기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
데이터 보호를 위한 보안 제어 권장 사항
AWS Well-Architected Framework는 데이터 보호 모범 사례를 데이터 분류, 저장된 데이터 보호, 전송 중인 데이터 보호라는 세 가지 범주로 분류합니다. 이 섹션의 보안 통제는 데이터 보호를 위한 모범 사례를 구현하는 데 도움이 될 수 있습니다. 클라우드에서 워크로드를 설계하기 전에 이러한 기본 모범 사례를 마련해야 합니다. 데이터 잘못 취급을 방지하고 조직, 규제 및 규정 준수 의무를 충족하는 데 도움이 됩니다. 이 섹션의 보안 제어를 사용하여 데이터 보호 모범 사례를 구현하십시오.
이 섹션의 제어:
- 워크로드 수준에서 데이터를 식별하고 분류합니다.
- 각 데이터 분류 수준에 대한 제어 수립
- 저장된 데이터를 암호화하세요.
- 전송 중인 데이터를 암호화하세요.
- Amazon EBS 스냅샷에 대한 퍼블릭 액세스 차단
- Amazon RDS 스냅샷에 대한 퍼블릭 액세스 차단
- 아마존 RDS, 아마존 Redshift 및 리소스에 대한 퍼블릭 액세스를 차단합니다. AWS DMS
- Amazon S3 버킷에 대한 퍼블릭 액세스를 차단합니다.
- 중요한 Amazon S3 버킷의 데이터를 삭제하려면 MFA가 필요합니다.
- VPC에서 아마존 OpenSearch 서비스 도메인 구성
- 삭제에 대한 알림을 구성하십시오. AWS KMS key
- 에 대한 공개 액세스 차단 AWS KMS keys
- 보안 프로토콜을 사용하도록 로드 밸런서 리스너를 구성합니다.
워크로드 수준에서 데이터를 식별하고 분류합니다.
데이터 분류는 중요도와 민감도를 기준으로 네트워크의 데이터를 식별하고 분류하는 프로세스입니다. 이 프로세스는 데이터에 대한 적절한 보호 및 보존 제어를 결정하는 데 도움이 되므로 사이버 보안 위험 관리 전략의 중요한 구성 요소입니다. 데이터 분류는 데이터 복제 빈도를 줄이는 경우가 많습니다. 이를 통해 스토리지 및 백업 비용을 줄이고 검색 속도를 높일 수 있습니다.
워크로드에서 처리하는 데이터의 유형과 분류, 관련 비즈니스 프로세스, 데이터가 저장되는 위치, 데이터 소유자를 이해하는 것이 좋습니다. 데이터 분류를 통해 워크로드 소유자는 민감한 데이터를 저장하는 위치를 식별하고 해당 데이터에 액세스하고 공유하는 방법을 결정할 수 있습니다. 태그는 리소스 구성을 위한 메타데이터 역할을 하는 키-값 쌍입니다. AWS 태그는 리소스를 관리, 식별, 구성, 검색 및 필터링하는 데 도움이 될 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
각 데이터 분류 수준에 대한 제어 수립
각 분류 수준에 대한 데이터 보호 제어를 정의합니다. 예를 들어 권장 제어를 사용하여 공개로 분류된 데이터를 보호하고 추가 제어를 통해 민감한 데이터를 보호할 수 있습니다. 데이터에 직접 액세스하거나 수동으로 처리해야 하는 필요성을 줄이거나 없애는 메커니즘과 도구를 사용하십시오. 데이터 식별 및 분류를 자동화하면 잘못된 분류, 잘못된 취급, 수정 또는 인적 오류의 위험이 줄어듭니다.
예를 들어 Amazon Macie를 사용하여 Amazon Simple Storage Service (Amazon S3) 버킷에서 개인 식별 정보 (PII) 와 같은 민감한 데이터를 스캔하는 것을 고려해 보십시오. 또한 Amazon VPC (가상 사설 클라우드) 의 VPC 흐름 로그를 사용하여 의도하지 않은 데이터 액세스 탐지를 자동화할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
AWS Well-Architected 프레임워크에서 데이터 보호 제어 정의
-
AWS Well-Architected 프레임워크에서 식별 및 분류 자동화
-
AWS 규범적 지침의 개인정보 참조 아키텍처 (AWS PRA) AWS
-
Macie 설명서에서 Amazon Macie를 사용하여 민감한 데이터를 발견하기
-
Amazon VPC 설명서의 VPC 흐름 로그를 사용하여 IP 트래픽 로깅
-
산업용 AWS 서비스블로그에서 PHI 및 PII 데이터를 탐지하는 일반적인 기법
AWS
저장된 데이터를 암호화하세요.
