AWS Snowball Edge에서의 데이터 보호 - AWS Snowball Edge 개발자 가이드
클라우드에서 데이터 보호디바이스에서 데이터 보호

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

AWS Snowball Edge에서의 데이터 보호

AWS Snowball 데이터 보호를 위한 규정 및 지침을 포함하는 AWS 공동 책임 모델을 준수합니다. AWS 모든 AWS 서비스를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. AWS 고객 콘텐츠 및 개인 데이터 처리를 위한 보안 구성 제어를 포함하여 이 인프라에서 호스팅되는 데이터에 대한 제어를 유지합니다. AWS 데이터 컨트롤러 또는 데이터 처리자 역할을 하는 고객 및 APN 파트너는 자신이 입력하는 모든 개인 데이터에 대한 책임이 있습니다. AWS 클라우드

데이터 보호를 위해 AWS 계정 자격 증명을 보호하고 개별 사용자 AWS Identity and Access Management (IAM) 를 설정하여 각 사용자에게 직무 수행에 필요한 권한만 부여하도록 하는 것이 좋습니다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋습니다.

  • 각 계정에 멀티 팩터 인증 설정(MFA)을 사용하세요.

  • SSL/TLS를 사용하여 리소스와 통신하세요. AWS TLS 1.2 이상을 권장합니다.

  • 를 사용하여 API 및 사용자 활동 로깅을 설정합니다. AWS CloudTrail

  • AWS 서비스 내의 모든 기본 보안 제어와 함께 AWS 암호화 솔루션을 사용하십시오.

  • Amazon S3에 저장된 개인 데이터를 검색하고 보호하는 데 도움이 되는 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용합니다.

  • 명령줄 인터페이스 또는 API를 AWS 통해 액세스할 때 FIPS 140-2로 검증된 암호화 모듈이 필요한 경우 FIPS 엔드포인트를 사용하십시오. 사용 가능한 FIPS 엔드포인트에 대한 자세한 내용은 Federal Information Processing Standard(FIPS) 140-2 섹션을 참조하세요.

명칭 필드와 같은 자유 형식 필드에 고객 계정 번호와 같은 중요 식별 정보를 절대 입력하지 마세요. 여기에는 콘솔, API AWS Snowball 또는 SDK를 사용하여 다른 AWS 서비스를 사용하거나 작업하는 경우가 포함됩니다. AWS CLI AWS AWS Snowball 또는 기타 서비스에 입력하는 모든 데이터는 진단 로그에 포함하기 위해 선택될 수 있습니다. 외부 서버에 URL을 제공할 때 해당 서버에 대한 요청을 검증하기 위해 자격 증명 정보를 URL에 포함시키지 마십시오.

데이터 보호에 대한 자세한 내용은 AWS 보안 블로그AWS 공동 책임 모델 및 GDPR 블로그 게시물을 참조하십시오.

클라우드에서 데이터 보호

AWS Snowball Amazon S3로 데이터를 가져오거나 내보낼 때, Snow Family 디바이스를 주문하기 위한 작업을 생성할 때, 디바이스를 업데이트할 때 데이터를 보호합니다. 다음 섹션에서는 Snowball Edge를 사용하고 온라인 상태이거나 AWS 클라우드에서 상호 작용할 때 데이터를 보호하는 방법을 설명합니다.

엣지 암호화 AWS Snowball

Snowball Edge를 사용하여 S3으로 데이터를 가져올 경우 디바이스에 전송되는 모든 데이터는 네트워크를 통해 SSL 암호화로 보호됩니다. 저장 데이터를 보호하기 위해 AWS Snowball Edge에서는 서버 측 암호화(SSE)를 사용합니다.

에지에서의 서버 측 암호화 AWS Snowball

AWS Snowball Edge는 Amazon S3에서 관리하는 암호화 키 (SSE-S3) 를 사용한 서버 측 암호화를 지원합니다. 서버 측 암호화는 저장 데이터를 보호하기 위한 것이고, SSE-S3에서는 Amazon S3의 저장 데이터를 보호하기 위해 강력한 멀티 팩터 암호화를 제공합니다. SSE-S3에 대한 자세한 내용은 Amazon Simple Storage Service 사용 설명서Protecting Data Using Server-Side Encryption with Amazon S3-Managed Encryption Keys (SSE-S3) 섹션을 참조하세요.

