정이 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 Security Health Analytics 커스텀 모듈을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 Security Health Analytics 커스텀 모듈을 업데이트하세요. 자세한 내용은 커스텀 모듈 업데이트를 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
Org Policy Canned Constraint Drifted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 조직 정책의 변경사항을 감지했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 사용자의 상황 및 환경의 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 조직 정책을 업데이트합니다. 자세한 내용은 정책 만들기 및 수정을 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
Org Policy Canned Constraint Deleted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 사용자의 상황 및 환경의 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 조직 정책을 업데이트합니다. 자세한 내용은 정책 만들기 및 수정을 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
Org Policy Custom Constraint Drifted
API의 카테고리 이름: |
발견 항목 설명: 보안 상황 서비스에서 상황 업데이트 외부에서 발생한 커스텀 조직 정책의 변경사항을 감지했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 사용자의 상황 및 환경의 커스텀 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 커스텀 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 커스텀 조직 정책을 업데이트합니다. 자세한 내용은 커스텀 제약조건 업데이트를 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
Org Policy Custom Constraint Deleted
API의 카테고리 이름: |
발견 항목 설명: 보안 상태 서비스에서 커스텀 조직 정책이 삭제된 것을 감지했습니다. 이 삭제는 상황 업데이트 외부에서 발생했습니다. 가격 책정 등급: 프리미엄 이 발견 항목 수정 : 이 발견 항목을 사용하려면 사용자의 상황 및 환경의 커스텀 조직 정책 정의가 일치하도록 변경을 수락하거나 변경사항을 되돌려야 합니다. 이 발견 항목은 커스텀 조직 정책을 업데이트하거나 상황 및 상황 배포를 업데이트하는 두 가지 방법으로 해결할 수 있습니다. 변경사항을 되돌리려면 Google Cloud 콘솔에서 커스텀 조직 정책을 업데이트합니다. 자세한 내용은 커스텀 제약조건 업데이트를 참조하세요. 변경사항을 수락하려면 다음을 완료합니다.
|
VM Manager
VM Manager는 Compute Engine에서 Windows 및 Linux를 실행하는 대규모 가상 머신(VM) 그룹의 운영체제 관리에 사용할 수 있는 도구 모음입니다.
조직 수준에서 Security Command Center 프리미엄을 사용하여 VM Manager를 사용 설정한 경우 VM Manager는 미리보기에 있는 취약점 보고서의 발견 항목을 Security Command Center에 작성합니다. 이 보고서는 Common Vulnerabilities and Exposures(CVE) 등 VM에 설치된 운영체제의 취약점을 식별합니다.
Security Command Center 프리미엄의 프로젝트 수준 활성화에 VM Manager를 사용하려면 상위 조직에서 Security Command Center 표준을 활성화하세요.
Security Command Center 표준에 대해 사용 가능한 취약점 보고서가 없습니다.
발견 항목은 미리보기 버전인 VM Manager의 패치 규정 준수 기능을 사용하는 프로세스를 간소화해 줍니다. 이 기능을 사용하면 모든 프로젝트에서 조직 수준으로 패치를 관리할 수 있습니다.
VM Manager에서 수신된 취약점 발견 항목의 심각도는 항상 CRITICAL 또는 HIGH입니다.
VM Manager 발견 항목
이 유형의 모든 취약점은 지원되는 Compute Engine VM에 설치된 운영체제 패키지와 관련이 있습니다.
| 감지기 | 요약 | 애셋 검사 설정 | 규정 준수 표준 |
|---|---|---|---|
OS vulnerability
API의 카테고리 이름: |
발견 항목 설명: VM Manager가 Compute Engine VM에 설치된 운영체제(OS) 패키지의 취약점을 감지했습니다. 가격 책정 등급: 프리미엄
지원되는 애셋 |
VM Manager의 취약점 보고서는 Common Vulnerabilities and Exposures(CVE) 등 Compute Engine VM용으로 설치된 운영체제 패키지의 취약점을 자세히 설명합니다. 지원되는 운영체제의 전체 목록은 운영체제 세부정보를 참조하세요.발견 항목은 취약점이 감지된 후 바로 Security Command Center에 표시됩니다. VM Manager의 취약점 보고서는 다음과 같이 생성됩니다.
|
VM Manager 발견 항목 해결
OS_VULNERABILITY 발견 항목은 VM Manager가 Compute Engine VM의 설치된 운영체제 패키지에서 취약점을 발견했음을 나타냅니다.