저장 데이터는 스토리지에 있는 데이터와 같이 네트워크에 고정되어 있는 데이터입니다. 저장된 데이터에 대한 암호화와 적절한 액세스 제어를 구현하면 무단 액세스의 위험을 줄이는 데 도움이 됩니다. 암호화는 사람이 읽을 수 있는 일반 텍스트 데이터를 암호문으로 변환하는 컴퓨팅 프로세스입니다. 콘텐츠를 다시 일반 텍스트로 해독하여 사용할 수 있으려면 암호화 키가 필요합니다. 에서는 AWS Key Management Service (AWS KMS) 를 사용하여 데이터를 보호하는 데 도움이 되는 암호화 키를 만들고 제어할 수 있습니다. AWS 클라우드
에서 각 데이터 분류 수준에 대한 제어 수립 설명한 대로 암호화가 필요한 데이터 유형을 지정하는 정책을 만드는 것이 좋습니다. 암호화해야 하는 데이터와 토큰화 또는 해싱과 같은 다른 기법으로 보호해야 하는 데이터를 결정하는 방법에 대한 기준을 포함하십시오.
자세한 정보는 다음 자료를 참조하십시오.
-
Amazon S3 설명서에서 기본 암호화 구성
-
Amazon EC2 설명서의 새 EBS 볼륨 및 스냅샷 사본에 대한 기본 암호화
-
아마존 Aurora 리소스 암호화 (아마존 Aurora 설명서 참조)
-
설명서의 암호화 세부 정보 소개 AWS KMS AWS KMS
-
암호화에 대한 자세한 내용은 해당 서비스의 AWS 서비스AWS 설명서를 참조하십시오.
전송 중인 데이터를 암호화하세요.
전송 중 데이터는 네트워크를 통과하고 있는 데이터입니다. 네트워크 리소스 사이를 이동 중인 데이터를 예로 들 수 있습니다. 보안 TLS 프로토콜 및 암호 제품군을 사용하여 전송 중인 모든 데이터를 암호화합니다. 데이터에 대한 무단 액세스를 방지하려면 리소스와 인터넷 간의 네트워크 트래픽을 암호화해야 합니다. 가능하면 TLS를 사용하여 내부 AWS 환경 내의 네트워크 트래픽을 암호화하십시오.
자세한 정보는 다음 자료를 참조하십시오.
-
Amazon CloudFront CloudFront 설명서에서 시청자 간 커뮤니케이션을 위한 HTTPS 요구
-
암호화에 대한 자세한 내용은 해당 서비스의 AWS 서비스AWS 설명서를 참조하십시오.
Amazon EBS 스냅샷에 대한 퍼블릭 액세스 차단
Amazon Elastic Block Store(Amazon EBS)는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스와 함께 사용할 수 있는 블록 스토리지 볼륨을 제공합니다. point-in-time 스냅샷을 생성하여 Amazon EBS 볼륨의 데이터를 Amazon S3에 백업할 수 있습니다. 스냅샷을 다른 모든 사람과 공개적으로 공유하거나 AWS 계정지정한 AWS 계정 개인과 비공개로 공유할 수 있습니다.
Amazon EBS 스냅샷은 공개적으로 공유하지 않는 것이 좋습니다. 이로 인해 실수로 민감한 데이터가 노출될 수 있습니다. 스냅샷을 공유하면 다른 사람에게 스냅샷의 데이터에 대한 액세스 권한을 부여하게 됩니다. 이 모든 데이터를 신뢰할 수 있는 사람들과만 스냅샷을 공유하세요.
자세한 정보는 다음 자료를 참조하십시오.
-
Amazon EC2 설명서에서 스냅샷을 공유하십시오.
-
Amazon EBS 스냅샷은 설명서에서 공개적으로 복원할 수 없어야 합니다. AWS Security Hub
-
ebs-snapshot-public-restorable-설명서를 확인하십시오. AWS Config
Amazon RDS 스냅샷에 대한 퍼블릭 액세스 차단
Amazon 관계형 데이터베이스 서비스 (Amazon RDS) 를 사용하면 에서 관계형 데이터베이스를 설정, 운영 및 확장할 수 있습니다. AWS 클라우드 Amazon RDS는 DB 인스턴스의 백업 기간 동안 데이터베이스 (DB) 인스턴스 또는 다중 AZ DB 클러스터의 자동 백업을 생성하고 저장합니다. Amazon RDS는 개별 데이터베이스가 아닌 전체 DB 인스턴스를 백업하여 DB 인스턴스의 스토리지 볼륨 스냅샷을 생성합니다. 스냅샷을 복사하거나 스냅샷에서 DB 인스턴스를 복원할 목적으로 수동 스냅샷을 공유할 수 있습니다.
