SEC 8: 저장된 데이터는 어떻게 보호합니까?

무단 액세스 또는 취급 부주의의 위험을 줄이기 위해 여러 제어 기능을 구현하여 저장된 데이터를 보호합니다.

리소스

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

모범 사례:

개선 계획

보안 키 관리 구현

  • AWS Key Management Service(AWS KMS) 구현: AWS Key Management Service(AWS KMS)를 사용하면 손쉽게 키를 생성 및 관리하고 다양한 AWS 서비스와 애플리케이션에서 암호화 사용을 제어할 수 있습니다. AWS KMS는 FIPS 140-2 인증 하드웨어 보안 모듈을 사용하여 키를 보호하는 안전하고 복원력이 뛰어난 서비스입니다.
    Getting started: AWS Key Management Service (AWS KMS)
  • AWS Encryption SDK 사용 고려: 애플리케이션이 클라이언트 측 데이터를 암호화해야 하는 경우 AWS KMS가 통합된 AWS Encryption SDK를 사용합니다.
    AWS Encryption SDK
  • 저장 데이터 암호화 적용

  • Amazon S3에 저장 데이터 암호화 적용: S3 버킷 기본 암호화를 구현합니다.
    How do I enable default encryption for an S3 bucket?
  • AWS Secrets Manager 사용: AWS Secrets Manager는 보안 정보를 쉽게 관리할 수 있도록 해주는 AWS 서비스입니다. 데이터베이스 자격 증명, 암호, 타사 API 키는 물론 임의의 텍스트도 보안 정보에 해당할 수 있습니다.
    AWS Secrets Manager
  • 새 EBS 볼륨에 대한 기본 암호화 구성: AWS에서 제공하는 기본 키 또는 사용자가 생성한 키를 사용하는 옵션을 통해, 새로 생성되는 모든 EBS 볼륨이 암호화된 형식으로 생성되도록 지정합니다.
    Default encryption for EBS volumes
  • 암호화된 Amazon Machine Images(AMI) 구성: 암호화가 활성화된 기존 AMI를 복사하면 루트 볼륨과 스냅샷이 자동으로 암호화됩니다.
    AMIs with encrypted Snapshots
  • Amazon RDS 암호화 구성: 암호화 옵션을 활성화하여 저장된 Amazon RDS DB 클러스터 및 스냅샷에 대해 암호화를 구성합니다.
    Encrypting Amazon RDS resources
  • 추가 AWS 서비스에 암호화 구성: 사용하는 AWS 서비스에 대해 암호화 기능을 결정합니다.
    AWS Documentation
  • 저장 데이터 보호 자동화

    액세스 제어 적용

  • 액세스 제어 적용: 암호화 키 액세스를 포함하여 최소 권한을 사용하는 액세스 제어를 적용합니다.
    Introduction to Managing Access Permissions to Your Amazon S3 Resources
  • 다양한 분류 수준에 따라 데이터 분리: AWS Organizations에서 관리하는 데이터 분류 수준별로 각기 다른 AWS 계정을 사용합니다.
    AWS Organizations
  • AWS KMS 정책 검토: AWS KMS 정책에서 부여한 액세스 수준을 검토합니다.
    Overview of managing access to your AWS KMS resources
  • S3 버킷 및 객체 권한 검토: Amazon S3 버킷 정책에서 부여한 액세스 수준을 정기적으로 검토합니다. 공개적으로 버킷을 읽거나 버킷에 쓸 수 없도록 설정하는 것이 모범 사례입니다. 또한 AWS Config를 사용하여 공개적으로 사용 가능한 버킷을 감지하고 Amazon CloudFront를 사용하여 Amazon S3에서 콘텐츠를 제공하는 것이 좋습니다.
    AWS Config Rules
    Amazon S3 + Amazon CloudFront: A Match Made in the Cloud
  • Amazon S3 버전 관리 및 객체 잠금 활성화
    Using versioning
    Locking Objects Using Amazon S3 Object Lock
  • Amazon S3 인벤토리 사용: Amazon S3 인벤토리 Amazon S3 인벤토리는 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있는 도구 중 하나입니다.
    Amazon S3 Inventory
  • Amazon EBS 및 AMI 공유 권한 검토: 권한을 공유하면 워크로드 외부의 AWS 계정과 이미지 및 볼륨을 공유할 수 있습니다.
    Sharing an Amazon EBS Snapshot
    Shared AMIs
  • 사람들이 데이터에 쉽게 액세스할 수 없도록 유지하는 메커니즘 사용

  • 사람들이 데이터에 쉽게 액세스할 수 없도록 유지하는 메커니즘 구현: 이러한 메커니즘에는 직접 쿼리하는 대신 Amazon QuickSight와 같은 대시보드를 사용하여 사용자에게 데이터를 표시하는 방식이 포함됩니다.
    Amazon QuickSight
  • 구성 관리 자동화: 인적 오류를 줄이기 위해 구성 관리 서비스 또는 도구를 사용하여 원격으로 작업을 수행하고 보안 구성을 자동으로 적용하고 확인합니다. 배스천 호스트를 사용하거나 EC2 인스턴스에 직접 액세스하지 않습니다.
    AWS Systems Manager
    AWS CloudFormation
    CI/CD Pipeline for AWS CloudFormation templates on AWS