데이터 보안 권장 사항

아티클
08/07/2024

이 문서에서는 클라우드용 Microsoft Defender 볼 수 있는 모든 데이터 보안 권장 사항을 나열합니다.

사용자 환경에 표시되는 권장 사항은 보호 중인 리소스와 사용자 지정된 구성을 기반으로 합니다.

이러한 권장 사항에 대한 응답으로 수행할 수 있는 작업에 대해 알아보려면 클라우드용 Defender 권장 사항 수정을 참조하세요.

팁

권장 사항 설명에 관련 정책이 없다고 표시되는 경우 일반적으로 권장 사항은 다른 권장 사항에 따라 달라지기 때문입니다.

이 플랜의 보호는 Defender 계획 페이지에 표시된 대로 요금이 청구됩니다. 이 구독에 Azure SQL Database 서버가 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 Azure SQL Database 서버를 만들면 자동으로 보호되고 요금이 청구됩니다. 지역별 가격 책정 세부 정보에 대해 알아봅니다.

SQL용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책: Azure SQL Database용 Azure Defender 서버를 사용하도록 설정해야 함).

심각도: 높음

DNS용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: DNS용 Microsoft Defender는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. DNS용 Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다. DNS용 Microsoft Defender 소개에서 자세히 알아보세요. 이 Defender 플랜을 사용하도록 설정하면 요금이 청구됩니다. 클라우드용 Defender 가격 책정 페이지에서 지역별 가격 책정 세부 정보( 클라우드용 Defender 가격 책정)에 대해 알아봅니다. (관련 정책 없음)

심각도: 높음

오픈 소스 관계형 데이터베이스용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: 오픈 소스 관계형 데이터베이스용 Microsoft Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. 오픈 소스 관계형 데이터베이스용 Microsoft Defender 소개에서 자세히 알아봅니다.

설명: 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지합니다.

설명: SQL 취약성 평가는 데이터베이스에서 보안 취약성을 검사하고 잘못된 구성, 과도한 권한 및 보호되지 않는 중요한 데이터와 같은 모범 사례의 편차를 노출합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. 자세한 정보(관련 정책: 컴퓨터의 SQL 서버 취약성을 수정해야 함).

심각도: 높음

설명: 들어오는 트래픽에 대한 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. (관련 정책: Azure Front Door Service에 대해 WAF(Web Application Firewall)를 사용하도록 설정해야 하나요? 서비스)

S3 버킷이 서버 쪽 암호화를 사용할 수 있어야 합니다.

설명: 서버 쪽 암호화를 사용하도록 설정하여 S3 버킷의 데이터를 보호합니다. 데이터를 암호화하면 데이터 보안 위반 발생 시 중요한 데이터에 액세스하지 못하게 막을 수 있습니다.

심각도: 보통

자동 회전이 구성된 Secrets Manager 비밀이 성공적으로 회전해야 합니다.

설명: 이 컨트롤은 AWS Secrets Manager 비밀이 회전 일정에 따라 성공적으로 회전되었는지 여부를 확인합니다. RotationOccurringAsScheduled가 false인 경우 이 컨트롤은 검사에 불합격합니다. 컨트롤은 회전이 구성되지 않은 비밀을 평가하지 않습니다. Secrets Manager는 조직의 보안 태세를 강화하는 데 도움이 됩니다. 비밀에는 데이터베이스 자격 증명, 암호, 타사 API 키가 포함됩니다. Secrets Manager를 사용하여 비밀을 중앙에 저장하고, 비밀을 자동으로 암호화하고, 비밀 액세스 권한을 제어하고, 비밀을 안전하게 자동으로 회전할 수 있습니다. Secrets Manager는 비밀을 회전할 수 있습니다. 회전을 사용하여 장기 비밀을 단기 비밀로 바꿀 수 있습니다. 비밀을 회전하면 권한 없는 사용자가 손상된 비밀을 사용할 수 있는 기간이 제한됩니다. 이러한 이유로 비밀을 자주 회전해야 합니다. 자동으로 회전되도록 비밀을 구성하는 것 외에도 회전 일정에 따라 비밀이 회전되는지 확인해야 합니다. 회전에 대한 자세한 내용은 AWS Secrets Manager 사용자 가이드의 Rotating your AWS Secrets Manager secrets(영문)를 참조하세요.

심각도: 보통

Secrets Manager 비밀은 지정된 일 수 내에 회전해야 합니다.

