모범 사례 8.2 – 전송 중 데이터 암호화

전송 중 데이터 암호화를 사용하면 데이터가 한 지점에서 다른 지점으로 이동하는 동안 데이터를 가로채거나 액세스하거나 변조하기가 더 어려워집니다. 잠재적 위협을 최소화하고 요구 사항에 부합하는 보호 수준을 제공하려면 보안 프로토콜 및 네트워크 수준 암호화를 사용해야 합니다.

Well-Architected Framework [보안]: 전송 중 데이터 보호

제안 사항 8.2.1 – SAP 및 데이터베이스 프로토콜을 기반으로 애플리케이션 트래픽을 암호화

SAP 프로토콜(SAPGUI Dialog, RFC 및 CPIC)을 사용하는 애플리케이션 트래픽의 경우 SAP SNC를 사용하여 전송 계층 보안을 적용합니다.

• SAP 설명서: SAP 시스템의 SNC 보호 통신 경로

데이터베이스 트래픽의 경우 가능하면 클라이언트와 데이터베이스 간에 보안 연결을 사용합니다.

데이터베이스	Guidance
SAP HANA	SAP 설명서: SAP HANA: 데이터 통신 보호
SAP ASE	SAP 설명서: SAP ASE의 SSL
IBM Db2	SAP Note: 2385640 - DB6: SSL 암호화를 사용해 데이터베이스 연결 [SAP 포털 액세스 권한 필요]
Oracle	SAP Note: 973450 - Oracle Database 네트워크 암호화 및 데이터 무결성 [SAP 포털 액세스 권한 필요]
Microsoft SQL Server	SAP Note: 1570930 - SAP로 SQL Server 네트워크 암호화 [SAP 포털 액세스 권한 필요]
SAP MaxDB	SAP 설명서: MaxDB 네트워크 및 통신

제안 사항 8.2.2 – 인터넷 프로토콜을 기반으로 SAP 애플리케이션 트래픽을 암호화

인터넷 프로토콜(HTTP, P4(RMI), LDAP)을 기반으로 하는 애플리케이션 트래픽의 경우 SSL/TLS를 사용하여 전송 계층 보안을 적용합니다.

• SAP 설명서: 전송 계층 보안

제안 사항 8.2.3 – 파일 전송 또는 메시지 전송 프로토콜을 기반으로 데이터 교환을 암호화

파일 기반 전송의 경우 AWS는 SFTP 또는 FTPS를 통한 보안 파일 교환을 위해 AWS Transfer Family를 제공합니다. AWS Transfer Family는 Amazon S3 및 Amazon EFS와의 데이터 전송을 지원합니다.

• AWS 설명서: AWS Transfer Family

메시지 수준 데이터 무결성 검사를 사용하면 데이터가 전송되는 동안 변조되지 않도록 하는 데 도움이 됩니다. 메시지에 포함된 데이터의 무결성을 서명 및 확인할 수 있도록 SAP가 지원하는 하나 이상의 메시지 수준 보안 표준을 사용하는 것을 고려합니다.

• SAP 설명서: SAP ABAP 웹 서비스 메시지 수준 보안

• SAP 설명서: SAP NetWeaver 프로세스 통합 보안 가이드

• SAP 설명서: SAP 클라우드 통합 메시지 수준 보안

IDOC 기반 메시지의 경우 SNC를 사용하여 ALE에서 사용하는 RFC 연결을 보호합니다.

• SAP 설명서: IDocs에서 민감한 데이터 처리

제안 사항 8.2.4 – 관리 액세스를 암호화

SAP 관리를 위해 Windows 및 SSH 기반 도구를 모두 사용하는 것이 일반적입니다. 배스천 호스트와 같은 보안 제어 외에 이 트래픽을 암호화할 수 있는지 여부를 고려합니다.

또는, AWS Systems Manager Session Manager 는 암호화를 위해 AWS Management Console을 통해 TLS를 사용하여 운영 체제에 액세스하는 보안 메커니즘을 제공합니다.

• AWS 설명서: Amazon EC2 Windows 가이드 - 전송 중 암호화

• AWS 설명서: Amazon EC2 Linux 가이드 - 전송 중 암호화

• AWS 설명서: AWS Systems Manager의 데이터 보호 – 데이터 암호화

제안 사항 8.2.5 – AWS 서비스의 전송 중 암호화 기능을 평가

애플리케이션 기반 암호화 외에 많은 AWS 서비스가 전송 중 암호화 기능을 제공합니다. 각 서비스에서 기업 표준, 구현 작업 및 관련 이점을 평가합니다. 다음은 SAP 워크로드와 관련된 몇 가지 예입니다.

• AWS 설명서: Amazon S3 - 전송 중 암호화 - 기본적으로 활성화되며 Amazon S3로의 백업에 권장됩니다.

• AWS 설명서: Amazon EFS - 전송 중 암호화 / Amazon FSx - 공유 파일 시스템에 필요할 수 있습니다.

• AWS 설명서: Elastic Load Balancing - 일부 로드 밸런서 유형에서는 이 기능을 사용할 수 없으므로 암호화 요구 사항과 패스스루가 있는 엔드투엔드 TLS가 필요한지 여부를 검토하세요.

• AWS 설명서: Amazon EC2 - 전송 중 암호화 - 최근 세대 인스턴스 유형에만 이 기능이 있습니다.

제안 사항 8.2.6 – 네트워크 수준 암호화를 구현

SAP 고객은 일반적으로 Direct Connect를 단독으로 또는 VPN과 함께 사용하여 AWS의 리소스에 대한 안정적인 연결을 제공합니다.

AWS Direct Connect는 전송 중 트래픽을 암호화하지 않습니다. 암호화가 필요한 경우 예를 들어 VPN over Direct Connect를 사용하여 전송 수준 암호화를 구현해야 합니다.

AWS는 네트워크 채널 암호화에 사용할 수 있는 Site-to-Site VPN을 제공합니다. AWS Marketplace에서 또는 기존 보유 라이선스 사용 모델을 통해 OpenVPN과 같은 서드 파티 VPN 솔루션을 배포하는 것을 선택할 수도 있습니다.

• AWS 설명서: AWS 관리형 VPN

• AWS 설명서: AWS Direct Connect + VPN

• AWS 설명서: 소프트웨어 Site-to-Site VPN