Amazon MQ의 보안 모범 사례 - Amazon MQ

문서의 영문과 번역 사이에 충돌이 있는 경우에는 영문 버전을 따릅니다. 번역 버전은 기계 번역을 사용하여 제공합니다.

Amazon MQ의 보안 모범 사례

다음 설계 패턴은 Amazon MQ 브로커의 보안을 개선할 수 있습니다.

퍼블릭 액세스 없는 브로커 선호

퍼블릭 액세스 기능 없이 생성된 브로커는 VPC 외부에서 액세스할 수 없습니다. 따라서 브로커가 퍼블릭 인터넷에서 분산 서비스 거부(DDoS) 공격을 받을 가능성이 대폭 감소합니다. 자세한 내용은 이 가이드의 퍼블릭 액세스 없는 브로커의 ActiveMQ 웹 콘솔에 액세스 단원 및 AWS 보안 블로그의 공격 표면을 줄여서 DDoS 공격에 대비하는 방법을 참조하십시오.

TLS에 대한 보완 방법으로 항상 클라이언트 측 암호화 사용

TLS가 활성화된 상태에서 다음 프로토콜을 사용하여 브로커에 액세스할 수 있습니다.

Amazon MQ는 자신이 관리하며 안전하게 보관하는 암호화 키를 이용해 정지해 있거나 전송 중인 메시지를 암호화합니다. 추가 보안을 위해 되도록 클라이언트 측 암호화를 사용하도록 애플리케이션을 설계하십시오. 자세한 내용은 AWS 암호화 SDK 개발자 안내서 단원을 참조하십시오.

항상 권한 부여 맵 구성

ActiveMQ에서는 기본적으로 권한 부여 맵이 구성되지 않기 때문에 모든 인증된 사용자가 브로커에서 모든 작업을 수행할 수 있습니다. 따라서 그룹별로 권한을 제한하는 것이 모범 사례입니다. 자세한 내용은 authorizationEntry 단원을 참조하십시오.

VPC 보안 그룹으로 불필요한 프로토콜 차단

보안을 강화하려면 Amazon VPC 보안 그룹을 적절하게 구성하여 불필요한 프로토콜 및 포트의 연결을 제한해야 합니다. 예를 들어, 대부분의 프로토콜에 대한 액세스는 제한하면서 OpenWire 및 ActiveMQ 웹 콘솔에 대한 액세스는 허용하기 위해 61617 및 8162에 대한 액세스만 허용할 수 있습니다. 이렇게 하면 OpenWire 및 ActiveMQ 웹 콘솔이 제대로 작동하도록 허용하면서 사용하지 않는 프로토콜은 차단하여 노출을 제한합니다.

사용 중인 프로토콜 포트만 허용합니다.

  • AMQP: 5671

  • MQTT: 8883

  • OpenWire: 61617

  • STOMP: 61614

  • WebSocket: 61619

자세한 내용은 다음 단원을 참조하십시오.