11탄-8. ISMS-AWS-스토리지 체크
<1> S3 스토리지가 Public에 노출되어 있는지 확인.(필수)
<2> Server access log가 남도록 서버 액세스 로깅 설정 확인.
<3> 스토리지 암호화 설정 적용 확인(필수)
<4> S3 스토리지 접속 권한이 최소화되어 있는지 확인.(필수)
<5> S3 스토리지 접속 IP가 최소화되어 있는지 확인.(필수)
<6> CloudTail 로그를 별도의 S3에 저장 확인.
<7> S3에 저장된 로그에 대한 검토와 검토결과 보고 이력 확인(필수)
<8> S3 스토리지 생성시, 생성 요청자 Tag로 남기기,팀이름 담당자명
<9> 버전 관리 활성화 여부 확인(필수)
<10> (정리)비공인 AWS ISMS-P체크 리스트
<1> S3 스토리지가 Public에 노출되어 있는지 확인.
퍼블릭으로 허용 되어 있어도 문제는 없다.
단지, 용도 확인이 필수이다.
공지나 이미지 정보만 있다면 문제가 없다.
기본 생성
버킷 생성 시 디폴트로 생성한다.
Publuic Access는 제한된다.
Block Public access
<2> Server access log가 남도록 서버 액세스 로깅 설정 확인.
디폴트로 로그가 남지는 않는다.
로그 남도록 설정하려면 로그 수집용 S3버킷을 하나를 만들고, 로그를 해당 버킷에 저장 하도로 한다.
<3> S3 스토리지 암호화 설정 적용 확인
S3 > 해당 Bucket 클릭 > Properties > Encryption > AES-256로 서버측 암호화 적용.
<4> S3 스토리지 접속 권한이 최소화되어 있는지 확인.
주요 접근자는 누구인지 확인한다.
접근 통제가 어떻게 되어 있는지 확인 한다.
Bucket Policy 권한의 적절성 판단.
S3 > 해당 버킷 > Permissions > Bucket Policy 점검
필요한 계정에 필요한 권한만 주도록 한다.
https://brunch.co.kr/@topasvga/682
<5> S3 스토리지 접속 IP가 최소화되어 있는지 확인.
회사 내에서만 S3 Bucket에 데이터를 올리면 접속 소스 IP를 회사 내 IP 블록으로만 제한하라.
<6> CloudTail 로그를 별도의 S3에 저장 확인.
CloudTail log를 S3에 저장이 되도록 설정하라.
https://brunch.co.kr/@topasvga/632
S3 Bucket에 접근자에 대해 추적할 수 있어야 한다.
<7> S3에 저장된 로그에 대한 검토와 검토결과 보고 이력 확인
1. 로그에 대해 검토한 이력을 확인
2. 검토 결과를 보고한 증적이 있는지 확인
<8> S3 스토리지 생성시, 생성 요청자 Tag로 남기기,팀이름 담당자명 (선택)
스토리지 생성시, 나중에 해당 스토리지의 소유자가 확인 되어야 한다.
데이터 관리의 책임이 있기 때문이다.
업무요청 시스템으로 요청이 와서 처리하지만 나중에 찾기 힘들다.
테그등으로 관리하도록 하자.
<9> 버전 관리 활성화 여부 확인
주요 데이터는 버전 관리 활성화 되어 관리가 되어야 한다.
전체 다시 보기
<10> (정리)비공인 AWS ISMS-P체크 리스트
https://brunch.co.kr/@topasvga/1771
감사합니다.
