[AWS SAA-C03] - Domain 1 Review_ 3. Determine Appropriate Data Security Controls

🔐 Domain 1-3: Determine Appropriate Data Security Controls

✨ 핵심 주제

• 데이터 보호(Data Protection) 는 AWS 보안 설계의 중심
• 데이터는 저장 시(At Rest) 와 전송 중(In Transit) 모두 암호화 필요
• 최소 권한 원칙(Least Privilege)과 키 관리가 핵심

---

🧱 암호화 Fundamentals

• 암호화 유형
  • At Rest: 저장 데이터 보호 (S3, EBS, RDS 등)
  • In Transit: 전송 중 데이터 보호 (TLS/SSL, ACM 인증서)
• 용어
  • Plaintext: 암호화 전 데이터 (문서, 이미지, 앱 등)
  • Algorithm: 암호화 처리 로직
  • Key: 암호화/복호화 비밀 (대칭/비대칭)
  • Ciphertext: 암호화된 데이터
• 암호화 키
  • 대칭키 (Symmetric): 하나의 키로 암호화·복호화
  • 비대칭키 (Asymmetric): 공개키/개인키 분리

---

🔑 AWS 암호화 서비스

• KMS (Key Management Service)
  • Managed key 관리, 자동 회전 지원
  • 통합 서비스 많음 (EBS, S3, RDS, Lambda 등)
• CloudHSM
  • 고객 전용 HSM(Hardware Security Module)
  • 규제·보안성 높은 환경에서 사용
• KMS + CloudHSM → 하이브리드 키 관리 가능
• AWS Certificate Manager (ACM)
  • SSL/TLS 인증서 발급 및 자동 갱신
• S3 암호화
  • Client-side Encryption (클라이언트에서 암호화 후 업로드)
  • Server-side Encryption (SSE)
    • SSE-S3: S3 관리 키
    • SSE-KMS: KMS 키
    • SSE-C: 고객 제공 키

---

📋 데이터 보안 & 컴플라이언스

• 공유 책임 모델: AWS(인프라 보안) + 고객(데이터/접근 관리)
• AWS Artifact: 컴플라이언스 보고서/인증서 확인
• Cloud Adoption Framework (CAF) – Security Perspective
  • IAM
  • Detective Controls
  • Infrastructure Security
  • Data Protection
  • Incident Response

---

🛡 데이터 보호 패턴

• 방어 심층(Defense in Depth) → 예방(Preventive) + 탐지(Detective)
• 데이터 분류 → 민감도에 따른 보안 정책 적용
• 접근 패턴 기반 제어 → S3 버킷/객체 단위 정책, Lifecycle 관리

---

💾 스토리지 보안 & DR

• 스토리지 유형: Object(S3), File(EFS), Block(EBS)
• 활용 사례: Backup/Recovery, Migration, Compliance, Data Lakes
• DR 전략 (Disaster Recovery)
  1. Backup & Restore (저비용, 기본 DR)
  2. Pilot Light (최소 핵심만 유지, 필요 시 확장)
  3. Warm Standby (축소 버전 운영, 장애 시 확장)
  4. Multi-site Active-Active (고비용, 고가용성)
• AWS Backup (중앙 관리)
  • 지원: EBS, EC2, RDS, Aurora, DynamoDB, EFS, Storage Gateway, FSx
  • 크로스 리전 백업, 복구 시점 선택 지원
• 스냅샷/복제 기능
  • EBS Snapshot
  • RDS/Aurora Snapshot
  • DynamoDB Backup
  • S3 Cross-Region Replication (버전 관리 포함)
• Hybrid 환경 → AWS Storage Gateway

---

📊 시험 대비 핵심 비교

• KMS vs CloudHSM → 관리형 vs 전용 HSM
• S3 암호화 방식 → SSE-S3 / SSE-KMS / SSE-C / Client-side
• Secrets Manager vs Parameter Store (이전 Task Statement 연결)
• DR 전략 4단계 → Backup→Pilot Light→Warm Standby→Multi-site
• 데이터 성능 영향 → KMS/RDS 일부 성능 영향 가능, EBS 암호화 영향 미미

---

📊 시각화 다이어그램

 

flowchart TD A[Data Security Controls] A --> B[Encryption] B --> B1[At Rest] B --> B2[In Transit] B --> B3[Symmetric / Asymmetric] B --> B4[KMS vs CloudHSM] B --> B5[S3 SSE-S3 / SSE-KMS / SSE-C / Client-side] A --> C[Compliance] C --> C1[AWS Artifact] C --> C2[CAF - Security Perspective] A --> D[Storage & DR] D --> D1[Backup & Restore] D --> D2[Pilot Light] D --> D3[Warm Standby] D --> D4[Multi-site Active-Active] D --> D5[AWS Backup / Snapshots / Replication] A --> E[Access & Patterns] E --> E1[Least Privilege] E --> E2[Data Classification] E --> E3[Defense in Depth] E --> E4[S3 Lifecycle / Intelligent Tiering]

---

✅ 정리

• 데이터 보호는 At Rest + In Transit 암호화가 기본
• KMS, CloudHSM, ACM, S3 Encryption 방식 숙지
• AWS Artifact와 CAF Security 관점 이해
• DR 전략(Backup → Active-Active) 암기 필수
• AWS Backup, Snapshots, Replication 서비스 활용법 숙지