설명: 이 컨트롤은 비밀이 90일 이내에 한 번 이상 회전되었는지 여부를 확인합니다. 비밀을 회전하면 AWS 계정의 비밀이 무단으로 사용될 위험을 줄일 수 있습니다. 비밀의 예로는 데이터베이스 자격 증명, 암호, 타사 API 키, 임의 텍스트 등이 있습니다. 오랜 시간 동안 비밀을 변경하지 않으면 비밀이 손상될 가능성이 높습니다. 더 많은 사용자가 비밀에 액세스할 수 있게 되면 누군가가 비밀을 잘못 처리하여 권한 없는 엔터티에게 비밀을 유출될 가능성이 높아질 수 있습니다. 로그 및 캐시 데이터를 통해 비밀이 유출될 수 있습니다. 디버깅을 위해 비밀을 공유할 수 있으며, 디버깅이 완료되면 비밀을 변경하거나 취소할 수 없습니다. 이러한 이유로 비밀을 자주 회전해야 합니다. AWS Secrets Manager에서 비밀이 자동으로 회전하도록 구성할 수 있습니다. 자동 회전을 사용하면 장기 비밀을 단기 비밀로 교체하여 손상 위험을 크게 줄일 수 있습니다. 보안 허브에서는 Secrets Manager 비밀에 회전을 사용하도록 권장합니다. 회전에 대한 자세한 내용은 AWS Secrets Manager 사용자 가이드의 Rotating your AWS Secrets Manager secrets(영문)를 참조하세요.

심각도: 보통

설명: 이 컨트롤은 AWS KMS를 사용하여 SNS 토픽이 미사용 시 암호화되는지 여부를 확인합니다. 미사용 데이터를 암호화하면 AWS에 인증되지 않은 사용자가 디스크에 저장된 데이터에 액세스할 위험이 줄어듭니다. 뿐만 아니라 권한 없는 사용자가 데이터에 액세스하는 가능성을 제한하는 또 다른 액세스 제어 세트가 추가됩니다. 예를 들어 암호화된 데이터를 읽으려면 먼저 암호를 해독할 API 권한이 필요합니다. 보안 계층을 추가하기 위해 SNS 토픽을 미사용 시 암호화해야 합니다. 자세한 내용은 Amazon Simple Notification Service 개발자 가이드의 Encryption at rest(영문)를 참조하세요.

심각도: 보통

모든 VPC에서 VPC 흐름 로깅을 사용하도록 설정해야 합니다.

설명: VPC 흐름 로그는 VPC를 통과하고 보안 이벤트 중에 비정상적인 트래픽 또는 인사이트를 검색하는 데 사용할 수 있는 네트워크 트래픽에 대한 가시성을 제공합니다.

심각도: 보통

GCP 데이터 권장 사항

Cloud SQL SQL Server 인스턴스에 대한 '3625(추적 플래그)' 데이터베이스 플래그를 '끔'으로 설정해야 함

설명: 클라우드 SQL Server 인스턴스의 "3625(추적 플래그)" 데이터베이스 플래그를 "off"로 설정하는 것이 좋습니다. 추적 플래그는 성능 문제를 진단하거나 저장 프로시저 또는 복잡한 컴퓨터 시스템을 디버그하는 데 자주 사용되지만 특정 워크로드에 부정적인 영향을 주는 동작을 해결하기 위해 Microsoft 지원 권장될 수도 있습니다. 모든 문서화된 추적 플래그와 Microsoft 추적 플래그를 지시에 따라 사용하는 경우 프로덕션 환경에서 완전히 지원됩니다. "3625(추적 로그)" '******'을 사용하여 일부 오류 메시지의 매개 변수를 마스킹하여 sysadmin 고정 서버 역할의 멤버가 아닌 사용자에게 반환되는 정보의 양을 제한합니다. 이렇게 하면 중요한 정보의 노출을 막을 수 있습니다. 따라서 이 플래그를 사용하지 않도록 설정하는 것이 좋습니다. 이 권장 사항은 SQL Server 데이터베이스 인스턴스에 적용됩니다.

