Amazon RDS 및 Amazon Aurora는 데이터를 안전하게 저장하고 액세스 할 수 있도록 일련의 기능을 제공

Amazon RDS 및 Amazon Aurora는 데이터를 안전하게 저장하고 액세스 할 수 있도록 일련의 기능을 제공

cloudhwang 0 1436

 Amazon RDS는 관리 형 관계형 데이터베이스 서비스로 Amazon Aurora , MySQL , MariaDB , Oracle , Microsoft SQL Server  PostgreSQL을 포함하여 6 가지 친숙한 데이터베이스 엔진 중에서 선택할 수 있습니다 

Amazon RDS 및 Amazon Aurora는 데이터를 안전하게 저장하고 액세스 할 수 있도록 일련의 기능을 제공합니다. 네트워크 수준 격리를 위해 Amazon Virtual Private Cloud (VPC)에서 데이터베이스를 실행하십시오. 보안 그룹을 사용하여 데이터베이스에 연결할 수있는 IP 주소 또는 Amazon EC2 인스턴스를 제어하십시오. 이 내장 방화벽은 사용자가 지정한 규칙을 제외한 데이터베이스 액세스를 방지합니다.

AWS Identity and Access Management (IAM) 정책을 사용하여 RDS 리소스를 관리 할 수있는 사람을 결정하는 권한을 할당하십시오. 데이터베이스가 로컬 네트워크에있는 경우와 마찬가지로 데이터베이스 엔진의 보안 기능을 사용하여 데이터베이스에 로그인 할 수있는 사용자를 제어하십시오. 페더레이션 액세스를 위해 데이터베이스 사용자를 IAM 역할에 매핑 할 수도 있습니다.

SSL / TLS (Secure Socket Layer / Transport Layer Security) 연결을 사용하여 전송중인 데이터를 암호화하십시오. Amazon Key Management Service (KMS)를 사용하여 미사용 데이터베이스 스토리지 및 백업을 암호화하십시오. 데이터베이스 활동을 모니터링하고 데이터베이스 활동 스트림을 사용하여 파트너 데이터베이스 보안 애플리케이션과 통합하십시오.

유휴 데이터 암호화

Amazon RDS는 AWS Key Management Service (KMS)로 관리 하는 키를 사용하여 데이터베이스를 암호화합니다 . Amazon RDS 암호화로 실행되는 데이터베이스 인스턴스에서 기본 스토리지에 저장된 데이터는 자동 백업, 읽기 전용 복제본 및 스냅 샷과 같이 암호화됩니다. RDS 암호화는 업계 표준 AES-256 암호화 알고리즘을 사용하여 RDS 인스턴스를 호스팅하는 서버에서 데이터를 암호화합니다.

Amazon RDS는 SQL Server (SQL Server Enterprise Edition) 및 Oracle (Oracle Enterprise Edition의 Oracle Advanced Security 옵션)을위한 TDE (Transparent Data Encryption)도 지원합니다. TDE를 사용하면 데이터베이스 서버는 데이터를 스토리지에 쓰기 전에 자동으로 암호화하고 스토리지에서 읽을 때 자동으로 데이터를 해독합니다. Oracle의 투명 데이터 암호화는AWS Cloud 내의 단일 테넌트 하드웨어 보안 모듈 (HSM) 어플라이언스에서 암호화 키를 안전하게 생성, 저장 및 관리 할 수있는 AWS CloudHSM .

RDS_At_Rest_Encryption
모범 사례 권장 사항

Amazon RDS는 데이터베이스 인스턴스의 구성 및 사용 지표를 분석하여 모범 사례 지침을 제공합니다. 권장 사항에는 보안, 암호화, IAM 및 VPC와 같은 영역이 포함됩니다. 사용 가능한 권장 사항을 찾아보고 권장 조치를 즉시 수행하거나 다음 유지 관리 기간을 예약하거나 완전히 해제 할 수 있습니다.

