Amazon RDS 보안

SSL/TLS를 사용하여 애플리케이션과 DB 인스턴스 간의 통신을 암호화합니다. Amazon RDS는 SSL 인증서를 생성하고 인스턴스가 프로비저닝될 때 DB 인스턴스에 인증서를 설치합니다. MySQL의 경우 연결을 암호화하기 위해 퍼블릭 키를 참조하는 --ssl_ca 파라미터를 사용하여 mysql 클라이언트를 시작합니다. SQL Server의 경우 퍼블릭 키를 다운로드하고 인증서를 Windows 운영 체제로 가져옵니다. RDS for Oracle은 DB 인스턴스에 Oracle 네이티브 네트워크 암호화를 사용합니다. 옵션 그룹에 기본 네트워크 암호화 옵션을 추가하고 해당 옵션 그룹을 DB 인스턴스와 연결하기만 하면 됩니다. 암호화된 연결이 설정되면 DB 인스턴스와 애플리케이션 간에 전송되는 데이터는 전송 중에 암호화됩니다. 또한 DB 인스턴스가 암호화된 연결만 허용하도록 요구할 수도 있습니다.

Amazon RDS는 AWS Identity and Access Management(IAM)와 통합되어 AWS IAM 사용자 및 그룹이 특정 리소스(예: DB 인스턴스, DB 스냅샷, DB 파라미터 그룹, DB 이벤트 구독, DB 옵션 그룹)에서 수행할 수 있는 작업을 제어하는 기능을 제공합니다. 또한 리소스를 태그 지정하고, 태그 및 태그 값이 동일한 리소스 그룹에서 IAM 사용자 및 그룹이 수행할 수 있는 작업을 제어할 수 있습니다. IAM 통합에 대한 자세한 정보는 IAM 데이터베이스 인증 설명서를 참조하세요.

또한 Amazon RDS 리소스에 태그를 지정하고, IAM 사용자 및 그룹이 태그가 동일하고 연관된 값을 가진 리소스 그룹에서 수행할 수 있는 작업을 제어할 수 있습니다. 예를 들어 개발자는 ‘개발’ 데이터베이스 인스턴스를 수정할 수 있지만 ‘프로덕션’ 데이터베이스 인스턴스는 데이터베이스 관리자만 수정할 수 있도록 IAM 규칙을 구성할 수 있습니다.

Amazon RDS 내에서 DB 인스턴스를 처음 생성할 때, 기본 사용자 계정을 생성하게 됩니다. 기본 사용자 계정은 Amazon RDS 컨텍스트 내에서만 DB 인스턴스에 대한 액세스를 제어하는 데 사용됩니다. 기본 사용자 계정은 모든 데이터베이스 권한으로 DB 인스턴스에 로그인할 수 있는 기본 데이터베이스 사용자 계정입니다. DB 인스턴스를 만들 때 각 DB 인스턴스에 연결할 기본 사용자 이름과 암호를 지정할 수 있습니다. DB 인스턴스를 만들면 기본 사용자 보안 인증 정보를 사용하여 데이터베이스에 연결할 수 있습니다. 나중에 추가 사용자 계정을 생성하여 DB 인스턴스에 액세스할 수 있는 사용자를 제한할 수 있습니다.

Amazon Virtual Private Cloud(VPC)를 사용하면 자체 가상 네트워크에서 DB 인스턴스를 격리하고 업계 표준 암호화 IPSec VPN을 사용하여 기존 IT 인프라에 연결할 수 있습니다.

Amazon VPC에서는 사용하려는 IP 범위를 지정하여 DB 인스턴스를 분리하고, 업계 표준 암호화 방식의 IPsec VPN을 사용하여 기존 IT 인프라에 접속할 수 있습니다. VPC에서 Amazon RDS를 실행하면 프라이빗 서브넷 내에 DB 인스턴스를 가질 수 있습니다. 가상 프라이빗 게이트웨이를 설정해 사내 네트워크를 VPC로 확장하여 해당 VPC의 Amazon RDS DB 인스턴스에 액세스할 수 있도록 하는 방법도 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요. Amazon VPC 내에 배포된 DB 인스턴스는 인터넷에서 액세스하거나 VPN 또는 퍼블릭 서브넷에서 실행할 수 있는 Bastion Host를 통해 VPC 외부의 Amazon EC2 인스턴스에서 액세스할 수 있습니다. Bastion Host를 사용하려면 SSH Bastion 역할을 하는 EC2 인스턴스를 사용하여 퍼블릭 서브넷을 설정해야 합니다. 이 퍼블릭 서브넷은 SSH 호스트를 통해 트래픽을 제어할 수 있는 인터넷 게이트웨이 또는 라우팅 규칙이 필요합니다. 또한, SSH 호스트에서 Amazon RDS DB 인스턴스의 프라이빗 IP 주소로 요청을 전달할 수 있어야 합니다. DB 보안 그룹을 사용하면 Amazon VPC의 DB 인스턴스를 보호할 수 있습니다. 또한 네트워크 각 서브넷에 출입하는 네트워크 트래픽은 ACL을 사용하여 허용하거나 거부할 수 있습니다. IPsec VPN 연결을 통해 Amazon VPC에 출입하는 모든 네트워크 트래픽은 네트워크 방화벽, 침입 탐지 시스템을 비롯한 온프레미스 보안 인프라에서 모니터링할 수 있습니다.

관리형 데이터베이스는 외부 보안 위협을 넘어 데이터베이스 관리자(DBA)의 내부 위험으로부터 보호해야 합니다. 현재 Amazon Aurora 및 Amazon RDS for Oracle에서 지원되는 데이터베이스 활동 스트림은 관계형 데이터베이스의 데이터베이스 활동에 대한 실시간 데이터 스트림을 제공합니다. 타사 데이터베이스 활동 모니터링 도구와 통합하면, 데이터베이스 활동을 모니터링하고 감사하여 데이터베이스에 대한 안전장치를 제공하고 규정 준수 및 규제 요구 사항을 충족할 수 있습니다.

데이터베이스 활동 스트림은 데이터베이스 활동 스트림에 대한 DBA 액세스를 제어하는 보호 모델을 구현하여 내부 위협으로부터 데이터베이스를 보호합니다. 따라서 데이터베이스 활동 스트림의 수집, 전송, 저장 및 후속 처리는 데이터베이스를 관리하는 DBA의 액세스 범위를 벗어납니다.

스트림은 데이터베이스를 대신하여 생성된 Amazon Kinesis 데이터 스트림으로 푸시됩니다. 그런 다음 Kinesis Data Firehose에서 데이터베이스 활동 스트림을 Amazon CloudWatch 또는 IBM Security Guardium과 같은 규정 준수 관리를 위한 파트너 애플리케이션에서 사용할 수 있습니다. 이러한 파트너 애플리케이션은 데이터베이스 활동 스트림 정보를 사용하여 경고를 생성하고 Amazon Aurora 데이터베이스의 모든 활동에 대해 감사를 제공할 수 있습니다.

Aurora의 PostgreSQL 호환 에디션 및 MySQL 호환 에디션에 대한 데이터베이스 활동 스트림 사용은 이 설명서 페이지에서, Amazon RDS for Oracle에 대한 데이터베이스 활동 스트림 사용은 이 설명서 페이지에서 자세히 알아볼 수 있습니다.

Amazon RDS는 고객이 해당 법률 및 규제 요구 사항의 준수 여부를 평가하고 충족하고 입증하는 데 사용할 수 있는 강력한 규정 준수 프레임워크와 고급 도구 및 보안 조치를 제공하기 위해 최선을 다하고 있습니다. 고객은 AWS 공동 책임 모델을 검토하고 Amazon RDS 책임과 고객 책임을 매핑해야 합니다. 또한 고객은 AWS Artifact를 사용하여 RDS의 감사 보고서에 액세스하고 제어 책임에 대한 평가를 수행할 수 있습니다.