현재 AWS Snowball Edge는 고객 제공 키 (SSE-C) 를 사용한 서버 측 암호화를 제공하지 않습니다. Amazon S3 compatible storage on Snow Family devices는 로컬 컴퓨팅 및 스토리지 작업을 위한 SSS-C를 제공합니다. 그러나 해당 SSE 유형을 사용하여 가져온 데이터를 보호하고 싶을 수 있으며, 내보내려는 데이터에 해당 SSE 유형을 이미 사용하고 있을 수 있습니다. 이 경우에는 다음 사항에 유의해야 합니다.

  • 가져오기 -

    Amazon S3로 가져온 객체를 SSE-C를 사용하여 암호화하려면, SSE-KMS 또는 SSE-S3 암호화를 버킷 정책의 일부로 설정된 것으로 간주해야 합니다. 하지만 Amazon S3로 가져온 객체를 SSE-C를 사용하여 암호화해야 하는 경우에는 버킷 내의 객체를 복사하여 SSE-C로 암호화해야 합니다. 이를 위한 샘플 CLI 명령은 다음과 같습니다.

    aws s3 cp s3://mybucket/object.txt s3://mybucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    또는

    aws s3 cp s3://mybucket s3://mybucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • 내보내기 - SSE-C를 사용하여 암호화된 객체를 내보내려면, 먼저 서버 측 암호화를 제공하지 않거나 버킷 정책에 SSE-KMS 또는 SSE-S3가 지정되어 있는 다른 버킷으로 해당 객체를 복사합니다.

Snowball Edge에서 Amazon S3로 가져온 데이터에 대해 SSE-S3 활성화

Amazon S3 관리 콘솔에서 다음 절차를 사용하여 Amazon S3로 가져오는 데이터에 대해 SSE-S3를 활성화합니다. Snowball 디바이스 자체에서 AWS Snow 패밀리 관리 콘솔 또는 Snowball 디바이스 자체에서는 구성이 필요하지 않습니다.

Amazon S3로 가져오는 데이터에 대해 SSE-S3 암호화를 활성화하려면 데이터를 가져오는 모든 버킷의 버킷 정책을 설정하면 됩니다. 업로드 요청에 x-amz-server-side-encryption 헤더가 포함되어 있지 않은 경우 객체 업로드(s3:PutObject) 권한을 거부하도록 정책을 업데이트합니다.

Amazon S3로 가져오는 데이터에 대해 SSE-S3 활성화

  1. AWS Management Console 로그인하고 https://console.aws.amazon.com/s3/ 에서 Amazon S3 콘솔을 엽니다.

  2. 버킷 목록에서 데이터를 가져오려는 버킷을 선택합니다.

  3. Permissions를 선택합니다.

  4. [Bucket Policy]를 선택합니다.

  5. [Bucket policy editor]에 다음 정책을 입력합니다. 이 정책에서 YourBucket의 모든 인스턴스를 실제 버킷 이름으로 바꿉니다.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. 저장을 선택합니다.

Amazon S3 버킷 구성을 완료했습니다. 이 버킷으로 가져오는 데이터가 SSE-S3로 보호됩니다. 필요에 따라 다른 버킷에 대해 이 절차를 반복합니다.

AWS Key Management ServiceAWS Snowball 엣지에서

AWS Key Management Service (AWS KMS) 는 데이터를 암호화하는 데 사용되는 암호화 키를 쉽게 만들고 제어할 수 있는 관리형 서비스입니다. AWS KMS 하드웨어 보안 모듈 (HSM) 을 사용하여 키의 보안을 보호합니다. 특히 AWS Snowball Edge에서 작업을 위해 선택한 키의 Amazon 리소스 이름 (ARN) 은 KMS AWS KMS 키와 연결됩니다. 이 KMS 키는 작업에 대한 잠금 해제 코드를 암호화하는 데 사용됩니다. 잠금 해제 코드는 매니페스트 파일에서 암호화의 맨 위 계층을 해독하는 데 사용됩니다. 매니페스트 파일에 저장된 암호화 키는 디바이스에서 데이터를 암호화 및 암호화 해제하는 데 사용됩니다.

