0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 정보보호시스템 보안 항목 2. 개요 VPC 네트워크 트랜잭션의 이상 행위 및 장애 대응을 위해 VPC Flow Log 실시간 모니터링 또는 주기적 검토 필요 3. 취약점 판단 기준 VPC Flow Log에 대해 실시간 모니터링 또는 주기적으로 검토하지 않는 경우 취약 VPC Flow Log에 대해 실시간 모니터링 또는 주기적으로 검토하는 경우 취약하지 않음 4. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 VPC Flow Log에 대한 실시간 모니터링 또는 주기적 검토를 수행하였는지 확인 5. 취..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 시행세칙 [별표 3]의 기술적 보안 부문 중 정보보호시스템 보안 항목 2. 개요 VPCㆍ서브넷ㆍENI의 네트워크 트랜잭션을 로깅하는 VPC Flow Log는 디폴트로 비활성화되어 있어, 이상 행위 및 장애 대응을 위해 필요 시 설정 필요 [주의] VPC Flow Log를 S3, CloudWatch Logs에 전송할 때 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 판단 기준 [알림] 네트워크 장애 대응 등 필요 시에만 활성화하여 사용 가능 VPC Flow Log를 설정하지 않은 경우 취약 VPC Flow Log를 설정한 경..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제2항 2. 개요 AWS의 모든 리소스를 핸들링 할 수 있는 관리 콘솔에 대한 로그인 이력을 주기적으로 검토하여 이상 접속 여부 관리 필요 3. 취약점 판단 기준 관리 콘솔 로그인 이력을 주기적으로 검토하지 않는 경우 취약 관리 콘솔 로그인 이력을 주기적으로 검토하는 경우 취약하지 않음 4. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 주기적으로 관리 콘솔 로그인 이력을 검토하였는지 확인 5. 취약점 조치 방법 [알림] 다양한 방법이 있을 수 있으나 본 항목에서는 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제11호 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제1항 2. 개요 S3 버킷을 퍼블릭에 공개해 유저가 접근할 수 있도록 하는 경우 오브젝트에 대한 액세스 로그 생성 및 보관 필요 오브젝트 액세스 로그를 생성하기 위한 방법으로 CloudTrail과 S3를 활용할 수 있는데 AWS 도큐먼트는 CloudTrail을 활용한 방법을 권장 [주의] CloudTrail을 활용해 S3 오브젝트 액세스 로그를 생성하는 경우 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제11호 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제1항 2. 개요 S3 버킷을 퍼블릭에 공개해 유저가 접근할 수 있도록 하는 경우 오브젝트에 대한 액세스 로그 생성 및 보관 필요 오브젝트 액세스 로그를 생성하기 위한 방법으로 CloudTrail과 S3를 활용할 수 있는데 AWS 도큐먼트는 CloudTrail을 활용한 방법을 권장 [주의] CloudTrail을 활용해 S3 오브젝트 액세스 로그를 생성하는 경우 요금이 발생하므로 설정 전 면밀히 검토 필요 비용 산정 기준 3. 취약점 ..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제13조 제1항 제11호 개인정보의 기술적·관리적 보호조치 기준 제5조 제1항 개인정보의 안전성 확보조치 기준 제8조 제1항 2. 개요 90일간의 CloudTrail 로그는 [이벤트 기록] 탭에서 확인이 가능하지만, 그 이상 기간이 경과된 CloudTrail 로그는 추적(Trails)을 설정하지 않은 경우 삭제됨 따라서 CloudTrail 로그의 장기간 보관ㆍ관리를 위해 추적(Trails) 설정 필요 [주의] CloudTrail 추적 설정 과정에서 수집 대상 로그 이벤트로 [데이터 이벤트], *[Insights 이벤트]*를 선택할 경우 요금이 발생하..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 KMS 키 값 유출 등 예상치 못한 사유로 인해 자동 교체 주기 이전에 KMS 키를 교체해야 할 경우 수동으로 교체 필요 2. 취약점 판단 기준 관련 담당자가 KMS 키의 수동 교체 방법을 알지 못하고, 관련 절차를 수립하지 않은 경우 취약 관련 담당자가 KMS 키의 수동 교체 방법을 명확히 이해하고, 관련 절차를 수립한 경우 취약하지 않음 3. 취약점 확인 방법 담당자 인터뷰 및 관련 증적을 통해 KMS 키 수동 교체 절차와 방법을 수립하였는지 확인 4. 취약점 조치 방법 교체하고자 하는 alias의 KeyId 확인 aws kms list-aliases 새로 교체할 키..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제31조 제2항 개인정보의 안전성 확보조치 기준 제7조 제6항 2. 개요 AWS 서비스에서 암호화 적용 시 고객 관리형 키(CMK)를 사용하는 경우 암호키 자동 교체 설정 필요 3. 취약점 판단 기준 고객 관리형 키(CMK)의 자동 키 교체 설정을 적용하지 않은 경우 취약 고객 관리형 키(CMK)의 자동 키 교체 설정을 적용한 경우 취약하지 않음 4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인 관리 콘솔에서 [KMS] 검색 → [고객 관리형 키] 메뉴 → 암호키 선택 → [키 교체] 탭에서 키 교체 설정 여부 확인 4. 취약점 확인 방법 - (..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 개요 RDS 접속 시 ID•Password로 인증을 수행하는 경우 인증 정보를 PC 또는 소스코드에 저장하여 외부 유출 및 탈취의 위험이 존재 따라서 임시 토큰을 활용한 IAM 인증을 통해 RDS 접속 필요 2. 취약점 판단 기준 RDS 접속 시 ID•Password 인증을 수행하는 경우 취약 RDS 접속 시 IAM 인증을 수행하는 경우 취약하지 않음 3. 취약점 확인 방법 관리 콘솔에서 [RDS] 검색 → RDS 선택 → [수정] 클릭 [데이터베이스 인증] 메뉴에서 [암호 및 IAM 데이터베이스 인증] 체크 여부 확인 4. 취약점 조치 방법 [데이터베이스 인증] 메뉴에서 [..
0. 들어가며 해당 글은 본인이 노션으로 작성해 공유한 AWS 보안 점검 및 설정 가이드의 내용을 티스토리에 옮긴 것입니다. 1. 관련 법령 전자금융감독규정 제15조 제1항 제5호 2. 개요 Prod 환경의 RDS는 퍼블릭에서 접속이 불가능하도록 IP를 할당하지 않고 동일 VPC에서만 접근하도록 설정 필요 3. 취약점 판단 기준 퍼블릭 인터넷에서 RDS로 접속이 가능한 경우 취약 퍼블릭 인터넷에서 RDS로 접속이 불가능한 경우 취약하지 않음 4. 취약점 확인 방법 관리 콘솔에서 [RDS] 검색 → RDS 선택 → [수정] 클릭 [연결] 메뉴에서 [추가 구성] 클릭 → [퍼블릭 액세스 불가능] 체크 여부 확인 5. 취약점 조치 방법 [연결] 메뉴에서 [추가 구성] 클릭 → [퍼블릭 액세스 불가능] 체크 R..
