기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

Amazon RDS 인스턴스 및 클러스터에 대한 노출 문제 해결

AWS Security Hub는 Amazon RDS 인스턴스 및 클러스터에 대한 노출 조사 결과를 생성할 수 있습니다.

Security Hub 콘솔에서 노출 조사 결과와 관련된 Amazon RDS 인스턴스 또는 클러스터와 해당 식별 정보는 조사 결과 세부 정보의 리소스 섹션에 나열됩니다. 프로그래밍 방식으로 Security Hub CSPM API의 GetFindingsV2 작업을 통해 리소스 세부 정보를 검색할 수 있습니다.

노출 조사 결과와 관련된 리소스를 식별한 후 필요하지 않은 경우 리소스를 삭제할 수 있습니다. 필수적이지 않은 리소스를 삭제하면 노출 프로필과 AWS 비용을 줄일 수 있습니다. 리소스가 필수적인 경우 다음 권장 문제 해결 단계를 수행하여 위험을 완화하세요. 문제 해결 주제는 특성 유형에 따라 구분됩니다.

단일 노출 조사 결과에는 여러 문제 해결 주제에서 식별된 문제가 포함됩니다. 반대로, 하나의 문제 해결 주제만 처리하여 노출 조사 결과를 해결하고 심각도 수준을 낮출 수 있습니다. 위험 문제 해결에 대한 접근 방식은 조직의 요구 사항 및 워크로드에 따라 달라집니다.

Amazon RDS 인스턴스 및 클러스터의 구성 오류 특성

다음은 Amazon RDS 인스턴스 및 클러스터의 잘못된 구성 특성 및 수정 단계를 설명합니다.

Amazon RDS DB 인스턴스가 퍼블릭 액세스로 구성됨

퍼블릭 액세스를 사용하는 Amazon RDS 인스턴스는 엔드포인트를 통해 인터넷에서 액세스할 수 있습니다. 퍼블릭 액세스가 인스턴스 기능에 필요한 경우도 있지만, 이러한 구성은 권한이 없는 사용자가 데이터베이스에 액세스하려고 시도하는 잠재적 공격 벡터로 사용할 수 있습니다. 공개적으로 액세스할 수 있는 데이터베이스는 포트 스캔, 무차별 대입 공격 및 악용 시도에 노출될 수 있습니다. 표준 보안 원칙에 따라 데이터베이스 리소스의 공개 노출을 제한할 것을 권장합니다.

Amazon RDS DB 클러스터에 공개적으로 공유되는 스냅샷이 있음

퍼블릭 스냅샷은 권한이 없는 사용자에게 민감한 데이터를 노출할 AWS 계정가능성이 있는 모든 사용자가 액세스할 수 있습니다. AWS 계정 에는 이러한 퍼블릭 스냅샷을 복사하고이 스냅샷에서 DB 인스턴스를 생성할 수 있는 권한이 있으며, 이로 인해 데이터 침해 또는 무단 데이터 액세스가 발생할 수 있습니다. 보안 모범 사례에 따라 Amazon RDS 스냅샷에 대한 액세스를 신뢰할 수 있는 AWS 계정 및 조직으로만 제한하는 것이 좋습니다.

1. 프라이빗 액세스를 사용하도록 Amazon RDS 스냅샷 구성

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 스냅샷 공유 설정을 수정하는 방법에 대한 자세한 내용은 Amazon Aurora 사용 설명서의 스냅샷 공유를 참조하세요. 스냅샷 공유를 중지하는 방법에 대한 자세한 내용은 Amazon Aurora 사용 설명서의 스냅샷 공유 중지를 참조하세요.

Amazon RDS DB 인스턴스에 저장 시 암호화되지 않은 스냅샷이 있음

암호화되지 않은 Amazon RDS DB 인스턴스 스냅샷은 스토리지 계층에 대한 무단 액세스가 발생할 경우 민감한 데이터를 노출시킬 수 있습니다. 암호화가 없으면 무단 액세스를 통해 스냅샷의 데이터가 노출될 수 있습니다. 이로 인해 데이터 위반 및 규정 준수 위반의 위험이 발생합니다. 보안 모범 사례에 따라 모든 데이터베이스 리소스 및 백업을 암호화하여 데이터 기밀성을 유지할 것을 권장합니다.

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 스냅샷이 열립니다. 기존의 암호화되지 않은 스냅샷을 직접 암호화할 수는 없습니다. 대신, 암호화되지 않은 스냅샷의 암호화된 사본을 생성합니다. 자세한 지침은 Amazon Aurora 사용 설명서의 DB 클러스터 스냅샷 복사 및 Amazon RDS 리소스 암호화를 참조하세요.

