# SEC 9 전송 중인 데이터는 어떻게 보호합니까?
무단 액세스 또는 손실의 위험을 줄이기 위해 여러 제어 기능을 구현하여 전송 중인 데이터를 보호합니다.
**Topics**
+ [SEC09-BP01 보안 키 및 인증서 관리 구현](sec_protect_data_transit_key_cert_mgmt.md)
+ [SEC09-BP02 전송 중 데이터 암호화 적용](sec_protect_data_transit_encrypt.md)
+ [SEC09-BP03 무단 데이터 침입 탐지 자동화](sec_protect_data_transit_auto_unintended_access.md)
+ [SEC09-BP04 네트워크 통신 인증](sec_protect_data_transit_authentication.md)
# SEC09-BP01 보안 키 및 인증서 관리 구현
암호화 키와 인증서를 안전하게 저장하고 엄격하게 액세스 제어를 통해 적절한 간격으로 교체합니다. 이를 위한 가장 좋은 방법은 [AWS Certificate Manager(ACM) 같은 관리형 서비스를 사용하는 것입니다](http://aws.amazon.com/certificate-manager). AWS 서비스 및 연결된 내부 리소스에 사용할 공인 및 사설 TLS(Transport Layer Security) 인증서를 손쉽게 프로비저닝, 관리 및 배포할 수 있습니다. TLS 인증서는 네트워크 통신을 보호하고 인터넷에서는 웹 사이트 그리고 프라이빗 네트워크에서 리소스의 ID를 설정하기 위해 사용됩니다. ACM은 Elastic Load Balancer(ELB), AWS 배포, API Gateway의 API 등 AWS 리소스와 통합되며 자동 인증서 갱신도 처리합니다. ACM을 사용하여 사설 루트 CA를 배포하는 경우 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 등에서 사용할 수 있도록 인증서와 비공개 키가 제공될 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 보안 키 및 인증서 관리 구현: 정의된 보안 키 및 인증서 관리 솔루션을 구현합니다.
+ [AWS Certificate Manager ](https://aws.amazon.com/certificate-manager/)
+ [AWS에서 전체 프라이빗 인증서 인프라를 호스팅하고 관리하는 방법 ](https://aws.amazon.com/blogs/security/how-to-host-and-manage-an-entire-private-certificate-infrastructure-in-aws/)
+ 보안 프로토콜 구현: 데이터 변조나 손실 위험을 줄일 수 있도록 전송 계층 보안(TLS) 또는 IPsec 등 인증 및 기밀성 유지 기능을 제공하는 보안 프로토콜을 사용합니다. 사용 중인 서비스와 관련한 프로토콜 및 보안은 AWS 설명서를 참조하세요.
## 리소스
**관련 문서:**
+ [AWS 설명서 ](https://docs.aws.amazon.com/)
# SEC09-BP02 전송 중 데이터 암호화 적용
조직/법률/규정 준수 요구 사항을 충족할 수 있도록 적절한 표준 및 권장 사항에 따라 정의된 암호화 요구 사항을 적용합니다. AWS 서비스는 통신에 TLS를 사용하는 HTTPS 엔드포인트를 제공함으로써 AWS API와 통신할 때 전송 중 암호화 기능을 제공합니다. HTTP와 같은 비보안 프로토콜은 보안 그룹을 사용하여 VPC에서 감사 및 차단할 수 있습니다. HTTP 요청은 [HTTPS에 자동으로 리디렉션될 수도 있습니다.](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) 즉, Amazon CloudFront 또는 다음의 HTTPS로 리디렉션될 수 있습니다. [Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-listeners.html#redirect-actions). 컴퓨팅 리소스를 완전하게 제어하여 서비스 간에 전송 중 암호화를 구현할 수 있습니다. 외부 네트워크로부터 특정 VPC로의 VPN 연결을 사용하여 트래픽을 쉽게 암호화할 수도 있습니다. 특별한 요구 사항이 있는 경우 AWS Marketplace에서 타사 솔루션을 사용할 수 있습니다.
**이 모범 사례가 수립되지 않을 경우 노출되는 위험의 수준:** 높음
## 구현 가이드
+ 전송 중 암호화 적용: 정의된 암호화 요구 사항은 최신 표준 및 모범 사례를 토대로 하고 보안 프로토콜만 허용해야 합니다. 예를 들어 Application Load Balancer 또는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스로의 HTTPS 프로토콜을 허용하는 보안 그룹만 구성합니다.
+ 엣지 서비스에서 보안 프로토콜 구성: Amazon CloudFront 및 필수 암호로 HTTPS를 구성합니다.
+ [ CloudFront와 함께 HTTPS 사용 ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https.html)
+ 외부 연결에 VPN 사용: 데이터 프라이버시와 무결성을 모두 제공할 수 있도록 지점 간 또는 네트워크 간 연결에 IPsec 가상 프라이빗 네트워크(VPN) 사용을 고려합니다.
