brunch

You can make anything
by writing

C.S.Lewis

by Master Seo Nov 04. 2019

11탄-7. ISMS-AWS-DB 체크

<1> RDS서버의 DB Subnet그룹을 확인.  DB Subnet만 포함되어 있는지  확인 (필수)

<2> RDS서버의 VPC Security Group을 확인.  특정 Subnet에서만 접속되도록 설정

<3> RDB 감사 로그를 남기도록 설정 확인.

<4> AWS RDS 가 Public access는 허용되어 있지 않도록 되어 있는지 확인(필수)

<5> AWS RDS 가 암호화 설정 적용되어 있는지 확인(필수)

<6> DynamoDB는 VPC EndPoint를 사용 확인.

<7> DB 생성/삭제 권한은 DB역할을 하는 인원만 가능 확인(필수)

<8> DB접근 제어와 CRUD 쿼리를 제한하는지 체크(필수)

<9> 개인정보 컬럼에 대한 암호화 적용 여부(필수)

<10>  테이블 혹은 컬럼 명세서를 보유하고 있는지 여부(필수)

<20>  (정리) 비공인 AWS  ISMS-P체크 리스트




<1> RDS서버의 DB Subnet그룹을 확인.  DB Subnet만 포함되어 있는지  확인 (필수)


RDS > DB Subnet Group 확인

VPC는  Public, Private, DB Subnet을 만들고, DB는 DB Subnet만  포함하도록 한다.

DB Subnet은 외부와 통신이 되지 않는다.

https://brunch.co.kr/@topasvga/743




<2> RDS서버의 VPC Security Group을 확인.  특정 Subnet에서만 접속되도록 설정


초기  Security Group을 생성해 놓고, RDS생성 시 적용한다.

WAS  Security Group에서만 접속하도록   Security Group을 만든다.




<3> RDB 감사 로그를 남기도록 설정 확인.


디폴트로 제공하지는 않는다.

DB 생성 시 체크하여 로그를 남기도록 설정해야 한다.

https://brunch.co.kr/@topasvga/743





<4> AWS RDS 가 Public access는 허용되어 있지 않도록 되어 있는지 확인(필수)


디폴트는  DB는 외부로 노출되어 있지 않다

확인하라.




<5> AWS RDS 가 암호화 설정 적용되어 있는지 확인(필수)


Production은  디폴트는 Encryption 되어 있다.




<6>  DynamoDB는 VPC EndPoint를 사용 확인.


DynamoDB는 기본적으로 VPC 외부 영역에 존재한다.

DynamoDB EndPoint로 내부 통신을 하도록 하자.

https://brunch.co.kr/@topasvga/488




<7> DB 생성/삭제 권한은 DB역할을 하는 인원만 가능 확인(필수)


기존 온프라미스에서는 DB서버는 DBE만 접속이 가능하다.

그룹의 권한을 확인하여, DB 생성 권한 인원을 최소화한다.

그룹을 세분화해서 관리하자


IAM > Group에서 확인하자.

admin

dev

dbe




<8> DB접근 제어와 CRUD 쿼리를 제한하는지 체크(필수)


사용자에 따라 제한 되어야 한다.




<9> 개인정보 컬럼에 대한 암호화 적용 여부(필수)


암호화 한다면 컬럼 양호화 키는 어떻게 관리하는지 여부




<10>  테이블 혹은 컬럼 명세서를 보유하고 있는지 여부(필수)





다음 체크


https://brunch.co.kr/@topasvga/753




<20>  (정리) 비공인 AWS  ISMS-P체크 리스트


https://brunch.co.kr/@topasvga/1771


감사합니다.

매거진의 이전글 11탄-5. ISMS-AWS-보안그룹,네트워크
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari