Amazon RDS 및 Amazon EC2에서 SQL Server 인스턴스, 데이터베이스 객체 및 로그인 감사 - AWS 권장 가이드
목표 비즈니스 성과

Amazon RDS 및 Amazon EC2에서 SQL Server 인스턴스, 데이터베이스 객체 및 로그인 감사

Ashish Srivastava, Bhavani Akundi, Sreenivas Nettem, Amazon Web Services(AWS)

2023년 4월(문서 기록)

이 가이드에서는 Amazon Elastic Compute Cloud(Amazon EC2) 기반 SQL Server 및 Amazon Relational Database Service(Amazon RDS) for SQL Server 데이터베이스 인스턴스에서 SQL Server 감사 프로세스를 구현하는 방법에 대해 설명합니다.

데이터베이스 감사는 조직 데이터가 안전함을 인증하기 위한 IT 감사 방법입니다. 여기에는 데이터를 평가하고 데이터베이스에서 중요 핵심 비즈니스 운영을 로깅하는 작업이 포함됩니다.

특히 데이터에 개인 식별 정보(PII)가 포함되어 있고 보안 및 규정 준수 지침을 준수해야 하는 경우 데이터베이스 감사는 필수가 되었습니다. 일부 지침에는 국가의 거버넌스 정책에서 발행한 데이터 유형 및 권장 사항이 포함됩니다. 감사 프로세스에는 데이터베이스 로그에서 추출할 수 있는 증거가 필요합니다. 감사는 데이터에 대한 무단 액세스를 방지하는 데 도움이 됩니다. 데이터 사용량을 추적하여 잘못된 활동을 조사하고 적절한 조치를 취할 수 있습니다. 데이터 기밀성, 무결성 및 접근성에 대한 데이터베이스 감사를 통해 데이터를 보호할 수 있습니다. 데이터 위반을 방지하려면 데이터베이스 보안과 감사를 모두 마련하는 것이 가장 좋습니다.

SQL Server 감사는 ISO/IEC 27001, Payment Card Industry Data Security Standard(PCI DSS), BASEL III, EU 일반 데이터 보호 규정(GDPR), 정보 거버넌스(IG) 및 건강 보험 양도 및 책임에 관한 법(HIPAA)과 같은 보안, 금융 및 의료 표준을 준수하기 위한 요구 사항입니다.

목표 비즈니스 성과

조직은 다음을 포함하여 여러 가지 이유로 데이터베이스 및 SQL Server 감사를 구현합니다.

  • 감사자는 규정 준수 및 감사를 위해 의미 있고 상황에 맞는 데이터가 필요합니다. DB 감사 로그는 DBA 팀에 적합하지만 감사자에게는 적합하지 않습니다.

  • 보안 위반 시 중요한 알림을 생성하는 기능은 대규모 소프트웨어의 기본 요구 사항입니다. 로깅 정보는 제어 검사를 식별하고 추적하는 데 도움이 되므로 이러한 목적으로 감사 로그를 사용할 수 있습니다.

  • 데이터베이스 감사는 다음과 같은 정보를 제공합니다.

    • DBA, 개발자, 감사자, 추출, 전환, 적재(ETL) 프로세스, DevOps 엔지니어 등 데이터에 액세스한 사람은 누구인가요?

    • 데이터의 이전 상태는 어떠했나요?

    • 데이터가 언제 업데이트되었고, 무엇이 수정되었으며, 그 이유는 무엇인가요?

    • 권한이 있는 사람이 요청을 승인했나요?

    • 내부 사용자가 권한을 제대로 사용하고 있나요?

  • 감사 추적은 침입자를 식별하는 데 도움이 되므로 내부자를 방지할 수 있습니다. 자신의 행동이 면밀히 조사된다는 사실을 알고 있는 사람은 무단 데이터베이스에 액세스하거나 특정 데이터를 변조할 가능성이 낮습니다.

  • 금융, 의료, 에너지, 식품 서비스, 공공 작업 및 기타 많은 업계에서 데이터 액세스를 분석하고 정부 기관에 제출할 세부 보고서를 정기적으로 작성해야 합니다. 예를 들어 HIPAA 규정에 따라 의료 공급자는 누가 레코드의 데이터에 액세스했는지를 행 및 레코드 수준까지 자세히 설명하는 감사 추적을 제공해야 합니다. GDPR에는 비슷한 요구 사항이 있습니다. 사베인 옥슬리 법(SOX)은 공공 기업에 광범위한 회계 규정을 적용합니다. 이러한 조직은 데이터 액세스를 분석하고 세부 보고서를 정기적으로 생성해야 합니다.