SOA #10, Storage & Data Management - 2

S3 Encryption

• 암호화는 Client side와 Server side로 나뉘며 Client side는 Client에서 S3로 전송될 때의 암호화(data at transit)을, Server side는 S3에 저장될 때의 암호화(data at rest)를 의미함

• Server Side Encryption
  • SSE-S3 : S3의 고유한 키로 암호화를 실시하며 암호화 주체가 S3가 되는 방식. 데이터 암호화 알고리즘은 AES-256을 사용함
  • SSE-KMS : Key Management Service를 이용하여 객체를 암호화하는 방식으로 KMS 고객 마스터 키(CMK)를 활용함. SSE-S3와 달리 고객에 키를 제어할 수 있음
  • SSE-C : 고객(Customer)가 제공하는 키로 암호화를 진행하는 방식으로 제공된 암호화 키를 사용하여 디스크를 쓰거나 해독할 때 객체에 액세스할 때의 모든 암호화를 관리함. 제공된 암호화키는 저장되지 않음
• Client Side Encryption
  • S3로 데이터를 보내기 전의 암호화를 의미함
  • KMS에 저장된 고객 마스터키를 사용하여 암호화 혹은 애플리케이션 내 마스터 키를 사용하여 암호화
• 암호화시에 HTTP Header에 x-ams-server-side-encryption: AES256 적용
• 암호화를 강제하고 싶으면 헤더에 위의 파라미터를 포함하지 않는 요청은 거부하는 버킷 정책을 만들면 됨(Client-side)

EBS vs Instance Store

• EC2가 최초 런칭되었을 때는 Instance Store를 디스크로 사용하였으나 차후 EBS가 나옴
• Root Device Volume은 EBS, Instance Store 모두 사용 가능
• Instance Store Root device의 최대 사이즈는 10GB, EBS Root device는 최대 1~2TB까지 가능(OS에 따라)
• Root Device Volume은 인스턴스 삭제시 같이 삭제되며 다른 EBS 볼륨은 그대로 남음
• Instance Store의 Root Device Volume은 인스턴스 종료시 자동으로 종료되며 막을 수 없고 다른 Instance Store 볼륨도 같이 종료됨
• Root Device Volume에서 스냅샷을 생성하기 위해 반드시 인스턴스를 멈추게 실행해야 함
• Image와 Snapshot 모두에서 AMI 생성 가능
• 볼륨은 항상 EC2 Instance와 같은 AZ에 있음
• 스냅샷 공유는 암호화되어있지 않을 때만 가능

Encryption and Downtime

• AWS Resource는 생성시에만 암호화 설정이 가능
• EFS의 경우, 암호화를 하고 싶다면 새로운 EFS를 생성한 후 데이터를 마이그레이션해야 함
• RDS의 경우, 암호화를 하고 싶다면 새로운 RDS를 생성한 후 데이터를 마이그레이션해야 함
• S3의 경우, 이미 생성된 버킷이라도 아무때나 암호화 설정이 가능하나 이미 저장된 객체에는 해당되지 않음

CloudHSM vs KMS

• 두 기능 모두 데이터를 암호화하는 키를 관리하고 저장하는 솔루션
• KMS
  • Multi-Tenancy가 이슈가 되지 않는 환경에 적합, 다시 말해 AWS처럼 하드웨어를 공유하며 서비를 제공하는 경우 적합한 키관리 시스템
  • Free tier 사용 가능
  • Symmetric 환경만을 지원
• CloudHSM
  • 전용 하드웨어 보안 모듈이며, 다른 테넌트들과 하드웨어를 공유하지 않음
  • VPC 내에서 독점적인 제어를 받음
• Asymmetric의 뜻은 암호화/복호화에 쓰인 키가 다르다는 의미