기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
Amazon RDS 함수에 대한 노출 문제 해결
참고
Security Hub는 미리 보기 릴리스 중이며 변경될 수 있습니다.
AWS Security Hub는 Amazon RDS 함수에 대한 노출 조사 결과를 생성할 수 있습니다.
Security Hub 콘솔에서 노출 조사 결과와 관련된 Amazon RDS 함수와 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 프로그래밍 방식으로 Security Hub API의 GetFindingsV2 작업을 통해 리소스 세부 정보를 검색할 수 있습니다.
노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필요한 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.
단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 해결 방법은 조직의 요구 사항과 워크로드에 따라 달라집니다.
참고
이 주제에 제공된 문제 해결 지침은 다른 AWS 리소스에서 추가 상담이 필요할 수 있습니다.
목차
Amazon RDS 함수의 잘못된 구성 특성
다음은 Amazon RDS 함수의 구성 오류 특성 및 수정 단계를 설명합니다.
Amazon RDS DB 인스턴스가 퍼블릭 액세스로 구성됨
퍼블릭 액세스 권한이 있는 Amazon RDS 인스턴스는 엔드포인트를 통해 인터넷을 통해 액세스할 수 있습니다. 인스턴스 기능에 퍼블릭 액세스가 필요한 경우도 있지만,이 구성은 권한이 없는 사용자가 데이터베이스에 액세스하려고 시도할 수 있는 잠재적 공격 벡터로 사용할 수 있습니다. 공개적으로 액세스할 수 있는 데이터베이스는 포트 스캔, 무차별 대입 공격 및 악용 시도에 노출될 수 있습니다. 표준 보안 원칙에 따라 데이터베이스 리소스의 공개 노출을 제한하는 것이 좋습니다.
-
퍼블릭 액세스 설정 수정
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 애플리케이션 아키텍처를 기반으로 DB 인스턴스에 퍼블릭 액세스가 필요한지 평가합니다. 자세한 내용은 Amazon RDS에서 퍼블릭 또는 프라이빗 액세스 설정을 참조하세요.
Amazon RDS DB 클러스터에는 공개적으로 공유되는 스냅샷이 있습니다.
퍼블릭 스냅샷은 권한이 없는 사용자에게 민감한 데이터를 노출할 AWS 계정가능성이 있는 모든 사용자가 액세스할 수 있습니다. AWS 계정 에는 이러한 퍼블릭 스냅샷을 복사하고이 스냅샷에서 DB 인스턴스를 생성할 수 있는 권한이 있으며, 이로 인해 데이터 침해 또는 무단 데이터 액세스가 발생할 수 있습니다. 보안 모범 사례에 따라 Amazon RDS 스냅샷에 대한 액세스를 신뢰할 수 있는 AWS 계정 및 조직으로만 제한하는 것이 좋습니다.
1. 프라이빗 액세스를 위한 Amazon RDS 스냅샷 구성
노출 조사 결과에서 하이퍼링크를 통해 리소스를 엽니다. 스냅샷 공유 설정을 수정하는 방법에 대한 자세한 내용은 Amazon Aurora 사용 설명서의 스냅샷 공유를 참조하세요. 스냅샷 공유를 중지하는 방법에 대한 자세한 내용은 Amazon Aurora 사용 설명서의 스냅샷 공유 중지를 참조하세요.
Amazon RDS DB 인스턴스에 저장 시 암호화되지 않은 스냅샷이 있음
암호화되지 않은 Amazon RDS DB 인스턴스 스냅샷은 스토리지 계층에 대한 무단 액세스 권한을 얻는 경우 민감한 데이터를 노출할 수 있습니다. 암호화가 없으면 무단 액세스를 통해 스냅샷의 데이터가 노출될 수 있습니다. 이로 인해 데이터 위반 및 규정 준수 위반의 위험이 발생합니다. 보안 모범 사례에 따라 데이터 기밀성을 유지하기 위해 모든 데이터베이스 리소스와 백업을 암호화하는 것이 좋습니다.
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 스냅샷이 열립니다. 암호화되지 않은 기존 스냅샷은 직접 암호화할 수 없습니다. 대신 암호화되지 않은 스냅샷의 암호화된 복사본을 생성합니다. 자세한 지침은 Amazon Aurora 사용 설명서의 DB 클러스터 스냅샷 복사 및 Amazon RDS 리소스 암호화를 참조하세요.
