[AWS SCS] RDS 및 Aurora 보안

RDS 및 Aurora 보안: 주요 개념 정리

Amazon RDS(관계형 데이터베이스 서비스)와 Aurora의 보안은 데이터 보호와 관련된 다양한 중요한 기능들을 제공합니다. 이 글에서는 RDS와 Aurora의 보안 기능을 간단히 정리하여 AWS에서의 데이터베이스 보안 설정 방법에 대해 설명합니다.

1. 정지 중 암호화 (At-Rest Encryption)

• RDS와 Aurora는 데이터베이스 마스터 및 모든 복제본을 **KMS(Key Management Service)**를 사용하여 암호화할 수 있습니다.
• 암호화는 데이터베이스를 시작할 때 설정해야 하며, 암호화되지 않은 데이터베이스 마스터에는 읽기 복제본을 생성할 수 없습니다.
• 이미 암호화되지 않은 데이터베이스를 암호화하려면 데이터베이스 스냅샷을 생성한 후, 이를 암호화된 데이터베이스로 복원해야 합니다.

2. 전송 중 암호화 (In-Flight Encryption)

• 기본적으로 RDS와 Aurora는 TLS를 사용하여 데이터 전송을 암호화합니다.
• TLS 포트를 통해 연결하고, AWS 클라이언트에서 제공하는 TLS 루트 인증서를 사용하여 안전한 연결을 설정할 수 있습니다.

3. IAM 인증

• IAM 인증을 사용하면 영구적인 사용자 이름과 비밀번호 없이 데이터베이스에 연결할 수 있습니다.
• IAM 역할을 인증 자격 증명으로 교환하여 보다 강력한 보안을 구현할 수 있습니다.
• IAM 인증은 MariaDB, MySQL, PostgreSQL에서 사용할 수 있으며, 인증 토큰은 15분 동안 유효합니다.

IAM 인증 연결 방식:

• EC2 인스턴스에 IAM 역할을 할당하고, RDS API 호출을 통해 인증 토큰을 얻습니다.
• 이 토큰을 SSL 연결을 통해 RDS 데이터베이스에 전달하여 안전한 연결을 설정합니다.

4. 네트워크 보안: 보안 그룹

• RDS와 Aurora의 접근 제어는 보안 그룹을 통해 관리됩니다.
• RDS 데이터베이스에는 기본적으로 SSH 접근이 불가능하며, RDS 커스텀을 사용하는 경우 OS에 직접 접근할 수 있습니다.

5. 감사 로그 및 CloudWatch Logs

• RDS와 Aurora는 CloudWatch Logs에 감사 로그를 전송하여 장기 보관할 수 있습니다. 이를 통해 보안 및 감사 추적을 쉽게 관리할 수 있습니다.

6. 스냅샷 암호화 (Aurora)

• 암호화된 Aurora 데이터베이스는 데이터베이스 인스턴스, 스냅샷, 로그 및 백업이 모두 암호화됩니다.
• 암호화되지 않은 스냅샷을 암호화하려면 해당 스냅샷을 암호화된 Aurora 클러스터로 복원하고, 그 클러스터에서 암호화된 새로운 스냅샷을 생성해야 합니다.
• 암호화되지 않은 데이터베이스 클러스터에서 직접 암호화된 스냅샷을 생성할 수는 없습니다.

결론

RDS와 Aurora는 보안적인 측면에서 다양한 옵션을 제공합니다. 정지 중 암호화, 전송 중 암호화, IAM 인증 및 보안 그룹 등을 활용하여 안전하고 효율적인 데이터베이스 운영이 가능합니다. 이러한 보안 기능들은 데이터베이스의 무단 접근을 방지하고, 데이터 보호를 강화하는 데 중요한 역할을 합니다.

AWS에서 RDS와 Aurora를 사용할 때는 위의 보안 설정을 반드시 고려하여 데이터베이스를 안전하게 관리해야 합니다.