본 문서는 총 5부로 구성되어 있으며 이 글은 4부입니다.
1부 링크 : Amazon Web Services에서 Microsoft 플랫폼 보호 1/5
2부 링크 : Amazon Web Services에서 Microsoft 플랫폼 보호 2/5
Maintenance Windows
유지 관리 기간을 사용하여 관리되는 인스턴스가 업무상 중요한 작업을 중단하지 않고 패치 및 업데이트 설치와 같은 관리 작업을 실행할 반복 일정을 설정하십시오.
상태 관리
Systems Manager State Manager를 사용하여 관리형 인스턴스를 정의 된 상태로 유지하는 프로세스를 자동화하십시오. State Manager를 사용하여 시작시 인스턴스가 특정 소프트웨어로 부트 스트랩되거나 Windows 도메인에 가입되거나 특정 소프트웨어 업데이트로 패치 되도록 할 수 있습니다.
관리형 인스턴스
관리형 인스턴스는 Systems Manager에 대해 구성된 하이브리드 환경의 Amazon EC2 인스턴스 또는 온 프레미스 머신, 서버 또는 가상 머신 (VM)입니다. 관리 형 인스턴스를 설정하려면 AWS Systems Manager 에이전트 (SSM 에이전트)를 설치하고 (기본적으로 설치되지 않은 경우) AWS Identity and Access Management (IAM) 권한을 구성해야 합니다. 온-프레미스 컴퓨터에도 활성화 코드가 필요합니다.
이 섹션에 설명 된대로 Systems Manager는 Windows 기반 Amazon EC2 인스턴스를 보호하기위한 핵심 서비스 중 하나 일 수 있습니다. 다음 섹션에서는 Systems Manager를 보완 할 수 있는 다른 서비스에 대해 설명합니다.
AWS Config 및 AWS Config 규칙
상태 관리자 및 원하는 상태 구성 (DSC)은 응용 프로그램과 Windows 서버가 호환 상태를 유지할 수 있는 방법을 제공합니다. AWS Config는 AWS 환경을 준수하고 AWS 계정의 AWS 리소스를 자세하게 볼 수 있는 방법을 제공합니다. 이러한 서비스를 통해 Windows 기반 AWS 리소스의 구성을 평가, 감사 및 평가하고 시간이 지남에 따라 구성이 어떻게 변하는 지 확인할 수 있습니다.
시작을 돕기 위해 AWS Config는 사용자 지정 가능한 관리 규칙이라는 사전 정의 된 규칙을 제공합니다. 사용자 지정 규칙을 처음부터 만들 수도 있습니다. AWS 구성 규칙은 이상적인 구성 설정을 나타냅니다.
AWS Config는 리소스간에 발생하는 구성 변경 사항을 지속적으로 추적하지만 이러한 변경 사항이 규칙의 조건을 위반하는지 여부도 확인합니다. 리소스가 규칙을 위반하면 AWS Config는 리소스와 규칙을 준수하지 않는 것으로 플래그를 지정합니다.
예를 들어 EC2 인스턴스가 시작되면 AWS Config는 ec2-managedinstance-patch-compliance-status-check 관리 규칙을 사용하여 인스턴스가 호환 패치 수준인지 여부를 평가할 수 있습니다. 비준수인 경우 AWS Config는 인스턴스 및 규칙을 비준수로 플래그합니다.
AWS Config는 계정 전체 요구 사항에 대한 모든 리소스를 확인할 수도 있습니다. AWS Config는 계정의 EC2 인스턴스에 Amazon CloudWatch Detailed Monitoring이 활성화되어 있는지 (관리 규칙 ec2-instance-detailed-monitoring-enabled) 또는 인스턴스가 AWS Systems Manager 관리형 인스턴스인지 (관리 규칙 ec2-instance-managed)인지 확인할 수 있습니다. 시스템 관리자). AWS Config 관리형 규칙 목록도 참조하십시오.
AWS Config는 AWS Config 규칙에서 평가한 비준수 리소스를 교정 할 수 있습니다. AWS Config는 AWS Systems Manager Automation 문서를 사용하여 치료를 적용합니다. 이 문서는 수행 할 작업을 정의합니다. AWS Config는 치료 작업과 함께 일련의 관리 자동화 문서를 제공합니다. 사용자 지정 자동화 문서를 생성하고 AWS 구성 규칙과 연결할 수도 있습니다.