Amazon RDS DB 클러스터에 저장 시 암호화되지 않은 스냅샷이 있음

암호화되지 않은 Amazon RDS DB 클러스터 스냅샷은 스토리지 계층에 대한 무단 액세스가 발생할 경우 민감한 데이터를 노출시킬 수 있습니다. 암호화가 없으면 무단 액세스를 통해 스냅샷의 데이터가 노출될 수 있습니다. 이로 인해 데이터 위반 및 규정 준수 위반의 위험이 발생합니다. 보안 모범 사례에 따라 모든 데이터베이스 리소스 및 백업을 암호화하여 데이터 기밀성을 유지할 것을 권장합니다.

1. 스냅샷의 암호화된 복사본 생성

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 스냅샷이 열립니다. 기존의 암호화되지 않은 스냅샷을 직접 암호화할 수는 없습니다. 대신, 암호화되지 않은 스냅샷의 암호화된 사본을 생성합니다. 자세한 지침은 Amazon Aurora 사용 설명서의 DB 클러스터 스냅샷 복사 및 Amazon RDS 리소스 암호화를 참조하세요.

Amazon RDS DB 인스턴스에 개방형 보안 그룹이 있음

보안 그룹은 Amazon RDS 인스턴스에 대한 인바운드 및 아웃바운드 트래픽을 제어하는 가상 방화벽 역할을 합니다. 모든 IP 주소로부터 무제한 액세스를 허용하는 개방형 보안 그룹은 데이터베이스 인스턴스를 무단 액세스 및 잠재적 공격에 노출시킬 수 있습니다. 표준 보안 원칙에 따라 보안 그룹 액세스를 특정 IP 주소 및 포트로 제한하여 최소 권한 원칙을 유지할 것을 권장합니다.

보안 그룹 규칙 검토 및 현재 구성 평가

노출 조사 결과에서 DB 인스턴스 보안 그룹의 리소스를 엽니다. (0.0.0.0/0 or ::/0)과 같은 광범위한 IP 범위에서 액세스할 수 있는 개방 포트를 평가합니다. 보안 그룹 세부 정보를 보는 방법에 대한 자세한 내용은 Amazon Elastic Compute Cloud API 참조의 DescribeSecurityGroups를 참조하세요.

보안 그룹 규칙 수정

보안 그룹 규칙을 수정하여 액세스를 신뢰할 수 있는 특정 IP 주소 또는 범위로 제한합니다. 보안 그룹 규칙을 업데이트할 때는 각 필수 소스 IP 범위에 대한 규칙을 생성하거나 특정 포트에 대한 액세스를 제한하여 네트워크 세그먼트마다 액세스 요구 사항을 분리하는 것이 좋습니다. 보안 그룹 규칙을 수정하려면 Amazon EC2 사용 설명서의 보안 그룹 규칙 구성을 참조하세요. 기존 Amazon RDS 데이터베이스 인스턴스의 기본 포트를 수정하려면 Amazon Aurora 사용 설명서의 콘솔, CLI 및 API를 사용하여 DB 클러스터 수정을 참조하세요.

Amazon RDS DB 인스턴스에 IAM 데이터베이스 인증이 비활성화되어 있음

IAM 데이터베이스 인증을 사용하면 데이터베이스 암호 대신 IAM 자격 증명을 사용하여 Amazon RDS 데이터베이스에 인증할 수 있습니다. 이를 통해 중앙 집중식 액세스 관리, 임시 자격 증명, 애플리케이션 코드에 데이터베이스 암호를 저장할 필요 제거 등 몇 가지 보안 이점을 얻을 수 있습니다. IAM 데이터베이스 인증을 사용하면 암호 대신 인증 토큰을 사용하여 데이터베이스 인스턴스를 인증할 수 있습니다. 그 결과, 데이터베이스를 오가는 네트워크 트래픽은 SSL을 통해 암호화됩니다. IAM 인증을 사용하지 않으면 데이터베이스는 일반적으로 암호 기반 인증에 의존하므로 암호를 재사용하게 되고 암호가 약해질 수 있습니다. 보안 모범 사례에 따라 IAM 데이터베이스 인증을 활성화할 것을 권장합니다.