스냅샷을 퍼블릭으로 공유하는 경우 스냅샷의 데이터가 비공개이거나 민감한 데이터가 없어야 합니다. 스냅샷을 공개적으로 공유하면 데이터에 액세스할 수 있는 모든 AWS 계정 권한이 부여됩니다. 이로 인해 Amazon RDS 인스턴스의 데이터가 의도하지 않게 노출될 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
Amazon RDS 설명서에서 DB 스냅샷 공유
-
rds-snapshots-public-prohibited설명서에서 AWS Config
아마존 RDS, 아마존 Redshift 및 리소스에 대한 퍼블릭 액세스를 차단합니다. AWS DMS
Amazon RDS DB 인스턴스, Amazon Redshift 클러스터 AWS Database Migration Service 및AWS DMS() 복제 인스턴스를 공개적으로 액세스할 수 있도록 구성할 수 있습니다. publiclyAccessible
필드 값이 true
이면 이러한 리소스에 공개적으로 액세스할 수 있습니다. 공개 액세스를 허용하면 불필요한 트래픽, 노출 또는 데이터 유출이 발생할 수 있습니다. 이러한 리소스에 대한 공개 액세스를 허용하지 않는 것이 좋습니다.
Amazon RDS DB 인스턴스, AWS DMS 복제 인스턴스 또는 Amazon Redshift 클러스터에서 퍼블릭 액세스를 허용하는지 여부를 탐지하려면 AWS Config 규칙 또는 Security Hub 컨트롤을 활성화하는 것이 좋습니다.
참고
인스턴스가 프로비저닝된 후에는 AWS DMS 복제 인스턴스의 퍼블릭 액세스 설정을 수정할 수 없습니다. 퍼블릭 액세스 설정을 변경하려면 현재 인스턴스를 삭제한 다음 다시 생성하십시오. 다시 만들 때 공개 액세스 옵션을 선택하지 마세요.
자세한 정보는 다음 자료를 참조하십시오.
-
rds-instance-public-access-설명서를 확인하십시오. AWS Config
-
dms-replication-not-public설명서에서 AWS Config
-
Amazon RDS 설명서에서 Amazon RDS DB 인스턴스 수정
-
Amazon Redshift 설명서에서 클러스터를 수정하기
Amazon S3 버킷에 대한 퍼블릭 액세스를 차단합니다.
버킷에 공개적으로 액세스할 수 없도록 하는 것은 Amazon S3 보안 모범 사례입니다. 인터넷 상의 누구에게도 버킷을 읽거나 쓸 수 있도록 명시적으로 요구하지 않는 한, 버킷은 공개되지 않도록 하십시오. 이렇게 하면 데이터의 무결성과 보안을 보호하는 데 도움이 됩니다. AWS Config 규칙 및 Security Hub 제어를 사용하여 Amazon S3 버킷이 이 모범 사례를 준수하는지 확인할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
Security Hub 설명서에서 S3 버킷은 공개 쓰기 액세스를 금지해야 합니다.
-
설명서의 s3- bucket-public-read-prohibited 규칙 AWS Config
-
bucket-public-write-prohibited AWS Config 설명서에서 s3-
중요한 Amazon S3 버킷의 데이터를 삭제하려면 MFA가 필요합니다.
Amazon S3 버킷에서 S3 버전 관리를 사용하는 경우 선택적으로 MFA(멀티 팩터 인증) Delete를 사용 설정하도록 버킷을 구성하여 다른 보안 계층을 추가할 수 있습니다. 이렇게 하면 버킷 소유자가 버전을 삭제하거나 버킷의 버전 관리 상태를 변경하는 모든 요청에 두 가지 형식의 인증을 포함해야 합니다. 조직에 중요한 데이터가 포함된 버킷에 대해 이 기능을 활성화하는 것이 좋습니다. 이렇게 하면 실수로 버킷과 데이터가 삭제되는 것을 방지할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
Amazon S3 설명서에서 MFA 삭제 구성
VPC에서 아마존 OpenSearch 서비스 도메인 구성
Amazon OpenSearch Service는 에서 OpenSearch 클러스터를 배포, 운영 및 확장할 수 있도록 지원하는 관리형 AWS 클라우드서비스입니다. Amazon OpenSearch 서비스는 레거시 Elasticsearch 오픈 소스 소프트웨어 (OSS) 를 지원합니다OpenSearch. VPC 내에 배포된 Amazon OpenSearch Service 도메인은 퍼블릭 인터넷을 통과할 필요 없이 프라이빗 AWS 네트워크를 통해 VPC 리소스와 통신할 수 있습니다. 이 구성은 전송 중인 데이터에 대한 액세스를 제한하여 보안 태세를 개선합니다. Amazon OpenSearch Service 도메인을 퍼블릭 서브넷에 연결하지 말고 VPC를 모범 사례에 따라 구성하는 것이 좋습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
VPC 내에서 아마존 OpenSearch 서비스 도메인을 시작하는 방법은 아마존 OpenSearch 서비스 설명서를 참조하십시오.