Amazon RDS DB 클러스터에 저장 시 암호화되지 않은 스냅샷이 있음
암호화되지 않은 Amazon RDS DB 클러스터 스냅샷은 스토리지 계층에 대한 무단 액세스를 얻는 경우 민감한 데이터를 노출할 수 있습니다. 암호화가 없으면 무단 액세스를 통해 스냅샷의 데이터가 노출될 수 있습니다. 이로 인해 데이터 위반 및 규정 준수 위반의 위험이 발생합니다. 보안 모범 사례에 따라 데이터 기밀성을 유지하기 위해 모든 데이터베이스 리소스와 백업을 암호화하는 것이 좋습니다.
1. 스냅샷의 암호화된 복사본 생성
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 스냅샷이 열립니다. 암호화되지 않은 기존 스냅샷은 직접 암호화할 수 없습니다. 대신 암호화되지 않은 스냅샷의 암호화된 복사본을 생성합니다. 자세한 지침은 Amazon Aurora 사용 설명서의 DB 클러스터 스냅샷 복사 및 Amazon RDS 리소스 암호화를 참조하세요.
Amazon RDS DB 인스턴스에 열린 보안 그룹이 있음
보안 그룹은 Amazon RDS 인스턴스의 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 제어합니다. IP 주소에서 무제한 액세스를 허용하는 개방형 보안 그룹은 데이터베이스 인스턴스를 무단 액세스 및 잠재적 공격에 노출시킬 수 있습니다. 표준 보안 원칙에 따라 최소 권한 원칙을 유지하기 위해 보안 그룹 액세스를 특정 IP 주소 및 포트로 제한하는 것이 좋습니다.
보안 그룹 규칙 검토 및 현재 구성 평가
노출 조사 결과에서 DB 인스턴스 보안 그룹의 리소스를 엽니다. 와 같은 광범위한 IP 범위에서 개방되고 액세스할 수 있는 포트를 평가합니다(0.0.0.0/0 or ::/0). 보안 그룹 세부 정보 보기에 대한 자세한 내용은 Amazon Elastic Compute Cloud API 참조의 DescribeSecurityGroups를 참조하세요.
보안 그룹 규칙 수정
보안 그룹 규칙을 수정하여 신뢰할 수 있는 특정 IP 주소 또는 범위에 대한 액세스를 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 서로 다른 네트워크 세그먼트에 대한 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2 사용 설명서의 보안 그룹 규칙 구성을 참조하세요. 기존 Amazon RDS 데이터베이스 인스턴스의 기본 포트를 수정하려면 Amazon Aurora 사용 설명서의 콘솔, CLI 및 API를 사용하여 DB 클러스터 수정을 참조하세요.
Amazon RDS DB 인스턴스에 IAM 데이터베이스 인증이 비활성화되어 있음
IAM 데이터베이스 인증을 사용하면 데이터베이스 암호 대신 IAM 자격 증명을 사용하여 Amazon RDS 데이터베이스에 인증할 수 있습니다. 이는 중앙 집중식 액세스 관리, 임시 자격 증명, 애플리케이션 코드에 데이터베이스 암호 저장 제거와 같은 몇 가지 보안 이점을 제공합니다. IAM 데이터베이스 인증을 사용하면 암호 대신 인증 토큰을 사용하여 데이터베이스 인스턴스를 인증할 수 있습니다. 따라서 데이터베이스 인스턴스와 주고받는 네트워크 트래픽은 SSL을 사용하여 암호화됩니다. IAM 인증이 없으면 데이터베이스는 일반적으로 암호 기반 인증에 의존하므로 암호 재사용과 약한 암호로 이어질 수 있습니다. 보안 모범 사례에 따라 IAM 데이터베이스 인증을 활성화하는 것이 좋습니다.
IAM 데이터베이스 인증 활성화
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 데이터베이스 옵션에서 IAM 데이터베이스 인증을 활성화할 수 있습니다. 자세한 내용은 Amazon RDS 사용 설명서의 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하세요. IAM 인증을 활성화한 후 암호 기반 인증 대신 IAM 인증을 사용하도록 DB 인스턴스를 업데이트합니다.
Amazon RDS DB 인스턴스는 기본 관리자 사용자 이름을 사용합니다.
