# 8 - 저장 및 전송 중 SAP 데이터 보호
<a name="design-principle-8"></a>

 **SAP 데이터를 어떻게 보호합니까?** SAP 시스템에서는 종종 비즈니스의 핵심 기능이 실행되고 민감한 엔터프라이즈 데이터가 저장됩니다. 모범 사례는 하나 이상의 암호화 메커니즘을 사용하여 저장 및 전송 중 데이터를 암호화함으로써 내부 또는 외부 보안 요구 사항 및 제어를 충족하는 것입니다. 또한 [AWS 공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/) 에 나열된 제어 외에 AWS는 여러 암호화 솔루션을 제공합니다. 많은 AWS 서비스에는 최소한의 작업과 성능 영향으로 암호화를 활성화할 수 있는 기능이 있습니다. 고려할 수 있는 데이터베이스 및 SAP 애플리케이션 계층에 사용할 수 있는 암호화 옵션이 있습니다. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/design-principle-8.html)

# 모범 사례 8.1 – 저장 데이터 암호화
<a name="best-practice-8-1"></a>

저장 데이터는 디지털 방식으로 저장된 모든 데이터를 말합니다. AWS는 암호화를 사용하여 이 데이터가 승인된 사용자에게만 표시되고 스토리지 또는 데이터베이스에 대한 액세스가 손상될 경우 애플리케이션과 독립적으로 보호된 상태를 유지하도록 합니다.

 **제안 사항 8.1.1 – 암호화를 적용할 수준을 정의** 

일반적으로 암호화를 배포하는 스택이 높을수록 데이터가 안전해집니다. 그러나 보안이 강화되는 한편으로 배포 및 관리 복잡성도 가중됩니다. 해당 서비스 내에서 사용 가능한 저장 데이터 암호화 옵션을 사용하는 것이 좋습니다. 필요한 경우 [보안]: [모범 사례 5.3 – SAP 워크로드에 대한 특정 보안 제어가 필요한지 평가](best-practice-5-3.md)에 정의된 대로 추가 운영 체제 또는 데이터베이스 암호화를 고려합니다. 

 **제안 사항 8.1.2 – SAP 서비스 및 솔루션에 대한 AWS 암호화 옵션을 이해** 

 SAP가 저장 데이터에 사용하는 핵심 AWS 서비스는 Amazon EC2(AMI 및 EBS 볼륨), Amazon FSx for Windows File Server 또는 공유 파일 시스템용 Amazon EFS 및 백업 또는 기타 객체 스토어 사용 사례용 Amazon S3입니다. 
+  AWS 설명서: [EBS 지원 AMI에서 암호화 사용](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  AWS 설명서: [Amazon EBS 암호화](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  AWS 설명서: [Amazon EFS 암호화](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) / [Amazon FSx 암호화](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption.html) 
+  AWS 설명서: [Amazon S3 암호화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) 

이러한 서비스에 저장된 데이터는 AWS KMS의 AWS 또는 고객 관리형 키 중 하나를 사용하여 저장 데이터로 암호화될 수 있습니다.

운영 체제 암호화 옵션에는 BitLocker, DM-crypt, SuSE Remote Disk가 포함됩니다.

 다음 링크는 데이터베이스용 암호화 옵션에 대한 정보를 찾는 데 도움이 될 수 있습니다. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-8-1.html)

 **제안 사항 8.1.3 – 암호화 방법 및 키 관리 스토어를 정의** 

 일반적으로 키 관리는 엔터프라이즈 수준에서 정의되며, 이에 따라 SAP 워크로드에 사용할 수 있는 키 관리 옵션이 결정됩니다. AWS KMS는 AWS 서비스용 암호화 키의 관리를 단순화하는 안전하고 복원력 있는 서비스입니다. 자체 하드웨어 보안 모듈(HSM)을 관리해야 하는 요구 사항이 있는 경우 AWS CloudHSM을 사용할 수 있습니다. 
+  AWS 설명서: [AWS 암호화 도구 및 서비스 옵션](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-choose-toplevel.html) 
+  AWS 설명서: [AWS Key Management Service(AWS KMS)](https://aws.amazon.com/kms/) 
+  AWS 설명서: [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) 

 마스터 키를 보호하기 위한 메커니즘도 고려해야 합니다. 어떻게 키에 대한 액세스를 제한하고, 교체를 관리하고, 복구 가능성을 보장합니까? 

 HANA 저장 데이터 암호화 루트 키는 파일 시스템(Instance SSFS) 또는 SAP Data Custodian SaaS Solution의 인스턴스 보안 스토어에만 안전하게 저장할 수 있습니다. 인스턴스 스토어를 사용하는 경우 마스터 키는 교체 정책을 적용하여 [AWS Secrets Manager](https://aws.amazon.com/systems-manager/) 에 저장할 수 있습니다. 
+  SAP Note: [2154997 - hdbuserstore 엔트리를 ABAP SSFS로 마이그레이션](https://launchpad.support.sap.com/#/notes/2154997) [SAP 포털 액세스 권한 필요] 
+  SAP Note: [2755815 - Hana의 저장 데이터 암호화 복구 가능성을 보장하는 방법](https://launchpad.support.sap.com/#/notes/2755815) [SAP 포털 액세스 권한 필요] 

# 모범 사례 8.2 – 전송 중 데이터 암호화
<a name="best-practice-8-2"></a>

전송 중 데이터 암호화를 사용하면 데이터가 한 지점에서 다른 지점으로 이동하는 동안 데이터를 가로채거나 액세스하거나 변조하기가 더 어려워집니다. 잠재적 위협을 최소화하고 요구 사항에 부합하는 보호 수준을 제공하려면 보안 프로토콜 및 네트워크 수준 암호화를 사용해야 합니다.