AWS CloudFormation
Microsoft 워크로드 프로비저닝은 구성 관리만큼 중요하거나 훨씬 중요합니다. 부적절하게 또는 수동으로 수행하는 경우 애플리케이션 또는 고객 데이터의 기밀성, 무결성 및 가용성에 영향을 줄 수 있는 환경에 위험을 초래할 수 있습니다. AWS에서 Microsoft 리소스를 배포 할 때 이러한 리소스를 개별적으로 또는 수동으로 배포하거나 솔루션 또는 애플리케이션을 구성하는 모든 구성 요소 (예 : 인프라 코드)로 구성된 AWS CloudFormation 스택으로 배포 할 수 있습니다.
AWS CloudFormation은 AWS 리소스를 안전하고 반복 가능한 방식으로 모델링하고 설정하여 리소스 관리에 소요되는 시간을 줄이고 애플리케이션 및 보안에 더 많은 시간을 할애 할 수 있는 서비스입니다. 원하는 모든 AWS 리소스 (예 : Amazon EC2 인스턴스 또는 Amazon Relational Database Service (RDS) 인스턴스)를 설명하는 템플릿이 생성됩니다. AWS CloudFormation은 이러한 리소스를 프로비저닝하고 구성합니다. AWS 리소스를 개별적으로 생성 및 구성하고 무엇에 의존하는지 파악할 필요가 없습니다. AWS CloudFormation이 이를 처리합니다.
백엔드 데이터베이스를 포함하는 Windows 워크로드 및 확장 가능한 웹 애플리케이션의 경우 Auto Scaling Group, Elastic Load Balancing로드 밸런서 및 Amazon Relational Database Service 데이터베이스 인스턴스를 사용할 수 있습니다. 일반적으로 각 개별 서비스는 각 리소스를 프로비저닝하는 데 사용됩니다. 리소스가 생성되면 함께 작동하도록 구성됩니다. 이러한 모든 작업은 응용 프로그램을 시작하고 실행하기 위해 복잡성과 시간을 추가합니다.
대신 Windows Server 인스턴스에서 실행중인 기존 Microsoft Windows 스택을 AWS CloudFormation 템플릿의 기반으로 생성하거나 수정할 수 있습니다. 이 접근 방식은 Auto Scaling 그룹, 로드 밸런서 및 데이터베이스를 프로비저닝 합니다. 스택이 성공적으로 생성되면 AWS 리소스가 작동 및 실행됩니다. 스택을 쉽게 삭제하면 스택의 모든 리소스가 삭제됩니다. AWS CloudFormation을 사용하면 리소스 모음을 단일 단위로 쉽게 관리 할 수 있습니다.
AWS CloudFormation으로 인프라를 프로비저닝 할 때 AWS CloudFormation 템플릿은 프로비저닝 된 리소스와 해당 설정을 정확하게 설명합니다. 이러한 템플릿은 텍스트 파일이므로 개발자가 소스 코드에 대한 개정을 제어하는 방식과 유사하게 템플릿의 차이점을 추적하여 인프라의 변경 사항을 추적 할 수 있습니다. 예를 들어, 템플릿과 함께 버전 제어 시스템을 사용하여 변경 내용, 누가 만든 사람 및 시기를 정확하게 알 수 있습니다. 언제든지 인프라 변경 사항을 되돌려 야하는 경우 이전 버전의 템플릿을 사용할 수 있습니다. 개발자에게는 새로운 EC2 인스턴스를 시작하기위한 IAM 정책이 부여되지 않지만 특정 템플릿을 통해 액세스 할 수 있는 권한이 부여 될 수 있습니다. 이러한 방식으로 CloudFormation은 AWS 권한을 제어하는 다른 방법도 제공합니다.
CloudFormation 스택이 배포되면 권한이 있는 사용자가 이러한 리소스에 액세스하고 예상 된 템플릿 설정을 변경할 수 있습니다. 예를 들어, 사용자는 AWS 콘솔로 이동하여 일련의 EC2 인스턴스와 관련된 보안 그룹을 변경할 수 있습니다. 이 유형의 시나리오에서는 CloudFormation 드리프트 감지를 사용하여 CloudFormation 템플릿에 정의 된 스택 리소스의 예상 구성 값과 해당 CloudFormation 스택에 있는 리소스의 실제 구성 값 사이의 차이를 식별 할 수 있습니다. 이 접근 방식을 사용하면 CloudFormation 스택을 보다 효과적으로 관리하고 리소스 구성의 일관성을 유지할 수 있습니다. 자세한 내용은 AWS 뉴스 블로그에서 CloudFormation 드리프트 감지를 참조하십시오.
모범 사례로서 모든 Microsoft 워크로드는 IaC (Infrastructure as Code)와 같은 반복 가능한 방식으로 프로비저닝하는 것이 좋습니다. AWS CloudFormation은 클라우드 환경의 모든 인프라 리소스를 설명하고 프로비저닝 할 수 있는 공통 언어를 제공합니다. CloudFormation을 사용하면 간단한 텍스트 파일을 사용하여 모든 리전 및 계정에서 애플리케이션에 필요한 모든 리소스를 자동화 된 방식으로 모델링하고 프로비저닝 할 수 있습니다. 이 파일은 클라우드 환경의 단일 진실 소스 역할을 합니다.
데이터 암호화
이 섹션에서는 Microsoft 워크로드 보안 기능에 직접적인 영향을주는 AWS에서 사용할 수있는 데이터 암호화 서비스에 대해 설명합니다. 데이터 암호화는 일반 또는 일반 텍스트 데이터를 수학 알고리즘을 사용하여 읽을 수없는 형식으로 변환하는 프로세스입니다. 데이터 암호화는 서비스 제공 업체와 고객에게 건강 기록과 같은 민감한 정보를 보호 할 수있는 기능을 제공합니다. 귀하가 데이터 관리자 또는 데이터 소유자인지 여부에 관계없이 귀하에게 위탁되는 데이터의 기밀성을 보호하기위한 적절한 보호 및 통제 수단이 마련되어 있는지 확인하십시오.
데이터는 유휴시 또는 전송시 항상 보호되어야합니다. 적절한 스토리지 서비스 (예 : Amazon EBS)에 저장된 경우와 같이 유휴 데이터가 비활성화됩니다. 클라이언트에서 서버로 또는 서비스간에 이동할 때와 같이 전송중인 데이터가 활성화됩니다. AWS에는 유휴 및 운송 중 고객 데이터를 보호하는 다양한 방법이 있습니다. 데이터가 두 상태에있을 때 데이터를 보호하기 위해 필요한 예방 조치를 취하는 것이 중요합니다.
유휴 데이터
이 섹션에서는 유휴 데이터를 보호하는 데 사용할 수있는 컨트롤에 대해 설명합니다. 다루는 서비스에는 스토리지 기능을 제공하는 서비스뿐만 아니라 데이터를 암호화하기 위해 스토리지 서비스 위에 겹쳐 질 수있는 서비스가 포함됩니다.
AWS Key Management Service (AWS KMS)
AWS KMS는 광범위한 AWS 서비스 및 애플리케이션에서 키를 생성 및 관리하고 암호화 사용을 쉽게 제어 할 수 있는 관리형 서비스입니다. AWS KMS는 FIPS 140–2 검증 하드웨어 보안 모듈을 사용하여 키를 보호하는 안전하고 탄력적 인 서비스입니다. AWS KMS는 AWS CloudTrail과 통합되어 규제 및 규정 준수 요구 사항을 충족하는 데 도움이 되는 모든 주요 사용량에 대한 로그를 제공합니다.
애플리케이션에서 데이터를 암호화해야하는 개발자 인 경우 AWS KMS 지원과 함께 AWS Encryption SDK를 사용하여 암호화 키를 쉽게 사용하고 보호하십시오. 개발자와 점점 더 많은 수의 애플리케이션을 지원하기 위해 확장 가능한 키 관리 인프라를 찾고있는 IT 관리자 인 경우 AWS KMS를 사용하여 라이센스 비용과 운영 부담을 줄이십시오. 규제 또는 규정 준수 목적으로 데이터 보안을 입증해야하는 경우 AWS KMS를 사용하여 데이터가 사용되고 저장되는 애플리케이션에서 데이터가 일관되게 암호화 되는지 확인하십시오.
