Amazon Keyspaces의 탐지 보안 모범 사례 - Amazon Keyspaces(Apache Cassandra용)

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon Keyspaces의 탐지 보안 모범 사례

다음 보안 모범 사례는 잠재적인 보안 약점과 사고를 탐지하는 데 도움이 되기 때문에 탐지적인 것으로 간주됩니다.

AWS CloudTrail을 사용하여 AWS Key Management Service(AWS KMS) AWS KMS 키 사용 모니터링

저장 시 암호화를 위해 고객 관리형 AWS KMS 키를 사용하고 있는 경우 이 키의 사용량은 AWS CloudTrail로 로깅됩니다. CloudTrail은 계정에서 수행한 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청한 사용자, 사용한 서비스, 수행한 작업, 작업에 대한 파라미터, AWS 서비스가 반환하는 응답 요소 등 각 작업에 대한 중요 정보를 기록합니다. 이러한 정보는 AWS 리소스의 변경 사항을 추적하고 운영 관련 문제를 해결하는 데 도움이 됩니다. CloudTrail을 이용하면 내부 정책 및 규제 표준 준수를 더 쉽게 보장할 수 있습니다.

CloudTrail을 사용해 키 사용을 감사할 수 있습니다. CloudTrail은 계정의 AWS API 호출 및 관련 이벤트 내역이 포함된 로그 파일을 생성합니다. 이 로그 파일은 콘솔, AWS SDK 및 명령줄 도구를 사용하여 이루어진 모든 AWS KMS API 요청 외에도 통합된 AWS 서비스를 통해 이루어진 요청도 포함합니다. 이러한 로그 파일을 사용하여 AWS KMS 키가 사용된 시간, 요청되었던 작업, 요청자의 ID, 요청이 시작된 IP 주소 등에 대한 정보를 얻을 수 있습니다. 자세한 내용은 AWS CloudTrail을 사용하여 AWS Key Management Service API 호출 로깅AWS CloudTrail 사용 설명서를 참조하세요.

CloudTrail을 사용하여 Amazon Keyspaces의 데이터 정의 언어(DDL) 작업을 모니터링합니다.

CloudTrail은 계정에서 수행한 작업을 기록함으로써 사용자 활동에 대한 가시성을 제공합니다. CloudTrail은 요청한 사용자, 사용한 서비스, 수행한 작업, 작업에 대한 파라미터, AWS 서비스가 반환하는 응답 요소 등 각 작업에 대한 중요 정보를 기록합니다. 이러한 정보는 AWS 리소스의 변경 사항을 추적하고 운영 관련 문제를 해결하는 데 도움이 됩니다. CloudTrail을 이용하면 내부 정책 및 규제 표준 준수를 더 쉽게 보장할 수 있습니다.

모든 Amazon Keyspaces DDL 작업은 CloudTrail에 자동으로 로깅됩니다. DDL 작업은 Amazon Keyspaces 키스페이스와 테이블을 생성하고 관리하도록 해 줍니다.

Amazon Keyspaces에서 활동이 수행되면 해당 활동은 이벤트 기록에 있는 다른 AWS 서비스 이벤트와 함께 CloudTrail 이벤트에 기록됩니다. 자세한 내용은 AWS CloudTrail을 사용하여 Amazon Keyspaces 작업 로깅을 참조하세요. AWS 계정에서 최신 이벤트를 확인, 검색 및 다운로드할 수 있습니다. 자세한 내용은 AWS CloudTrail 사용 설명서에서 CloudTrail 이벤트 기록을 사용하여 이벤트 보기를 참조하세요.

Amazon Keyspaces의 이벤트를 포함하여 AWS 계정에 이벤트를 지속적으로 기록하려면 추적을 생성합니다. CloudTrail은 추적을 사용하여 Amazon Simple Storage Service(S3) 버킷으로 로그 파일을 전송할 수 있습니다. 콘솔에서 추적을 생성하면 기본적으로 모든 AWS 리전에 추적이 적용됩니다. 추적은 AWS 파티션에 있는 모든 리전의 이벤트를 로깅하고 지정된 S3 버킷으로 로그 파일을 전송합니다. 또는 CloudTrail 로그에서 수집된 이벤트 데이터를 추가 분석 및 처리하도록 다른 AWS 서비스를 구성할 수 있습니다.

식별 및 자동화를 위해 Amazon Keyspaces 리소스에 태그 지정하기

AWS 리소스에 태그 형태로 메타데이터를 지정할 수 있습니다. 각 태그는 리소스 관리, 검색 및 필터링을 더 수월하게 해줄 수 있는 옵션 값과 고객이 정의한 키로 구성된 간단한 레이블입니다.

태그를 지정하면 그룹화 제어를 구현할 수 있습니다. 고유한 태그 유형은 없지만 목적, 소유자, 환경 또는 기타 기준에 따라 리소스를 분류할 수 있습니다. 다음은 몇 가지 예입니다.

  • 액세스 - 태그를 기반으로 Amazon Keyspaces 리소스에 대한 액세스를 제어하는 데 사용됩니다. 자세한 내용은 Amazon Keyspaces 태그 기반 권한 부여 섹션을 참조하세요.

  • 보안 - 데이터 보호 설정과 같은 요구 사항을 결정하는 데 사용됩니다.

  • 기밀성 – 리소스가 지원하는 특정 데이터 기밀성 수준에 대한 식별자입니다.

  • 환경 - 개발, 테스트 및 프로덕션 인프라 간 구별에 사용됩니다.

자세한 내용은 AWS 태깅 전략리소스에 태그 및 레이블 추가를 참조하세요.