계정 신청 시스템을 통해 발급되었는지 확인 = 권한 부여 내역도 체크
예) 신청시 계정과 필요한 서비스에 대한 요청이 있어야 한다.
LDAP연동 되어 있다하더라도 해당 사용자만 접속 가능한지 확인한다.
1
IAM > 사용자에서 점검한다.
계정은 사용자가 누구인지 인지될 수 있도록 해야 한다.
100이나 test 1 계정은 누가 사용하는지 알 수 없다.
삭제하도록 한다.
2) 1인 1 계정을 사용하도록 한다. = 공용 계정은 없어야 한다.
4) 퇴사자 계정 삭제
5) 외부 계약 종료 업체 계정 삭제
2
MFA는 필수로 설정 확인.
MFA를 필수로 설정하자.
아래 MFA부분에 '활성화되지 않음'은 설정되어 있지 않은 경우다.
반드시 2차 인증 설정을 하자.
https://brunch.co.kr/@topasvga/95
3
EC2 키페어 괸리 지침이 있는지 확인
지침에 따라 교체가 되는지 확인.
4
그룹에 맞는 권한인지 확인. = Admin권한이 할당되어 있으면 회수하자.
DB 생성 권한 등은 최소 인원만 가지도록 설정한다. = 기존 온프라미스에서는 DB는 DBE만 접속한다.
직무에 맞는 AWS 정책
https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/access_policies_job-functions.html
5
액세스 키는 발급 최소화 확인.
1) 액세스 키 노출로 인해 보안 문제가 발생할 수 있다.
예)
아래 100 계정은 액세스 키 수명이 없으므로, 액세스 키가 없는 것이다.
아래 test 1 계정은 액세스 키 수명에 오늘이므로, 액세스 키가 있는 것이다.
사용하지 않으면 해당 계정의 보안 자격증명에서 액세스 키를 삭제한다.
2) 사용자를 인지할 수 있는 일반 계정을 만들어 사용한다.
3) 서비스용 프로그래밍 방식 액세스 키는 별도로 만들어 사용하자.
(AWS API, CLI, SDK 및 기타 개발 도구에 대해 액세스 키 ID 및 비밀 액세스 키 )
일반 사용자 계정 삭제 시 서비스가 안될 수 있으므로, 서비스용 계정은 별도로 생성 관리하도록 한다.
6
액세스 키는 외부에 노출될 수 있다.
주기적으로 변경하도록 하자.
2개까지 생성할 수 있으므로 추가로 생성하고 , 기존 액세스 키는 삭제하자.
마지막 활동일 확인 : 30일이 넘지 않도록 한다.
Key수명과 비밀번호 수명 확인 : 60일이 넘지 않도록 한다.
교체
7
서버를 접속하는 PEM키의 경우 외부에 노출되지 않도록 관리 확인.
참고 : pem키 분실 시 조치법
https://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/automation-ec2reset.html
8
10
계정 비밀번호 복잡도 확인
패스워드 작성 규칙을 수립하고 주기적으로 변경(분기 1회 이상 권고)
정보 시스템 도입시 초기/임시 패스워드 로그인시 지체 없이 변경 - 이부분은 계정 생성시 다음번 로그인시 암호변경 체크
정보 시스템 침해사고 발생시는 지체 없이 패스워드 변경
패스워드 저장 금지
3. AWS 의 경우 설정법 - IAM > 계정 설정 > 암호 정책 설정
알파벳 대문자(A-Z)는 필수는 아니라 제외해도 된다.
대문자는 없어도 ISMS 기준에 만족한다.
4. 계정 암호 정책 증적 제출
https://brunch.co.kr/@topasvga/751
<11> (정리) 비공인 AWS ISMS-P체크 리스트
https://brunch.co.kr/@topasvga/1771
감사합니다.