-
데이터 보안 종류
전송 - ssl - 인증서 - ACM
저장 - key - KMS
데이터 및 책임
공동 책임 모델
데이터 보안에 신경 써야 하는 이유
- 고객 신뢰
- 정부 요구 사항
- 영업 비밀
비용 vs 보호 vs 시간 - 서로 상충관계이다.
데이터 분류가 필요
- 일반 정보
- 민감 정보
- 기밀정보
위험 평가
- 위험 등급을 정한다.
- 관리가 복잡해 진다.
암호화
- 키를 이용한 암호화
DIY 키 관리
장점 :
- 기존 키 및 애플리케이션 사용 가능
- 저장되는 장소와 사용자 세부 제어 가능
단점
- 다른 리전에 복제하는데 비용이 많이 소요
- 새로운 개발자에게 인프라 교육 힘듬
- 확장에 따른 키 관리 감사가 어려움
AWS KMS ( key management service)
- 디스크에 저장 x
- 마스터 키가 자동 순환됨
- 마스터 키와 데이터 키를 사용하는 작업이 분리됨
이점
- 마스터 키에 접근 불가
- 고객은 데이터 키를 직접 사용 가능하고, 이 데이터 키는 암호화된 객체마다 고유한 값을 갖는다.
- 관리의 용이성 ( AWS에 맡긴다)
CloudHSM
- 보안 레벨이 더 높다.
- 격리된 키 관리 서비스 사용
실수로 정보 유출
- 추천 방식
1. 데이터 기밀로 하고 사용자 수를 제한
2. 액세스 관리 (MFA 이용)
3. 암호화 사용
데이터 무결성
삭제 방지
- 액세스 권한 관리
- 버저닝 이용
서버 측 및 클라이언트 측 암호화 비교
- 각각의 리소스를 사용
- 둘다 써도 된다.
- 한쪽만해도 된다.
전송중인 데이터 보호
TLS 종료
EC2 인스턴스가 TLS암호화 및 암호 해제 처리할 수 있다.
- 인스턴스 리소스가 사용됨
ELB를 활용
- HTTP, HTTPS 및 TCP 처리
- SSL 인증서 관리
ELB로 TLS암호 해제 오프로드
- ELB는 TLS 종료를 지원 ( ex) EC2까지 Http 통신)
AWS Certificate Manager
- 인증서 관리 자동화
보안 자동화
- 휴먼에러 방지를 위해 자동화 중요
Amazon Macie
- S3에 민감정보 있는지 확인
- 취약성 검색
- 정보 분류
- 데이터 보호
Amazon GuardDuty
- 악의적인 접속 모니터링 및 위협 탐지