AWS KMS를 시작하는 가장 쉬운 방법은 각 서비스에 대해 계정에서 자동으로 생성 된 AWS 관리 형 마스터 키를 사용하여 지원되는 AWS 서비스 내에서 데이터를 암호화하도록 선택하는 것입니다. 계정이나 서비스에서 키에 대한 액세스를 공유하는 기능을 포함하여 키 관리를 완전히 제어하려면 KMS에서 자체 고객 관리 마스터 키를 만들 수 있습니다. 자신의 응용 프로그램 내에서 KMS에서 직접 만든 마스터 키를 사용할 수도 있습니다. AWS KMS를 사용하여 암호화 키를 생성하고 이러한 키 사용 방법을 제어하는 정책을 정의 할 수 있습니다. AWS KMS는 AWS CloudTrail을 지원하므로 키 사용을 감사하여 키가 올바르게 사용되고 있는지 확인할 수 있습니다.
AWS KMS는 대부분의 다른 AWS 서비스와 완벽하게 통합되어 확인란을 선택하는 것만 큼 쉽게 해당 서비스의 데이터를 암호화합니다. 경우에 따라 KMS에 저장되어 있지만 AWS 서비스가 소유하고 관리하는 키를 사용하여 데이터가 기본적으로 암호화됩니다. 대부분의 경우 마스터 키는 계정 내에서 소유하고 관리합니다. 일부 서비스는 키를 직접 관리하도록 선택하거나 서비스가 사용자를 대신하여 키를 관리하도록 허용 할 수 있습니다. 현재 KMS와 통합 된 AWS 서비스 목록을 참조하십시오. 통합 서비스가 AWS KMS를 사용하는 방법에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서를 참조하십시오.
AWS CloudHSM
AWS CloudHSM은 AWS에서 자체 암호화 키를 쉽게 생성하고 사용할 수있는 클라우드 기반 하드웨어 보안 모듈 (HSM)입니다. KMS와 유사한 방식으로 AWS CloudHSM을 사용하면 AWS 내의 전용 HSM (Hardware Security Module) 인스턴스를 사용하여 데이터 보안에 대한 기업, 계약 및 규정 준수 요구 사항을 충족 할 수 있습니다. AWS와 AWS Marketplace 파트너는 AWS 플랫폼 내에서 중요한 데이터를 보호하기 위한 다양한 솔루션을 제공합니다. 그러나 일부 응용 프로그램 및 데이터에는 암호화 키 관리를 위한 계약 또는 규정이 적용되므로 추가 보호가 필요할 수 있습니다. CloudHSM은 기존 데이터 보호 솔루션을 보완하고 안전한 키 관리를 위해 정부 표준에 따라 설계 및 검증 된 HSM (하드웨어 보안 모듈) 내에서 암호화 키를 보호 할 수 있습니다. CloudHSM을 사용하면 사용자 만 키에 액세스 할 수 있는 방식으로 데이터 암호화에 사용되는 암호화 키를 안전하게 생성, 저장 및 관리 할 수 있습니다.
Amazon EBS 암호화
Amazon EBS 암호화는 자체 키 관리 인프라를 구축, 유지 관리 및 보호 할 필요없이 EBS 볼륨에 간단한 암호화 솔루션을 제공합니다. 암호화 된 EBS 볼륨을 만들어 지원되는 인스턴스 유형에 연결하면 다음 유형의 데이터가 암호화됩니다.
· • 볼륨 내부의 유휴 데이터
· • 볼륨, 호스트 및 인스턴스간에 이동하는 모든 데이터
· • 볼륨에서 생성 된 모든 스냅 샷
· • 해당 스냅 샷에서 생성 된 모든 볼륨
암호화는 모든 EBS 볼륨 유형에서 지원됩니다. 대기 시간에 미치는 영향을 최소화하면서 암호화 되지 않은 볼륨과 동일한 암호화 된 볼륨의 IOPS 성능을 기대할 수 있습니다. 암호화되지 않은 볼륨에 액세스하는 것과 같은 방식으로 암호화 된 볼륨에 액세스 할 수 있습니다. 암호화 및 암호 해독은 투명하게 처리되며 사용자 나 응용 프로그램의 추가 작업이 필요하지 않습니다.