-
opensearch-in-vpc-only설명서에서 AWS Config
삭제에 대한 알림을 구성하십시오. AWS KMS key
AWS Key Management Service (AWS KMS) 키는 삭제된 후에는 복구할 수 없습니다. KMS 키가 삭제되더라도 해당 키로 암호화된 데이터는 영구적으로 복구할 수 없습니다. 데이터에 계속 액세스해야 하는 경우 키를 삭제하기 전에 데이터를 해독하거나 새 KMS 키를 사용하여 다시 암호화해야 합니다. 더 이상 사용할 필요가 없다고 확신하는 경우에만 KMS 키를 삭제해야 합니다.
누군가 KMS 키 삭제를 시작하면 알려주는 Amazon CloudWatch 경보를 구성하는 것이 좋습니다. KMS 키를 삭제하는 것은 파괴적이고 잠재적으로 위험할 수 있으므로 대기 기간을 설정하고 AWS KMS 7~30일 내에 삭제 일정을 잡아야 합니다. 이렇게 하면 예약된 삭제를 검토하고 필요한 경우 취소할 수 있습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
설명서에서 키 삭제 일정 수립 및 취소 AWS KMS
-
AWS KMS keys Security Hub 설명서에서 실수로 삭제해서는 안 됩니다.
에 대한 공개 액세스 차단 AWS KMS keys
키 정책은 액세스를 AWS KMS keys제어하는 기본 방법입니다. 모든 KMS 키에는 정확히 하나의 키 정책이 있습니다. KMS 키에 대한 익명 액세스를 허용하면 민감한 데이터가 유출될 수 있습니다. 공개적으로 액세스할 수 있는 KMS 키를 식별하고 액세스 정책을 업데이트하여 이러한 리소스에 대한 서명되지 않은 요청이 발생하지 않도록 하는 것이 좋습니다.
자세한 정보는 다음 자료를 참조하십시오.
-
보안 모범 사례는 AWS Key Management Service설명서에 나와 있습니다. AWS KMS
-
AWS KMS 설명서의 키 정책 변경
-
AWS KMS keys AWS KMS 설명서에 대한 액세스 권한 결정
보안 프로토콜을 사용하도록 로드 밸런서 리스너를 구성합니다.
Elastic Load Balancing은 들어오는 애플리케이션 트래픽을 여러 대상에 자동으로 분산합니다. 하나 이상의 리스너를 지정하여 들어오는 트래픽을 허용하도록 로드 밸런서를 구성합니다. 리스너는 구성한 프로토콜 및 포트를 사용하여 연결 요청을 확인하는 프로세스입니다. 각 유형의 로드 밸런서는 서로 다른 프로토콜과 포트를 지원합니다.
-
애플리케이션 로드 밸런서는 애플리케이션 계층에서 라우팅 결정을 내리고 HTTP 또는 HTTPS 프로토콜을 사용합니다.
-
네트워크 로드 밸런서는 전송 계층에서 라우팅 결정을 내리고 TCP, TLS, UDP 또는 TCP_UDP 프로토콜을 사용합니다.
-
클래식 로드 밸런서는 전송 계층 (TCP 또는 SSL 프로토콜 사용) 또는 애플리케이션 계층 (HTTP 또는 HTTPS 프로토콜 사용) 에서 라우팅 결정을 내립니다.
항상 HTTPS 또는 TLS 프로토콜을 사용하는 것이 좋습니다. 이러한 프로토콜은 로드 밸런서가 클라이언트와 대상 간의 트래픽 암호화 및 암호 해독을 담당하도록 합니다.
자세한 정보는 다음 자료를 참조하십시오.
-
지침 지침의 AWS 로드 밸런서가 보안 리스너 프로토콜을 사용하는지 확인하세요. AWS
-
elb-tls-https-listeners설명서에만 해당 AWS Config
-
Classic Load Balancer 리스너는 Security Hub 설명서에서 HTTPS 또는 TLS 종료를 사용하도록 구성해야 합니다.
-
Security Hub 설명서에서 모든 HTTP 요청을 HTTPS로 리디렉션하도록 애플리케이션 로드 밸런서를 구성해야 합니다.