DAX 전송 중 데이터 암호화

Amazon DynamoDB Accelerator(DAX)는 애플리케이션과 DAX 클러스터 간에 데이터의 전송 중 암호화를 지원하므로 암호화 요구 사항이 엄격한 애플리케이션에서 DAX를 사용할 수 있습니다.

전송 중 데이터 암호화를 선택했는지 여부에 관계없이 애플리케이션과 DAX 클러스터 간의 트래픽은 Amazon VPC에 남아 있습니다. 이 트래픽은 클러스터의 노드에 연결된 VPC에서 프라이빗 IP를 사용하여 탄력적 네트워크 인터페이스로 라우팅됩니다. VPC를 신뢰 경계로 사용하면 보안 그룹, 네트워크 ACL을 사용한 서브넷 조각화, VPC 흐름 추적 등과 같은 표준 도구를 사용하여 데이터 보안에 대한 제어를 향상할 수 있습니다. DAX 전송 중 데이터 암호화는 이러한 기본 수준의 기밀성에 더하여, 애플리케이션과 클러스터 간의 모든 요청 및 응답이 TLS(전송 수준 보안)로 암호화되고 클러스터에 대한 연결이 클러스터 x509 인증서 확인을 통해 인증될 수 있도록 합니다. DAX 클러스터를 생성할 때 저장 데이터 암호화를 선택하는 경우 DAX에서 디스크에 기록하는 데이터도 암호화됩니다.

DAX에서 전송 중 데이터 암호화는 쉽게 사용할 수 있습니다. 새 클러스터를 생성할 때 이 옵션을 선택하고 애플리케이션에서 최신 버전의 DAX 클라이언트를 사용하면 됩니다. 전송 중 데이터 암호화를 사용하는 클러스터는 암호화되지 않은 트래픽을 지원하지 않으므로 애플리케이션을 잘못 구성하고 암호화를 우회할 가능성이 없습니다. DAX 클라이언트는 연결을 설정할 때 클러스터의 x509 인증서를 사용하여 클러스터의 ID를 인증하므로 DAX 요청이 의도한 위치로 전달됩니다. DAX 클러스터를 생성하는 모든 방법에서 전송 중 데이터 암호화를 지원합니다(AWS Management Console, AWS CLI, 모든 SDK, AWS CloudFormation 등).

기존 DAX 클러스터에서는 전송 중 데이터 암호화를 활성화할 수 없습니다. 기존 DAX 애플리케이션에서 전송 중 데이터 암호화를 사용하려면 전송 중 데이터 암호화를 활성화하고 새 클러스터를 생성하고 애플리케이션의 트래픽을 해당 클러스터로 이동한 다음 이전 클러스터를 삭제합니다.