자세한 내용은 AWS 규정 준수 페이지를 참조하세요.

Amazon RDS에서는 데이터베이스 인스턴스의 구성과 사용 지표를 분석하여 모범 사례 지침을 제공합니다. 권장 사항에는 보안, 암호화, IAM, VPC와 같은 영역이 포함됩니다. 고객은 사용 가능한 권장 사항을 살펴보고, 권장 조치를 즉시 수행하거나 다음 유지 관리 기간에 수행하도록 예약하거나 완전히 무시할 수 있습니다.

Amazon VPC를 사용하면 프라이빗 IP 주소 범위, 서브넷, 라우팅 테이블, 네트워크 게이트웨이와 같은 측면에서 완벽하게 제어할 수 있는 AWS 클라우드의 격리된 프라이빗 섹션에 가상 네트워킹 환경을 생성할 수 있습니다. Amazon VPC를 사용하여 가상 네트워크 토폴로지를 정의하고 자체 데이터 센터에서 운영하는 IP 네트워크와 흡사하게 네트워크 설정을 사용자 지정할 수 있습니다.

예를 들어, 프라이빗 서브넷에서 공개적으로 액세스할 수 없는 백엔드 서버를 유지 관리하면서 퍼블릭 측 웹 애플리케이션을 실행하고자 할 때 VPC를 활용할 수 있습니다. 인터넷에 액세스할 수 있는 웹 서버에 퍼블릭 서브넷을 만들고 인터넷에 액세스할 수 없는 프라이빗 서브넷에 백 엔드 Amazon RDS DB 인스턴스를 배포할 수 있습니다. Amazon VPC에 대한 자세한 내용은 Amazon Virtual Private Cloud 사용 설명서를 참조하세요.

AWS 계정이 2013년 12월 4일 이전에 생성되었다면 Amazon Elastic Compute Cloud(EC2)-Classic 환경에서 Amazon RDS를 실행할 수도 있습니다. Amazon RDS의 기본 기능은 EC2-Classic을 사용하든 EC2-VPC를 사용하든 관계없이 동일합니다. Amazon RDS는 DB 인스턴스를 VPC 내부 또는 외부 중 어디에 배포하든 관계없이 백업, 소프트웨어 패치 적용, 자동 장애 감지, 읽기 전용 복제본 및 복구를 관리합니다. EC2-Classic과 EC2-VPC의 차이점에 대한 자세한 내용은 EC2 설명서를 참조하세요.

DB 서브넷 그룹은 VPC 내의 Amazon RDS DB 인스턴스에 대해 지정할 수 있는 서브넷의 모음입니다. 각 DB 서브넷 그룹에는 특정 리전의 가용 영역마다 하나 이상의 서브넷이 있어야 합니다. VPC에 DB 인스턴스를 만들 때, DB 서브넷 그룹을 선택해야 합니다. 그러면 Amazon RDS가 DB 서브넷 그룹과 기본 가용 영역을 사용하여 서브넷과 서브넷의 IP 주소를 선택합니다. Amazon RDS가 엘라스틱 네트워크 인터페이스를 만든 다음 해당 IP 주소를 가진 DB 인스턴스에 연결합니다.

기본 IP 주소가 변경될 수 있으므로(예: 장애 조치 도중) 사용자의 DB 인스턴스에 연결할 때 DNS 이름을 사용하는 것이 좋습니다.

다중 AZ 배포의 경우, 특정 리전의 모든 가용 영역에 서브넷을 정의하면 Amazon RDS가 필요한 경우 다른 가용 영역에 새로운 예비 복제본을 만들 수 있습니다. 단일 AZ 배포의 경우도 어느 시점에 단일 AZ 배포를 다중 AZ 배포로 변환하려면 이 작업을 수행해야 합니다.