이 발견 항목을 해결하려면 다음을 수행하세요.
Security Command Center에서 발견 항목 페이지로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
빠른 필터의 카테고리 하위 섹션에서 OS 취약점을 선택합니다. 발견 항목 쿼리 결과는 OS 취약점 검색 결과만 표시하도록 필터링됩니다.
발견 항목 쿼리 결과 목록의 카테고리 열에서 수정 중인 발견 항목의 카테고리 이름을 클릭합니다. OS 취약점에 대한 세부정보 페이지가 열립니다.
JSON 탭을 클릭합니다. 이 발견 항목의 JSON이 표시됩니다.
externalUri필드 값을 복사합니다. 이 값은 취약한 운영체제가 설치된 Compute Engine VM 인스턴스의 OS 정보 페이지의 URI입니다.기본 정보 섹션에 표시된 OS에 모든 적절한 패치를 적용합니다. 패치 배포 방법에 대한 자세한 내용은 패치 작업 만들기를 참조하세요.
이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.
Google Cloud 콘솔에서 발견 항목 검토
Google Cloud 콘솔에서 발견 항목을 검토하려면 다음 절차를 따르세요.
Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
빠른 필터 섹션의 소스 표시 이름 하위 섹션에서 VM Manager를 선택합니다.
테이블에 VM Manager 발견 항목이 채워집니다.
특정 발견 항목의 세부정보를 보려면
Category에서 '발견 항목 이름'을 클릭합니다. 발견 항목의 세부정보 패널이 열리고 요약 탭이 표시됩니다.요약 탭에서 감지된 항목, 영향을 받은 리소스 등에 대한 정보를 포함하여 발견 항목에 대한 정보를 검토합니다.
VM Manager 발견 항목 해결에 대한 자세한 내용은 VM Manager 발견 항목 해결을 참조하세요.
VM Manager 발견 항목 숨기기
보안 요구 사항과 관련이 없는 경우 Security Command Center에서 VM Manager 발견 항목의 일부 또는 전체를 숨길 수 있습니다.
숨기기 규칙을 만들고 숨기려는 VM Manager 발견 항목과 관련된 쿼리 속성을 추가하여 VM Manager 발견 항목을 숨길 수 있습니다.
Google Cloud 콘솔을 사용하여 VM Manager의 숨기기 규칙을 만들려면 다음을 수행합니다.
Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
숨기기 옵션을 클릭한 후 숨기기 규칙 만들기를 선택합니다.
숨기기 규칙 ID를 입력합니다. 이 값은 필수 항목입니다.
발견 항목이 숨겨진 이유에 대한 컨텍스트를 제공하는 숨기기 규칙 설명을 입력합니다. 이 값은 선택사항이지만 권장됩니다.
상위 리소스 값을 확인하여 숨기기 규칙의 범위를 확인합니다.
발견 항목 쿼리 필드에서 필터 추가를 클릭하여 쿼리 문을 빌드합니다. 또는 쿼리 문을 수동으로 입력할 수 있습니다.
- 필터 선택 대화상자에서 발견 항목 > 소스 표시 이름 > VM Manager를 선택합니다.
- 적용을 클릭합니다.
숨기기 쿼리가 숨기려는 모든 속성을 포함할 때까지 반복합니다.
예를 들어 VM Manager 취약점 발견 항목에서 특정 CVE ID를 숨기려면 취약점 > CVE ID를 선택한 후 숨기려는 CVE ID를 선택합니다.
발견 항목 쿼리는 다음과 유사합니다.
일치하는 발견 항목 미리보기를 클릭합니다.
테이블에 쿼리와 일치하는 발견 항목이 표시됩니다.
저장을 클릭합니다.
Sensitive Data Protection
이 섹션에서는 Sensitive Data Protection에서 생성되는 취약점 발견 항목, 지원되는 규정 준수 표준, 발견 항목 해결 방법을 설명합니다.
Sensitive Data Protection에서는 관찰 발견 항목을 Security Command Center로 전송합니다. 관찰 발견 항목 및 Sensitive Data Protection에 대한 자세한 내용은 Sensitive Data Protection을 참조하세요.
발견 항목을 보는 방법은 Google Cloud 콘솔에서 Sensitive Data Protection 발견 항목 검토를 참조하세요.