Amazon S3 암호화
Amazon S3 기본 암호화는 S3 버킷의 기본 암호화 동작을 설정하는 방법을 제공합니다. 버킷에 기본 암호화를 설정하여 모든 객체가 버킷에 저장 될 때 암호화되도록 할 수 있습니다. 객체는 Amazon S3 관리 키 (SSE-S3) 또는 AWS KMS 관리 키 (SSE-KMS)와 함께 서버 측 암호화를 사용하여 암호화됩니다.
서버 측 암호화를 사용하면 Amazon S3는 객체를 데이터 센터의 디스크에 저장하기 전에 객체를 암호화하고 객체를 다운로드 할 때 해독합니다. 서버 측 암호화 및 암호화 키 관리를 사용하여 데이터를 보호하는 방법에 대한 자세한 내용은 암호화를 사용하여 데이터 보호를 참조하십시오.
기본 암호화는 모든 기존 및 새로운 S3 버킷에서 작동합니다. 기본 암호화없이 버킷에 저장된 모든 객체를 암호화하려면 모든 객체 스토리지 요청과 함께 암호화 정보를 포함해야 합니다. 또한 암호화 정보가 포함되지 않은 스토리지 요청을 거부하도록 S3 버킷 정책을 설정하십시오.
AWS의 SQL Server
AWS의 SQL Server는 고객 자체 관리 모델과 AWS 관리 제품으로 제공됩니다. 선택한 관리 모델에 관계없이 전송 및 유휴 상태의 SQL Server 데이터를 보호하는 것이 중요하며 규정 준수의 이유로 종종 필요합니다. 이 섹션에서는 자체 관리 옵션과 AWS 관리 옵션 모두에 대해 유휴 SQL Server 데이터를 보호하는 데 사용할 수 있는 옵션에 대해 설명합니다.
RDS의 SQL Server
SQL Server는 Microsoft에서 개발 한 관계형 데이터베이스 관리 시스템입니다. SQL Server 용 Amazon RDS를 사용하면 클라우드에서 SQL Server 배포를 쉽게 설정, 운영 및 확장 할 수 있습니다. Amazon RDS를 사용하면 비용 효율적이고 크기 조정이 가능한 컴퓨팅 용량으로 Express, Web, Standard 및 Enterprise를 포함한 여러 버전의 SQL Server (2008 R2, 2012, 2014, 2016 및 2017)를 몇 분 안에 배포 할 수 있습니다. Amazon RDS는 프로비저닝, 백업, 소프트웨어 패치, 모니터링 및 하드웨어 확장을 포함하여 시간이 많이 걸리는 데이터베이스 관리 작업을 관리하여 애플리케이션 개발에 집중할 수 있도록 합니다.
AWS Key Management Service를 사용한 RDS 스토리지 수준 암호화
Amazon RDS DB 인스턴스에 대한 암호화 옵션을 활성화하여 Amazon RDS DB 인스턴스 및 스냅 샷을 암호화 할 수 있습니다. 유휴 상태에서 암호화 된 데이터에는 DB 인스턴스의 기본 스토리지, 자동 백업, 읽기 전용 복제본 및 스냅 샷이 포함됩니다.
Amazon RDS 암호화 DB 인스턴스는 업계 표준 AES-256 암호화 알고리즘을 사용하여 Amazon RDS DB 인스턴스를 호스팅하는 서버에서 데이터를 암호화합니다. 데이터가 암호화 되면 Amazon RDS는 성능에 미치는 영향을 최소화하면서 데이터 액세스 및 암호 해독 인증을 투명하게 처리합니다. 암호화를 사용하기 위해 데이터베이스 클라이언트 애플리케이션을 수정할 필요가 없습니다.
Amazon RDS 암호화 DB 인스턴스는 기본 스토리지에 대한 무단 액세스로부터 데이터를 보호하여 추가적인 데이터 보호 계층을 제공합니다. Amazon RDS 암호화를 사용하여 클라우드에 배포 된 애플리케이션의 데이터 보호를 강화하고 미사용 데이터에 대한 규정 준수 요구 사항을 충족 할 수 있습니다.
