Amazon RDS의 암호화 모범 사례 - AWS 권장 가이드

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon RDS의 암호화 모범 사례

Amazon Relational Database Service(RDS)는 AWS 클라우드에서 관계형 데이터베이스(DB)를 설정, 운영 및 조정하는 데 도움이 됩니다. 저장 시 암호화된 데이터에는 DB 인스턴스에 대한 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅샷이 포함됩니다.

다음은 RDS DB 인스턴스의 저장 데이터를 암호화하는 데 사용할 수 있는 접근 방식입니다.

  • 관리형 키 AWS KMS keys또는 고객 관리형 AWS 키를 사용하여 Amazon RDS DB 인스턴스를 암호화할 수 있습니다. 자세한 내용은 이 안내서의 AWS Key Management Service 섹션을 참조하세요.

  • Amazon RDS for Oracle과 Amazon RDS for SQL Server는 TDE(Transparent Data Encryption)를 사용하여 DB 인스턴스 암호화를 지원합니다. 자세한 내용은 Oracle Transparent Data Encryption 또는 SQL Server의 투명한 데이터 암호화 지원을 참조하세요.

    TDE 키와 KMS 키를 모두 사용하여 DB 인스턴스를 암호화할 수 있습니다. 하지만 데이터베이스 성능에 약간의 영향이 있을 수 있으므로 이러한 키는 별도로 관리해야 합니다.

다음은 RDS DB 인스턴스 안팎으로 전송 중 데이터를 암호화하는 데 사용할 수 있는 접근 방식입니다.

  • MariaDB, Microsoft SQL Server, MySQL, Oracle 또는PostgreSQL을 실행하는 Amazon RDS DB 인스턴스의 경우 SSL을 사용하여 연결을 암호화할 수 있습니다. 자세한 내용은 SSL/TLS를 사용하여 DB 인스턴스에 대한 연결 암호화를 참조하세요.

  • Amazon RDS for Oracle은 DB 인스턴스에서 양방향으로 이동하는 데이터를 암호화하는 Oracle 네이티브 네트워크 암호화(NNE)도 지원합니다. NNE 암호화와 SSL 암호화는 동시에 사용할 수 없습니다. 자세한 내용은 Oracle 기본 네트워크 암호화 옵션을 참조하세요.

이 서비스에 대해 다음 암호화 모범 사례를 고려하세요.

  • 암호화가 필요한 데이터를 처리, 저장 또는 전송하기 위해 Amazon RDS for SQL Server 또는 Amazon RDS for PostgreSQL DB 인스턴스에 연결하는 경우 RDS Transport Encryption 기능을 사용하여 연결을 암호화합니다. 파라미터 그룹에서 rds.force_ssl 파라미터를 1로 설정하여 이를 구현할 수 있습니다. 자세한 내용은 파라미터 그룹 작업을 참조하세요. Amazon RDS for Oracle은 Oracle 데이터베이스 네이티브 네트워크 암호화를 사용합니다.

  • RDS DB 인스턴스 암호화를 위한 고객 관리형 키는 해당 목적으로만 사용해야 하며 다른 AWS 서비스와 함께 사용해서는 안 됩니다.

  • RDS DB 인스턴스를 암호화하기 전에 KMS 키 요구 사항을 설정합니다. 인스턴스에서 사용하는 키는 나중에 변경할 수 없습니다. 예를 들어 암호화 정책에서 비즈니스 요구 사항에 따라 AWS 관리형 키 또는 고객 관리형 키의 사용 및 관리 표준을 정의합니다.

  • 고객 관리형 KMS 키에 대한 액세스를 승인할 때는 IAM 정책에서 조건 키를 사용하여 최소 권한 원칙을 따릅니다. 예를 들어 Amazon RDS에서 시작된 요청에만 고객 관리형 키를 사용하도록 허용하려면 rds.<region>.amazonaws.com 값과 함께 kms:ViaService 조건 키를 사용합니다. 또한 Amazon RDS 암호화 컨텍스트의 키 또는 값을 고객 관리형 키 사용 조건으로 사용할 수 있습니다.

  • 암호화된 RDS DB 인스턴스의 백업을 활성화하는 것이 좋습니다. KMS 키가 활성화되지 않거나 KMS 키에 대한 RDS 액세스가 취소되는 경우 Amazon RDS는 DB 인스턴스의 KMS 키에 대한 액세스 권한을 상실할 수 있습니다. 이 경우 암호화된 DB 인스턴스는 7일 동안 복구 가능한 상태가 됩니다. 7일이 지나도 DB 인스턴스가 키에 다시 액세스할 수 없는 경우 데이터베이스는 최종적으로 액세스할 수 없게 되므로 백업에서 복원해야 합니다. 자세한 내용은 DB 인스턴스 삭제를 참조하세요.

  • 읽기 전용 복제본과 암호화된 DB 인스턴스가 동일한 경우 동일한 KMS 키를 사용하여 둘 다 암호화 AWS 리전해야 합니다.

  • 에서 rds-storage-encrypted AWS 관리형 규칙을 AWS Config구현하여 RDS DB 인스턴스에 대한 암호화를 검증하고 적용하고 rds-snapshots-encrypted 규칙을 구현하여 RDS 데이터베이스 스냅샷에 대한 암호화를 검증하고 적용합니다.

  • AWS Security Hub 를 사용하여 Amazon RDS 리소스가 보안 모범 사례를 따르는지 평가합니다. 자세한 내용은 Amazon RDS에 대한 Security Hub 제어를 참조하세요.