전송 중 SEC09-BP02 암호화 적용 - AWS Well-Architected 프레임워크
구현 지침리소스

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

전송 중 SEC09-BP02 암호화 적용

조직, 법률 및 규정 준수 요구 사항을 충족할 수 있도록 조직의 정책, 규제 의무 및 표준에 따라 정의된 암호화 요구 사항을 적용합니다. 민감한 데이터를 가상 프라이빗 클라우드 외부로 전송할 때는 암호화가 적용된 프로토콜만 사용합니다(VPC). 암호화는 데이터가 신뢰할 수 없는 네트워크로 전송되는 경우에도 데이터 기밀성을 유지하는 데 도움이 됩니다.

원하는 결과: 모든 데이터는 보안 TLS 프로토콜 및 암호 제품군을 사용하여 전송 중에 암호화되어야 합니다. 데이터에 대한 무단 액세스를 완화하려면 리소스와 인터넷 간의 네트워크 트래픽을 암호화해야 합니다. 내부 AWS 환경 내에서만 네트워크 트래픽은 가능하면 TLS 를 사용하여 암호화해야 합니다. AWS 내부 네트워크는 기본적으로 암호화되며 권한이 없는 당사자가 트래픽을 생성하는 리소스(예: Amazon EC2 인스턴스 및 Amazon ECS 컨테이너)에 대한 액세스 권한을 얻지 않은 한 내 네트워크 트래픽은 스푸핑되거나 스니핑될 수 VPC 없습니다. IPsec 가상 프라이빗 네트워크()를 사용하여 트래픽을 보호하는 network-to-network 것이 좋습니다VPN.

일반적인 안티 패턴:

  • 더 이상 사용되지 않는 버전의 SSL, TLS및 암호 제품군 구성 요소(예: SSL v3.0, 1024비트 RSA 키 및 RC4 암호) 사용.

  • 공용 리소스에서 암호화되지 않은 (HTTP) 트래픽 허용.

  • 만료되기 전에 X.509 인증서를 모니터링하고 교체하지 않습니다.

  • 에 자체 서명된 X.509 인증서 사용TLS.

이 모범 사례가 확립되지 않을 경우 노출되는 위험 수준: 높음

구현 가이드

AWS 서비스는 를 사용하여 통신을 TLS 위한 HTTPS 엔드포인트를 제공하고, 와 통신할 때 전송 중 암호화를 제공합니다 AWS APIs. 와 같은 안전하지 않은 프로토콜은 보안 그룹을 사용하여 에서 감사하고 차단VPC할 HTTP 수 있습니다. HTTP 요청은 Amazon CloudFront 또는 Application Load Balancer 에서 자동으로 로 리디렉션HTTPS될 수도 있습니다. 컴퓨팅 리소스를 완전하게 제어하여 서비스 간에 전송 중 암호화를 구현할 수 있습니다. 또한 외부 네트워크에서 에 대한 VPN 연결을 사용하거나 트래픽 암호화VPC를 용이하게 AWS Direct Connect할 수 있습니다. 2023년 TLS 6월 이전 버전의 사용을 중단하기 AWS APIs 위해 클라이언트가 1.3을 AWS 사용하여 TLS1.2 이상을 사용하여 를 호출하는지 확인합니다. AWS TLS 특별한 요구 사항이 있는 AWS Marketplace 경우 에서 타사 솔루션을 사용할 수 있습니다.

구현 단계

  • 전송 중 암호화 적용: 정의된 암호화 요구 사항은 최신 표준 및 모범 사례를 토대로 하고 보안 프로토콜만 허용해야 합니다. 예를 들어 애플리케이션 로드 밸런서 또는 Amazon EC2 인스턴스에만 HTTPS 프로토콜을 허용하도록 보안 그룹을 구성합니다.

  • 엣지 서비스에서 보안 프로토콜 구성: AmazonHTTPS으로 를 구성 CloudFront하고 보안 태세 및 사용 사례 에 적합한 보안 프로파일을 사용합니다.

  • VPN 외부 연결에 사용 : 데이터 프라이버시와 무결성을 모두 제공하는 데 도움이 되도록 보안 point-to-point 또는 network-to-network 연결IPsecVPN에 사용을 고려합니다.

  • 로드 밸런서에서 보안 프로토콜 구성: 리스너에 연결할 클라이언트가 지원하는 가장 강력한 암호 그룹을 제공하는 보안 정책을 선택합니다. Application Load Balancer 에 대한 HTTPS리스너를 생성합니다.

  • Amazon Redshift에서 보안 프로토콜 구성: 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS) 연결 을 요구하도록 클러스터를 구성합니다.

  • 보안 프로토콜 구성: AWS 서비스 설명서를 검토하여 기능을 확인합니다 encryption-in-transit.

  • Amazon S3 버킷에 업로드할 때 보안 액세스 구성: Amazon S3 버킷 정책 제어를 사용하여 데이터에 대한 보안 액세스를 적용합니다.

  • 사용하는 것을 고려하세요AWS Certificate Manager. ACM를 사용하면 AWS 서비스와 함께 사용할 퍼블릭 TLS 인증서를 프로비저닝, 관리 및 배포할 수 있습니다.

  • 프라이빗 PKI 요구 AWS Private Certificate Authority 사항에 를 사용하는 것을 고려하세요. AWS Private CA 를 사용하면 프라이빗 인증 기관(CA) 계층 구조를 생성하여 암호화된 TLS 채널을 생성하는 데 사용할 수 있는 엔드엔티티 X.509 인증서를 발급할 수 있습니다.

리소스

관련 문서: