EBS 암호화를 사용하는 것이 좋은 이유
-
데이터 유출 위협
볼륨 데이터의 암호화는 키페어가 뚫리지 않은 상황에서도 중요합니다. 인스턴스에 대한 접근이 제한되어 있더라도, 공격자가 다른 방법으로 데이터를 탈취할 가능성이 있습니다. 예를 들어, 스냅샷이나 볼륨의 복사본을 탈취하는 경우에도 암호화된 데이터는 보호되어 있습니다.
-
물리적 접근
AWS 데이터 센터의 물리적 보안이 잘 유지되고 있지만, 물리적 접근을 통한 데이터 유출 가능성을 완전히 배제할 수는 없습니다. EBS 볼륨 암호화를 사용하면, 누군가 물리적으로 볼륨에 접근하여 데이터를 탈취하려 해도, 암호화 키 없이는 데이터를 이해할 수 없게 됩니다.
다양한 보안 위협을 대비하여 데이터를 보호하기 위해, 키페어를 사용한 인스턴스 접근 보호와 볼륨 내 데이터의 암호화를 함께 사용하는 것이 좋습니다. 또한 관련 법률, 규정 및 보안 정책에 따라 암호화가 필요하고 법률적 요구 사항이 있는 경우, 암호화를 적용하는 것이 좋습니다.
EBS 암호화를 주의 사항
-
성능 저하 고려
암호화를 사용하게 되면 일부 추가 오버헤드가 발생하며, 성능에 미치는 영향은 미미하긴 하지만, 성능이 매우 중요한 워크로드의 경우에는 암호화로 인한 성능 저하를 고려해야 합니다.
-
비용
EBS 볼륨 암호화를 사용하면, 약간의 추가 비용이 발생할 수 있습니다.
EBS 볼륨 암호화하는 방법
-
인스턴스 생성 시 EBS 볼륨 암호화
-
기존에 암호화되지 않은 EBS 볼륨을 암호화
1) 기존 EBS 볼륨의 스냅샷을 생성합니다. AWS Management Console, AWS CLI, AWS SDK를 사용하여 이 작업을 수행할 수 있습니다.
2) 생성한 스냅샷에 기반하여 새로운 암호화된 EBS 볼륨을 생성합니다. 이 때, 암호화 옵션을 활성화하고, KMS 키를 선택합니다. KMS(Customer Master Key)는 AWS에서 제공하는 키 관리 서비스입니다.
3) 기존 인스턴스에서 기존 EBS 볼륨을 분리(detach)합니다.
4) 새로 생성한 암호화된 EBS 볼륨을 해당 인스턴스에 연결(attach)합니다.
