11탄-7. ISMS-AWS-DB 체크
by Nov 4. 2019
<1> RDS서버의 DB Subnet그룹을 확인. DB Subnet만 포함되어 있는지 확인 (필수)
<2> RDS서버의 VPC Security Group을 확인. 특정 Subnet에서만 접속되도록 설정
<3> RDB 감사 로그를 남기도록 설정 확인.
<4> AWS RDS 가 Public access는 허용되어 있지 않도록 되어 있는지 확인(필수)
<5> AWS RDS 가 암호화 설정 적용되어 있는지 확인(필수)
<6> DynamoDB는 VPC EndPoint를 사용 확인.
<7> DB 생성/삭제 권한은 DB역할을 하는 인원만 가능 확인(필수)
<8> DB접근 제어와 CRUD 쿼리를 제한하는지 체크(필수)
<9> 개인정보 컬럼에 대한 암호화 적용 여부(필수)
<10> 테이블 혹은 컬럼 명세서를 보유하고 있는지 여부(필수)
<20> (정리) 비공인 AWS ISMS-P체크 리스트
<1> RDS서버의 DB Subnet그룹을 확인. DB Subnet만 포함되어 있는지 확인 (필수)
RDS > DB Subnet Group 확인
VPC는 Public, Private, DB Subnet을 만들고, DB는 DB Subnet만 포함하도록 한다.
DB Subnet은 외부와 통신이 되지 않는다.
https://brunch.co.kr/@topasvga/743
<2> RDS서버의 VPC Security Group을 확인. 특정 Subnet에서만 접속되도록 설정
초기 Security Group을 생성해 놓고, RDS생성 시 적용한다.
WAS Security Group에서만 접속하도록 Security Group을 만든다.
<3> RDB 감사 로그를 남기도록 설정 확인.
디폴트로 제공하지는 않는다.
DB 생성 시 체크하여 로그를 남기도록 설정해야 한다.
https://brunch.co.kr/@topasvga/743
<4> AWS RDS 가 Public access는 허용되어 있지 않도록 되어 있는지 확인(필수)
디폴트는 DB는 외부로 노출되어 있지 않다
확인하라.
<5> AWS RDS 가 암호화 설정 적용되어 있는지 확인(필수)
Production은 디폴트는 Encryption 되어 있다.
<6> DynamoDB는 VPC EndPoint를 사용 확인.
DynamoDB는 기본적으로 VPC 외부 영역에 존재한다.
DynamoDB EndPoint로 내부 통신을 하도록 하자.
https://brunch.co.kr/@topasvga/488
<7> DB 생성/삭제 권한은 DB역할을 하는 인원만 가능 확인(필수)
기존 온프라미스에서는 DB서버는 DBE만 접속이 가능하다.
그룹의 권한을 확인하여, DB 생성 권한 인원을 최소화한다.
그룹을 세분화해서 관리하자
IAM > Group에서 확인하자.
admin
dev
dbe
<8> DB접근 제어와 CRUD 쿼리를 제한하는지 체크(필수)
사용자에 따라 제한 되어야 한다.
<9> 개인정보 컬럼에 대한 암호화 적용 여부(필수)
암호화 한다면 컬럼 양호화 키는 어떻게 관리하는지 여부
<10> 테이블 혹은 컬럼 명세서를 보유하고 있는지 여부(필수)
다음 체크
https://brunch.co.kr/@topasvga/753
<20> (정리) 비공인 AWS ISMS-P체크 리스트
https://brunch.co.kr/@topasvga/1771