Sensitive Data Protection 탐색 서비스를 사용하면 Cloud Functions 환경 변수에 비밀번호, 인증 토큰, Google Cloud 사용자 인증 정보와 같은 보안 비밀이 포함되어 있는지 확인할 수 있습니다. Sensitive Data Protection에서 이 기능으로 감지하는 보안 비밀 유형의 전체 목록은 사용자 인증 정보 및 보안 비밀을 참조하세요.
| 발견 항목 유형 | 발견 항목 설명 | 규정 준수 표준 |
|---|---|---|
Secrets in environment variablesAPI의 카테고리 이름: SECRETS_IN_ENVIRONMENT_VARIABLES
|
이 감지기는 Cloud Functions 환경 변수에 보안 비밀이 있는지 확인합니다.
해결: 환경 변수에서 보안 비밀을 삭제하고 대신 Secret Manager에 저장합니다. |
CIS GCP Foundation 1.3: 1.18 CIS GCP Foundation 2.0: 1.18 |
이 감지기를 사용 설정하려면 Sensitive Data Protection 문서의 Security Command Center에 환경 변수의 보안 비밀 보고를 참조하세요.
정책 컨트롤러
정책 컨트롤러를 사용 설정하면 Fleet 멤버십으로 등록된 Kubernetes 클러스터에 프로그래밍 가능한 정책을 적용하고 시행할 수 있습니다. 정책은 가드레일 역할을 하며 클러스터와 Fleet의 권장사항, 보안, 규정 준수 관리에 도움이 됩니다.
이 페이지에는 모든 개별 정책 컨트롤러 발견 항목이 나열되지 않지만 정책 컨트롤러에서 Security Command Center에 작성하는 Misconfiguration 클래스 발견 항목에 대한 정보는 각 정책 컨트롤러 번들에 대해 설명된 클러스터 위반과 동일합니다. 개별 정책 컨트롤러 발견 항목 유형에 대한 문서는 다음 정책 컨트롤러 번들에 있습니다.
- CIS Kubernetes 벤치마크 v1.5.1은 강력한 보안 상황을 지원하도록 Kubernetes를 구성하기 위한 추천 모음입니다.
cis-k8s-v1.5.1용 GitHub 저장소에서 이 번들에 대한 정보도 확인할 수 있습니다. - PCI-DSS v3.2.1은 결제 카드 산업 데이터 보안 표준(PCI-DSS) v3.2.1의 일부 요소에 대해 클러스터 리소스의 규정 준수를 평가하는 번들입니다.
pci-dss-v3용 GitHub 저장소에서 이 번들에 대한 정보도 확인할 수 있습니다.
이 기능은 Stackdriver API의 VPC 서비스 제어 서비스 경계와 호환되지 않습니다.
정책 컨트롤러 발견 항목 찾기 및 해결
정책 컨트롤러 카테고리는 정책 컨트롤러 번들 문서에 나열된 제약조건 이름에 해당합니다. 예를 들어 require-namespace-network-policies 발견 항목은 네임스페이스가 클러스터의 모든 네임스페이스에 NetworkPolicy가 있어야 하는 정책을 위반했음을 나타냅니다.
발견 항목을 해결하려면 다음 단계를 따르세요.
Security Command Center에서 발견 항목 페이지로 이동합니다.
필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.
빠른 필터의 카테고리 하위 섹션에서 수정할 정책 컨트롤러 발견 항목의 이름을 선택합니다. 발견 항목 쿼리 결과가 필터링되어 해당 카테고리의 발견 항목만 표시됩니다.
발견 항목 쿼리 결과 목록의 카테고리 열에서 수정 중인 발견 항목의 카테고리 이름을 클릭합니다. 발견 항목의 세부정보 페이지가 열립니다.
요약 탭에서 감지된 항목, 영향을 받은 리소스 등에 대한 정보를 포함하여 발견 항목에 대한 정보를 검토합니다.
다음 단계 제목에서 문제에 대한 Kubernetes 문서 링크를 포함한 발견 항목을 해결하는 방법에 대한 정보를 검토합니다.
다음 단계
- Security Health Analytics 사용 방법 알아보기
- Web Security Scanner 사용 방법 알아보기
- Rapid Vulnerability Detection 사용 방법 알아보기
- Security Health Analytics 발견 항목 문제 해결 및 Web Security Scanner 발견 항목 문제 해결 제안 내용 읽기