이 프로세스를 진행하는 절차는 Amazon RDS 사용 설명서의 VPC에서 DB 인스턴스 만들기를 참조하세요.

Amazon RDS 사용 설명서의 보안 그룹 섹션을 참조하여 DB 인스턴스에 대한 액세스를 제어하는 다양한 방법에 대해 알아보세요.

VPC 내에 배포된 DB 인스턴스는 동일한 VPC에 배포된 EC2 인스턴스에서 액세스할 수 있습니다. 이러한 EC2 인스턴스가 엘라스틱 IP가 연결된 공인 서브넷에 배포된 경우 인터넷을 통해 EC2 인스턴스에 액세스할 수 있습니다. VPC 내에 배포된 DB 인스턴스는 인터넷에서 액세스하거나 VPN 또는 퍼블릭 서브넷에서 실행할 수 있는 Bastion Host를 통해 VPC 외부의 EC2 인스턴스에서 액세스하거나 Amazon RDS의 공용 액세스 옵션을 사용하여 액세스할 수 있습니다.

• Bastion Host를 사용하려면 SSH Bastion 역할을 하는 EC2 인스턴스로 퍼블릭 서브넷을 설정해야 합니다. 이 퍼블릭 서브넷은 SSH 호스트를 통해 트래픽을 제어할 수 있는 인터넷 게이트웨이 또는 라우팅 규칙이 필요합니다. 또한, SSH 호스트에서 Amazon RDS DB 인스턴스의 프라이빗 IP 주소로 요청을 전달할 수 있어야 합니다.
• 퍼블릭 연결을 사용하려면 Publicly Accessible 옵션을 yes로 설정하여 DB 인스턴스를 만들기만 하면 됩니다. 공용 액세스가 활성화되면 기본적으로 VPC 내부의 DB 인스턴스를 VPC 외부에서 완벽하게 액세스할 수 있게 됩니다. 따라서 인스턴스에 대한 액세스를 허용하기 위해 VPN이나 배스천 호스트를 설정할 필요가 없습니다. 

VPN 게이트웨이를 설정해 사내 네트워크를 VPC로 확장하여 해당 VPC의 Amazon RDS DB 인스턴스에 액세스할 수 있도록 하는 방법도 있습니다. 자세한 내용은 Amazon VPC 사용 설명서를 참조하세요.

기본 IP 주소가 변경될 수 있으므로(예: 장애 조치 도중) DB 인스턴스에 연결할 때 DNS 이름을 사용하는 것이 좋습니다.

DB 인스턴스가 VPC 내에 있지 않은 경우 AWS Management Console을 사용하여 손쉽게 DB 인스턴스를 VPC로 이동할 수 있습니다. 자세한 내용은 Amazon RDS 사용 설명서를 참조하세요. 또한, VPC 외부에 있는 DB 인스턴스의 스냅샷을 생성한 다음, 사용할 DB 서브넷 그룹을 지정함으로써 이를 VPC 내에 복원할 수도 있습니다. 또는 “지정 시간으로 복원” 작업도 가능합니다.

DB 인스턴스를 VPC 내부에서 VPC 외부로 마이그레이션하는 기능은 지원되지 않습니다. 보안상의 이유로 VPC 내부에 있는 DB 인스턴스의 DB 스냅샷은 VPC 외부로 복원할 수 없습니다. 마찬가지로 “특정 시점으로 복원” 기능도 지원되지 않습니다. 

사용자는 VPC의 라우팅 테이블과 네트워킹 ACL을 수정하여 VPC의 클라이언트 인스턴스에서 DB 인스턴스에 도달할 수 있도록 해야 합니다. 다중 AZ 배포의 경우 장애 조치 후 클라이언트 EC2 인스턴스와 Amazon RDS DB 인스턴스가 서로 다른 가용 영역에 속할 수 있습니다. 따라서 AZ 간 통신이 가능하도록 네트워킹 ACL을 구성해야 합니다.