더 알아보기 "

전송중인 데이터의 암호화

SSL / TLS를 사용하여 애플리케이션과 DB 인스턴스 간 통신 암호화. Amazon RDS는 SSL 인증서를 생성하고 인스턴스가 프로비저닝 될 때 DB 인스턴스에 인증서를 설치합니다. MySQL의 경우 --ssl_ca 매개 변수를 사용하여 mysql 클라이언트를 시작하여 연결을 암호화하기 위해 공개 키를 참조하십시오. SQL Server의 경우 공개 키를 다운로드하고 인증서를 Windows 운영 체제로 가져 오십시오. RDS for Oracle은 DB 인스턴스와 함께 Oracle 기본 네트워크 암호화를 사용합니다. 기본 네트워크 암호화 옵션을 옵션 그룹에 추가하고 해당 옵션 그룹을 DB 인스턴스와 연결하면됩니다. 암호화 된 연결이 설정되면 DB 인스턴스와 애플리케이션간에 전송 된 데이터는 전송 중에 암호화됩니다. 또한 DB 인스턴스가 암호화 된 연결 만 수락하도록 요구할 수 있습니다.

액세스 제어

Amazon RDS는 AWS Identity and Access Management (IAM)  통합되어 있으며 AWS IAM 사용자 및 그룹이 특정 리소스 (예 : DB 인스턴스, DB 스냅 샷, DB 파라미터 그룹, DB 이벤트 구독)에 대해 취할 수있는 작업을 제어 할 수있는 기능을 제공합니다 DB 옵션 그룹). 또한 리소스에 태그를 지정하고 IAM 사용자 및 그룹이 동일한 태그 (및 태그 값)를 가진 리소스 그룹에 대해 수행 할 수있는 작업을 제어 할 수 있습니다. IAM 통합 에 대한 자세한 내용은 IAM 데이터베이스 인증 설명서를 참조하십시오 .

또한 Amazon RDS 리소스에 태그를 지정 하고 IAM 사용자 및 그룹이 동일한 태그 및 관련 값을 가진 리소스 그룹에 대해 취할 수있는 작업을 제어 할 수 있습니다. 예를 들어 개발자가 "개발"데이터베이스 인스턴스를 수정할 수 있도록 IAM 규칙을 구성 할 수 있지만 데이터베이스 관리자 만 "생산"데이터베이스 인스턴스를 변경할 수 있습니다.

Amazon RDS 내에서 DB 인스턴스를 처음 생성하면 Amazon RDS 컨텍스트 내에서만 DB 인스턴스에 대한 액세스를 제어하는 데 사용되는 마스터 사용자 계정이 생성됩니다. 마스터 사용자 계정은 모든 데이터베이스 권한으로 DB 인스턴스에 로그온 할 수있는 기본 데이터베이스 사용자 계정입니다. DB 인스턴스를 생성 할 때 각 DB 인스턴스와 연결하려는 마스터 사용자 이름과 비밀번호를 지정할 수 있습니다. DB 인스턴스를 생성 한 후에는 마스터 사용자 자격 증명을 사용하여 데이터베이스에 연결할 수 있습니다. 그런 다음 추가 사용자 계정을 만들어 DB 인스턴스에 액세스 할 수있는 사람을 제한 할 수 있습니다.

RDS_Identity_Access_Management

네트워크 격리 및 데이터베이스 방화벽

사용 아마존 가상 사설 클라우드 (VPC)를 , 당신은 당신의 자신의 가상 네트워크에 DB 인스턴스를 분리하고, 업계 표준 암호화의 IPSec VPN을 사용하여 기존 IT 인프라에 연결할 수 있습니다.