심각도: 보통

Cloud SQL SQL Server 인스턴스에 대한 '외부 스크립트 사용' 데이터베이스 플래그를 '끔'으로 설정해야 함

설명: 클라우드 SQL Server 인스턴스에 대해 "외부 스크립트 사용" 데이터베이스 플래그를 해제하도록 설정하는 것이 좋습니다. "외부 스크립트 사용"은 특정 원격 언어 확장이 있는 스크립트 실행을 사용하도록 설정합니다. 이 속성은 기본적으로 해제되어 있습니다. 고급 분석 서비스가 설치되어 있으면 이 속성을 true로 설정할 수 있습니다. "외부 스크립트 사용" 기능을 사용하면 R 라이브러리에 있는 파일과 같은 SQL 외부 스크립트를 실행할 수 있으며, 이는 시스템 보안에 악영향을 미칠 수 있으므로 이 기능을 사용하지 않도록 설정해야 합니다. 이 권장 사항은 SQL Server 데이터베이스 인스턴스에 적용됩니다.

심각도: 높음

Cloud SQL SQL Server 인스턴스에 대한 '원격 액세스' 데이터베이스 플래그를 '끔'으로 설정해야 함

설명: 클라우드 SQL Server 인스턴스에 대한 "원격 액세스" 데이터베이스 플래그를 "off"로 설정하는 것이 좋습니다. "원격 액세스" 옵션은 SQL Server 인스턴스가 실행 중인 로컬 또는 원격 서버에서 저장 프로시저의 실행을 제어합니다. 이 옵션의 기본값은 1입니다. 이 기본값으로 설정하면 원격 서버 또는 로컬 서버의 원격 저장 프로시저에서 로컬 저장 프로시저를 실행할 수 있는 권한이 부여됩니다. 로컬 저장 프로시저가 원격 서버에서 실행되거나 원격 저장 프로시저가 로컬 서버에서 실행되지 않도록 하려면 이 기능을 사용하지 않도록 설정해야 합니다. 원격 액세스 옵션은 원격 서버의 로컬 저장 프로시저 또는 로컬 서버의 원격 저장 프로시저 실행을 제어합니다. '원격 액세스' 기능은 쿼리 처리를 대상으로 오프로드하여 원격 서버에서 DoS(서비스 거부) 공격을 실행하는 데 남용될 수 있으므로 이 기능을 사용하지 않도록 설정해야 합니다. 이 권장 사항은 SQL Server 데이터베이스 인스턴스에 적용됩니다.

심각도: 높음

Cloud SQL Mysql 인스턴스에 대한 'skip_show_database' 데이터베이스 플래그를 '켬'으로 설정해야 함

설명: 클라우드 SQL Mysql 인스턴스의 "skip_show_database" 데이터베이스 플래그를 "켜기"로 설정하는 것이 좋습니다. 'skip_show_database' 데이터베이스 플래그는 SHOW DATABASES 권한이 없는 경우 사용자가 SHOW DATABASES 문을 사용할 수 없도록 합니다. 사용자가 다른 사용자에게 속한 데이터베이스를 볼 수 있는 것에 대해 우려되는 경우 보안을 개선시킬 수 있습니다. 그 효과는 SHOW DATABASES 권한에 따라 다릅니다. 변수 값이 ON이면 SHOW DATABASES 문은 SHOW DATABASES 권한이 있는 사용자에게만 허용되며 문은 모든 데이터베이스 이름을 표시합니다. 값이 OFF인 경우 SHOW DATABASES는 모든 사용자에게 허용되지만 사용자가 SHOW DATABASES 또는 기타 권한을 가진 데이터베이스의 이름만 표시합니다. 이 권장 사항은 Mysql 데이터베이스 인스턴스에 적용됩니다.

심각도: 낮음

모든 BigQuery 데이터 집합에 대해 기본 CMEK(고객 관리형 암호화 키)가 지정되어야 함

설명: BigQuery는 기본적으로 Google 관리형 암호화 키를 사용하여 봉투 암호화를 사용하여 데이터를 미사용으로 암호화합니다. 데이터는 데이터 암호화 키를 사용하여 암호화되며 데이터 암호화 키 자체는 키 암호화 키를 사용하여 추가로 암호화됩니다. 이는 원활한 과정이며 사용자의 추가 입력이 필요하지 않습니다. 그러나 더 강력한 제어를 원하는 경우 CMEK(고객 관리형 암호화 키)를 BigQuery 데이터 세트의 암호화 키 관리 솔루션으로 사용할 수 있습니다. BigQuery는 기본적으로 Google 관리 암호화 키를 사용하여 봉투 암호화를 채택하여 미사용 데이터를 암호화합니다. 이는 원활하며 사용자의 추가 입력이 필요하지 않습니다. 암호화를 더 잘 제어하기 위해 CMEK(고객 관리형 암호화 키)를 BigQuery 데이터 세트의 암호화 키 관리 솔루션으로 사용할 수 있습니다. 데이터 세트에 대한 기본 CMEK(고객 관리형 암호화 키)를 설정하면 다른 테이블이 제공되지 않는 경우 향후 만들어지는 모든 테이블이 지정된 CMEK를 사용하게 됩니다.

