1. 관련 법령
2. 개요
- 주기적으로 NACL 및 SG 규칙을 검토하여 IPㆍ포트가 과도하게 허용되거나, 테스트 규칙이 삭제되지 않고 남아있는지 등을 검토하여 조치 필요
3. 취약점 판단 기준
- NACL 및 SG 규칙을 주기적으로 검토하지 않거나, 검토를 수행하되 불필요한 규칙(미사용 규칙, 테스트 규칙 등) 또는 잘못 설정된 규칙을 삭제ㆍ수정하지 않을 경우 취약
- NACL 및 SG 규칙을 주기적으로 검토하고, 불필요한 정책 또는 잘못 설정된 규칙을 삭제ㆍ수정하는 경우 취약하지 않음
4. 취약점 확인 방법
- NACL 및 SG 규칙을 주기적으로 검토한 이력과 그에 따른 증적(기안문, 메일, 티켓, 슬랙 등)의 존재 여부 확인
5. 취약점 조치 방법
- NACL 및 SG 규칙의 검토 주기를 지정
- 검토 주기는 주기 기반과 이벤트 기반으로 설정 가능
- 주기 기반 : 매월ㆍ분기ㆍ반기ㆍ매년
- 이벤트 기반 : 서비스 오픈ㆍ폐기ㆍ인프라 변경 등
- 검토 주기는 주기 기반과 이벤트 기반으로 설정 가능
- 검토 주기마다 불필요 규칙 또는 잘못 설정된 규칙의 존재 여부를 검토하여 삭제ㆍ수정 후 관련 이력을 기안문 또는 티켓 등을 활용하여 기록
Security Compliance Engineer