Amazon CloudFront의 데이터 보호
AWS 공동 책임 모델
데이터를 보호하려면 AWS 계정 보안 인증 정보를 보호하고 AWS IAM Identity Center 또는 AWS Identity and Access Management(IAM)를 통해 개별 사용자 계정을 설정하는 것이 좋습니다. 이렇게 하면 개별 사용자에게 자신의 직무를 충실히 이행하는 데 필요한 권한만 부여됩니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.
-
각 계정에 다중 인증(MFA)을 사용합니다.
-
SSL/TLS를 사용하여 AWS리소스와 통신합니다. TLS 1.2가 필수이며 TLS 1.3을 권장합니다.
-
AWS CloudTrail로 API 및 사용자 활동 로깅을 설정합니다.
-
AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용하세요.
-
Amazon S3에 저장된 민감한 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용하세요.
-
명령줄 인터페이스 또는 API를 통해 AWS에 액세스할 때 FIPS 140-2 인증 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용하세요. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2
를 참조하십시오.
고객의 이메일 주소와 같은 기밀 정보나 중요한 정보는 태그나 이름 필드와 같은 자유 양식 필드에 입력하지 않는 것이 좋습니다. 여기에는 CloudFront 또는 기타 AWS 서비스 서비스에서 콘솔, API, AWS CLI 또는 AWS SDK를 사용하여 작업하는 경우가 포함됩니다. 이름에 사용되는 태그 또는 자유 형식 텍스트 필드에 입력하는 모든 데이터는 청구 또는 진단 로그에 사용될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 보안 인증 정보를 URL에 포함시켜서는 안 됩니다.
Amazon CloudFront는 제공하는 콘텐츠의 보안을 유지하는 데 사용할 수 있는 몇 가지 옵션을 제공합니다.
-
HTTPS 연결 구성
-
전송 중 특정 데이터에 대한 추가 보안을 제공하도록 필드 수준 암호화를 구성합니다.
-
특정 사람이나 특정 영역의 사람만 볼 수 있도록 콘텐츠에 대한 액세스 제한
다음 주제에서는 이러한 옵션에 대해 자세히 설명합니다.
전송 중 데이터 암호화
전송 중 데이터를 암호화하려면 최종 사용자가 HTTPS를 사용하여 파일을 요청하도록 Amazon CloudFront를 구성합니다. 이렇게 하면 CloudFront가 최종 사용자와 통신할 때 연결이 암호화됩니다. 또한 CloudFront가 오리진의 파일을 받을 때 HTTPS를 사용하도록 구성할 수 있습니다. 이렇게 하면 CloudFront가 오리진과 통신할 때 연결이 암호화됩니다.
자세한 내용은 CloudFront에서 HTTPS 사용 단원을 참조하세요.
필드 레벨 암호화는 HTTPS와 함께 추가 보안 레이어를 추가하여 시스템 처리 전체에서 특정 데이터를 보호하고 특정 애플리케이션만 이를 볼 수 있도록 합니다. CloudFront에서 필드 수준 암호화를 구성하여 사용자가 제출한 중요한 정보를 웹 서버에 안전하게 업로드할 수 있습니다. 클라이언트가 제공하는 중요한 정보는 사용자에게 더 가까운 엣지에서 암호화됩니다. 전체 애플리케이션 스택에서 암호화된 상태로 유지되므로 데이터가 필요하고 이를 해독할 자격 증명이 있는 애플리케이션만 이 작업을 수행할 수 있습니다.
자세한 내용은 필드 레벨 암호화 사용으로 민감한 데이터 보호 단원을 참조하세요.
CloudFront API 엔드포인트, cloudfront.amazonaws.com 및 cloudfront-fips.amazonaws.com는 HTTPS 트래픽만 허용합니다. 즉, CloudFront API를 사용하여 정보를 주고받을 때 배포 구성, 캐시 정책 및 오리진 요청 정책, 키 그룹 및 퍼블릭 키, CloudFront 함수의 함수 코드 등의 데이터가 전송 중에 항상 암호화됩니다. 또한 CloudFront API 엔드포인트로 전송된 모든 요청은 AWS 자격 증명으로 서명되고 AWS CloudTrail에 로그인됩니다.
