🔐 Domain 1-3: Determine Appropriate Data Security Controls
✨ 핵심 주제
- 데이터 보호(Data Protection) 는 AWS 보안 설계의 중심
- 데이터는 저장 시(At Rest) 와 전송 중(In Transit) 모두 암호화 필요
- 최소 권한 원칙(Least Privilege)과 키 관리가 핵심
🧱 암호화 Fundamentals
- 암호화 유형
- At Rest: 저장 데이터 보호 (S3, EBS, RDS 등)
- In Transit: 전송 중 데이터 보호 (TLS/SSL, ACM 인증서)
- 용어
- Plaintext: 암호화 전 데이터 (문서, 이미지, 앱 등)
- Algorithm: 암호화 처리 로직
- Key: 암호화/복호화 비밀 (대칭/비대칭)
- Ciphertext: 암호화된 데이터
- 암호화 키
- 대칭키 (Symmetric): 하나의 키로 암호화·복호화
- 비대칭키 (Asymmetric): 공개키/개인키 분리
🔑 AWS 암호화 서비스
- KMS (Key Management Service)
- Managed key 관리, 자동 회전 지원
- 통합 서비스 많음 (EBS, S3, RDS, Lambda 등)
- CloudHSM
- 고객 전용 HSM(Hardware Security Module)
- 규제·보안성 높은 환경에서 사용
- KMS + CloudHSM → 하이브리드 키 관리 가능
- AWS Certificate Manager (ACM)
- SSL/TLS 인증서 발급 및 자동 갱신
- S3 암호화
- Client-side Encryption (클라이언트에서 암호화 후 업로드)
- Server-side Encryption (SSE)
- SSE-S3: S3 관리 키
- SSE-KMS: KMS 키
- SSE-C: 고객 제공 키
📋 데이터 보안 & 컴플라이언스
- 공유 책임 모델: AWS(인프라 보안) + 고객(데이터/접근 관리)
- AWS Artifact: 컴플라이언스 보고서/인증서 확인
- Cloud Adoption Framework (CAF) – Security Perspective
- IAM
- Detective Controls
- Infrastructure Security
- Data Protection
- Incident Response
🛡 데이터 보호 패턴
- 방어 심층(Defense in Depth) → 예방(Preventive) + 탐지(Detective)
- 데이터 분류 → 민감도에 따른 보안 정책 적용
- 접근 패턴 기반 제어 → S3 버킷/객체 단위 정책, Lifecycle 관리
💾 스토리지 보안 & DR
- 스토리지 유형: Object(S3), File(EFS), Block(EBS)
- 활용 사례: Backup/Recovery, Migration, Compliance, Data Lakes
- DR 전략 (Disaster Recovery)
- Backup & Restore (저비용, 기본 DR)
- Pilot Light (최소 핵심만 유지, 필요 시 확장)
- Warm Standby (축소 버전 운영, 장애 시 확장)
- Multi-site Active-Active (고비용, 고가용성)
- AWS Backup (중앙 관리)
- 지원: EBS, EC2, RDS, Aurora, DynamoDB, EFS, Storage Gateway, FSx
- 크로스 리전 백업, 복구 시점 선택 지원
- 스냅샷/복제 기능
- EBS Snapshot
- RDS/Aurora Snapshot
- DynamoDB Backup
- S3 Cross-Region Replication (버전 관리 포함)
- Hybrid 환경 → AWS Storage Gateway
📊 시험 대비 핵심 비교
- KMS vs CloudHSM → 관리형 vs 전용 HSM
- S3 암호화 방식 → SSE-S3 / SSE-KMS / SSE-C / Client-side
- Secrets Manager vs Parameter Store (이전 Task Statement 연결)
- DR 전략 4단계 → Backup→Pilot Light→Warm Standby→Multi-site
- 데이터 성능 영향 → KMS/RDS 일부 성능 영향 가능, EBS 암호화 영향 미미
📊 시각화 다이어그램
✅ 정리
- 데이터 보호는 At Rest + In Transit 암호화가 기본
- KMS, CloudHSM, ACM, S3 Encryption 방식 숙지
- AWS Artifact와 CAF Security 관점 이해
- DR 전략(Backup → Active-Active) 암기 필수
- AWS Backup, Snapshots, Replication 서비스 활용법 숙지
'AWS > AWS SAA-C03' 카테고리의 다른 글
[AWS SAA-C03] - Domain 1 Review_ 2.Design Secure Workloads and Applications (0) | 2025.08.30 |
---|---|
[AWS SAA-C03] - Domain 1 Review_ 1. Introduction (0) | 2025.08.30 |