Amazon Simple Storage Service(S3)는 객체 스토리지 서비스로 데이터를 저장하거나, 다운로드 및 정적 웹사이트를 호스팅하는 기능을 제공하는 서비스 입니다. 하지만 Amazon S3를 아무런 보안 설정 없이 사용하다보면 데이터 유출과 같은 보안 침해 사고가 발생합니다. 이를 방지하기 위해 퍼블릭 액세스를 차단하거나, Amazon CloudFront를 사용하여 웹 호스팅을 제공하는 것을 권장 드립니다.
Amazon S3에 업로드한 데이터들의 경우 퍼블릭 액세스를 차단하지 않은 채 방치할 경우, 외부에서 쉽게 데이터에 접근하여 유출 사고가 발생할 수 있습니다. 데이터를 퍼블릭으로 제공해야 되는 경우가 아닐 경우 모든 퍼블릭 액세스를 차단하실 것을 권장 드립니다.
Amazon S3의 버킷 내 데이터 만으로 정적 엡 호스팅 서비스를 사용할 경우 아래와 같은 보안 문제가 발생합니다.
Amazon CloudFront는 정적 및 동적 웹 콘텐츠를 사용자에게 빠르게 전달할 수 있는 CDN 서비스로, S3에서 호스팅하는 페이지를 빠르게 응답시켜주며, 웹페이지의 보안 문제를 개선할 수 있습니다.
Amazon CloudFront를 사용하면 외부 공개용 S3 데이터에 대해서도 직접적인 외부 오픈을 하지 않아도 되는 장점이 있으며 원분 액세스 ID 추가 접근제어 옵션을 통하여 CloudFront 외의 S3 접근을 차단할 수 있습니다. 이 방법을 통하여 승인되지 않은 외부, 내부에서의 접근을 차단할 수 있습니다.
데이터 암호화는 국내 외 중요 규정준수를 만족하기 위해서도 필요하며 비즈니스의 데이터를 해커와 범죄자로부터 안전하게 보호해 줍니다. 암호화를 통해서 데이터 유출이나 장비 도난 사고가 발생한다고 하여도 데이터는 안전하게 보호할 수 있습니다.
AWS에서는 AWS 서버 인스턴스가 사용하는 볼륨 스토리지에 대해서 자체 암호화 기능을 제공합니다. AWS가 관리하는 암호화 키를 사용하여 권장 알고리즘으로 서버의 저장 데이터 전체가 암호화 되며, 성능 영향이 크게 없이 작동하여 사용자가 직접 암호화, 복호화를 신경쓰지 않아도 됩니다.
S3 스토리지에는 대량의 데이터가 저장되는 경우가 많으며 이 중 중요 데이터가 포함될 수 있습니다. S3 암호화 기능을 사용하여 AWS가 관리하는 암호화 키로 원하는 데이터를 암호화 하거나 전체 데이터를 자동으로 암호화 할 수 있습니다.
Amazon Key Management Service(KMS)는 데이터를 보호하는 데 사용하는 암호화 키를 쉽게 생성하고 제어할 수 있는 관리형 서비스입니다. KMS의 키는 FIPS Level2를 만족하는 안전한 저장 장치에 보관되며, KMS의 자동 키 교체 기능을 사용하면 1년 주기로 암호화 키가 자동 교체됩니다. 이러한 키 교체 히스토리는 자동으로 관리되어 교체에 따라 키나 데이터를 별도로 관리해 줄 필요 없이 항상 암호화, 복호화가 정상적으로 작동합니다.
전송 중인 데이터 는 시스템 간에 전송되는 모든 데이터를 의미합니다. 여기에는 워크로드 내 리소스 간의 통신과 다른 서비스 및 최종 사용자 간의 통신이 포함됩니다. 전송 중 데이터를 적절한 수준으로 보호하면 기밀성과 무결성을 보장하여 데이터를 탈취나 변조로부터 보호할 수 있습니다.
AWS 관리형 네트워크 서비스인 CloudFront와 ELB에 AWS 인증서를 사용하여 통신 데이터를 암호화 하도록 설정할 수 있습니다. 이는 AWS 관리형 서비스에서 처리하도록 설정되어 있기 때문에 설정 후 추가적으로 서버에서 통신 암호화 로직을 구현하지 않아도 됩니다.
AWS Certificate Manager(ACM) 인증서는 ELB(Elastic LoadBalancer) 또는 CloudFont에서 HTTPS 통신을 할 때 사용하는 무료 SSL 인증서입니다. ACM 서비스를 사용할 경우 자동으로 인증서를 업데이트하여, 번거로운 인증서 재발급 및 설치 작업을 대체해 줍니다.