IAM 데이터베이스 인증 활성화

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 데이터베이스 옵션에서 IAM 데이터베이스 인증을 활성화할 수 있습니다. 자세한 내용은 Amazon RDS 사용 설명서의 IAM 데이터베이스 인증 활성화 및 비활성화를 참조하세요. IAM 인증을 활성화한 후 암호 기반 인증 대신 IAM 인증을 사용하도록 DB 인스턴스를 업데이트합니다.

Amazon RDS DB 인스턴스가 기본 관리자 사용자 이름을 사용

DB 인스턴스에 기본 사용자 이름(예: 'admin', 'root')을 사용하면 보안 위험이 증가합니다. 이러한 이름은 널리 알려져 있고 무차별 대입 공격에서 일반적인 표적이 되기 때문입니다. 기본 사용자 이름은 예측 가능하며 권한이 없는 사용자가 더 쉽게 데이터베이스 액세스를 시도할 수 있습니다. 기본 사용자 이름을 사용하면 공격자가 데이터베이스에 액세스하는 데 둘 다 필요하지 않고 암호만 알아내면 됩니다. 보안 모범 사례에 따라 데이터베이스 인스턴스에 고유한 관리자 사용자 이름을 사용하여 모호성을 통해 보안을 강화하고 무단 액세스 시도의 위험을 줄일 것을 권장합니다.

고유한 관리자 사용자 이름 구성

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 애플리케이션에 가장 적합한 백업 빈도, 보존 기간 및 수명 주기 규칙을 고려합니다.

Amazon RDS DB 클러스터가 기본 관리자 사용자 이름을 사용

DB 인스턴스에 기본 사용자 이름(예: 'admin', 'root')을 사용하면 보안 위험이 증가합니다. 이러한 이름은 널리 알려져 있고 무차별 대입 공격에서 일반적인 표적이 되기 때문입니다. 기본 사용자 이름은 예측 가능하며 권한이 없는 사용자가 더 쉽게 데이터베이스 액세스를 시도할 수 있습니다. 기본 사용자 이름을 사용하면 공격자가 데이터베이스에 액세스하는 데 둘 다 필요하지 않고 암호만 알아내면 됩니다. 보안 모범 사례에 따라 데이터베이스 인스턴스에 고유한 관리자 사용자 이름을 사용하여 모호성을 통해 보안을 강화하고 무단 액세스 시도의 위험을 줄일 것을 권장합니다.

고유한 관리자 사용자 이름 구성

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 기존 Amazon RDS DB 인스턴스의 관리자 사용자 이름은 변경할 수 없습니다. 고유한 관리자 이름을 생성하려면 사용자 지정 사용자 이름으로 새 DB 인스턴스를 생성하고 데이터를 마이그레이션해야 합니다.

Amazon RDS DB 인스턴스에 마이너 버전 자동 업그레이드가 비활성화되어 있음

마이너 버전 자동 업그레이드를 사용하면 Amazon RDS 인스턴스는 마이너 엔진 버전 업그레이드가 릴리스되면 자동으로 업그레이드를 받을 수 있습니다. 이러한 업그레이드에는 데이터베이스의 보안 및 안정성을 유지하는 데 도움이 되는 중요한 보안 패치 및 버그 수정이 포함되는 경우가 많습니다. 데이터베이스가 최신 마이너 버전에서 수정된 알려진 보안 취약성으로 실행될 위험이 있습니다. 자동 업데이트를 사용하지 않으면 새 CVE가 발견됨에 따라 보안 취약성이 누적될 수 있습니다. 보안 모범 사례에 따라 모든 Amazon RDS 인스턴스에 대해 자동 마이너 버전 업그레이드를 활성화할 것을 권장합니다.

마이너 버전 자동 업그레이드 활성화

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 유지 관리 및 백업 탭에서 마이너 버전 자동 업그레이드 설정을 확인할 수 있습니다. 자세한 내용은 Amazon RDS for MySQL의 마이너 버전 자동 업그레이드를 참조하세요. 데이터베이스 활동이 적은 기간 동안 유지 관리 기간이 발생하도록 구성할 수도 있습니다.

Amazon RDS DB 인스턴스에 자동 백업이 비활성화되어 있음

자동 백업은 Amazon RDS 인스턴스에 대한 특정 시점 복구를 제공하므로 보존 기간 내의 어느 시점으로든 데이터베이스를 복원할 수 있습니다. 자동 백업이 비활성화되면 악의적인 삭제, 데이터 손상 또는 기타 데이터 손실 시나리오에서 데이터가 손실될 위험이 있습니다. 랜섬웨어 공격, 데이터베이스 테이블 삭제 또는 손상과 같은 악의적인 활동이 발생하는 경우 인시던트가 발생하기 전에 특정 시점으로 복원하는 기능은 인시던트 복구에 필요한 시간을 줄입니다. 보안 모범 사례에 따라 모든 프로덕션 데이터베이스에 대해 적절한 보존 기간으로 자동 백업을 활성화할 것을 권장합니다.

