패스트캠퍼스 캐시백 챌린지 40일차

 

수강 인증샷

 

 

AWS의 KMS 서비스 개요에 관한 클립을 수강하는식으로 챌린지를 진행하였다. 데이터가 자산인 기업들은 외부의 공격으로부터 보안적으로 많이 대비가 되어야하기 때문에 이런 서비스들을 사용한다고 한다. KMS , data keys, CMK 라는 용어들이 아직은 낯설긴한데 실습을 직접해보면 더 확실히 이해가 가게될 것 같다..^^ 4kb 미만이면 CMK를 통해 암호화하고 더 큰 데이터는 data keys를 통해 관리한다고 한다. 다음 포스팅은 AWS KMS를 적용해보는 포스팅을 다룰 예정이다.

 

 

데이터 암호화(Data Encryption)

 

• 허가받지 않은 외부의 침입자로부터 데이터가 유출되거나 조작되지 않도록 보호하기 위한 수단
• 데이터의 실제 내용을 허가된 사용자만 확인할 수 있도록 은폐하는 Data Encryption
• 전송 중인 데이터 암호화

⇒ Https

 

• 저장되어 있는 데이터 암호화

⇒ Client-side 암호화(내가 직접)

⇒ Server-side 암호화(aws가 알아서)

 

Client-Side VS Server Side

 

• Client-Side 암호화

⇒ 내가 직접 암호화 키를 관리

⇒ 필요하다면 AWS의 KMS를 활용할 수 있음

 

• Server-side 암호화

⇒ AWS가 알아서 서버에 저장된 데이터를 암호화시켜놓음

⇒ 암호화 키를 자동으로 관리

⇒ S3 RDS, DynamoDB , Redshift 등은 모두 암호화 기능을 기본으로 갖추고 있음

⇒ 이들은 암호화 키를 관리하기 위해 AWS의 KMS를 우리가 모르는 사이에 사용함

 

 

AWS KMS(key Management Service)

 

• AWS의 encryption key(암호화 키)를 관리해주는 서비스
• 관리하는 암호화 키를 CMK(Customer Master Key)라 부름

⇒ Client side를 할 것이기에 CMK라고 부른다.

 

• CMK를 HSMs(Hardware Security Modules)라는 저장소에 저장함
• HSMs에 있는 CMK를 활용하기 위해 KMS API를 사용
• AWS Cloudtrail로 누가 어떤 Key를 어떻게 사용했는지 로그를 남김

 

• CMK는 생성된 region을 떠나지 않는다.(region 설정 필수)
• CMK를 통해선 최대 4KB의 데이터만 암호화할 수 있다.
• 더 큰 데이터를 암호화할 땐 CMK가 아닌 data key를 활용한다
• KMS는 CMK만 관리하고 data key는 관리하지 않는다.
• Data keys는 cmk를 통해서 생성된다.
• 하나의 cmk를 통해 여러 개의 data key를 생성할 수 있다.
• 일단 큰 데이터를 암호화하기 위해 plaintext data keys를 활용해서 암호화
• 암호화가 끝난 뒤엔 plaintext data key를 삭제

 

 

 

 

https://bit.ly/3L3avNW

패스트캠퍼스 [직장인 실무교육]

*본 포스팅은 패스트캠퍼스 환급 챌린지 참여를 위해 작성되었습니다.