보안 요소 - AWS 권장 가이드
데이터 보안 구현네트워크 보안인증 및 권한 부여 구현

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

보안 요소

클라우드 보안이 가장 높은 우선 순위입니다 AWS. AWS 고객은 보안에 가장 민감한 조직의 요구 사항을 충족하도록 구축된 데이터 센터 및 네트워크 아키텍처의 이점을 누릴 수 있습니다. 보안은 AWS와 사용자의 공동 책임입니다. 공동 책임 모델은 이 사항을 클라우드 내 보안 및 클라우드의 보안으로 설명합니다.

  • 클라우드 보안 - AWS 서비스 에서 실행되는 인프라를 보호할 AWS 책임이 있습니다 AWS 클라우드.는 안전하게 사용할 수 있는 서비스 AWS 도 제공합니다. 타사 감사자는 AWS 규정 준수 프로그램의 일환으로 AWS 보안의 효과를 정기적으로 테스트하고 확인합니다. Neptune에 적용되는 규정 준수 프로그램에 대한 자세한 내용은 AWS 규정 준수 프로그램 제공 범위 내 서비스를 참조하세요.

  • 클라우드의 보안 - 사용자의 책임은 AWS 서비스 사용하는에 따라 결정됩니다. 또한 귀하는 데이터의 민감도, 회사 요구 사항, 관련 법률 및 규정을 비롯한 기타 요소에 대해서도 책임이 있습니다. 데이터 프라이버시에 대한 자세한 내용은 데이터 프라이버시 FAQs. 유럽의 데이터 보호에 대한 자세한 내용은 AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하세요.

AWS Well-Architected Framework의 보안 원칙은 Neptune Analytics를 사용할 때 공동 책임 모델을 적용하는 방법을 이해하는 데 도움이 됩니다. 다음 주제에서는 보안 및 규정 준수 목표에 맞게 Neptune Analytics를 구성하는 방법을 설명합니다. 또한 Neptune Analytics 리소스를 모니터링하고 보호하는 데 도움이 AWS 서비스 되는 다른를 사용하는 방법을 알아봅니다. 보안 원칙에는 다음과 같은 주요 중점 영역이 포함됩니다.

  • 데이터 보안

  • 네트워크 보안

  • 인증 및 권한 부여

데이터 보안 구현

데이터 유출 및 위반은 고객을 위험에 빠뜨리고 회사에 상당한 부정적인 영향을 미칠 수 있습니다. 다음 모범 사례는 우발적이고 악의적인 노출로부터 고객 데이터를 보호하는 데 도움이 됩니다.

  • 그래프 이름, 태그, IAM 역할 및 기타 메타데이터에는 기밀 또는 민감한 정보가 포함되어서는 안 됩니다. 해당 데이터가 결제 또는 진단 로그에 표시될 수 있기 때문입니다.

  • Neptune에 데이터로 저장된 외부 서버에 대한 URIs 또는 링크에는 요청을 검증하기 위한 자격 증명 정보가 포함되어서는 안 됩니다.

  • Neptune 분석 그래프는 저장 시 암호화됩니다. 선택한 기본 키 또는 AWS Key Management Service (AWS KMS) 키를 사용하여 그래프를 암호화할 수 있습니다. 대량 가져오기 중에 Amazon S3로 내보내는 스냅샷과 데이터를 암호화할 수도 있습니다. 가져오기가 완료되면 암호화를 제거할 수 있습니다.

  • openCypher 언어를 사용하는 경우 적절한 입력 검증 및 파라미터화 기술을 연습하여 SQL 주입 및 기타 형태의 공격을 방지합니다. 사용자가 제공한 입력과 문자열 연결을 사용하는 쿼리를 구성하지 마세요. 파라미터화된 쿼리 또는 준비된 문을 사용하여 입력 파라미터를 그래프 데이터베이스에 안전하게 전달합니다. 자세한 내용은 Neptune 설명서의 openCypher 파라미터화된 쿼리 예제를 참조하세요.

네트워크 보안

퍼블릭 연결을 위해 Neptune Analytics 그래프를 활성화하여 Virtual Private Cloud(VPC) 외부에서 연결할 수 있습니다. 이 연결은 기본적으로 비활성화되어 있습니다. 그래프에는 IAM 인증이 필요합니다. 호출자는 자격 증명을 얻고 그래프를 사용할 권한이 있어야 합니다. 예를 들어 openCypher 쿼리를 실행하려면 호출자에게 특정 그래프에 대한 읽기, 쓰기 또는 삭제 권한이 있어야 합니다.

그래프에 대한 프라이빗 엔드포인트를 생성하여 VPC 내에서 그래프에 액세스할 수도 있습니다. 엔드포인트를 생성할 때 VPC, 서브넷 및 보안 그룹을 지정하여 그래프 호출에 대한 액세스를 제한합니다.

전송 중 데이터를 보호하기 위해 Neptune Analytics는 HTTPS를 통해 그래프에 SSL 연결을 적용합니다. 자세한 내용은 Neptune Analytics 설명서의 Neptune Analytics의 데이터 보호를 참조하세요.

인증 및 권한 부여 구현

Neptune Analytics 그래프를 호출하려면 IAM 인증이 필요합니다. 호출자는 자격 증명을 얻고 그래프에서 작업을 수행할 수 있는 충분한 권한을 보유해야 합니다. API 작업 및 필요한 권한에 대한 설명은 Neptune Analytics API 설명서를 참조하세요. 조건 확인을 적용하여 태그별로 액세스를 제한할 수 있습니다.

IAM 인증은 AWS 서명 버전 4(SigV4) 프로토콜을 사용합니다. 애플리케이션의 사용을 간소화하려면 AWS SDK를 사용하는 것이 좋습니다. 예를 들어 Python에서 SigV4를 추상화하는 Neptune 그래프용 Boto3 클라이언트를 사용합니다.

그래프에 데이터를 로드할 때 배치 로드는 호출자의 IAM 자격 증명을 사용합니다. Neptune Analytics가 Amazon S3 파일에서 그래프로 데이터를 로드하는 역할을 수임할 수 있도록 신뢰 관계가 설정된 Amazon S3에서 데이터를 다운로드할 수 있는 권한이 호출자에게 있어야 합니다.

대량 가져오기는 그래프 생성 중(인프라 팀) 또는 기존 빈 그래프에서(가져오기 작업을 시작할 권한이 있는 데이터 엔지니어링 팀) 수행할 수 있습니다. 두 경우 모두 Neptune Analytics는 호출자가 입력으로 제공하는 IAM 역할을 수임합니다. 이 역할은 입력 데이터가 스테이징되는 Amazon S3 폴더의 콘텐츠를 읽고 나열할 수 있는 권한을 부여합니다.