Google은 해당 서버에 키를 저장하지 않으며 키를 제공하지 않는 한 보호된 데이터에 액세스할 수 없습니다.

즉, 키를 잊어버리거나 분실한 경우 Google에서 키를 복구하거나 손실된 키로 암호화된 데이터를 복구할 수 있는 방법이 없습니다.

심각도: 보통

모든 BigQuery 테이블을 CMEK(고객 관리형 암호화 키)로 암호화해야 함

설명: BigQuery는 기본적으로 Google 관리형 암호화 키를 사용하여 봉투 암호화를 사용하여 데이터를 미사용으로 암호화합니다. 데이터는 데이터 암호화 키를 사용하여 암호화되며 데이터 암호화 키 자체는 키 암호화 키를 사용하여 추가로 암호화됩니다. 이는 원활한 과정이며 사용자의 추가 입력이 필요하지 않습니다. 그러나 더 강력한 제어를 원하는 경우 CMEK(고객 관리형 암호화 키)를 BigQuery 데이터 세트의 암호화 키 관리 솔루션으로 사용할 수 있습니다. CMEK를 사용하는 경우 Google 관리 암호화 키를 사용하는 대신 CMEK를 사용하여 데이터 암호화 키를 암호화합니다. BigQuery는 기본적으로 Google 관리 암호화 키를 사용하여 봉투 암호화를 채택하여 미사용 데이터를 암호화합니다. 이는 원활하며 사용자의 추가 입력이 필요하지 않습니다. 암호화를 더 잘 제어하기 위해 CMEK(고객 관리형 암호화 키)를 BigQuery 테이블의 암호화 키 관리 솔루션으로 사용할 수 있습니다. CMEK는 Google 관리 암호화 키를 사용하는 대신 데이터 암호화 키를 암호화하는 데 사용됩니다. BigQuery는 테이블과 CMEK 연결을 저장하며 암호화/암호 해독은 자동으로 수행됩니다. BigQuery 데이터 세트에 기본 고객 관리형 키를 적용하면 향후 만들어지는 모든 새 테이블이 CMEK를 사용하여 암호화되지만 CMEK를 개별적으로 사용하려면 기존 테이블을 업데이트해야 합니다.

설명: Cloud Storage 버킷에서 균일한 버킷 수준 액세스를 사용하도록 설정하는 것이 좋습니다. 균일한 버킷 수준 액세스를 사용하여 Cloud Storage 리소스에 대한 액세스 권한을 부여하는 방법을 통합하고 간소화하는 것이 좋습니다. Cloud Storage는 버킷 및 개체에 액세스할 수 있는 권한을 사용자에게 부여하기 위한 두 가지 시스템인 클라우드 IAM(클라우드 ID 및 액세스 관리) 및 ACL(액세스 제어 목록)을 제공합니다.
이러한 시스템은 병렬로 작동합니다. 사용자가 클라우드 스토리지 리소스에 액세스하려면 시스템 중 하나만 사용자 권한을 부여하면 됩니다. Cloud IAM은 Google Cloud 전체에서 사용되며 버킷 및 프로젝트 수준에서 다양한 권한을 부여할 수 있습니다. ACL은 클라우드 스토리지에서만 사용되며 권한 옵션이 제한되어 있지만 개체별로 권한을 부여할 수 있습니다.

설명: SQL 인스턴스 구성 변경에 대한 메트릭 필터 및 경보를 설정하는 것이 좋습니다. SQL 인스턴스 구성 변경 내용을 모니터링하면 SQL 서버에서 수행된 잘못된 구성을 감지하고 수정하는 데 필요한 시간이 단축될 수 있습니다. 다음은 SQL 인스턴스의 보안 태세에 영향을 줄 수 있는 몇 가지 구성 가능한 옵션입니다.

자동 백업 및 고가용성 사용: 구성이 잘못되어 비즈니스 연속성, 재해 복구 및 고가용성에 부정적인 영향을 줄 수 있습니다.
네트워크 권한 부여: 잘못된 구성으로 신뢰할 수 없는 네트워크에 대한 노출이 증가할 수 있습니다.

