1. 관련 법령
2. 개요
- 데이터 유•노출 시 데이터 보호를 위해 EBS 볼륨 암호화 적용 필요
3. 취약점 판단 기준
- EBS 암호화 설정을 적용하지 않은 경우 취약
- EBS 암호화 설정을 적용한 경우 취약하지 않음
4. 취약점 확인 방법 - (1) 관리 콘솔에서 확인
- 관리 콘솔에서 [EC2] 검색 → [볼륨] 메뉴 클릭 → [암호화] 컬럼 확인
4. 취약점 확인 방법 - (2) AWS CLI에서 확인
- EC2 권한을 보유한 계정의 Access key를 활용해 AWS CLI에서 Command 실행
- Command
# 단일 볼륨의 암호화 여부 확인 aws ec2 describe-volumes --volume-ids <volume_id> | grep "Encrypted" # 인스턴스에 연결된 모든 볼륨 중 암호화되지 않은 볼륨ID 확인 aws ec2 describe-volumes --filters Name=attachment.instance-id,Values=<instance_id> Name=encrypted,Values=false | grep "VolumeId" # 리전에 존재하는 볼륨 중 암호화되지 않은 볼륨ID 확인 aws ec2 describe-volumes --filters Name=encrypted,Values=false | grep "VolumeId"
- Command
- EBS 암호화 설정 여부 확인
5. 취약점 조치 방법 (1) - 인스턴스 생성 시 볼륨 암호화 적용
- 인스턴스 생성 시 [스토리지 추가] 단계에서 암호화 적용
5. 취약점 조치 방법 (2) - 이미 생성된 인스턴스 볼륨을 스냅샷을 활용해 암호화 적용
- [볼륨] 메뉴 → [작업] 클릭 → [스냅샷 생성] 클릭
- 스냅샷 생성
- [스냅샷] 메뉴 → 스냅샷 클릭 → [작업] → [스냅샷에서 볼륨 생성] 클릭
- [이 볼륨 암호화] 체크 및 KMS 키 설정
- [볼륨] 메뉴 → [작업] → [볼륨 분리]를 통해 기존에 인스턴스에 연결된 볼륨 분리
- [볼륨] 메뉴 → [작업] → [볼륨 연결]을 통해 새로 생성한 볼륨 연결
- 연결할 인스턴스 및 디바이스 이름 설정
- 볼륨 연결 확인
6. 참고
Security Compliance Engineer