Amazon RDS 리소스를 암호화 및 해독하는 데 사용되는 키를 관리하려면 AWS Key Management Service (KMS)를 사용합니다. Amazon RDS 암호화 DB 인스턴스의 경우 모든 로그, 백업 및 스냅 샷이 암호화됩니다. Amazon RDS 암호화 된 인스턴스의 읽기 전용 복제본은 둘 다 동일한 리전에 있을 때 마스터 인스턴스와 동일한 키를 사용하여 암호화됩니다. 마스터 및 읽기 전용 복제본이 다른 리전에 있는 경우 해당 리전의 암호화 키를 사용하여 암호화합니다.
암호화 된 DB 인스턴스의 키를 비활성화하면 해당 DB 인스턴스에서 읽거나 쓸 수 없습니다. Amazon RDS가 Amazon RDS가 액세스 할 수 없는 키로 암호화 된 DB 인스턴스를 발견하면 Amazon RDS는 DB 인스턴스를 터미널 상태로 둡니다. 이 상태에서 DB 인스턴스를 더 이상 사용할 수 없으며 데이터베이스의 현재 상태를 복구 할 수 없습니다. DB 인스턴스를 복원하려면 Amazon RDS의 암호화 키에 대한 액세스를 다시 활성화 한 다음 백업에서 DB 인스턴스를 복원해야 합니다. KMS 저장소 기반 암호화를 사용하면 얻을 수 있는 이점 중 하나는 SQL Server Enterprise를 사용할 필요없이 대부분의 SQL Server Edition이 지원된다는 것입니다. SQL Server Express Edition을 실행하는 DB 인스턴스에는 미사용 암호화를 사용할 수 없습니다.
TDE (투명한 데이터 암호화)를 통한 응용 프로그램 수준 암호화
Amazon RDS는 TDE (투명한 데이터 암호화) 사용을 지원하여 Microsoft SQL Server를 실행하는 DB 인스턴스에서 저장된 데이터를 암호화합니다. TDE는 데이터를 스토리지에 쓰기 전에 자동으로 암호화하고 데이터를 스토리지에서 읽을 때 자동으로 데이터를 해독합니다. 자세한 정보는 현재 지원되는 SQL 버전에 대한 Microsoft SQL Server 투명한 데이터 암호화 지원을 참조하십시오.
SQL Server를 실행하는 DB 인스턴스에 투명한 데이터 암호화를 활성화하려면 해당 DB 인스턴스와 연결된 Amazon RDS 옵션 그룹에서 TDE 옵션을 지정하십시오.
SQL Server 용 Transparent Data Encryption은 2 계층 키 아키텍처를 사용하여 암호화 키 관리를 제공합니다. 데이터베이스 마스터 키에서 생성 된 인증서는 데이터 암호화 키를 보호하는 데 사용됩니다. 데이터베이스 암호화 키는 사용자 데이터베이스에서 데이터의 실제 암호화 및 암호 해독을 수행합니다. Amazon RDS는 데이터베이스 마스터 키와 TDE 인증서를 백업하고 관리합니다.
데이터 파일에서 중요한 데이터를 암호화해야 하는 시나리오에서 투명한 데이터 암호화를 사용할 수 있으며 타사에서 백업을 받거나 보안 관련 규정 준수 문제를 해결해야 할 때 사용합니다.
투명한 데이터 암호화에 대한 자세한 설명은 이 가이드의 범위를 벗어나지 만 각 암호화 알고리즘 및 키의 보안 강점과 약점을 이해해야 합니다. SQL Server 용 Transparent Data Encryption에 대한 자세한 내용은 Microsoft 웹 사이트에서 TDE (Transparent Data Encryption)를 참조하십시오.
TDE 옵션은 영구 옵션이며 모든 DB 인스턴스와 백업이 옵션 그룹에서 연결 해제되어 있지 않으면 옵션 그룹에서 제거 할 수 없습니다. 옵션 그룹에 TDE 옵션을 추가하면 옵션 그룹은 TDE를 사용하는 DB 인스턴스에만 연결할 수 있습니다. 옵션 그룹의 영구 옵션에 대한 자세한 내용은 옵션 그룹 개요를 참조하십시오.