심각도: 낮음

각 서비스 계정에 대해 GCP 관리 서비스 계정 키만 있어야 함

설명: 사용자 관리 서비스 계정에는 사용자 관리형 키가 없어야 합니다. 키에 액세스할 수 있는 사용자는 누구나 서비스 계정을 통해 리소스에 액세스할 수 있습니다. GCP 관리형 키는 앱 엔진 및 컴퓨팅 엔진과 같은 Cloud 플랫폼 서비스에서 사용됩니다. 이러한 키는 다운로드할 수 없습니다. Google은 키를 보관하고 대략 매주 자동으로 회전합니다. 사용자 관리형 키는 사용자가 만들며 사용자가 다운로드 및 관리합니다. 만들어진 후 10년이 지나면 만료됩니다. 사용자 관리형 키의 경우 사용자는 다음을 포함하는 키 관리 활동의 소유권을 가져와야 합니다.

키 스토리지
키 배포
키 해지
키 회전
권한이 없는 사용자로부터 키 보호
키 복구

주요 소유자 예방 조치에도 불구하고 키는 소스 코드에 키를 확인하거나 다운로드 디렉터리에 두거나 실수로 지원 블로그/채널에 그대로 두는 것과 같은 최적 이하의 일반적인 개발 방법으로 쉽게 유출될 수 있습니다. 사용자 관리 서비스 계정 키를 방지하는 것이 좋습니다.

심각도: 낮음

Cloud SQL SQL Server 인스턴스에 대한 '사용자 연결' 데이터베이스 플래그를 적절하게 설정해야 함

설명: 조직 정의 값에 따라 클라우드 SQL Server 인스턴스에 대한 "사용자 연결" 데이터베이스 플래그를 설정하는 것이 좋습니다. "사용자 연결" 옵션은 SQL Server인스턴스에 허용되는 최대 동시 사용자 연결 수를 지정합니다. 허용되는 실제 사용자 연결 수는 사용 중인 SQL Server 버전과 애플리케이션 또는 애플리케이션 및 하드웨어의 제한에 따라 달라집니다. SQL Server에서는 최대 32,767개의 사용자 연결을 허용합니다. 사용자 연결은 동적(자체 구성) 옵션이므로 SQL Server는 필요에 따라 최대 사용자 연결 수를 허용되는 최대값까지 자동으로 조정합니다. 예를 들어 10명의 사용자만 로그인하면 10개의 사용자 연결 개체가 할당됩니다. 대부분의 경우 이 옵션의 값을 변경할 필요가 없습니다. 기본값은 0입니다. 즉, 최대(32,767) 사용자 연결이 허용됩니다. 이 권장 사항은 SQL Server 데이터베이스 인스턴스에 적용됩니다.

심각도: 낮음

Cloud SQL SQL Server 인스턴스에 대한 '사용자 옵션' 데이터베이스 플래그를 구성하지 않아야 함

설명: 클라우드 SQL Server 인스턴스에 대한 "사용자 옵션" 데이터베이스 플래그를 구성하지 않는 것이 좋습니다. "user options" 옵션은 모든 사용자에 대한 전역 기본값을 지정합니다. 기본 쿼리 처리 옵션 목록은 사용자의 작업 세션 기간에 대해 설정됩니다. 사용자 옵션 설정을 사용하면 SET 옵션의 기본값을 변경할 수 있습니다(서버의 기본 설정이 적절하지 않은 경우). 사용자는 SET 문을 사용하여 이 기본값을 무시할 수 있습니다. 새 로그인에 대한 사용자 옵션을 동적으로 구성할 수 있습니다. 사용자 옵션 설정을 변경하면 새 로그인 세션에서 새 설정을 사용합니다. 현재 로그인 세션은 영향을 받지 않습니다. 이 권장 사항은 SQL Server 데이터베이스 인스턴스에 적용됩니다.

심각도: 낮음

다음을 통해 공유

데이터 보안 권장 사항

Azure 데이터 권장 사항

AWS 데이터 권장 사항

Amazon Aurora 클러스터에서는 역추적을 사용하도록 설정해야 합니다.

Amazon ECS 작업 정의에는 보안 네트워킹 모드와 사용자 정의가 있어야 합니다.

Amazon Elasticsearch Service 도메인은 노드 간에 전송되는 데이터를 암호화해야 합니다.

Amazon Elasticsearch Service 도메인에서 미사용 암호화를 사용할 수 있어야 합니다.

Amazon Redshift 클러스터에서는 감사 로깅을 사용하도록 설정해야 합니다.

Amazon Redshift 클러스터에서 자동 스냅샷을 사용하도록 설정해야 합니다.