Amazon VPC를 사용하면 사용하려는 IP 범위를 지정하여 DB 인스턴스를 격리하고 업계 표준 암호화 IPsec VPN을 통해 기존 IT 인프라에 연결할 수 있습니다. VPC에서 Amazon RDS를 실행하면 프라이빗 서브넷 내에 DB 인스턴스가있을 수 있습니다. 회사 네트워크를 VPC로 확장하고 해당 VPC의 RDS DB 인스턴스에 액세스 할 수있는 가상 프라이빗 게이트웨이를 설정할 수도 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하십시오. Amazon VPC 내에 배포 된 DB 인스턴스는 퍼블릭 서브넷에서 시작할 수있는 VPN 또는 요새 호스트를 통해 인터넷 또는 VPC 외부의 Amazon EC2 인스턴스에서 액세스 할 수 있습니다. 요새 호스트를 사용하려면 SSH 요새 역할을하는 EC2 인스턴스로 퍼블릭 서브넷을 설정해야합니다. 이 퍼블릭 서브넷에는 SSH 호스트를 통해 트래픽을 전달할 수있는 인터넷 게이트웨이 및 라우팅 규칙이 있어야하며, 그러면 Amazon RDS DB 인스턴스의 프라이빗 IP 주소로 요청을 전달해야합니다. DB 보안 그룹을 사용하여 Amazon VPC 내에서 DB 인스턴스를 보호 할 수 있습니다. 또한 각 서브넷에 들어오고 나가는 네트워크 트래픽은 네트워크 ACL을 통해 허용되거나 거부 될 수 있습니다. IPsec VPN 연결을 통해 Amazon VPC에 들어가거나 나가는 모든 네트워크 트래픽은 네트워크 방화벽 및 침입 탐지 시스템을 포함한 온-프레미스 보안 인프라에서 검사 할 수 있습니다. 각 서브넷에 출입하는 네트워크 트래픽은 네트워크 ACL을 통해 허용되거나 거부 될 수 있습니다. IPsec VPN 연결을 통해 Amazon VPC에 들어가거나 나가는 모든 네트워크 트래픽은 네트워크 방화벽 및 침입 탐지 시스템을 포함한 온-프레미스 보안 인프라에서 검사 할 수 있습니다. 각 서브넷에 출입하는 네트워크 트래픽은 네트워크 ACL을 통해 허용되거나 거부 될 수 있습니다. IPsec VPN 연결을 통해 Amazon VPC에 들어가거나 나가는 모든 네트워크 트래픽은 네트워크 방화벽 및 침입 탐지 시스템을 포함한 온-프레미스 보안 인프라에서 검사 할 수 있습니다.

RDS_Security_Groups

데이터베이스 활동 스트림

외부 보안 위협 외에도 관리되는 데이터베이스는 데이터베이스 관리자 (DBA)의 내부자 위험으로부터 보호해야합니다. 데이터베이스 활동 스트림 (현재 Amazon Aurora에서 지원됨)은 관계형 데이터베이스에서 데이터베이스 활동의 실시간 데이터 스트림을 제공합니다. 타사 데이터베이스 활동 모니터링 도구와 통합되면 데이터베이스 활동을 모니터링 및 감사하여 데이터베이스를 보호하고 규정 준수 및 규정 요구 사항을 충족 할 수 있습니다.

데이터베이스 활동 스트림은 데이터베이스 활동 스트림에 대한 DBA 액세스를 제어하는 보호 모델을 구현하여 내부 위협으로부터 데이터베이스를 보호합니다. 따라서 데이터베이스 활동 스트림의 수집, 전송, 저장 및 후속 처리는 데이터베이스를 관리하는 DBA의 액세스를 넘어선 것입니다.

데이터베이스 활동 스트림은 데이터베이스 대신 생성 된 Amazon Kinesis 데이터 스트림으로 푸시됩니다. Kinesis Data Firehose에서 데이터베이스 활동 스트림은 Amazon CloudWatch 또는 McAfee Data Center Security Suite 또는 IBM Security Guardium과 같은 컴플라이언스 관리를위한 파트너 애플리케이션에서 사용할 수 있습니다. 이러한 파트너 애플리케이션은 데이터베이스 활동 스트림 정보를 사용하여 경보를 생성하고 Amazon Aurora 데이터베이스의 모든 활동에 대한 감사를 제공 할 수 있습니다.

0 Comments