brunch

You can make anything
by writing

- C.S.Lewis -

by 클라우드 엔지니어 Nov 04. 2019

178. DB 보안 확인 리스트

1. RDS서버의 DB Subnet 그룹을 확인하여,  DB Subnet만 포함되어 있는지  확인.

2. RDS서버의 VPC Security Group을 확인  특정 Subnet에서만 접속되도록 설정 확인.

3. RDB 감사 로그를 남기도록 설정 확인.

4. AWS RDS 가   Public access는 허용되어 있지 않도록 되어 있는지 확인.

5. AWS RDS 가 암호화 설정 적용되어 있는지 확인.

6. DynamoDB는 VPC EndPoint를 사용 확인.

7. DB 생성/삭제 권한은 DB역할을 하는 인원만 가능하도록 설정 되어있는지 확인.





1. RDS서버의 DB Subnet 그룹을 확인하여,  DB Subnet만 포함되어 있는지  확인.

RDS > DB Subnet Group 확인

VPC는  Public, Private, DB Subnet을 만들고, DB는 DB Subnet만  포함하도록 한다.

DB Subnet은 외부와 통신이 되지 않는다.

https://brunch.co.kr/@topasvga/743



2. RDS서버의 VPC Security Group을 확인  특정 Subnet에서만 접속되도록 설정 확인.

초기  Security Group을 생성해 놓고, RDS생성 시 적용한다.

WAS  Security Group에서만 접속하도록   Security Group을 만든다.



3. RDB 감사 로그를 남기도록 설정 확인.

디폴트로 제공하지는 않는다.

DB 생성 시 체크하여 로그를 남기도록 설정해야 한다.

https://brunch.co.kr/@topasvga/743




4. AWS RDS 가   Public access는 허용되어 있지 않도록 되어 있는지 확인.

디폴트는  DB는 외부로 노출되어 있지 않다

확인하라.



5. AWS RDS 가 암호화 설정 적용되어 있는지 확인.

Production은  디폴트는 Encryption 되어 있다.



6. DynamoDB는 VPC EndPoint를 사용 확인.

DynamoDB는 기본적으로 VPC 외부 영역에 존재한다.

DynamoDB EndPoint로 내부 통신을 하도록 하자.

https://brunch.co.kr/@topasvga/488



7. DB 생성/삭제 권한은 DB역할을 하는 인원만 가능하도록 설정 되어있는지 확인.

기존 온프라미스에서는 DB서버는 DBE만 접속이 가능하다.

그룹의 권한을 확인하여, DB 생성 권한 인원을 최소화한다.

그룹을 세분화해서 관리하자


IAM > Group에서 확인하자.

admin

dev

dbe



감사합니다.

매거진의 이전글 177. 네트워크 보안 확인 리스트

매거진 선택

키워드 선택 0 / 3 0
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari
;