5단계. 백업 데이터 및 볼트 암호화

조직은 점점 더 데이터 보안 전략을 개선해야 하며, 클라우드를 스케일 인 할 때 데이터 보호 규정을 준수해야 할 수 있습니다. 암호화 방법의 정확한 구현은 기본 액세스 제어 메커니즘을 능가하는 추가 보호 계층을 제공합니다. 이 추가 계층은 기본 액세스 제어 정책이 실패할 경우 위험을 완화할 수 있습니다.

예를 들어, AWS Backup 데이터에 대해 지나치게 허용적인 액세스 제어 정책을 구성할 경우 키 관리 시스템 또는 프로세스가 보안 이벤트의 최대 영향을 완화할 수 있습니다. 이는 데이터와 암호화 키에 액세스할 수 있는 별도의 인증 메커니즘이 있어 백업 데이터를 암호문으로만 볼 수 있기 때문입니다.

AWS 클라우드 암호화를 최대한 활용하려면 전송 중 데이터와 저장 중 데이터를 모두 암호화합니다. 전송 중 데이터를 보호하기 위해는 게시된 API 직접 호출을 AWS 사용하여 TLS 프로토콜을 사용하여 네트워크를 AWS Backup 통해에 액세스하여 사용자, 애플리케이션 및 AWS Backup 서비스 간에 암호화를 제공합니다. 저장 데이터를 보호하기 위해 AWS 클라우드 네이티브AWS Key Management Service(AWS KMS) 또는를 사용할 수 있습니다AWS CloudHSM. 클라우드 기반 하드웨어 보안 모델(HSM)인 AWS CloudHSM 은 데이터 암호화를 위해 업계에서 채택한 강력한 알고리즘인 256비트 키(AES-256)가 포함된 고급 암호화 표준(AES)을 사용합니다. 데이터 거버넌스 및 규제 요구 사항을 평가하고 클라우드 데이터 및 백업 리포지토리를 암호화하는 데 적합한 암호화 서비스를 선택합니다.

암호화 구성은 계정 또는 리전 간 리소스 유형 및 백업 작업에 따라 달라집니다. 특정 리소스 유형은 소스 리소스를 암호화하는 데 사용되는 키와는 별도의 암호화 키를 사용하여 백업을 암호화하는 기능을 지원합니다. 액세스 제어를 관리하여 AWS Backup 데이터 또는 볼트 암호화 키에 액세스할 수 있는 사용자와 조건을 결정할 책임이 있으므로에서 제공하는 정책 언어를 사용하여 키에 대한 액세스 제어를 AWS KMS 정의합니다. AWS Backup Audit Manager를 사용하여 백업이 제대로 암호화되었는지 확인할 수도 있습니다. 자세한 내용은 Encryption for backups in AWS Backup을 참조하세요.

에서 사용할 수 있습니다AWS KMS다중 리전 키를 사용하여 한 리전의 키를 다른 리전으로 복제할 수 있습니다. 다중 리전 키는 재해 복구를 위해 암호화된 데이터를 다른 리전으로 복사해야 하는 경우 암호화 관리를 간소화하도록 설계되었습니다. 전체 백업 전략의 일부로 다중 리전 AWS KMS 키를 구현해야 하는지 평가합니다.