The CIS Amazon Web Services Foundations Benchmark (CIS v1.4.0)

The CIS Amazon Web Services Foundations Benchmark (CIS v1.4.0)

Steampipe 에서 CIS v1.4.0 정보 참고 AWS Compliance Mod for Powerpipe

1 Identity and Access Management

2 Storage

3 Logging

4 Monitoring

5 Networking

1 Identity and Access Management

• 1.1 현재 연락처 정보 유지

• 1.2 보안 연락처 정보가 등록되었는지 확인

• 1.3 보안 질문이 AWS 계정에 등록되었는지 확인

• 1.4 '루트' 사용자 계정 액세스 키가 존재하지 않는지 확인

• 1.5 '루트' 사용자 계정에 대해 MFA가 활성화되어 있는지 확인

• 1.6 '루트' 사용자 계정에 대해 하드웨어 MFA가 활성화되어 있는지 확인

• 1.7 관리 및 일상 작업에 '루트' 사용자 사용 제거

• 1.8 IAM 암호 정책에서 최소 길이 14 이상을 요구하는지 확인

• 1.9 IAM 암호 정책이 암호 재사용을 방지하는지 확인

• 1.10 콘솔 암호가 있는 모든 IAM 사용자에 대해 다단계 인증(MFA)이 활성화되어 있는지 확인

• 1.11 콘솔 암호가 있는 모든 IAM 사용자에 대해 초기 사용자 설정 중에 액세스 키를 설정하지 마십시오.

• 1.12 45일 이상 사용하지 않은 자격 증명이 비활성화되었는지 확인

• 1.13 단일 IAM 사용자가 사용할 수 있는 활성 액세스 키가 하나만 있는지 확인합니다.

• 1.14 액세스 키가 90일 이하로 순환되도록 합니다.

• 1.15 IAM 사용자가 그룹을 통해서만 권한을 받도록 하기

• 1.16 전체 "*:*" 관리 권한을 허용하는 IAM 정책이 연결되지 않았는지 확인

• 1.17 AWS Support에서 인시던트를 관리하기 위해 지원 역할이 생성되었는지 확인합니다.

• 1.18 IAM 인스턴스 역할이 인스턴스에서 AWS 리소스 액세스에 사용되는지 확인

• 1.19 AWS IAM에 저장된 만료된 SSL/TLS 인증서가 모두 제거되었는지 확인

• 1.20 모든 지역에 대해 IAM Access Analyzer가 활성화되어 있는지 확인

• 1.21 IAM 사용자가 다중 계정 환경의 경우 자격 증명 연동 또는 AWS Organizations를 통해 중앙에서 관리되는지 확인합니다.

2 Storage

2.1 Simple Storage Service (S3)

• 2.1.1 모든 S3 버킷이 미사용 암호화를 사용하는지 확인

• 2.1.2 S3 버킷 정책이 HTTP 요청을 거부하도록 설정되었는지 확인

• 2.1.3 S3 버킷에서 MFA 삭제가 활성화되었는지 확인

• 2.1.4 Amazon S3의 모든 데이터가 필요한 경우 검색, 분류 및 보호되었는지 확인합니다.

• 2.1.5 S3 버킷이 '공개 액세스 차단(버킷 설정)'으로 구성되었는지 확인합니다.

2.2 Elastic Compute Cloud (EC2)

• 2.2.1 EBS 볼륨 암호화가 활성화되어 있는지 확인

2.3 Relational Database Service (RDS)

• 2.3.1 RDS 인스턴스에 대해 암호화가 활성화되어 있는지 확인

3 Logging

• 3.1 모든 지역에서 CloudTrail이 활성화되어 있는지 확인

• 3.2 CloudTrail 로그 파일 유효성 검사가 활성화되었는지 확인

• 3.3 CloudTrail 로그를 저장하는 데 사용되는 S3 버킷에 공개적으로 액세스할 수 없는지 확인합니다.