Amazon Redshift 클러스터에서 퍼블릭 액세스를 금지해야 합니다.

Amazon Redshift에서 주 버전의 자동 업그레이드를 사용하도록 설정해야 합니다.

Amazon SQS 큐는 미사용 시 암호화해야 합니다.

중요한 클러스터 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

중요한 데이터베이스 인스턴스 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

중요한 데이터베이스 매개 변수 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

중요한 데이터베이스 보안 그룹 이벤트에 대해 RDS 이벤트 알림 구독을 구성해야 합니다.

API 게이트웨이 REST 및 WebSocket API 로깅을 사용하도록 설정해야 합니다.

API 게이트웨이 REST API 캐시 데이터는 미사용 시 암호화되어야 합니다.

API 게이트웨이 REST API 단계는 백엔드 인증에 SSL 인증서를 사용하도록 구성되어야 합니다.

API 게이트웨이 REST API 단계에서는 AWS X-Ray 추적을 사용하도록 설정해야 합니다.

API 게이트웨이는 AWS WAF 웹 ACL과 연결되어야 합니다.

애플리케이션 및 클래식 Load Balancer 로깅을 사용하도록 설정해야 합니다.

연결된 EBS 볼륨은 미사용 암호화해야 합니다.

클래식 부하 분산 장치 수신기는 HTTPS 또는 TLS 종료로 구성해야 합니다.

클래식 Load Balancer에서는 연결 드레이닝을 사용하도록 설정해야 합니다.

CloudFront 배포에서는 AWS WAF를 사용하도록 설정해야 합니다.

CloudFront 배포에서는 로깅을 사용하도록 설정해야 합니다.

CloudFront 배포에서는 전송 중 암호화를 요구해야 합니다.

미사용 시 CloudTrail 로그를 KMS CMK로 암호화해야 합니다.

Amazon Redshift 클러스터에 대한 연결은 전송 중 암호화해야 합니다.

TLS 1.2를 사용하여 Elasticsearch 도메인에 대한 연결을 암호화해야 합니다.

DynamoDB 테이블에서는 지정 시간 복구를 사용하도록 설정해야 합니다.

EBS 기본 암호화를 사용하도록 설정해야 합니다.

Elastic Beanstalk 환경에서는 향상된 상태 보고를 사용하도록 설정해야 합니다.

Elastic Beanstalk 관리형 플랫폼 업데이트를 사용하도록 설정해야 합니다.

CloudWatch 로그에 Elasticsearch 도메인 오류 로깅을 사용하도록 설정해야 합니다.

Elasticsearch 도메인은 3개 이상의 전용 마스터 노드로 구성되어야 합니다.

Elasticsearch 도메인에는 최소 3개의 데이터 노드가 있어야 합니다.

Elasticsearch 도메인에서는 감사 로깅을 사용하도록 설정해야 합니다.

RDS DB 인스턴스 및 클러스터에서 향상된 모니터링을 구성해야 합니다.

고객 생성 CMK에 대해 회전을 사용해야 합니다.

CloudTrail S3 버킷에서 S3 버킷 액세스 로깅을 사용해야 합니다.

가져온 ACM 인증서는 지정된 기간 후에 갱신해야 합니다.

RDS 자동 부 버전 업그레이드를 사용하도록 설정해야 합니다.

RDS 클러스터 스냅샷과 데이터베이스 스냅샷은 미사용 암호화해야 합니다.

RDS 클러스터에서는 삭제 방지를 사용하도록 설정해야 합니다.

복수의 가용성 영역에 대해 RDS DB 클러스터를 구성해야 합니다.

스냅샷에 태그를 복사하도록 RDS DB 클러스터를 구성해야 합니다.

스냅샷에 태그를 복사하도록 RDS DB 인스턴스를 구성해야 합니다.

RDS DB 인스턴스는 여러 가용성 영역을 사용해서 구성해야 합니다.

RDS DB 인스턴스에서 삭제 방지를 사용하도록 설정해야 합니다.

RDS DB 인스턴스에서는 미사용 암호화를 사용하도록 설정해야 합니다.

RDS DB 인스턴스에서 퍼블릭 액세스를 금지해야 합니다.

RDS 스냅샷에서 퍼블릭 액세스를 금지해야 합니다.

사용되지 않는 Secrets Manager 비밀을 제거합니다.

S3 버킷이 지역 간 복제를 사용할 수 있어야 합니다.

S3 버킷이 서버 쪽 암호화를 사용할 수 있어야 합니다.