기존 DB 서브넷 그룹을 업데이트하여 기존 가용 영역 또는 DB 인스턴스를 만든 후 추가된 새로운 가용 영역에 서브넷을 추가할 수 있습니다. 기존 DB 서브넷 그룹에서 서브넷을 제거하면 이 서브넷 그룹에서 제거된 특정 AZ에서 실행 중이던 인스턴스를 사용하지 못할 수도 있습니다. 자세한 내용은 Amazon RDS 사용 설명서를 참조하세요.

Amazon RDS를 사용하려면 AWS 개발자 계정이 필요합니다. Amazon RDS에 가입하기 전에 이 계정을 가지고 있지 않은 경우, 가입 프로세스를 시작할 때 계정을 만들라는 메시지가 표시됩니다. 기본 사용자 계정은 AWS 개발자 계정과 달라야 하고, Amazon RDS에서 DB 인스턴스에 대한 액세스를 제어하기 위한 용도로만 사용합니다. 기본 사용자 계정은 DB 인스턴스에 액세스하는 데 사용할 수 있는 네이티브 데이터베이스 사용자 계정입니다. 

DB 인스턴스를 만들 때 각 DB 인스턴스에 연결할 기본 사용자 이름과 암호를 지정할 수 있습니다. DB 인스턴스를 만들면 기본 사용자 자격 증명을 사용하여 데이터베이스에 연결할 수 있습니다. 나중에 추가 사용자 계정을 만들어 DB 인스턴스에 액세스할 수 있는 사용자를 제한할 수도 있습니다.

MySQL의 기본 사용자의 기본 권한은 create, drop, references, event, alter, delete, index, insert, select, update, create temporary tables, lock tables, trigger, create view, show view, alter routine, create routine, execute, trigger, create user, process, show databases, grant option입니다.

Oracle의 기본 사용자에게는 ‘dba’ 역할이 부여됩니다. 기본 사용자는 해당 역할과 관련된 권한을 대부분 상속합니다. 권한의 제한 목록과 이러한 권한이 필요한 관리 작업을 수행할 수 있는 방법은 Amazon RDS 사용 설명서를 참조하세요.

SQL Server에서는 데이터베이스를 만든 사용자에게 "db_owner" 역할이 부여됩니다. 제한된 권한 목록과 이러한 권한이 필요한 관리 작업을 수행하기 위한 해당 대안은 Amazon RDS 사용 설명서를 참조하세요.

아니요, 관계형 데이터베이스를 사용하여 사용자가 직접 관리하는 것과 동일한 익숙한 방법으로 모두 작동합니다.

예. 보안 그룹을 구성하여 인터넷을 통해 데이터베이스에 액세스할 수 있는 기능을 활성화해야 합니다. 자체 데이터 센터의 서버에 해당하는 특정 IP, IP 범위 또는 서브넷에 대한 액세스만 허용할 수 있습니다.

예. 이 옵션은 모든 Amazon RDS 엔진에서 지원됩니다. Amazon RDS는 각 DB 인스턴스에 대해 SSL/TLS 인증서를 생성합니다. 암호화된 연결이 설정되면 DB 인스턴스와 애플리케이션 간에 전송되는 데이터는 전송 중에 암호화됩니다. SSL/TLS는 보안상 장점이 있지만, SSL 암호화는 컴퓨팅 중심 작업이며 데이터베이스 연결의 지연 시간을 늘린다는 점에 유의해야 합니다. Amazon RDS에서의 SSL/TLS 지원은 애플리케이션과 DB 인스턴스 간의 연결을 암호화하기 위한 것이므로 DB 인스턴스 자체를 인증하는 데 사용해서는 안 됩니다.

Amazon RDS를 통한 암호화된 연결 설정에 대한 자세한 내용은 Amazon RDS MySQL 사용 설명서, MariaDB 사용 설명서, PostgreSQL 사용 설명서 또는 Oracle 사용 설명서를 참조하세요.