DB 인스턴스에 기본 사용자 이름(예: “admin”, “root”)을 사용하면 무차별 대입 공격에서 널리 알려지고 일반적으로 대상으로 지정되므로 보안 위험이 증가합니다. 기본 사용자 이름은 예측 가능하며 권한이 없는 사용자가 데이터베이스에 대한 액세스 권한을 얻으려고 더 쉽게 시도할 수 있습니다. 기본 사용자 이름을 사용하면 공격자가 데이터베이스에 액세스하는 데 두 가지가 필요하지 않고 암호만 얻으면 됩니다. 보안 모범 사례에 따라 데이터베이스 인스턴스에 고유한 관리자 사용자 이름을 사용하여 모호성을 통해 보안을 강화하고 무단 액세스 시도의 위험을 줄이는 것이 좋습니다.
고유한 관리자 사용자 이름 구성
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 애플리케이션에 가장 적합한 백업 빈도, 보존 기간 및 수명 주기 규칙을 고려합니다.
Amazon RDS DB 클러스터는 기본 관리자 사용자 이름을 사용합니다.
DB 인스턴스에 기본 사용자 이름(예: “admin”, “root”)을 사용하면 무차별 대입 공격에서 널리 알려지고 일반적으로 대상으로 지정되므로 보안 위험이 증가합니다. 기본 사용자 이름은 예측 가능하며 권한이 없는 사용자가 데이터베이스에 대한 액세스 권한을 얻으려고 더 쉽게 시도할 수 있습니다. 기본 사용자 이름을 사용하면 공격자가 데이터베이스에 액세스하는 데 두 가지가 필요하지 않고 암호만 얻으면 됩니다. 보안 모범 사례에 따라 데이터베이스 인스턴스에 고유한 관리자 사용자 이름을 사용하여 모호성을 통해 보안을 강화하고 무단 액세스 시도의 위험을 줄이는 것이 좋습니다.
고유한 관리자 사용자 이름 구성
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 기존 Amazon RDS DB 인스턴스의 관리자 사용자 이름은 변경할 수 없습니다. 고유한 관리자 이름을 생성하려면 사용자 지정 사용자 이름으로 새 DB 인스턴스를 생성하고 데이터를 마이그레이션해야 합니다.
Amazon RDS DB 인스턴스에 자동 마이너 버전 업그레이드가 비활성화되어 있습니다.
마이너 버전 자동 업그레이드를 사용하면 Amazon RDS 인스턴스를 사용할 수 있게 되면 마이너 엔진 버전 업그레이드를 자동으로 받을 수 있습니다. 이러한 업그레이드에는 데이터베이스의 보안 및 안정성을 유지하는 데 도움이 되는 중요한 보안 패치 및 버그 수정이 포함되는 경우가 많습니다. 데이터베이스가 최신 마이너 버전에서 수정된 알려진 보안 취약성으로 실행될 위험이 있습니다. 자동 업데이트가 없으면 새 CVEs이 누적될 수 있습니다. 보안 모범 사례에 따라 모든 Amazon RDS 인스턴스에 대해 자동 마이너 버전 업그레이드를 활성화하는 것이 좋습니다.
자동 마이너 버전 업그레이드 활성화
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 유지 관리 및 백업 탭에서 자동 마이너 업그레이드 설정을 볼 수 있습니다. 자세한 내용은 Amazon RDS for MySQL의 마이너 버전 자동 업그레이드를 참조하세요. 데이터베이스 활동이 적은 기간 동안 유지 관리 기간이 발생하도록 구성할 수도 있습니다.
Amazon RDS DB 인스턴스에 자동 백업이 비활성화되었습니다.
자동 백업은 Amazon RDS 인스턴스에 대한 point-in-time으로 복구를 제공하므로 보존 기간 내의 어느 시점으로든 데이터베이스를 복원할 수 있습니다. 자동 백업이 비활성화되면 악의적인 삭제, 데이터 손상 또는 기타 데이터 손실 시나리오 발생 시 데이터가 손실될 위험이 있습니다. 랜섬웨어 공격, 데이터베이스 테이블 삭제 또는 손상과 같은 악의적인 활동이 발생하는 경우 인시던트가 발생하기 전에 특정 시점으로 복원하는 기능은 인시던트 복구에 필요한 시간을 줄입니다. 보안 모범 사례에 따라 모든 프로덕션 데이터베이스에 대해 적절한 보존 기간으로 자동 백업을 활성화하는 것이 좋습니다.
