기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # 5단계. 백업 데이터 및 볼트 암호화 조직은 점점 더 데이터 보안 전략을 개선해야 하며, 클라우드를 스케일 인 할 때 데이터 보호 규정을 준수해야 할 수 있습니다. 암호화 방법의 정확한 구현은 기본 액세스 제어 메커니즘을 능가하는 추가 보호 계층을 제공합니다. 이 추가 계층은 기본 액세스 제어 정책이 실패할 경우 위험을 완화할 수 있습니다. 예를 들어, AWS Backup 데이터에 대해 지나치게 허용적인 액세스 제어 정책을 구성할 경우 키 관리 시스템 또는 프로세스가 보안 이벤트의 최대 영향을 완화할 수 있습니다. 이는 데이터와 암호화 키에 액세스할 수 있는 별도의 인증 메커니즘이 있어 백업 데이터를 암호문으로만 볼 수 있기 때문입니다. AWS 클라우드 암호화를 최대한 활용하려면 전송 중 데이터와 저장 중 데이터를 모두 암호화합니다. 전송 중 데이터를 보호하기 위해는 게시된 API 직접 호출을 AWS 사용하여 [TLS 프로토콜을](https://aws.amazon.com/blogs/security/tls-1-2-to-become-the-minimum-for-all-aws-fips-endpoints/) 사용하여 네트워크를 AWS Backup 통해에 액세스하여 사용자, 애플리케이션 및 AWS Backup 서비스 간에 암호화를 제공합니다. 저장 데이터를 보호하기 위해 AWS 클라우드 네이티브[AWS Key Management Service](https://aws.amazon.com/kms/)(AWS KMS) 또는를 사용할 수 있습니다[AWS CloudHSM](https://aws.amazon.com/cloudhsm/). 클라우드 기반 하드웨어 보안 모델(HSM)인 AWS CloudHSM 은 데이터 암호화를 위해 업계에서 채택한 강력한 알고리즘인 256비트 키(AES-256)가 포함된 고급 암호화 표준(AES)을 사용합니다. 데이터 거버넌스 및 규제 요구 사항을 평가하고 클라우드 데이터 및 백업 리포지토리를 암호화하는 데 적합한 암호화 서비스를 선택합니다. 암호화 구성은 계정 또는 리전 간 리소스 유형 및 백업 작업에 따라 달라집니다. 특정 리소스 유형은 소스 리소스를 암호화하는 데 사용되는 키와는 별도의 암호화 키를 사용하여 백업을 암호화하는 기능을 지원합니다. 액세스 제어를 관리하여 AWS Backup 데이터 또는 볼트 암호화 키에 액세스할 수 있는 사용자와 조건을 결정할 책임이 있으므로에서 제공하는 정책 언어를 사용하여 키에 대한 액세스 제어를 AWS KMS 정의합니다. [AWS Backup Audit Manager](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-audit-manager.html)를 사용하여 백업이 제대로 암호화되었는지 확인할 수도 있습니다. 자세한 내용은 [Encryption for backups in AWS Backup](https://docs.aws.amazon.com/aws-backup/latest/devguide/encryption.html)을 참조하세요. 에서 사용할 수 있습니다[AWS KMS](https://aws.amazon.com/blogs/security/encrypt-global-data-client-side-with-aws-kms-multi-region-keys/)다중 리전 키를 사용하여 한 리전의 키를 다른 리전으로 복제할 수 있습니다. 다중 리전 키는 재해 복구를 위해 암호화된 데이터를 다른 리전으로 복사해야 하는 경우 암호화 관리를 간소화하도록 설계되었습니다. 전체 백업 전략의 일부로 다중 리전 AWS KMS 키를 구현해야 하는지 평가합니다.