타의 추종을 불허하는 보안, 규정 준수, 감사 기능
데이터를 Amazon S3에 저장하고, 암호화 기능 및 액세스 관리 도구를 통해 무단 액세스로부터 데이터를 보호하세요. S3는 모든 버킷에 업로드되는 모든 객체를 암호화합니다. S3는 S3 퍼블릭 액세스 차단을 통해 버킷 또는 계정 수준에서 모든 객체에 대한 퍼블릭 액세스를 차단할 수 있는 유일한 객체 스토리지 서비스입니다. S3는 PCI-DSS, HIPAA/HITECH, FedRAMP, EU 데이터 보호 지침, FISMA 등과 같은 규정 준수 프로그램을 적용하여 규제 요건을 준수할 수 있도록 지원합니다. 또한 AWS는 S3 리소스에 대한 액세스 요청을 모니터링하는 다양한 감사 기능을 지원합니다.
Amazon S3 보안 및 액세스 관리
Amazon S3의 데이터를 보호하기 위해 기본적으로 사용자는 직접 생성한 S3 리소스에 대한 액세스 권한만 가집니다. 사용자를 생성하고 사용자의 액세스를 관리하는 AWS Identity and Access Management(IAM), 권한 있는 사용자에 대해 개별 객체를 액세스 가능하게 만드는 액세스 제어 목록(ACL), 단일 S3 버킷 내 모든 객체에 대한 권한을 구성하는 버킷 정책, 임시 URL을 사용하여 다른 사용자에게 기간 제한 액세스를 부여하는 쿼리 문자열 인증 등의 액세스 관리 기능을 조합하여 사용함으로써 다른 사용자에게 액세스 권한을 부여할 수 있습니다. 또한 Amazon S3는 누가 어떤 데이터에 액세스하는지를 완벽하게 볼 수 있도록 S3 리소스에 대한 요청 목록을 표시하는 감사 로그를 지원합니다.
S3 퍼블릭 액세스 차단
S3 관리 콘솔에서 클릭 몇 번으로 S3 퍼블릭 액세스 차단 기능을 계정의 모든 버킷(기존 및 앞으로 생성되는 모든 신규 버킷)에 적용하여 객체에 대한 퍼블릭 액세스를 차단할 수 있습니다. 모든 새 버킷에는 기본적으로 퍼블릭 액세스 차단이 활성화되어 있습니다. 계정의 모든 기존 버킷에 대한 액세스를 제한하려면 계정 수준에서 퍼블릭 액세스 차단을 활성화합니다. S3 퍼블릭 액세스 차단 설정은 퍼블릭 액세스를 허용하는 S3 권한을 재정의하므로, 객체가 추가되거나 버킷이 생성되는 방식과 관계없이 계정 관리자가 중앙 집중식 제어를 손쉽게 설정하여 보안 구성의 편차를 방지할 수 있습니다.
S3 객체 잠금
Amazon S3 객체 잠금은 고객이 정의한 보존 기간 동안 객체 버전 삭제를 차단하므로, 규제 준수 또는 데이터 보호를 위한 추가 계층으로 보존 정책을 적용할 수 있습니다. 워크로드를 기존 WORM(Write Once Read Many) 시스템에서 Amazon S3로 마이그레이션하고 객체 및 버킷 수준에서 S3 객체 잠금을 구성하여 사전 정의된 유지 기한 날짜 또는 법적 보존 날짜 전에 객체 버전이 삭제되지 않도록 할 수 있습니다.
S3 객체 소유권
Amazon S3 객체 소유권은 액세스 제어 목록(ACL)을 사용 중지하여 모든 객체의 소유권을 버킷 소유자로 변경하고 S3에 저장된 데이터에 대한 액세스 관리를 단순화합니다. S3 객체 소유권 버킷 소유자 적용(Bucket owner enforced)설정을 구성하면 ACL이 더 이상 버킷과 그 안의 객체에 대한 권한에 영향을 미치지 않습니다. 모든 액세스 제어는 리소스 기반 정책, 사용자 정책 또는 이들의 조합을 사용하여 정의됩니다. 새 버킷에 대해서는 ACL이 자동으로 사용 중지됩니다. IAM 기반 버킷 정책으로 마이그레이션할 때 S3 객체 소유권을 사용하도록 설정하기 전에 S3 인벤토리를 사용하여 버킷의 ACL 사용량을 검토할 수 있습니다. 자세한 내용은 객체 소유권 제어를 참조하세요.
