RDS & Aurora Security

• RDS & Aurora 데이터베이스에 저장된 데이터를 암호화 :
  • KMS를 사용해 마스터와 모든 복제본의 암호화가 이루어지며 이는 데이터베이스를 처음 실행할 때 정의된다.
  • 어떤 이유에서든 마스터, 즉 주 데이터베이스를 암호화하지 않았다면 읽기 전용 복제본을 암호화할 수 없다.
  • 암호화 되어있지 않은 기존 데이터베이스를 암호화하려면 암호화 되어있지 않는 데이터베이스의 스냅샷을 가지고 와서 암호화된 데이터베이스 형태로 데이터베이스 스냅샷을 복원해야 한다.
• 저장 데이터 암호화 :
  • 클라이언트와 데이터베이스 간의 전송중 데이터 암호화가 있을때, RDS 및 Aurora의 각 데이터베이스는 기본적으로 전송중 데이터 암호화 기능을 갖추고 있다. 따라서 클라이언트는 AWS 웹사이트에서 제공하는 AWS의 TLS 루트 인증서를 사용해야 한다.
• IAM Authentication : IAM Role(역할)을 사용해 데이터베이스에 연결한다. EC2 인스턴스에 IAM 역할이 있다면 이를 사용해 사용자 이름이나 패스워드 없이 데이터베이스에 연결할 수 있다.
• Security Groups : 보안 그룹을 사용해서 데이터베이스에 대한 네트워크 액세스를 통제할 수 있다. 특정 포트, IP, 보안 그룹을 허용하거나 차단할 수 있다.
• RDS와 Aurora에는 SSH 액세스가 없다. 다만 RDS Custom 서비스를 사용한다면 예외이다.
• 감사 로그를 사용할 수 있다. 시간에 따라 RDS 및 Aurora에서 어떤 쿼리가 생성되고 있고 데이터베이스를 확인하려면 감사 로그 작성을 활성화하면 된다. 장기간 보관하고 싶다면 AWS에 있는 CloudWatch Logs라는 전용 서비스로 전송해야한다.