• 3.4 CloudTrail 추적이 CloudWatch Logs와 통합되었는지 확인

• 3.5 모든 리전에서 AWS Config가 활성화되어 있는지 확인

• 3.6 CloudTrail S3 버킷에서 S3 버킷 액세스 로깅이 활성화되었는지 확인

• 3.7 KMS CMK를 사용하여 저장 시 CloudTrail 로그가 암호화되었는지 확인

• 3.8 고객 생성 CMK에 대한 교체가 활성화되었는지 확인

• 3.9 모든 VPC에서 VPC 흐름 로깅이 활성화되어 있는지 확인

• 3.10 쓰기 이벤트에 대한 객체 수준 로깅이 S3 버킷에 대해 활성화되어 있는지 확인

• 3.11 읽기 이벤트에 대한 객체 수준 로깅이 S3 버킷에 대해 활성화되어 있는지 확인

4 Monitoring

• 4.1 승인되지 않은 API 호출에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • ({($.errorCode="*UnauthorizedOperation") || ($.errorCode="AccessDenied*")}

• 4.2 MFA 없이 관리 콘솔 로그인에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • {($.eventName="ConsoleLogin") && ($.additionalEventData.MFAUsed !="Yes")}

• 4.3 '루트' 계정 사용에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • { $.userIdentity.type = "Root" && $.userIdentity.invokedByNOT EXISTS && $.eventType != "AwsServiceEvent" }

• 4.4 IAM 정책 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인

  • {($.eventName=DeleteGroupPolicy) || ($.eventName=DeleteRolePolicy) || ($.eventName=DeleteUserPolicy) || ($.eventName=PutGroupPolicy) || ($.eventName=PutRolePolicy) || ($.eventName=PutUserPolicy) || ($.eventName=CreatePolicy) || ($.eventName=DeletePolicy) || ($.eventName=CreatePolicyVersion) || ($.eventName=DeletePolicyVersion) || ($.eventName=AttachRolePolicy) || ($.eventName=DetachRolePolicy) || ($.eventName=AttachUserPolicy) || ($.eventName=DetachUserPolicy) || ($.eventName=AttachGroupPolicy) || ($.eventName=DetachGroupPolicy)}

• 4.5 CloudTrail 구성 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인

  • {($.eventName=CreateTrail) || ($.eventName=UpdateTrail) || ($.eventName=DeleteTrail) || ($.eventName=StartLogging) || ($.eventName=StopLogging)}

• 4.6 AWS Management 콘솔 인증 실패에 대한 로그 지표 필터 및 경보가 있는지 확인

  • {($.eventName=ConsoleLogin) && ($.errorMessage="Failed authentication")}

• 4.7 고객이 생성한 CMK를 비활성화하거나 예약된 삭제를 위한 로그 지표 필터 및 경보가 있는지 확인합니다.

  • {($.eventSource = kms.amazonaws.com) && (($.eventName=DisableKey)||($.eventName=ScheduleKeyDeletion))}

• 4.8 S3 버킷 정책 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인

  • { ($.eventSource = s3.amazonaws.com) && (($.eventName = PutBucketAcl) || ($.eventName = PutBucketPolicy) || ($.eventName = PutBucketCors) || ($.eventName = PutBucketLifecycle) || ($.eventName = PutBucketReplication) || ($.eventName = DeleteBucketPolicy) || ($.eventName = DeleteBucketCors) || ($.eventName = DeleteBucketLifecycle) || ($.eventName = DeleteBucketReplication)) }

• 4.9 AWS Config 구성 변경에 대한 로그 지표 필터 및 경보가 있는지 확인

  • { ($.eventSource = config.amazonaws.com) && (($.eventName=StopConfigurationRecorder)||($.eventName=DeleteDeliveryChannel) ||($.eventName=PutDeliveryChannel)||($.eventName=PutConfigurationRecorder))}

• 4.10 보안 그룹 변경에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • {($.eventName = AuthorizeSecurityGroupIngress) || ($.eventName =AuthorizeSecurityGroupEgress) || ($.eventName = RevokeSecurityGroupIngress) || ($.eventName = RevokeSecurityGroupEgress) || ($.eventName = CreateSecurityGroup) || ($.eventName = DeleteSecurityGroup) }

• 4.11 NACL(네트워크 액세스 제어 목록) 변경에 대한 로그 메트릭 필터 및 경보가 있는지 확인합니다.