Identity and Access Management
기본적으로, 버킷, 객체, 관련 하위 리소스 등 모든 Amazon S3 리소스는 비공개이며, 이를 생성한 AWS 계정인 리소스 소유자만 해당 리소스에 액세스할 수 있습니다. Amazon S3는 크게 리소스 기반 정책과 사용자 정책으로 분류되는 액세스 정책 옵션을 제공합니다. 리소스 기반 정책, 사용자 정책 또는 두 가지 정책의 조합을 사용하여 Amazon S3 리소스에 대한 사용 권한을 관리하도록 선택할 수 있습니다. 기본적으로 S3 객체는 이 계정이 버킷 소유자와 다른 경우를 포함하여 객체를 생성한 계정이 소유합니다. S3 객체 소유권을 사용하여 액세스 제어 목록을 사용 중지하고 이 동작을 변경할 수 있습니다. 그러면 버킷 소유자가 버킷의 각 객체를 소유합니다. 자세한 내용은 Amazon S3의 Identity and Access Management를 참조하세요.
Amazon Macie
Amazon S3에서 Amazon Macie를 사용해 중요한 데이터를 대규모로 검색하고 보호할 수 있습니다. Macie는 데이터를 식별하고 분류할 수 있도록 버킷을 검색하여 S3 버킷의 전체 인벤토리를 자동으로 제공합니다. 고객은 개인 식별 정보(PII)(예: 고객 이름 및 신용카드 번호)와 GDPR 및 HIPAA와 같은 개인 정보 보호 규정에 의해 정의된 범주를 비롯하여 민감한 데이터 유형에 해당하는 데이터가 열거된 조치 가능한 보안 결과를 수신합니다. 또한 Macie는 암호화되지 않았거나 공개적으로 액세스할 수 있거나 조직 외부의 계정과 공유되는 모든 버킷에 대해 버킷 수준의 예방적 제어 기능을 지속적으로 자동 평가하여 사용자가 버킷의 의도하지 않은 설정을 신속하게 처리할 수 있도록 지원합니다.
암호화
Amazon S3는 모든 버킷에 업로드되는 모든 객체를 자동으로 암호화합니다. 객체 업로드에 대해 Amazon S3는 SSE-S3(기본 암호화 수준), SSE-KMS, DSSE-KMS 및 SSE-C라는 4가지 키 관리 옵션의 서버측 암호화와 클라이언트측 암호화를 지원합니다. Amazon S3는 권한 없는 사용자가 데이터에 액세스하지 못하게 하기 위해 유연한 보안 기능을 제공합니다. VPC 엔드포인트를 사용하여 Amazon Virtual Private Cloud(VPC)에서 S3 리소스에 연결할 수 있습니다. S3 인벤토리를 사용하여 S3 객체의 암호화 상태를 확인할 수 있습니다(S3 인벤토리에 대한 자세한 정보는 스토리지 관리 참조).
AWS Trusted Advisor
Trusted Advisor는 고객의 AWS 환경을 검사한 후 보안 결함을 해결하는 데 도움이 될 여지가 있을 때 권장 사항을 알려드립니다.
Trusted Advisor에는 Amazon S3 버킷의 로깅 구성, 공개 액세스 권한이 있는 Amazon S3 버킷에 대한 보안 검사, 버전 관리가 활성화되지 않았거나 버전 관리가 일시 중단된 Amazon S3 버킷에 대한 내결함성 검사 등의 Amazon S3 관련 검사 기능이 포함되어 있습니다.
AWS PrivateLink for S3
AWS PrivateLink for S3를 사용하면 안전한 가상 네트워크 내에서 프라이빗 엔드포인트로서 Access Amazon S3에 직접 액세스할 수 있습니다. 온프레미스 또는 클라우드에서 Virtual Private Cloud(VPC)의 프라이빗 IP 주소를 사용해 S3에 연결함으로써 네트워크 아키텍처를 간소화합니다. 더 이상 온프레미스에서 S3에 액세스하기 위해 퍼블릭 IP 주소를 사용하거나 방화벽을 구성하거나 인터넷 게이트웨이를 구성할 필요가 없습니다.