Amazon RDS DB 인스턴스에 삭제 방지가 비활성화되어 있음

데이터베이스 삭제 방지는 데이터베이스 인스턴스의 삭제를 방지하는 데 도움이 되는 기능입니다. 삭제 방지를 비활성화하면 충분한 권한이 있는 모든 사용자가 데이터베이스를 삭제할 수 있으므로 데이터 손실 또는 애플리케이션 가동 중지가 발생할 수 있습니다. 공격자는 데이터베이스를 삭제하여 서비스 중단, 데이터 손실, 복구 시간 증가를 초래할 수 있습니다. 보안 모범 사례에 따라 RDS DB 인스턴스에 대해 삭제 방지를 활성화하여 악의적인 삭제를 방지할 것을 권장합니다.

Amazon RDS DB 클러스터에 대해 삭제 방지 활성화

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 클러스터가 열립니다.

Amazon RDS DB 클러스터에 삭제 방지가 비활성화되어 있음

데이터베이스 삭제 방지는 데이터베이스 인스턴스의 삭제를 방지하는 데 도움이 되는 기능입니다. 삭제 방지를 비활성화하면 충분한 권한이 있는 모든 사용자가 데이터베이스를 삭제할 수 있으므로 데이터 손실 또는 애플리케이션 가동 중지가 발생할 수 있습니다. 공격자는 데이터베이스를 삭제하여 서비스 중단, 데이터 손실, 복구 시간 증가를 초래할 수 있습니다. 보안 모범 사례에 따라 RDS DB 클러스터에 대해 삭제 방지를 활성화하여 악의적인 삭제를 방지할 것을 권장합니다.

Amazon RDS DB 클러스터에 대해 삭제 방지 활성화

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 클러스터가 열립니다.

Amazon RDS DB 인스턴스가 데이터베이스 엔진에 기본 포트를 사용

데이터베이스 엔진에 기본 포트를 사용하는 Amazon RDS 인스턴스는 보안 위험이 증가할 수 있습니다. 이러한 기본 포트는 널리 알려져 있으며 자동 스캔 도구의 표적이 되기 때문입니다. 기본 포트가 아닌 포트를 사용하도록 DB 인스턴스를 수정하면 모호성을 통해 보안 계층이 추가되므로 권한이 없는 사용자가 데이터베이스에 대한 자동 또는 표적 공격을 수행하기가 더 어려워집니다. 기본 포트는 일반적으로 권한이 없는 사람이 스캔하므로 이로 인해 DB 인스턴스가 표적이 될 수 있습니다. 보안 모범 사례에 따라 자동 또는 표적 공격의 위험을 줄일 수 있도록 기본 포트를 사용자 지정 포트로 변경할 것을 권장합니다.

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다.

애플리케이션 연결 문자열 업데이트

포트를 변경한 후 새 포트 번호를 사용하도록 Amazon RDS 인스턴스에 연결하는 모든 애플리케이션 및 서비스를 업데이트합니다.

Amazon RDS DB 인스턴스가 백업 계획에 포함되지 않음

AWS Backup은 데이터 백업을 중앙 집중화하고 자동화하는 완전 관리형 백업 서비스입니다 AWS 서비스. DB 인스턴스가 백업 계획에 포함되지 않은 경우 악의적인 삭제, 데이터 손상 또는 기타 데이터 손실 시나리오에서 데이터가 손실될 위험이 있습니다. 랜섬웨어 공격, 데이터베이스 테이블 삭제 또는 손상과 같은 악의적인 활동이 발생하는 경우 인시던트가 발생하기 전에 특정 시점으로 복원하는 기능은 인시던트 복구에 필요한 시간을 줄입니다. 보안 모범 사례에 따라 데이터 보호를 보장하기 위해 Amazon RDS 인스턴스를 백업 계획에 포함할 것을 권장합니다.

DB 인스턴스에 대한 백업 계획 생성 및 할당

노출 조사 결과에서 하이퍼링크를 사용하여 리소스를 엽니다. 그러면 영향을 받는 DB 인스턴스가 열립니다. 애플리케이션에 가장 적합한 백업 빈도, 보존 기간 및 수명 주기 규칙을 고려합니다.