AWS Snowball Edge에서는 각 AWS Snowball Edge 디바이스의 데이터를 보호하는 데 사용되는 암호화 키를 AWS KMS 보호합니다. 작업을 생성할 때 소유한 기존 KMS 키도 선택합니다. 키에 ARN을 지정하면 기기의 고유 AWS KMS 키를 AWS Snowball 암호화하는 AWS KMS keys 데 사용할 ARN이 결정됩니다. AWS Snowball Edge AWS Snowball Edge에서 지원하는 Amazon S3 server-side-encryption 옵션에 대한 자세한 내용은 을 참조하십시오에지에서의 서버 측 암호화 AWS Snowball.

관리형 고객을 Snowball AWS KMS keys Edge에 사용하기

AWS KMS keys 계정용으로 생성된 Snowball Edge의 관리 대상 고객을 사용하려면 다음 단계를 따르십시오.

작업에 대해 AWS KMS keys 선택

  1. 에서 AWS Snow 패밀리 관리 콘솔작업 생성을 선택합니다.

  2. 작업 유형을 선택하고 [Next]를 선택합니다.

  3. 배송 세부 정보를 제공한 다음 [Next]를 선택합니다.

  4. 작업의 세부 정보를 작성한 다음 [Next]를 선택합니다.

  5. 보안 옵션을 설정합니다. 암호화에서 KMS 키의 경우 이전에 만든 사용자 지정 키를 선택하거나 AWS KMS, 별도의 계정에서 소유한 키를 입력해야 하는 경우 Enter a key ARN을 선택합니다. AWS 관리형 키

    참고

    AWS KMS key ARN은 고객 관리형 키의 글로벌 고유 식별자입니다.

  6. [다음] 을 선택하여 선택을 마칩니다. AWS KMS key

  7. Snow 디바이스 IAM 사용자에게 KMS 키에 대한 액세스 권한을 부여합니다.

    1. IAM 콘솔(https://console.aws.amazon.com/iam/)에서 암호화 키로 이동하여 디바이스의 데이터를 암호화하는 데 사용하기로 선택한 KMS 키를 엽니다.

    2. 키 사용자에서 추가를 선택하고 Snow 디바이스 IAM 사용자를 검색한 다음 연결을 선택합니다.

사용자 지정 KMS 봉투 암호화 키 생성

AWS Snowball Edge에서 사용자 지정 AWS KMS 봉투 암호화 키를 사용할 수 있습니다. 자체 키를 생성할 경우 작업이 생성된 곳과 동일한 리전에서 키를 생성해야 합니다.

작업에 사용할 고유한 AWS KMS 키를 만들려면 AWS Key Management Service 개발자 안내서의 키 만들기를 참조하십시오.

디바이스에서 데이터 보호

AWS Snowball 엣지 보안

다음은 AWS Snowball Edge를 사용할 때 고려할 것을 권장하는 몇 가지 보안 사항과 처리를 위해 장치가 도착했을 때 취하는 기타 보안 예방 조치에 AWS 대한 몇 가지 고급 정보입니다.

다음 보안 접근 방식을 따르는 것이 좋습니다.

  • 디바이스가 처음 도착하면 손상되거나 명백히 변경된 부분이 있는지 검사합니다. 디바이스에서 의심이 가는 부분이 있으면 내부 네트워크에 연결하지 마세요. 그 대신에 AWS Support에 연락하면 새 디바이스를 받을 수 있습니다.

  • 작업 보안 인증 정보가 누출되지 않도록 보호해야 합니다. 작업의 매니페스트 및 잠금 해제 코드에 대한 액세스 권한이 있는 모든 개인은 해당 작업에 대해 전송되는 디바이스의 콘텐츠에 액세스할 수 있습니다.

  • 디바이스를 로딩 독에 두지 마세요. 로딩 독에 방치하면 여러 요소에 노출될 수 있습니다. 각 AWS Snowball Edge 장치는 견고하지만 날씨로 인해 가장 견고한 하드웨어가 손상될 수 있습니다. 디바이스가 도난, 분실 또는 파손된 경우 최대한 빨리 보고하세요. 문제를 빨리 보고할수록 다른 디바이스를 더 빨리 배송받아 작업을 완료할 수 있습니다.

참고

AWS Snowball Edge 디바이스는 의 자산입니다. AWS장치를 조작하는 것은 AWS 이용목적 제한 정책을 위반하는 것입니다. 자세한 내용은 http://aws.amazon.com/aup/를 참조하세요.

다음 보안 단계를 수행합니다.

  • Amazon S3 어댑터를 통해 데이터를 전송할 때 객체 메타데이터가 유지되지 않습니다. filenamefilesize 메타데이터만 동일하게 유지됩니다. 다른 모든 메타데이터는 다음 예시와 같이 설정됩니다. -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • 파일 인터페이스를 통해 데이터를 전송할 때 객체 메타데이터가 유지됩니다.