 Well-Architected Framework [보안]: [전송 중 데이터 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) 

 **제안 사항 8.2.1 – SAP 및 데이터베이스 프로토콜을 기반으로 애플리케이션 트래픽을 암호화** 

 SAP 프로토콜(SAPGUI Dialog, RFC 및 CPIC)을 사용하는 애플리케이션 트래픽의 경우 SAP SNC를 사용하여 전송 계층 보안을 적용합니다. 
+  SAP 설명서: [SAP 시스템의 SNC 보호 통신 경로](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/ad38ff4fa187622fe10000000a44176d.html) 

 데이터베이스 트래픽의 경우 가능하면 클라이언트와 데이터베이스 간에 보안 연결을 사용합니다. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-8-2.html)

 **제안 사항 8.2.2 – 인터넷 프로토콜을 기반으로 SAP 애플리케이션 트래픽을 암호화** 

 인터넷 프로토콜(HTTP, P4(RMI), LDAP)을 기반으로 하는 애플리케이션 트래픽의 경우 SSL/TLS를 사용하여 전송 계층 보안을 적용합니다. 
+  SAP 설명서: [전송 계층 보안](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/5f0f558b8a7841049139f0fb558ac62c.html) 

 **제안 사항 8.2.3 – 파일 전송 또는 메시지 전송 프로토콜을 기반으로 데이터 교환을 암호화** 

 파일 기반 전송의 경우 AWS는 SFTP 또는 FTPS를 통한 보안 파일 교환을 위해 AWS Transfer Family를 제공합니다. AWS Transfer Family는 Amazon S3 및 Amazon EFS와의 데이터 전송을 지원합니다. 
+  AWS 설명서: [AWS Transfer Family](https://aws.amazon.com/aws-transfer-family) 

 메시지 수준 데이터 무결성 검사를 사용하면 데이터가 전송되는 동안 변조되지 않도록 하는 데 도움이 됩니다. 메시지에 포함된 데이터의 무결성을 서명 및 확인할 수 있도록 SAP가 지원하는 하나 이상의 메시지 수준 보안 표준을 사용하는 것을 고려합니다. 
+  SAP 설명서: [SAP ABAP 웹 서비스 메시지 수준 보안](https://help.sap.com/viewer/684cffda9cbc4187ad7dad790b03b983/1709 000/en-US/47ac469337a24845e10000000a421138.html?q=netweaver%20security%20guide%20message%20level%20security) 
+  SAP 설명서: [SAP NetWeaver 프로세스 통합 보안 가이드](https://help.sap.com/doc/saphelp_nwpi711/7.1.1/en-US/f7/c2953fc405330ee10000000a114084/frameset.htm) 
+  SAP 설명서: [SAP 클라우드 통합 메시지 수준 보안](https://help.sap.com/viewer/368c481cd6954bdfa5d0435479fd4eaf/Cloud/en-US/463a9085156d4672bc4ee9095277e453.html) 

 IDOC 기반 메시지의 경우 SNC를 사용하여 ALE에서 사용하는 RFC 연결을 보호합니다. 
+  SAP 설명서: [IDocs에서 민감한 데이터 처리](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/7f2e71922f4a4d7081e1d2032b0934f7.html) 

 **제안 사항 8.2.4 – 관리 액세스를 암호화** 

SAP 관리를 위해 Windows 및 SSH 기반 도구를 모두 사용하는 것이 일반적입니다. 배스천 호스트와 같은 보안 제어 외에 이 트래픽을 암호화할 수 있는지 여부를 고려합니다.

 또는, [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) 는 암호화를 위해 AWS Management Console을 통해 TLS를 사용하여 운영 체제에 액세스하는 보안 메커니즘을 제공합니다. 
+  AWS 설명서: [Amazon EC2 Windows 가이드 - 전송 중 암호화](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html) 
+  AWS 설명서: [Amazon EC2 Linux 가이드 - 전송 중 암호화](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) 
+  AWS 설명서: [AWS Systems Manager의 데이터 보호 – 데이터 암호화](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html#data-encryption) 

 **제안 사항 8.2.5 – AWS 서비스의 전송 중 암호화 기능을 평가** 

 애플리케이션 기반 암호화 외에 많은 AWS 서비스가 전송 중 암호화 기능을 제공합니다. 각 서비스에서 기업 표준, 구현 작업 및 관련 이점을 평가합니다. 다음은 SAP 워크로드와 관련된 몇 가지 예입니다. 
+  AWS 설명서: [Amazon S3 - 전송 중 암호화](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) - 기본적으로 활성화되며 Amazon S3로의 백업에 권장됩니다. 
+  AWS 설명서: [Amazon EFS - 전송 중 암호화](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html) / [Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) - 공유 파일 시스템에 필요할 수 있습니다. 
+  AWS 설명서: [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html) - 일부 로드 밸런서 유형에서는 이 기능을 사용할 수 없으므로 암호화 요구 사항과 패스스루가 있는 엔드투엔드 TLS가 필요한지 여부를 검토하세요. 
+  AWS 설명서: [Amazon EC2 - 전송 중 암호화](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) - 최근 세대 인스턴스 유형에만 이 기능이 있습니다. 