EC2의 SQL Server
EC2의 SQL Server는 Amazon RDS와 함께 사용되는 AWS KMS 및 TDE 기반 암호화도 지원합니다. 그러나 KMS 스토리지 기반 암호화 측면에서 Amazon RDS와 Amazon EC2의 가장 큰 차이점은 EC2 인스턴스가 자체 관리되므로 관리자는 SQL Server를 호스팅하는 인스턴스에 대한 파일 및 운영 체제 액세스 권한이 있다는 것입니다. 추가 액세스 권한이 있으므로 추가 공격 영역이 있습니다. 따라서 모든 계층에서 환경을 보호 할 수 있도록 보완적인 제어가 이루어져야 합니다.
Windows 파일 서버용 Amazon FSx
모든 Amazon FSx 파일 시스템은 AWS Key Management Service (AWS KMS)를 사용하여 키 관리를 통해 미사용 상태로 암호화됩니다. 데이터는 파일 시스템에 기록되기 전에 자동으로 암호화되며 읽을 때 자동으로 해독됩니다. 이러한 프로세스는 Amazon FSx에서 투명하게 처리되므로 애플리케이션을 수정할 필요가 없습니다.
전송중인 데이터
이 섹션에서는 AWS 리소스로 또는 AWS 리소스로 /로부터 트래픽 전송을 암호화하는데 사용되는 SSL / TLS 인증서를 포함하여 전송중인 데이터를 보호하는 데 사용할 수 있는 컨트롤에 대해 설명합니다.
Windows 파일 서버용 Amazon FSx
전송중인 데이터의 암호화는 SMB 프로토콜 3.0 이상을 지원하는 컴퓨팅 인스턴스에 매핑 된 파일 공유에서 지원됩니다. 여기에는 Windows Server 2012 및 Windows 8에서 시작하는 모든 Windows 버전과 Samba 클라이언트 버전 4.2 이상이 설치된 모든 Linux 클라이언트가 포함됩니다. Windows 파일 서버용 Amazon FSx는 애플리케이션을 수정할 필요없이 파일 시스템에 액세스 할 때 전송중인 데이터를 자동으로 암호화합니다 (SMB Kerberos 세션 키 사용).
AWS 인증서 관리자
AWS Certificate Manager는 AWS 서비스 및 내부 연결된 리소스와 함께 사용할 수 있도록 퍼블릭 및 프라이빗 SSL / TLS (Secure Sockets Layer / Transport Layer Security) 인증서를 쉽게 프로비저닝, 관리 및 배포 할 수있는 서비스입니다. SSL / TLS 인증서는 네트워크 통신을 보호하고 인터넷을 통해 웹 사이트와 개인 네트워크의 리소스를 식별하는 데 사용됩니다.
AWS Certificate Manager는 SSL / TLS 인증서를 구매, 업로드 및 갱신하는 시간이 많이 걸리는 수동 프로세스를 제거합니다. AWS Certificate Manager를 사용하면 인증서를 빠르게 요청하고 Elastic Load Balancer, Amazon CloudFront 배포 및 Amazon API Gateway의 API와 같은 AWS 리소스에 배포하고 AWS Certificate Manager가 인증서 갱신을 처리 할 수 있습니다. 또한 내부 리소스에 대한 개인 인증서를 만들고 중앙에서 인증서 수명주기를 관리 할 수 있습니다. AWS Certificate Manager를 통해 프로비저닝 되고 Elastic Load Balancing, Amazon CloudFront 및 Amazon API Gateway와 같은 ACM 통합 서비스와 함께 독점적으로 사용되는 퍼블릭 및 프라이빗 SSL / TLS 인증서는 무료입니다. 애플리케이션을 실행하기 위해 생성 한 AWS 리소스에 대한 비용을 지불합니다. 각 개인 CA의 운영 비용은 삭제할 때까지 월별 요금을 지불하고 ACM 통합 서비스와 함께 독점적으로 사용되지 않는 발급 한 개인 인증서의 경우 요금을 지불합니다.
웹 계층-웹 서버 (예 : 인터넷 정보 서비스)
웹 트래픽을 암호화 할 때 웹 서버 앞의로드 밸런서 또는 웹 서버 자체에서 트래픽을 암호화해야 하는지 결정하십시오. 대부분의 경우 로드 밸런서에서 웹 트래픽을 암호화하면 충분합니다. 그러나 모든 홉에서 트래픽을 엔드 투 엔드로 암호화해야하는 상황이 있습니다. 이 접근 방식이 필요한 경우 SSL / TLS 인증서를 사용하여 클라이언트 시스템의 브라우저와 로드 밸런서 간의 연결과 로드 밸런서에서 웹 서버로의 내부 연결을 모두 암호화하십시오. 회사의 보안 정책에 필요한 경우 IIS에서 SSL을 사용하도록 설정하려면 Microsoft의 설명서를 따르십시오.
