brunch

You can make anything
by writing

- C.S.Lewis -

by Master Seo Nov 04. 2019

178. (ISMS-P)DB 보안 확인 리스트

<1> RDS서버의 DB Subnet 그룹을 확인.  DB Subnet만 포함되어 있는지  확인.

<2> RDS서버의 VPC Security Group을 확인.  특정 Subnet에서만 접속되도록 설정 확인.

<3> RDB 감사 로그를 남기도록 설정 확인.

<4> AWS RDS 가   Public access는 허용되어 있지 않도록 되어 있는지 확인.

<5> AWS RDS 가 암호화 설정 적용되어 있는지 확인.

<6> DynamoDB는 VPC EndPoint를 사용 확인.

<7> DB 생성/삭제 권한은 DB역할을 하는 인원만 가능하도록 설정 되어있는지 확인.




<1> RDS서버의 DB Subnet 그룹을 확인하여,  DB Subnet만 포함되어 있는지  확인.

RDS > DB Subnet Group 확인

VPC는  Public, Private, DB Subnet을 만들고, DB는 DB Subnet만  포함하도록 한다.

DB Subnet은 외부와 통신이 되지 않는다.

https://brunch.co.kr/@topasvga/743



<2> RDS서버의 VPC Security Group을 확인  특정 Subnet에서만 접속되도록 설정 확인.

초기  Security Group을 생성해 놓고, RDS생성 시 적용한다.

WAS  Security Group에서만 접속하도록   Security Group을 만든다.



<3> RDB 감사 로그를 남기도록 설정 확인.

디폴트로 제공하지는 않는다.

DB 생성 시 체크하여 로그를 남기도록 설정해야 한다.

https://brunch.co.kr/@topasvga/743




<4>  AWS RDS 가   Public access는 허용되어 있지 않도록 되어 있는지 확인.

디폴트는  DB는 외부로 노출되어 있지 않다

확인하라.



<5>  AWS RDS 가 암호화 설정 적용되어 있는지 확인.

Production은  디폴트는 Encryption 되어 있다.



<6>  DynamoDB는 VPC EndPoint를 사용 확인.

DynamoDB는 기본적으로 VPC 외부 영역에 존재한다.

DynamoDB EndPoint로 내부 통신을 하도록 하자.

https://brunch.co.kr/@topasvga/488



<7>  DB 생성/삭제 권한은 DB역할을 하는 인원만 가능하도록 설정 되어있는지 확인.

기존 온프라미스에서는 DB서버는 DBE만 접속이 가능하다.

그룹의 권한을 확인하여, DB 생성 권한 인원을 최소화한다.

그룹을 세분화해서 관리하자


IAM > Group에서 확인하자.

admin

dev

dbe



감사합니다.

매거진의 이전글 177. (ISMS-P)네트워크 보안 확인 리스트

매거진 선택

키워드 선택 0 / 3 0

댓글여부

afliean
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari