728x90
AWS에서의 Data 보호의 개요
- 전송의 암호화를 위해 TLS를 사용합니다.
- SSL/TLS 인증서를 관리하기 위해 ACM을 사용합니다.
- 로드벨런서를 사용합니다.
- ELB, ALB, NLB 는 SSL 엣지를 제공합니다.
- 복수의 SSL 인증서를 ALB에 할당할 수 있습니다.
- ALB와 EC2 인스턴스 사이에 선택적으로 SSL/TLS 암호화 통신을 할 수 있습니다.
- SSL로 CloudFront를 올립니다.
- 모든 AWS 서비스는 HTTPS 엔드포인트로 노출되어야 합니다.
- 일반적으로 S3 경로를 HTTP로 노출하는경우도 많은데 HTTPS로 해야합니다.
Data 보호에 있어서 Rest Encryption
S3 암호화
• SSE-S3: AWS OwnKey를 활용하여 서버측 암호화
• SSE-KMS: KMS key를 활용하여 서버측 암호화
• SSE-C: Providing your own key (AWS won’t keep it)를 활용하여 서버측 암호화
• 사용자가 콘텐츠를 암호화해 저장함으로써 AWS가 관여하는 것 없음
• 세팅을 통하여 S3에 데이터 암호화를 Default로 설정합니다.
• S3 bucket policy (x-amz-server-side-encryption) 를 통해 강제적으로 암호화가 가능합니다.
• Glacier는 기본적으로 암호화 합니다.
One quick setting for: EBS, EFS, RDS, ElastiCache, DynamoDB, etc
• 일반적으로 서비스의 암호화키를 사용하거나 당신의 고유의 KMS Key를 사용한다
보안이 필요한 Data 카테고리
• PHI = protected health information
• PII = personally-identifying information
AWS의 Network 보호의 개요
- Direct Connect : 사설네트워크 인 경우 적용. 실제 사이트와 AWS를 Direct로 연결
- VPN : 퍼블릭네트워크 인 경우 사이트와 사이트간은 IPSec VPN
- Network ACL : VPC레벨에서 ACL을 운영할수 있음
- WAF : Exploit에 대비하여 Web security Rules 적용
- 보안그룹 : 인스턴스의 하이퍼바이저 하단에서 보안
- 서버내 Firewall
'IaaS > 퍼블릭클라우드' 카테고리의 다른 글
| (AWS) AutoScalingGroup 추가 기능을 통해 더 정교한 컨트롤하기 (0) | 2022.04.17 |
|---|---|
| (AWS) AutoScaling Group에 대해서 (0) | 2022.04.15 |
| (AWS) Cost allocation tags 사용하기 (0) | 2022.04.14 |
| (AWS) 관리도구 Secrets Manager, License Manager 에 대해서 (0) | 2022.04.14 |
| (AWS) Trusted Advisor, Guard Duty, Macie 에 대해 (0) | 2022.04.13 |