데이터 무결성 확인
기본적으로 최신 AWS SDK는 모든 업로드의 효율적인 CRC 기반 체크섬을 자동으로 계산합니다. S3는 독립적으로 체크섬을 확인하고 공용 인터넷을 통해 전송되는 동안 데이터 무결성이 유지되었음을 확인한 후에만 객체를 수락합니다. 사전 계산된 체크섬을 제공하지 않는 SDK 버전이 객체 업로드에 사용되는 경우, S3는 멀티파트 업로드에서도 전체 객체의 CRC 기반 체크섬을 계산합니다. 체크섬은 객체 메타데이터에 저장되므로 언제든지 데이터 무결성 확인에 사용할 수 있습니다. 지원되는 5가지 체크섬 알고리즘(SHA-1, SHA-256, CRC32, CRC32C 또는 CRC64NVME) 중에서 선택하여 업로드 및 다운로드 요청의 데이터 무결성을 확인할 수 있습니다. Amazon S3에서 데이터를 저장 또는 검색할 때 체크섬을 자동으로 계산 및 확인하고, 언제든지 HeadObject S3 API, GetObjectAttributes S3 API 또는 S3 인벤토리 보고서를 사용하여 체크섬 정보에 액세스합니다.
작동 방식
-
AWS PrivateLink for Amazon S3
-
Amazon Macie
-
S3 퍼블릭 액세스 차단
-
Amazon GuardDuty for S3
-
AWS PrivateLink for Amazon S3
-
온프레미스에서 Amazon S3로의 직접 프라이빗 연결을 설정합니다. 시작하려면 AWS PrivateLink for S3 설명서를 참조하세요.
-
Amazon Macie
-
민감한 데이터를 대규모로 검색하고 보호합니다. Amazon Macie 사용을 시작하려면 웹 사이트를 참조하세요.
-
S3 퍼블릭 액세스 차단
-
현재와 미래에 Amazon S3에 대한 모든 퍼블릭 액세스를 차단합니다. S3 퍼블릭 액세스 차단에 대한 자세한 내용은 웹 페이지를 참조하세요.
-
Amazon GuardDuty for S3
Amazon S3 보안, 액세스 관리, 암호화 및 데이터 보호 리소스
Amazon S3 Security and Data Protection(Amazon S3 보안 및 데이터 보호) eBook에서 액세스 관리, 감사 및 모니터링, 데이터 보호를 위한 도구와 모범 사례에 대해 알아보세요.
이 Amazon S3 데이터 보호 개요 동영상에서는 S3 버전 관리, S3 객체 잠금 및 S3 복제 등 Amazon S3의 기본적인 데이터 보호 기능에 대해 알아봅니다. 이러한 S3 데이터 보호 기능에 대한 개요, 이러한 기능을 사용하여 데이터 목표를 충족하는 방법, Amazon S3를 사용하여 데이터를 보호할 때 유용한 팁을 확인할 수 있습니다.
비즈니스에 중요한 디지털 자산은 지속적으로 생성됩니다. 조직에서는 이러한 디지털 자산을 Amazon S3로 마이그레이션하고 있습니다. 자산을 마이그레이션하고 워크플로 전반에서 사용하려면 네트워크 손상, 하드 드라이브 장애 또는 기타 의도치 않은 문제로 인해 파일이 변경되는 일이 없어야 합니다. 파일의 각 바이트를 스캔하여 고유한 지문을 생성하는 데 사용되는 알고리즘을 체크섬이라고 합니다. 이번 테크 톡에서는 체크섬을 사용하여 복사 시 자산이 변경되지 않았는지 확인하는 방법을 알아봅니다. 데이터 무결성 검사를 가속화하기 위한 여러 Amazon S3 체크섬 옵션을 살펴보고, 모든 바이트가 변경 없이 전송되었는지 확인하여 전체적인 데이터 무결성을 유지하는 방법을 알아봅니다.
스토리지 보안과 액세스 제어의 기본은 아키텍처 모범 사례와 사전 예방적 제어를 철저하게 따르는 것입니다. 이 동영상에서는 Amazon S3의 데이터 보안 모범 사례에 대해 알아봅니다. Amazon S3 보안 아키텍처에 대한 기본 정보를 검토하고 최근에 개선된 사용 편의성 및 기능을 자세히 살펴봅니다. 암호화, 액세스 제어, 보안 모니터링, 감사 및 수정에 대한 옵션을 고려할 수 있습니다.
