AWS 데이터 보안 | 규정 준수

유휴 데이터 암호화

데이터 암호화는 데이터를 보호하고자 할 때 필수적으로 사용해야 하는 도구이다

암호화는 읽을 수 있는 데이터를 가져와서 인코딩한다. 데이터를 인코딩 하는데 사용된 보안 키에 액세스할 수 없는 모든 사용자는 이 데이터를 읽을 수 없다. 공격자가 데이터에 대한 권한을 얻더라도 데이터를 이해할 수 없다

 

유휴 데이터는 디스크 또는 테이프에 물리적으로 저장된 데이터를 나타내는데 이동하지 않고 단순히 저장된다

 

AWS에서 암호화된 파일 시스템을 생성하면 모든 데이터 및 메타데이터가 AES-256(개방형 표준 고급 암호화 기술) 알고리즘을 사용하여 저장 시에 암호화 된다.

AWS KMS를 사용하면 암호화 및 복호화가 자동으로 투명하게 처리되므로 애플리케이션을 수정할 필요가 없다.

 

 

전송 중 데이터(네트워크에서 이동하는 데이터)의 암호화

- TLS(전송 계층 보안)이라는 개방형 표준 프로토콜을 사용하여 암호화된다

- AWS Certificate Manager는 TLS 또는 SSL 인증서를 관리, 배포 및 갱신하는 방법을 제공한다

- SSL 또는 TLS 인증서는 네트워크 통신을 보호하고 인터넷을 사용하는 웹 사이트의 자격 증명을 설정하는데 사용된다.

- 프라이빗 네트워크에서 리소스 자격증명으로 활용할 수 있다.

 

 

Amazon S3 버킷 및 객체 보안

- 새로 생성된 버킷과 객체는 기본적으로 비공개이며 보호된다.

- S3 데이터 액세스 제어를 위한 도구로는 1. Amazon S3 Block Public Access(S3 보호 가능, 다른 정책이나 객체 권한보다 우선시, 버킷 생성시 기본적으로 활성화 됨)

- 2. IAM 정책을 작성

- 3. 버킷 정책, 리소스 정책 : 사용자 또는 시스템이 IAM을 사용하여 인증할 수 없을 때 사용됨.

- 4. ACL(액세스 제어 목록) : 오래되어 자주 사용하지 않지만 레거시 액세스 제어 메커니즘임

- 5. AWS Trusted Advisor 계정의 권한이 있는지 알 수 있음

 

---

 

AWS 규정 준수 프로그램

규정 준수에서는 정보 보안 관리 시스템의 설정, 구현, 유지 관리 및 지속적인 개선에 대한 요구 사항을 명시

- 인증 및 인가(ex. ISO 27001, 27017, 27018 ..)

- 법률, 규정 및 개인 정보(ex. EU GDPR, HIPAA)

- 준수 및 프레임워크(ex. CIS ..)

 

 

AWS Config

리소스의 구성을 측정 감사 및 평가하는데 사용할 수 있는 서비스

- AWS 구성 기록을 유지하며 이를 통해 누가 무엇을 어디에서 변경하도록 허용할지 정의할 수 있다

- 일련의 규칙을 기준으로 기록된 구성을 자동으로 평가 가능

- 구성 변경을 검토하고 세부 구성 기록을 볼 수 있다

- 규정 준수 감사 및 보안 분석을 간소화 한다.

- 규정 미준수 리소스에는 플래그가 지정되어 계정에서 해결해야하는 구성문제를 알릴 수 있다

- 리전별 서비스

 

 

AWS Artifact

규정 준수 관련 정보를 위한 리소스

- 보안 및 규정 준수 문서를 감사자에게 제출해 AWS 서비스의 보안 및 규정 준수 상태를 입증할 수 있다

- 이를 사용하면 AWS와의 계약을 수락하고 제한된 정보를 합법적으로 처리할 수 있는 AWS 계정을 지정할 수 있다 -> 여러 계정을 대신하여 계약을 수락할 수 있다. 여러 계정에 대한 계약을 승인하려면 AWS Organizations를 사용하여 조직을 생성한다.