chatGPT와 SAA-C03 예제 풀어보기 #2

한 회사에서 클라우드의 모든 데이터를 온프레미스에 저장된 암호화 키를 사용,
항상 암호화된 상태로 저장할 것을 요구한다면 어떻게 할 것인가?

AWS에서는 여러 가지 암호화 옵션이 있지만, 데이터를 항상 암호화된 상태로 저장하려는 요구 사항에 가장 적합한 옵션은 AWS Key Management Service (KMS)를 사용하여 데이터를 암호화하는 것입니다.

 

AWS KMS는 클라우드에 저장된 데이터를 쉽게 암호화하고 관리할 수 있는 완전히 관리되는 서비스입니다. KMS를 사용하면 데이터를 암호화하는 데 사용되는 암호화 키를 생성, 저장, 및 관리할 수 있습니다. KMS는 업계 표준 암호화 기술을 사용하므로 안전하게 데이터를 보호할 수 있습니다.

 

데이터를 암호화하는 방법에는 여러 가지가 있지만, 데이터를 온프레미스에 저장된 암호화 키를 사용하여 암호화하는 것이 가장 적합합니다. 이를 위해 AWS KMS는 고객 마스터 키(CMK)를 지원합니다. 고객 마스터 키는 AWS KMS에서 생성하고 관리하는 키로, 이를 사용하여 데이터를 암호화하고 복호화할 수 있습니다. 고객 마스터 키를 만들 때 온프레미스에서 생성한 암호화 키를 가져와 사용할 수 있습니다. 이를 통해 클라우드에 저장된 모든 데이터가 항상 암호화된 상태로 저장됩니다.

 

온프레미스에 저장된 암호화 키를 사용하여 클라우드에 저장된 데이터를 암호화하는 방법

1. AWS KMS CMK 생성: 먼저, AWS Key Management Service(KMS)에서 고객 마스터 키(CMK)를 생성합니다. 이때, "외부" 고객 마스터 키로 설정하여 외부에서 생성된 키를 사용할 수 있도록 설정합니다.
2. 온프레미스에서 암호화 키 생성: 온프레미스 환경에서 암호화 키를 생성합니다. 이때 생성된 키는 KMS CMK에 등록됩니다.
3. 암호화된 데이터 전송: 암호화된 데이터를 클라우드에 전송합니다. 이때, 데이터는 클라이언트 측에서 암호화하여 전송할 수도 있고, 서버 측에서 암호화하여 전송할 수도 있습니다.
4. KMS CMK로 데이터 복호화: 클라우드에 저장된 암호화된 데이터를 복호화하기 위해서는 KMS CMK가 필요합니다. 따라서, 온프레미스에서 생성한 암호화 키를 KMS CMK에 등록한 후, 해당 키를 사용하여 데이터를 복호화합니다.

이와 같은 방법으로, 온프레미스에 저장된 암호화 키를 사용하여 클라우드에 저장된 데이터를 암호화된 상태로 저장할 수 있습니다. 하지만 이 방법을 사용하기 위해서는 적절한 보안 및 인프라 관리 체계가 필요하며, 이를 운영하기 위한 추가적인 노력과 비용이 필요합니다. 따라서, 적절한 대안을 고려하는 것이 중요합니다

 

 

클라이언트 측 암호화를 사용

클라이언트 측 암호화는 데이터를 클라이언트 측에서 암호화한 후 서버로 보내는 방법입니다. 이 방법을 사용하면 클라우드에 저장된 데이터는 항상 암호화된 상태로 유지됩니다. AWS에서는 Amazon S3에 클라이언트 측 암호화를 지원합니다. 이를 사용하면 S3 버킷에 업로드되는 모든 객체를 클라이언트 측에서 암호화할 수 있습니다.

클라이언트 측 암호화는 데이터를 보호할 수 있지만, 데이터 보호와 관리를 위해 추가적인 작업이 필요합니다. 이 방법은 암호화와 관련된 부담과 복잡성을 클라이언트에게 부과합니다. 따라서 이 방법을 사용하기 전에 장단점을 고려하고 적절한 대안을 선택하는 것이 중요합니다.