한국어 
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
AWS RDS 및 기타 클라우드 데이터베이스를 보호하기 위한 모범 사례
AWS의 관계형 데이터베이스 서비스는 다양한 클라우드 스토리지 작업을 간소화하는 데 도움이 될 수 있지만 보안을 유지하려면 사용자 측에서 어느 정도 주의를 기울여야 합니다. 다음은 RDS 사용에 대한 몇 가지 모범 사례입니다.
조직이 데이터 스토리지를 포함하여 클라우드 기반 서비스를 점점 더 많이 사용하고 있다는 것은 놀라운 일이 아닙니다. 클라우드 스토리지는 복제, 지리적 복원력, 비용 절감 가능성, 효율성 향상 등 엄청난 이점을 제공합니다.
Amazon Web Services(AWS) 관계형 데이터베이스 서비스(RDS)는 가장 인기 있는 클라우드 데이터베이스 및 스토리지 서비스 중 하나입니다. 높은 수준에서 RDS는 MariaDB, Microsoft SQL Server, MySQL 등과 같은 AWS의 관계형 데이터베이스 설정, 운영 및 확장을 간소화합니다. 다른 AWS 또는 클라우드 서비스 제품과 마찬가지로 RDS는 공유 책임 모델을 사용합니다. 이는 CSP(클라우드 서비스 공급자)(이 경우 AWS)가 기본 인프라와 호스팅 환경을 보호할 책임이 있으며 소비자는 OS, 구성 및 아키텍처 고려 사항을 포함하는 RDS 공유에 대한 책임이 있음을 의미합니다.
RDS 책임의 소비자 몫을 설명하지 못하면 클라우드 데이터 위반으로 이어질 수 있으며, 그 중 많은 경우가 목격되었습니다. 주요 영역에는 데이터베이스 인스턴스가 상주할 Virtual Private Cloud(VPC)에 대한 액세스 구성, 애플리케이션 ID 및 액세스 관리(IAM) 정책, 네트워크 트래픽 및 암호화를 제어하는 보안 그룹이 포함됩니다. 아래에서는 규정 준수와 같은 다른 영역과 함께 일부 영역에 대해 논의할 것입니다.
첫 번째 주요 고려 사항 중 하나는 인증, 즉 사용자가 RDS 데이터베이스 인스턴스에 액세스하기 위해 자신의 ID를 확인하는 방법입니다. 옵션 중에는 비밀번호, Kerberos 및 IAM 데이터베이스 인증이 있습니다. 소비자는 어떤 인증 경로를 선택할지 결정한 다음 암호 복잡성, MFA, IAM 정책과 같은 적절한 제어를 구현해야 합니다.
데이터 보호 영역에서 주요 고려 사항에는 다단계 인증 사용, SSL/TLS를 사용하여 다른 리소스와 통신하고 1.2와 같은 적절한 TLS 버전을 사용하고 있는지 확인하는 것이 포함됩니다. AWS의 다른 권장 사항에는 S3에 저장된 중요한 데이터를 검색하고 보호하는 데 도움이 되는 Macie 서비스 사용이 포함됩니다. Macie는 기계 학습(ML)을 사용하여 민감한 데이터를 검색하고, 대화형 맵을 구축하고, 자동으로 결과를 생성하여 AWS Security Hub와 같은 AWS 서비스로 전송하므로 취약한 구성이나 노출된 데이터를 수정할 수 있습니다.
AWS는 기본 DB 인스턴스의 저장 데이터 암호화, 자동 백업, 읽기 전용 복제본 및 스냅샷을 포함하여 AWS RDS 리소스를 암호화하는 다양한 방법을 제공합니다. 이를 촉진하기 위해 AWS는 KMS(키 관리 서비스)를 사용합니다. 여기에는 키에 대한 관리 책임을 직접 유지할 것인지 아니면 AWS 관리형 키를 사용할 것인지에 따라 다양한 옵션이 있습니다. 고객 관리형 키를 사용하는 경우 키 정책, IAM 정책 등을 수정하여 RDS 인스턴스에 대한 액세스 요청이 시작될 수 있는 위치를 제한하는 등 키에 대한 보다 세부적인 액세스 제어 및 사용 제약 조건을 구현할 수 있습니다.
또한 고객은 AWS CloudTrail을 사용하여 KMS 키 사용을 감사하여 잠재적으로 악의적인 행동이나 권한 오용 및 데이터 액세스를 식별할 수 있습니다. AWS 암호화 및 KMS 사용에 대해 자세히 알아보기 위해 AWS는 키 관리 서비스 모범 사례 백서를 제공합니다.
즉, AWS RDS 데이터베이스 인스턴스를 암호화할 때 고려해야 할 몇 가지 주요 고려 사항이 있습니다. 데이터베이스 인스턴스를 생성할 때 암호화해야 합니다. 나중에 돌아가서 암호화할 수는 없습니다. 또한 암호화가 활성화되면 비활성화할 수 없습니다.
또한 조직은 트래픽이 승인되지 않은 당사자에게 노출되지 않도록 AWS Site-to-Site VPN 또는 AWS Direct Connect를 사용하는 등 RDS 서비스와 온프레미스 클라이언트 및 애플리케이션 간의 트래픽 보안을 고려해야 합니다.