Amazon S3는 모든 버킷에 업로드되는 모든 객체를 자동으로 암호화합니다. 객체 업로드에 대해 Amazon S3는 SSE-S3(기본 암호화 수준), SSE-KMS, DSSE-KMS 및 SSE-C라는 4가지 키 관리 옵션의 서버측 암호화와 클라이언트측 암호화를 지원합니다. Amazon S3는 모든 워크로드에 적합한 세분화된 액세스 제어를 제공합니다. 이 동영상에서 Amazon S3 암호화 및 액세스 제어 모범 사례를 알아보세요.
모든 S3 리소스는 생성 시 기본적으로 비공개 처리되며 리소스 소유자나 계정 관리자만 액세스할 수 있습니다. 이와 같은 보안 설계에 따라 사용자는 조직과 거버넌스, 보안, 규정 준수에 관한 요구 사항에 맞추어 세밀히 조정된 액세스 정책을 구성할 수 있습니다. 이 동영상에서는 AWS Identity and Access Management(IAM) 및 S3 버킷 정책을 사용하여 데이터에 대한 액세스를 관리할 수 있는 다양한 방법을 알아봅니다.
S3는 99.999999999%의 내구성, 강력한 복원력, 높은 가용성을 위해 설계되었습니다. 그러나 가장 내구성이 좋은 스토리지도 의도하지 않은 삭제나 우발적인 삭제를 방지할 수는 없습니다. 또한 랜섬웨어 이벤트는 중요한 데이터를 위해 추가 보호를 평가하는 주요 이유입니다. S3 버전 관리, S3 교차 리전 복제(CRR), S3 객체 잠금을 포함하여 추가 보호 계층을 제공하는 S3 기능에 대해 알아보세요.
S3 보안 블로그
AWS 뉴스 블로그
Amazon S3, 새로운 객체를 기본적으로 암호화
Amazon S3의 모든 새로운 객체가 기본적으로 암호화됩니다. 2023년 1월 5일부터 사용자가 다른 암호화 옵션을 지정하지 않는 한 S3의 모든 새로운 객체에 서버 측 암호화(SSE-S3)가 자동으로 적용됩니다. 이 변경 사항은 성능에 미치는 영향 없이 보안 모범 사례를 자동으로 적용합니다. 사용자 측에서 따로 수행해야 할 작업은 없습니다.
AWS 뉴스 블로그
알림: 2023년 4월에 예정된 Amazon S3 보안 변경 사항
2023년 4월부터 버킷 보안에 대한 최신 모범 사례를 자동으로 적용하기 위한 2가지 변경 사항이 Amazon S3에 적용됩니다. 대상 리전에 변경 사항이 적용된 후 해당 리전에서 새로 생성되는 모든 버킷에는 S3 퍼블릭 액세스 차단이 기본적으로 사용되고 ACL이 사용 중지됩니다.
AWS 뉴스 블로그
Amazon S3에 저장된 데이터의 액세스 관리 간소화
새로운 Amazon S3 객체 소유권 설정인 버킷 소유자 적용을 사용하면 버킷과 버킷 내 객체에 연결된 모든 ACL을 사용 중지할 수 있습니다. 이 버킷 수준 설정을 적용하면 버킷 내의 모든 객체가 해당 버킷을 생성한 AWS 계정의 소유가 되며 액세스 권한을 부여할 때 더 이상 ACL이 사용되지 않습니다.
AWS 뉴스 블로그
신규 - Amazon S3 Dual-Layer Server-Side Encryption with Keys Stored in AWS Key Management Service (DSSE-KMS)[AWS Key Management Service에 저장된 키를 사용한 Amazon S3 이중 계층 서버측 암호화(DSSE-KMS)]
이제 Amazon S3의 객체에 2개의 독립적인 서버측 암호화 계층을 적용할 수 있습니다. AWS Key Management Service에 저장된 키를 사용한 이중 계층 서버측 암호화(DSSE-KMS)는 FIPS 규정 준수를 위한 National Security Agency CNSSP 15 및 CNSA 암호화의 두 계층에 대한 Data-at-Rest Capability Package(DAR CP) 버전 5.0 지침을 준수하도록 설계되었습니다. Amazon S3는 객체 수준에서 두 계층의 암호화를 적용하고 두 계층 모두에 사용되는 데이터 키를 제어할 수 있는 유일한 클라우드 객체 스토리지 서비스입니다.