CIS 벤치 마크

클라우드 보안

 클라우드 보안을 위해서는 다음과 같은 지칭을 제공 

 

 

1. IAM

2. AWS 구성

3. AWS cloud trail 

4.AWS SNS

5.AWS S3

6.AWS VPC

 

1. IAM을 사용하여 워크스페이 관리가 정의되었는지 ,, 

 

2. WorkSpace 사용자가 MFA를 사용하도록 설정했는 지 

 

MFA ( Multi-Factor Authentication ) -> 이중 인증을 말한다. 

3. WorkSpace 볼륨이 암호화가 되어 있는 지

 

1. 워크스페이스를 시작할 때 암호화를 해야한다. 워크스페이스에 대해 암호화가 활성화된 이후에는 암호화를 비활성화할 수 없다. 

 

-> workspace는 aws에서 제공하는 desktop을 의미한다.  ( 신기하다 ) 

워크스페이스가 자체 가상 프라이빗 클라우드 ( VPC ) 에 배포되었는 지 확인 

이때 vpc의 서브넷은 워크스페이스를 시작하려는 지역의 다른 가용영역에 있어야 한다. 

 

 

4. 워크스페이스 트래픽이 NAT 게이트웨이를 통해 제어되고 라우팅 되는 지 확인한다. 

NAT 게이트웨이를 사용하면 사설 서브넷의 인스턴스가 인터넷이나 다른 AWS 서비스에 연결할 수 있지만 인터넷이 해당 인스턴스와 직접 연결 

 

5. 워크스페이스에 대한 웹 액세스가 비활성화되어 있는지 확인 

-> 워크스페이스 액세스는 신뢰할 수 있는 운영 체제 및 클라이언트로 제한되어야 한다 .

 

6. default ip access group의 연결이 해제되어 있는지 확인 

-> 기본 ip access group은 모든 트래픽을 허용한다. 

 

7. cloudwatch가 워크스페이스에 설정되어 있는지 확인한다. 

-> cloudwatch란 이벤트 로깅을 탐지 

 

8. 워크스페이스용 운영 체제에서 패치 및 업데이트가 수행되는 지 확인한다. 

 

9. 워크스페이스 이미지에는 90일이 넘는 생성 타임스탬프가 없어야 한다.  

-> 워크 스페이스 생성 이미지가 90일이 지났는 지 확인 

 

10. 워크스페이스의 기본 인터페이스 포트가 모든 인바운드 트래픽에 열려 있지 않은지 확인한다. 

 

11. 워크스페이스에 FIPS 엔드포인트 암호화가 사용 설정되어 있는지 확인한다. 

 

-> FIPS 엔드포인트 암호화를 사용해야 한다. 

-> 높은 수준의 보안을 충족하고 다양한 규정 준수 표준을 준수하려면 WorkSpace를 사용하여 디렉터리 수준에서 FIPS 엔드포인트 암호화를 사용해야 한다. 

 

12. 워크스페이스 API 요청이 VPC 엔드포인트를 통과하도록 한다. 

-> 모든 워크스페이스 API 요청의 경우 VPC 인터페이스 엔드포인트를 통해 연결을 설정하도록 한다. 

 

13.  Radius Server ( 인증 서버 ) 

-> Raduis 서버가 권장 보안 프로토콜을 사용하고 있는지 확인한다. 

 

14. 사용자 엑세스 로깅이 활성화되어 있는 지 확인한다. 

-> 사용자 엑세스 로깅은 다음과 같은 사용자 이벤트를 기록할 수 있다. 

-> 사용자 이벤트를 기록하도록 사용자 엑세스 로깅을 설정할 수 있다.