Amazon RDS는 AWS Key Management Service(KMS)를 통해 관리하는 키를 사용하여 모든 데이터베이스 엔진에 대한 저장 중 암호화를 지원합니다. Amazon RDS 암호화를 실행 중인 데이터베이스 인스턴스에서는 자동 백업, 읽기 전용 복제본 및 스냅샷과 마찬가지로 기본 스토리지에 저장된 데이터가 암호화됩니다. 암호화와 복호화는 투명하게 처리됩니다. Amazon RDS에서 KMS를 사용하는 방법에 대한 자세한 내용은 Amazon RDS 사용 설명서를 참조하세요.

또한, DB 스냅샷을 생성한 후 해당 스냅샷의 사본을 만들어 KMS 암호화 키를 지정함으로써 이전에 암호화되지 않은 DB 인스턴스나 DB 클러스터도 암호화할 수 있습니다. 그런 다음 암호화된 스냅샷에서 암호화된 DB 인스턴스 또는 DB 클러스터를 복원할 수 있습니다.

Amazon RDS for Oracle 및 SQL Server는 이러한 엔진의 TDE(Transparent Data Encryption) 기술을 지원합니다. 자세한 내용은 Oracle 및 SQL Server용 Amazon RDS 사용 설명서를 참조하세요.

아니요, Amazon RDS의 Oracle 인스턴스는 AWS CloudHSM과 통합할 수 없습니다. AWS CloudHSM에서 투명한 데이터 암호화(TDE)를 사용하려면 Amazon EC2에 Oracle 데이터베이스를 설치해야 합니다.

AWS IAM 사용자 및 그룹이 Amazon RDS 리소스에서 수행할 수 있는 작업을 제어할 수 있습니다. 사용자 및 그룹에 적용할 AWS IAM 정책에서 Amazon RDS 리소스를 참조하면 이 작업을 수행할 수 있습니다. AWS IAM 정책에서 참조할 수 있는 Amazon RDS 리소스에는 DB 인스턴스, DB 스냅샷, 읽기 전용 복제본, DB 보안 그룹, DB 옵션 그룹, DB 파라미터 그룹, 이벤트 구독 및 DB 서브넷 그룹이 포함됩니다. 

또한 이러한 리소스에 태그를 지정하여 메타데이터를 추가할 수 있습니다. 태그를 지정하여 리소스를 분류(예: ‘Development’ DB 인스턴스, ‘Production’ DB 인스턴스, ‘Test’ DB 인스턴스)하고 동일한 태그를 가진 리소스에서 수행할 수 있는 권한(즉, 작업)을 나열하는 AWS IAM 정책을 작성할 수 있습니다. 자세한 내용은 Amazon RDS 리소스 태깅을 참조하세요.

예. AWS CloudTrail은 계정에 대한 AWS API 호출을 기록하고 로그 파일을 사용자에게 전달하는 웹 서비스입니다. CloudTrail에서 작성되는 AWS API 호출 내역을 통해 보안 분석, 리소스 변경 사항 추적 및 규정 준수 감사를 수행할 수 있습니다. 

예. 모든 Amazon RDS 데이터베이스 엔진은 HIPAA 적격 서비스입니다. 따라서 AWS와 체결한 비즈니스 제휴 계약(BAA)에 따라 HIPAA 규정 준수 애플리케이션을 구축하고 개인 건강 정보(PHI)를 비롯한 의료 서비스 관련 정보를 저장하는 데 이를 사용할 수 있습니다.

이미 BAA를 체결한 경우, 다른 작업 없이 BAA가 적용되는 계정에서 이러한 서비스 사용을 시작할 수 있습니다. AWS와 BAA를 아직 체결하지 않았거나, AWS의 HIPAA 규정 준수 애플리케이션에 대한 질문이 있는 경우
담당 계정 관리자에게 문의해 주세요.