Checklist
Config Inspection에서 제공하는 체크 리스트 종류와 체크 리스트별 상세 진단 항목을 확인할 수 있습니다.
체크 리스트
체크 리스트는 진단 결과의 기준이 되는 진단 항목 모음으로, 현재 Config Inspection에서 제공하는 체크 리스트 종류는 다음과 같습니다.
| 클라우드 | 체크 리스트명 | 항목 개수 |
|---|
| Samsung Cloud Platform | Best Practice | 27 |
| Samsung Security Index (SSI) | 24 |
표. Config Inspection 체크 리스트 종류
참고
SSI 체크 리스트는 삼성 리전에서만 사용할 수 있습니다.
Best Practice
Samsung Cloud Platform에서 제공하는 Best Practice 체크 리스트의 상세 진단 항목은 다음과 같습니다.
| 영역 | 진단 항목 |
|---|
| IAM | - Account 사용자를 관리하는 권한은 최소 권한의 원칙에 따라 IAM User 관리가 필요한 사용자에게만 부여해야 합니다.
- 모든 사용자에게 인가된 IP만 접근을 허용하는 정책을 적용해야 합니다.
- 직무 및 사용 목적을 고려하여 최소 권한의 원칙에 따라 권한을 부여해야 합니다.
|
| Networking | - NAT Gateway는 인터넷 접속이 불필요한 Private Subnet에 생성하지 않아야 합니다.
- 네트워크 연동 상품은 Firewall을 사용해야 합니다.
- 불필요한 로컬 서브넷이 존재하지 않고 생성된 로컬 서브넷 내부에는 운영상 필요한 Virtual Server(VM) 또는 Bare Metal Server(BM)만 연결해야 합니다.
- 프로토콜별 원격 접속 Port는 인터넷 접근이 차단되어야 하며 접근이 필요한 IP를 지정하여 접속을 허용해야 합니다.
- Security Group은 IP/Port 단위로 필요한 규칙만 등록해야 합니다.
- 네트워크 연동 상품의 Firewall은 IP/Port 단위로 필요한 규칙만 등록해야 합니다.
|
| Compute | - Cloud Functions 함수 URL 사용 시 접근 제어를 적용해야 합니다.
|
| Container | - Kubernetes 클러스터 제어 영역은 퍼블릭 엔드포인트를 사용하지 않아야 합니다.
- Kubernetes 클러스터의 프라이빗 엔드포인트에는 인가된 리소스만 접근을 허용해야 합니다.
- Container Registry에 인가된 IP 리소스만 접근이 가능하도록 제한합니다.
- Container Registry 이미지에 대해 취약점 스캔을 활성화하고 발견된 취약점은 조치해야 합니다.
- Container Registry 취약한 이미지는 사용하지 못하도록 제한합니다.
|
| Database | - DB는 Private Subnet에 구성하고 인터넷 접속을 차단하여야 합니다.
- KMS Key는 접근이 필요한 주체에게만 관련 권한을 최소한으로 부여해야 합니다.
- KMS Key는 자동회전 기능을 통해 주기적(90일 이내)으로 변경해야 합니다.
|
| Logging | - Logging&Audit의 Trail 서비스를 활성화하고, 적용 범위를 전체 리전/자원 유형/사용자로 설정해야 합니다.
- Logging&Audit Trail의 로그파일 검증을 사용으로 설정해야 합니다.
- Logging&Audit의 Trail 로그를 1년 이상 저장하고 있어야 합니다.
- Security Group은 로깅을 활성화해야 합니다.
- Internet Gateway의 NAT 로깅을 활성화해야 합니다.
- Kubernetes Engine 클러스터의 제어 영역 로깅을 활성화해야 합니다.
- 네트워크 연동 상품은 Firewall 로깅을 활성화해야 합니다.
|
표. Samsung Cloud Platform Best Practice 체크 리스트 구성 항목
Samsung Security Index (SSI)
Samsung Cloud Platform에서 제공하는 Samsung Security Index (SSI) 체크 리스트의 상세 진단 항목은 다음과 같습니다.
| 영역 | 진단 항목 |
|---|
| IAM | - Account 사용자를 관리하는 권한을 최소 인력에게 부여했는가?
- 모든 Samsung Cloud Platform 사용자에 대해 접근 통제를 실시하는가?
- 직무 및 사용 목적에 따라 사용자의 권한을 최소화하고 있는가?
|
| Networking | - 업무상 외부시스템 접속이 불필요한 Private Subnet은 NAT Gateway 연동을 금지하고 있는가?
- 로컬 서브넷은 필요한 자원에 한하여 연동하는가?
- 모든 Security Group에 IP/Port 단위로 필요한 규칙만 등록하였는가?
- 네트워크 연동 상품의 Firewall은 IP/Port 단위로 필요한 규칙만 등록하였는가?
|
| Container | - Cloud Functions에 접근 제어를 하고 있는가?
- Kubernetes Engine API Server endpoint를 Private으로 설정하였는가?
- Kubernetes Engine API Server endpoint의 접근을 제한하고 있는가?
- Container Registry에 접근 제어를 하고 있는가?
- Container Registry 이미지에 대해 취약점 스캔 및 취약점 조치를 완료하였는가?
- 취약한 이미지는 Pull 제한을 하고 있는가?
|
| Database | - DB를 전용 Private Subnet 내 구성하고 인터넷 접속을 차단하고 있는가?
- KMS Key에 접근이 필요한 주체에게만 관련 권한을 최소한으로 부여하였는가?
|
| Logging | - Logging&Audit의 Trail 서비스를 활성화하고, 그 범위를 전체로 설정하였는가?
- 로그 파일에 대한 무결성 검증을 설정하였는가?
- Logging&Audit의 Trail 로그를 저장하고 있는가?
- Security Group 로깅을 활성화하였는가?
- 네트워크 연동 상품의 Firewall 로깅을 활성화하였는가?
- (DBaaS를 사용하는 경우) DB Audit을 활성화하였는가?
|
표. Samsung Cloud Platform SSI 체크 리스트 구성 항목