CloudFront 함수의 함수 코드 및 구성은 엣지 로케이션 포인트(POP)로 복사되거나 CloudFront에서 사용하는 다른 스토리지 위치 간에 복사될 때 전송 중에 항상 암호화됩니다.
저장된 암호화
CloudFront Functions의 함수 코드 및 구성은 항상 엣지 로케이션 POP와 CloudFront에서 사용하는 다른 스토리지 위치에 암호화된 형식으로 저장됩니다.
콘텐츠에 대한 액세스 제한
인터넷을 통해 콘텐츠를 배포하는 많은 회사에서는 일부 사용자를 대상으로 하는 콘텐츠, 문서, 비즈니스 데이터 또는 미디어 스트림에 대한 액세스를 제한하고자 합니다. Amazon CloudFront를 사용하여 이 콘텐츠를 안전하게 제공하려면 다음 중 하나 이상을 수행하면 됩니다.
- 서명된 URL 또는 쿠키 사용
-
서명된 URL 또는 서명된 쿠키를 사용하여 CloudFront를 통해 이 프라이빗 콘텐츠를 제공함으로써 선택된 사용자(예: 유료 사용자)를 대상으로 하는 콘텐츠에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 서명된 URL과 서명된 쿠키를 사용하여 프라이빗 콘텐츠 제공 단원을 참조하세요.
- Amazon S3 버킷의 콘텐츠에 대한 액세스 제한
-
예를 들어 CloudFront 서명된 URL 또는 서명된 쿠키를 사용해 콘텐츠에 대한 액세스를 제한하는 경우 사용자가 파일에 대한 직접 URL을 사용하여 파일을 보는 것도 원치 않을 것입니다. 대신, 보호가 작동하도록 CloudFront URL을 사용해야만 파일에 액세스하도록 허용할 수 있습니다.
Amazon S3 버킷을 CloudFront 배포의 오리진으로 사용하는 경우 오리진 액세스 제어(OAC)를 설정하여 S3 버킷에 대한 액세스를 제한할 수 있습니다. 자세한 내용은 Amazon Simple Storage Service 오리진에 대한 액세스 제한 단원을 참조하십시오.
- Application Load Balancer가 제공하는 콘텐츠에 대한 액세스 제한
-
Elastic Load Balancing에서 Application Load Balancer와 함께 CloudFront를 오리진으로 사용하면 사용자가 Application Load Balancer에 직접 액세스할 수 없도록 CloudFront를 구성할 수 있습니다. 이렇게 하면 사용자가 CloudFront를 통해서만 Application Load Balancer에 액세스할 수 있으므로 CloudFront를 사용할 때의 이점을 실현할 수 있습니다. 자세한 내용은 Application Load Balancer에 대한 액세스 제한 단원을 참조하세요.
- AWS WAF 웹 ACL 사용
-
웹 애플리케이션 방화벽 서비스인 AWS WAF를 사용하여 웹 액세스 제어 목록(웹 ACL)을 만들어 콘텐츠에 대한 액세스를 제한할 수 있습니다. 요청이 시작되는 IP 주소 또는 쿼리 문자열의 값과 같이 사용자가 지정하는 조건에 따라 CloudFront는 요청된 콘텐츠 또는 HTTP 403 상태 코드(사용 권한 없음)로 요청에 응답합니다. 자세한 내용은 AWS WAF 보호 사용 단원을 참조하세요.
- 지리적 제한 사용
-
지리적 차단이라고도 하는 지리적 제한을 사용하여 특정 지리적 위치에 있는 사용자가 CloudFront 배포를 통해 제공한 콘텐츠에 액세스하는 것을 차단할 수 있습니다. 지리적 제한을 구성할 때 몇 가지 옵션을 선택할 수 있습니다. 자세한 내용은 콘텐츠의 지리적 배포 제한 단원을 참조하세요.
