인스턴스 EBS 볼륨 암호화 디폴트 적용 여부 확인

1. 관련 법령

• 전자금융감독규정 제17조 제1항 제4호
• 개인정보의 기술적·관리적 보호조치 기준 제6조 제4항
• 개인정보의 안전성 확보조치 기준 제7조 제5항, 제7항

2. 개요

• 데이터 유•노출 시 데이터 보호를 위해 EBS 볼륨 암호화 디폴트 적용 필요

3. 취약점 판단 기준

• EBS 암호화 디폴트 설정을 적용하지 않은 경우 취약
• EBS 암호화 디폴트 설정을 적용한 경우 취약하지 않음

4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인

• 관리 콘솔에서 [EC2] 검색 → [EBS 암호화] 클릭
• EBS 암호화 디폴트 설정 여부 확인

4. 취약점 확인 방법 - (2) AWS CLI에서 확인

• EC2 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command(1) 실행
  • Command(1)

    aws --region <region> ec2 get-ebs-encryption-by-default

  • EBS 암호화 디폴트 설정 여부 확인
  

5. 취약점 조치 방법 - (1) 관리 콘솔에서 조치

• [관리] 클릭
• [활성화] 체크 → [EBS 암호화 업데이트] 클릭

5. 취약점 조치 방법 - (2) AWS CLI에서 조치

• AWS CLI에서 Command(2) 실행
  • Command(2)

    aws --region <region> ec2 enable-ebs-encryption-by-default

  ---

  6. 참고

• https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/EBSEncryption.html
• CIS AWS Benchmark v1.4.0