[저장된 데이터 보호]
Amazon S3에는 두가지 암호화가 존재한다. 첫번째는 클라이언트 측 암호화. 즉, 사용자가 AWS로 데이터를 보내기 전에 데이터를 암호화한다. 두번째는 서버 측 암호화. 즉, AWS가 서비스를 통해 데이터를 받은 후 해당 데이터를 사용자 대신 암호화하는 것이다.
[전송 중 데이터 보호]
한 시스템에서 다른 시스템으로 전송되는 모든 데이터는 전송 중인 데이터로 간주된다. AWS가 권장하는 다음 솔루션 및 모범 사례는 전송 중인 데이터에 애플리케이션 데이터의 기밀성 및 무결성을 포함하는 적절한 수준의 보호를 제공하는 데 도움이 된다.
- AWS 서비스는 통신에 TLS를 사용하는 HTTPS 엔드포인트를 제공함으로써 AWS API와 통신할 때 엔드 투 엔드 암호화를 제공한다.
- AWS를 사용하여 웹 기반 워크로드에서 TLS 암호화에 사용되는 퍼블릭 및 프라이빗 인증을 생성, 배포 및 관리한다.
- AWS에 대한 VPN 연결과 함께 IPsec을 사용하여 트래픽의 암호화를 촉진한다.
[데이터 보호를 위한 추가 AWS 서비스]
- AWS CloudHSM : AWS 클라우드에서 사용할 수 있는 HSM(하드웨어 보안 모듈)을 제공한다. HSM은 암호화 작업을 처리하고 암호화 키에 대한 보안 스토리지를 제공하는 컴퓨팅 디바이스이다. CloudHSM을 사용하면 대칭 키 및 비대칭 키 페어를 포함한 암호화 키에 대한 생성, 저장, 가져오기, 내보내기 및 관리 작업을 수행할 수 있다.
- Amazon S3 Glacier : 자주 사용되지 않는 데이터 즉, 콜드 데이터에 대해 최적화된 스토리지 서비스이다. 이 서비스에서 데이터 아카이브 및 백업을 목적으로 내구성이 뛰어나고 매우 저렴하며 보안 기능이 탑재된 스토리지를 제공한다.
- AWS Certificate Manager(ACM) : AWS 기반 웹 사이트 및 애플리케이션을 위한 퍼블릭 SSL/TLS 인증서를 생성하고 관리하는 복잡성을 처리한다.
- Amazon Macie : 기계 학습을 사용하여 AWS에 있는 민감한 데이터를 자동으로 검색, 분류 및 보호한다.
- AWS KMS : 데이터 암호화에 사용되는 키를 생성하고 제어할 수 있는 관리형 서비스이다. 암호화 키를 생성 및 제어를 위한 관리형 서비스를 원하지만 자체 HSM을 원하지 않거나 운영할 필요가 없는 경우 AWS KMS 사용을 고려한다.
예를 들어 일부 데이터를 암호화 해야한다면, 해당 데이터를 키로 암호화하여 암호 텍스트를 생성해야 한다. 그럼 다음로 그 암호화 키를 안전하게 보관하기 위해 암호화를 위한 다른 키를 생성한다. 그렇다면 언제까지 이러한 키를 관리해야 할까? 에 대한 문제를 해결해 준다. AWS KMS를 사용하면 이러한 암호화 키 저장 및 검색 프로세스를 훨씬 쉽게 관리할 수 있다.