  • 장치가 AWS도착하면 당사는 변조 흔적이 있는지 검사하고 TPM (Trusted Platform Module) 에서 감지한 변경 사항이 없는지 확인합니다. AWS Snowball Edge는 변조 방지 인클로저, 256비트 암호화, 데이터에 대한 보안 및 완전한 관리 체계를 제공하도록 설계된 업계 표준 TPM을 포함하여 데이터를 보호하도록 설계된 다중 보안 계층을 사용합니다.

  • 데이터 전송 작업이 처리 및 확인되면 AWS 는 미디어 삭제를 위한 NIST(National Institute of Standards and Technology) 지침에 따라 Snowball 디바이스에서 소프트웨어를 삭제합니다.

NFC 태그 검증

Snowball Edge 컴퓨팅 최적화 및 Snowball Edge 스토리지 최적화(데이터 전송용) 디바이스에는 NFC 태그가 내장되어 있습니다. Android에서 사용 가능한 AWS Snowball Edge Verification 앱을 사용하여 이러한 태그를 스캔할 수 있습니다. 이러한 NFC 태그를 스캔하고 검증함으로써 디바이스 사용 전에 디바이스가 변조되지 않았는지 확인할 수 있습니다.

NFC 태그 검증 과정에는 Snowball Edge 클라이언트를 사용해 디바이스별 QR 코드를 생성하여 스캔 중인 태그가 올바른 디바이스에 부합하는지 확인하는 작업이 포함됩니다.

다음 절차는 Snowball Edge 디바이스에서 NFC 태그를 검증하는 방법을 설명합니다. 시작하기 전에, 다음과 같은 시작하기 실습의 첫 다섯 단계를 수행했는지 확인해야 합니다.

  1. Snowball Edge 작업을 생성합니다. 자세한 내용은 Snow Family 디바이스 주문을 위한 작업 생성을 참조하십시오.

  2. 디바이스를 수령합니다. 자세한 정보는 Snowball Edge 받기을 참조하세요.

  3. 로컬 네트워크에 연결합니다. 자세한 정보는 로컬 네트워크에 연결을 참조하세요.

  4. 보안 인증 정보 및 도구를 가져옵니다. 자세한 정보는 Snow Family 디바이스에 액세스하기 위한 자격 증명 받기을 참조하세요.

  5. Snowball Edge 클라이언트를 다운로드 및 설치합니다. 자세한 정보는 Snowball Edge 클라이언트 다운로드 및 설치을 참조하세요.

NFC 태그 검증

  1. snowballEdge get-app-qr-code Snowball Edge 클라이언트 명령을 실행합니다. 이 명령을 클러스터의 노드에 대해 실행하는 경우, 일련 번호(--device-sn)를 입력하여 단일 노드에 대한 QR 코드를 가져옵니다. 클러스터의 각 노드마다 이 단계를 반복합니다. 이 명령의 사용에 대한 자세한 내용은 NFC 검증에 대한 QR 코드 가져오기 섹션을 참조하세요.

    QR 코드는 원하는 위치에 .png 파일로 저장됩니다.

  2. 저장한 .png 파일로 이동하여 앱으로 QR 코드를 스캔할 수 있도록 엽니다.

  3. Android의 AWS Snowball Edge 검증 앱을 사용하여 이러한 태그를 스캔할 수 있습니다.

    참고

    AWS Snowball Edge Verification 앱은 다운로드할 수 없지만 앱이 이미 설치된 장치가 있는 경우 앱을 사용할 수 있습니다.

  4. 앱을 시작하고 화면의 지침을 따릅니다.

이제 디바이스에 대한 NFC 태그를 성공적으로 스캔했고 검증했습니다.

스캔 중 문제가 발생하는 경우, 다음을 시도합니다.

  • 디바이스에 Snowball Edge Compute Optimized 옵션(GPU 탑재 또는 미탑재)이 있는지 확인합니다.

  • 다른 디바이스에 앱이 설치되어 있는 경우에는 해당 디바이스를 사용합니다.

  • 디바이스가 다른 NFC 태그의 간섭을 벗어나도록 방의 격리된 공간으로 이동하여 다시 시도합니다.

  • 문제가 지속되면 AWS Support로 문의하세요.