데이터베이스 계층
RDS의 SQL Server
SSL (Secure Sockets Layer)을 사용하여 클라이언트 애플리케이션과 Microsoft SQL Server를 실행하는 Amazon RDS DB 인스턴스 간의 연결을 암호화 할 수 있습니다. 지원되는 모든 SQL Server 에디션에 대해 모든 AWS 리전에서 SSL 지원을 사용할 수 있습니다.
SQL Server DB 인스턴스를 생성하면 Amazon RDS가 이에 대한 SSL 인증서를 생성합니다. SSL 인증서에는 스푸핑 공격으로부터 보호하기 위해 SSL 인스턴스의 공통 이름 (CN)으로 DB 인스턴스 엔드 포인트가 포함됩니다.
SSL을 사용하여 SQL Server DB 인스턴스에 연결하는 두 가지 방법이 있습니다. 첫 번째 및 권장되는 방법은 모든 연결에 대해 SSL을 강제 실행하는 것입니다. 이는 클라이언트에 투명하게 발생하며 클라이언트는 SSL을 사용하기 위해 작업을 수행 할 필요가 없습니다. 두 번째 방법은 특정 클라이언트 컴퓨터에서 SSL 연결을 설정하는 특정 연결을 암호화하는 것입니다. 이 두 번째 방법을 사용하면 클라이언트에서 작업하여 연결을 암호화해야 합니다.
EC2의 SQL Server
EC2의 SQL Server는 자체 관리되므로 전송중인 데이터의 암호화를 구성하는 데 필요한 단계는 RDS의 SQL Server에 대해 설명 된 단계 및 고객의 책임과 유사합니다. 즉, 고객은 로컬 컴퓨터 인증서 저장소에 인증서를 설치 한 다음 모든 연결을 암호화하도록 SQL Server를 구성해야합니다. 자세한 지시 사항은 Microsoft 문서 사이트에서 데이터베이스 엔진에 대한 암호화 된 연결 사용을 참조하십시오.
빌드업웍스에서 AWS 무료 컨설팅을 진행합니다.
AWS에 대하여 궁금하신 내용이 있으시거나, 도입을 검토 중이시라면 편하게 신청해주세요.
[ 고지 사항 (Disclaimer) ]
본 컨텐츠는 고객의 편의를 위하여 AWS 서비스 설명을 위해 제작, 제공된 것입니다. 만약 AWS 사이트와 컨텐츠 상에서 차이나 불일치가 있을 경우 AWS 사이트 (AWS.amazon.com)가 우선합니다. 또한 AWS 사이트 상에서 한글 번역문과 영어 원문에 차이나 불일치가 있을 경우(번역의 지체로 인한 경우 등 포함), 영어 원문이 우선합니다.
본 문서는 Securing the Microsoft Platform on Amazon Web Services (2019년, 영문) 내용에 기반하여 작성 되었습니다.
이 문서는 정보 제공의 목적으로만 제공됩니다. 본 문서의 발행일 당시 AWS의 현재 제품 오퍼링 및 실행방법 등을 설명하며, 예고 없이 변경될 수 있습니다. 고객은 본 문서에 포함된 정보나 AWS 제품 또는 서비스의 사용을 독립적으로 평가할 책임이 있으며, 각 정보 및 제품은 명시적이든 묵시적이든 어떠한 종류의 보증 없이 “있는 그대로” 제공됩니다. 본 문서는 AWS, 그 자회사, 공급업체 또는 라이선스 제공자로부터 어떠한 보증, 표현, 계약 약속, 조건 또는 보장을 구성하지 않습니다. 고객에 대한 AWS의 책임 및 의무는 AWS 계약에 의해 관리되며 본 문서는 AWS와 고객 사이의 어떠한 계약에도 속하지 않으며 계약을 변경하지도 않습니다.
© 2020, Amazon Web Services, Inc. or its affiliates. All rights reserved.