  • { ($.eventName = CreateNetworkAcl) || ($.eventName = CreateNetworkAclEntry) || ($.eventName = DeleteNetworkAcl) || ($.eventName = DeleteNetworkAclEntry) || ($.eventName = ReplaceNetworkAclEntry) || ($.eventName = ReplaceNetworkAclAssociation) }

• 4.12 네트워크 게이트웨이 변경에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • { ($.eventName = CreateCustomerGateway) || ($.eventName = DeleteCustomerGateway) || ($.eventName = AttachInternetGateway) || ($.eventName = CreateInternetGateway) || ($.eventName = DeleteInternetGateway) || ($.eventName = DetachInternetGateway) }

• 4.13 경로 테이블 변경에 대한 로그 메트릭 필터 및 경보가 존재하는지 확인

  • { ($.eventName = CreateRoute) || ($.eventName = CreateRouteTable) || ($.eventName = ReplaceRoute) || ($.eventName = ReplaceRouteTableAssociation) || ($.eventName = DeleteRouteTable) || ($.eventName = DeleteRoute) || ($.eventName = DisassociateRouteTable) }"

• 4.14 VPC 변경에 대한 로그 지표 필터 및 경보가 존재하는지 확인

  • { ($.eventName = CreateVpc) || ($.eventName = DeleteVpc) || ($.eventName = ModifyVpcAttribute) || ($.eventName = AcceptVpcPeeringConnection) || ($.eventName = CreateVpcPeeringConnection) || ($.eventName = DeleteVpcPeeringConnection) || ($.eventName = RejectVpcPeeringConnection) || ($.eventName = AttachClassicLinkVpc) || ($.eventName = DetachClassicLinkVpc) || ($.eventName = DisableVpcClassicLink) || ($.eventName = EnableVpcClassicLink) }

• 4.15 AWS Organizations 변경 사항에 대한 로그 지표 필터 및 경보가 존재하는지 확인

  • { ($.eventSource = organizations.amazonaws.com) && (($.eventName = "AcceptHandshake") || ($.eventName = "AttachPolicy") || ($.eventName = "CreateAccount") || ($.eventName = "CreateOrganizationalUnit") || ($.eventName = "CreatePolicy") || ($.eventName = "DeclineHandshake") || ($.eventName = "DeleteOrganization") || ($.eventName = "DeleteOrganizationalUnit") || ($.eventName = "DeletePolicy") || ($.eventName = "DetachPolicy") || ($.eventName = "DisablePolicyType") || ($.eventName = "EnablePolicyType") || ($.eventName = "InviteAccountToOrganization") || ($.eventName = "LeaveOrganization") || ($.eventName = "MoveAccount") || ($.eventName = "RemoveAccountFromOrganization") || ($.eventName = "UpdatePolicy") || ($.eventName = "UpdateOrganizationalUnit")) }

5 Networking

• 5.1 네트워크 ACL이 0.0.0.0/0에서 원격 서버 관리 포트로의 진입을 허용하지 않는지 확인합니다.

• 5.2 0.0.0.0/0에서 원격 서버 관리 포트로의 진입을 허용하는 보안 그룹이 없는지 확인합니다.

• 5.3 모든 VPC의 기본 보안 그룹이 모든 트래픽을 제한하는지 확인

• 5.4 VPC 피어링을 위한 라우팅 테이블이 "최소 액세스"인지 확인