Amazon RDS DB 인스턴스에 삭제 방지 기능이 비활성화되어 있습니다.
데이터베이스 삭제 보호는 데이터베이스 인스턴스의 삭제를 방지하는 데 도움이 되는 기능입니다. 삭제 방지 기능을 비활성화하면 충분한 권한이 있는 모든 사용자가 데이터베이스를 삭제할 수 있으므로 데이터 손실 또는 애플리케이션 가동 중지가 발생할 수 있습니다. 공격자는 데이터베이스를 삭제하여 서비스 중단, 데이터 손실 및 복구 시간 증가를 초래할 수 있습니다. 보안 모범 사례에 따라 RDS DB 인스턴스에 대해 삭제 방지를 활성화하여 악의적인 삭제를 방지하는 것이 좋습니다.
Amazon RDS DB 클러스터에 대한 삭제 방지 활성화
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 클러스터가 열립니다.
Amazon RDS DB 클러스터에 삭제 방지 기능이 비활성화되어 있습니다.
데이터베이스 삭제 보호는 데이터베이스 인스턴스의 삭제를 방지하는 데 도움이 되는 기능입니다. 삭제 방지 기능을 비활성화하면 충분한 권한이 있는 모든 사용자가 데이터베이스를 삭제할 수 있으므로 데이터 손실 또는 애플리케이션 가동 중지가 발생할 수 있습니다. 공격자는 데이터베이스를 삭제하여 서비스 중단, 데이터 손실 및 복구 시간 증가를 초래할 수 있습니다. 보안 모범 사례에 따라 RDS DB 클러스터에 대해 삭제 방지를 활성화하여 악의적인 삭제를 방지하는 것이 좋습니다.
Amazon RDS DB 클러스터에 대한 삭제 방지 활성화
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 클러스터가 열립니다.
Amazon RDS DB 인스턴스는 데이터베이스 엔진의 기본 포트를 사용합니다.
데이터베이스 엔진에 기본 포트를 사용하는 Amazon RDS 인스턴스는 보안 위험이 증가할 수 있습니다. 이러한 기본 포트는 널리 알려져 있으며 자동 스캔 도구를 대상으로 하는 경우가 많기 때문입니다. 기본 포트가 아닌 포트를 사용하도록 DB 인스턴스를 수정하면 모호성을 통해 보안 계층이 추가되므로 권한이 없는 사용자가 데이터베이스에 대한 자동 또는 대상 공격을 수행하기가 더 어려워집니다. 기본 포트는 일반적으로 권한이 없는 사람이 스캔하므로 DB 인스턴스가 대상으로 지정될 수 있습니다. 보안 모범 사례에 따라 자동 또는 대상 공격의 위험을 줄이려면 기본 포트를 사용자 지정 포트로 변경하는 것이 좋습니다.
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다.
애플리케이션 연결 문자열 업데이트
포트를 변경한 후 새 포트 번호를 사용하도록 Amazon RDS 인스턴스에 연결하는 모든 애플리케이션 및 서비스를 업데이트합니다.
Amazon RDS DB 인스턴스는 백업 계획에 포함되지 않습니다.
AWS 백업은 데이터 백업을 중앙 집중화하고 자동화하는 완전 관리형 백업 서비스입니다 AWS 서비스. DB 인스턴스가 백업 계획의 적용을 받지 않는 경우 악의적인 삭제, 데이터 손상 또는 기타 데이터 손실 시나리오 발생 시 데이터가 손실될 위험이 있습니다. 랜섬웨어 공격, 데이터베이스 테이블 삭제 또는 손상과 같은 악의적인 활동이 발생하는 경우 인시던트가 발생하기 전에 특정 시점으로 복원하는 기능은 인시던트 복구에 필요한 시간을 줄입니다. 보안 모범 사례에 따라 데이터 보호를 위해 Amazon RDS 인스턴스를 백업 계획에 포함하는 것이 좋습니다.
DB 인스턴스에 대한 백업 계획 생성 및 할당
노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 애플리케이션에 가장 적합한 백업 빈도, 보존 기간 및 수명 주기 규칙을 고려합니다.