+ [ VPN 연결 ](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/vpn-connections.html)
+ 로드 밸런서에서 보안 프로토콜 구성: 로드 밸런서에 대한 연결을 보호하기 위해 HTTPS 리스너를 활성화합니다.
+ [ Application Load Balancer의 HTTPS 리스너 ](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-https-listener.html)
+ 인스턴스에 대한 보안 프로토콜 구성: 인스턴스에서 HTTPS 암호화 구성을 고려합니다.
+ [ 자습서: SSL/TLS 사용을 위해 Amazon Linux 2에서 Apache 웹 서버 구성 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/SSL-on-an-instance.html)
+ Amazon Relational Database Service(Amazon RDS)에서 보안 프로토콜 구성: 데이터베이스 인스턴스에 대한 연결을 암호화하기 위해 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS)을 사용합니다.
+ [ SSL을 사용하여 DB 인스턴스로의 연결 암호화 ](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.SSL.html)
+ Amazon Redshift에서 보안 프로토콜 구성: 클러스터가 보안 소켓 계층(SSL) 또는 전송 계층 보안(TLS) 연결을 요구하도록 구성합니다.
+ [ 연결을 위한 보안 옵션 구성 ](https://docs.aws.amazon.com/redshift/latest/mgmt/connecting-ssl-support.html)
+ 기타 AWS 서비스에 보안 프로토콜 구성: 사용하는 AWS 서비스에서 전송 중 암호화 기능을 결정합니다.
## 리소스
**관련 문서:**
+ [AWS 설명서 ](https://docs.aws.amazon.com/index.html)
# SEC09-BP03 무단 데이터 침입 탐지 자동화
Amazon GuardDuty 등의 도구를 사용하여 의심스러운 활동 또는 정의된 경계 외부로 데이터를 이전하려는 시도를 자동으로 감지합니다. 예를 들어, GuardDuty는 다음을 사용하여 일반적이지 않은 Amazon Simple Storage Service(Amazon S3) 읽기 활동을 감지할 수 있습니다. [Exfiltration:S3/AnomalousBehavior 결과](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-s3.html#exfiltration-s3-objectreadunusual). GuardDuty 외에도 네트워크 트래픽 정보를 캡처하는 [Amazon VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)를 Amazon EventBridge와 함께 사용하여 비정상적 연결(성공한 연결과 거부된 연결 모두)을 탐지할 수 있습니다. [Amazon S3 Access Analyzer](http://aws.amazon.com/blogs/storage/protect-amazon-s3-buckets-using-access-analyzer-for-s3) 는 Amazon S3 버킷에서 누가 어떤 데이터에 액세스할 수 있는지를 평가하는 데 도움이 될 수 있습니다.
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 보통
## 구현 가이드
+ 무단 데이터 탐지 자동화: 도구 또는 감지 메커니즘을 사용하여 정의된 경계 외부로 데이터를 이동하려는 시도를 직접 감지합니다. 예를 들어 알 수 없는 호스트로 데이터를 복사하는 데이터베이스 시스템을 감지할 수 있습니다.
+ [ VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ Amazon Macie 고려: Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 AWS에서 민감한 데이터를 검색하고 보호하는 완전관리형 데이터 보안 및 데이터 개인 정보 보호 서비스입니다.
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
## 리소스
**관련 문서:**
+ [ VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)
+ [ Amazon Macie ](https://aws.amazon.com/macie/)
# SEC09-BP04 네트워크 통신 인증
TLS(전송 계층 보안) 또는 IPsec과 같은 인증을 지원하는 프로토콜을 사용하여 통신의 자격 증명을 확인합니다.
인증을 지원하는 네트워크 프로토콜을 사용하여 당사자 간 신뢰를 맺을 수 있습니다. 이것이 프로토콜에서 사용되는 암호화에 추가되어 통신이 변조되거나 가로채질 위험을 줄입니다. 인증을 구현하는 일반적인 프로토콜에는 많은 AWS 서비스에서 사용되는 TLS(Transport Layer Security)와 다음에서 사용되는 IPsec가 포함됩니다. [AWS Virtual Private Network(Site-to-Site VPN)](http://aws.amazon.com/vpn).
**이 모범 사례를 정립하지 않을 경우 노출되는 위험의 수준:** 낮음
## 구현 가이드
+ 보안 프로토콜 구현: 데이터 변조나 손실 위험을 줄일 수 있도록 TLS 또는 IPsec 등 인증 및 기밀성 유지 기능을 제공하는 보안 프로토콜을 사용합니다. 사용하는 서비스와 관련한 프로토콜 및 보안은 [AWS 설명서](https://docs.aws.amazon.com/) 를 참조하세요.
## 리소스
**관련 문서:**
+ [AWS 설명서](https://docs.aws.amazon.com/)