SEC 8: 저장된 데이터는 어떻게 보호합니까?

무단 액세스 또는 취급 부주의의 위험을 줄이기 위해 여러 제어 기능을 구현하여 저장된 데이터를 보호합니다.

리소스

How Encryption Works in AWS
Securing Your Block Storage on AWS
AWS Key Management Service
Protecting Amazon S3 Data Using Encryption
Amazon EBS Encryption
Encrypting Amazon RDS Resources
AWS KMS Cryptographic Details Whitepaper
AWS Encryption SDK
AWS Crypto Tools
AWS cryptographic services and tools

모범 사례:

• 보안 키 관리 구현: 암호화 키는 엄격한 액세스 제어를 통해 안전하게 저장해야 합니다. 예를 들어 AWS KMS와 같은 키 관리 서비스를 사용할 수 있습니다. 데이터 분류 수준 및 분리 요구 사항에 맞추어, AWS IAM 및 리소스 정책과 함께 키에 대한 액세스 제어 기능과 여러 키를 사용하는 것이 좋습니다.

• 저장 데이터 암호화 적용: 저장된 데이터를 보호할 수 있도록 최신 표준 및 권장 사항에 따라 암호화 요구 사항을 적용합니다.

• 저장 데이터 보호 자동화: 자동화된 도구를 사용하여 저장 데이터 보호를 지속적으로 검증하고 적용합니다. 예를 들어 암호화된 스토리지 리소스만 있는지 확인합니다.

• 액세스 제어 적용: 저장된 데이터를 보호할 수 있도록 백업, 격리, 버전 관리 등의 메커니즘과 최소 권한을 사용하여 액세스 제어를 적용합니다. 운영자가 데이터에 대한 퍼블릭 액세스 권한을 부여하지 못하게 합니다.

• 사람들이 데이터에 쉽게 액세스할 수 없도록 유지하는 메커니즘 사용: 정상적인 운영 상황에서 모든 사용자가 민감한 데이터와 시스템에 직접 액세스하지 못하도록 합니다. 예를 들어 데이터 스토어에 직접 액세스를 허용하는 대신 대시보드를 제공하여 쿼리를 실행하도록 합니다. CI/CD 파이프라인이 사용되지 않는 경우, 정상적으로 비활성화된 브레이크-글래스 액세스 메커니즘을 적절하게 제공하기 위해 필요한 컨트롤 및 프로세스를 결정합니다.

개선 계획

보안 키 관리 구현

AWS Key Management Service(AWS KMS) 구현: AWS Key Management Service(AWS KMS)를 사용하면 손쉽게 키를 생성 및 관리하고 다양한 AWS 서비스와 애플리케이션에서 암호화 사용을 제어할 수 있습니다. AWS KMS는 FIPS 140-2 인증 하드웨어 보안 모듈을 사용하여 키를 보호하는 안전하고 복원력이 뛰어난 서비스입니다.
Getting started: AWS Key Management Service (AWS KMS)

AWS Encryption SDK 사용 고려: 애플리케이션이 클라이언트 측 데이터를 암호화해야 하는 경우 AWS KMS가 통합된 AWS Encryption SDK를 사용합니다.
AWS Encryption SDK

저장 데이터 암호화 적용

Amazon S3에 저장 데이터 암호화 적용: S3 버킷 기본 암호화를 구현합니다.
How do I enable default encryption for an S3 bucket?

AWS Secrets Manager 사용: AWS Secrets Manager는 보안 정보를 쉽게 관리할 수 있도록 해주는 AWS 서비스입니다. 데이터베이스 자격 증명, 암호, 타사 API 키는 물론 임의의 텍스트도 보안 정보에 해당할 수 있습니다.
AWS Secrets Manager

새 EBS 볼륨에 대한 기본 암호화 구성: AWS에서 제공하는 기본 키 또는 사용자가 생성한 키를 사용하는 옵션을 통해, 새로 생성되는 모든 EBS 볼륨이 암호화된 형식으로 생성되도록 지정합니다.
Default encryption for EBS volumes

암호화된 Amazon Machine Images(AMI) 구성: 암호화가 활성화된 기존 AMI를 복사하면 루트 볼륨과 스냅샷이 자동으로 암호화됩니다.
AMIs with encrypted Snapshots

Amazon RDS 암호화 구성: 암호화 옵션을 활성화하여 저장된 Amazon RDS DB 클러스터 및 스냅샷에 대해 암호화를 구성합니다.
Encrypting Amazon RDS resources

추가 AWS 서비스에 암호화 구성: 사용하는 AWS 서비스에 대해 암호화 기능을 결정합니다.
AWS Documentation

저장 데이터 보호 자동화

액세스 제어 적용

액세스 제어 적용: 암호화 키 액세스를 포함하여 최소 권한을 사용하는 액세스 제어를 적용합니다.
Introduction to Managing Access Permissions to Your Amazon S3 Resources

다양한 분류 수준에 따라 데이터 분리: AWS Organizations에서 관리하는 데이터 분류 수준별로 각기 다른 AWS 계정을 사용합니다.
AWS Organizations

AWS KMS 정책 검토: AWS KMS 정책에서 부여한 액세스 수준을 검토합니다.
Overview of managing access to your AWS KMS resources

S3 버킷 및 객체 권한 검토: Amazon S3 버킷 정책에서 부여한 액세스 수준을 정기적으로 검토합니다. 공개적으로 버킷을 읽거나 버킷에 쓸 수 없도록 설정하는 것이 모범 사례입니다. 또한 AWS Config를 사용하여 공개적으로 사용 가능한 버킷을 감지하고 Amazon CloudFront를 사용하여 Amazon S3에서 콘텐츠를 제공하는 것이 좋습니다.
AWS Config Rules
Amazon S3 + Amazon CloudFront: A Match Made in the Cloud

Amazon S3 버전 관리 및 객체 잠금 활성화
Using versioning
Locking Objects Using Amazon S3 Object Lock

Amazon S3 인벤토리 사용: Amazon S3 인벤토리 Amazon S3 인벤토리는 객체의 복제 및 암호화 상태를 감사하고 보고하는 데 사용할 수 있는 도구 중 하나입니다.
Amazon S3 Inventory

Amazon EBS 및 AMI 공유 권한 검토: 권한을 공유하면 워크로드 외부의 AWS 계정과 이미지 및 볼륨을 공유할 수 있습니다.
Sharing an Amazon EBS Snapshot
Shared AMIs

사람들이 데이터에 쉽게 액세스할 수 없도록 유지하는 메커니즘 사용

사람들이 데이터에 쉽게 액세스할 수 없도록 유지하는 메커니즘 구현: 이러한 메커니즘에는 직접 쿼리하는 대신 Amazon QuickSight와 같은 대시보드를 사용하여 사용자에게 데이터를 표시하는 방식이 포함됩니다.
Amazon QuickSight

구성 관리 자동화: 인적 오류를 줄이기 위해 구성 관리 서비스 또는 도구를 사용하여 원격으로 작업을 수행하고 보안 구성을 자동으로 적용하고 확인합니다. 배스천 호스트를 사용하거나 EC2 인스턴스에 직접 액세스하지 않습니다.
AWS Systems Manager
AWS CloudFormation
CI/CD Pipeline for AWS CloudFormation templates on AWS