 **제안 사항 8.2.6 – 네트워크 수준 암호화를 구현** 

SAP 고객은 일반적으로 Direct Connect를 단독으로 또는 VPN과 함께 사용하여 AWS의 리소스에 대한 안정적인 연결을 제공합니다.

AWS Direct Connect는 전송 중 트래픽을 암호화하지 않습니다. 암호화가 필요한 경우 예를 들어 VPN over Direct Connect를 사용하여 전송 수준 암호화를 구현해야 합니다.

 AWS는 네트워크 채널 암호화에 사용할 수 있는 Site-to-Site VPN을 제공합니다. AWS Marketplace에서 또는 기존 보유 라이선스 사용 모델을 통해 OpenVPN과 같은 서드 파티 VPN 솔루션을 배포하는 것을 선택할 수도 있습니다. 
+  AWS 설명서: [AWS 관리형 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-managed-vpn.html) 
+  AWS 설명서: [AWS Direct Connect \$1 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html) 
+  AWS 설명서: [소프트웨어 Site-to-Site VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/software-site-to-site-vpn.html) 

# 모범 사례 8.3 - 데이터 복구 메커니즘을 위협으로부터 보호
<a name="best-practice-8-3"></a>

 악의적인 활동으로부터 보호될 수 있도록 조직의 보안 프레임워크에 명시된 지침을 따릅니다. [eBook: 랜섬웨어로부터 AWS 클라우드 환경 보호](https://d1.awsstatic.com/WWPS/pdf/AWSPS_ransomware_ebook_Apr-2020.pdf) 는 네트워크 제어, 패치, 최소 권한 등 사고 발생 이전 및 사고 대응 과정에서 해결해야 할 주요 항목을 개괄합니다. SAP 시스템의 경우 위협은 다른 애플리케이션과 유사하지만 잠재적 영향은 더 큽니다. SAP가 레코드 시스템이거나 미션 크리티컬 트랜잭션에 필요한 경우 악의적인 공격으로부터 백업을 보호하도록 다음 제안 사항을 고려하세요. 
+  SAP Note: [2663467 - 랜섬웨어 상황을 방지하는 팁](https://launchpad.support.sap.com/#/notes/2663467) [SAP 포털 액세스 권한 필요] 
+  SAP Note: [2496239 - Windows의 랜섬웨어 / 맬웨어](https://launchpad.support.sap.com/#/notes/2496239) [SAP 포털 액세스 권한 필요] 

 **제안 사항 8.3.1 – 별도 계정에서 추가 제어를 사용하여 백업을 보호** 

데이터의 기본 복사본과 격리된 계정에서 직접 또는 복제를 사용하여 백업을 보호하면 손상된 시스템이 데이터 복구 메커니즘에도 영향을 미치는 위험을 최소화할 수 있습니다.

보조 계정은 사용 사례에 부합하는 액세스 요구 사항이 적용된 ‘데이터 벙커’로 볼 수 있습니다.

 Amazon S3를 사용하는 백업의 경우 추가 제어에 Write-Once-Read-Many(WORM) 모델 또는 [멀티 팩터 인증 삭제](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) 를 사용하여 객체를 저장하기 위한 S3 객체 잠금이 포함될 수 있습니다. 

 복제를 사용하는 경우 [삭제 마커 복제](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html) (삭제 마커는 기본적으로 복제되지 않음) 및 [S3 복제 시간 제어](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-time-control.html) 등 사용 가능한 여러 옵션을 파악합니다. 비용을 최적화하려면 기본 버킷과 보조 버킷 모두에서 하우스키핑을 수행해야 합니다. 

 **제안 사항 8.3.2 – 복구 능력을 검증** 

데이터를 악의적인 활동으로부터 보호할 때 백업이 최후 방어선이지만 불완전한 백업 또는 유효하지 않은 백업으로 인해 복구가 불가능하다면 가치가 없을 수 있습니다. 백업에 액세스할 수 없거나 암호를 해독할 수 없는 경우 복구가 불가능할 수 있습니다. 암호화 키 및 자격 증명을 보호하는 방법을 고려합니다.

대체 계정에서 재빌드를 포함하여 악의적인 시나리오에 맞춰 복구 테스트를 수행합니다.
+  SAP Lens [운영 우수성]: [모범 사례 4.3 - 정기적으로 비즈니스 연속성 계획 및 장애 복구 테스트](best-practice-4-3.md)