클라우드 보안 가이드 - 운영 관리 [4-1] -

4.1 EBS 및 볼륨 암호화 설정

분류 :  운영 관리

중요도 : 중

항목명 :  EBS 및 볼륨 암호화 설정

 

항목 설명 : 

 EBS는 EC2 인스턴스 생성 및 이용 시 사용되는 블록 형태의 스토리지 볼륨이며 파일시스템 생성 및 블록 디바이스 사용 등을 할 수 있다. 또한 EBS는 AES-256 알고리즘을 사용하여 볼륨 암호화를 지원하며 데이터 및 애플리케이션에 대한 다양한 정보를 안전하게 저장할 수 있게 해준다.

 

설정 방법 :

 

가. EC2 스토리지 암호화 설정 방법

 

   1) 인스턴스 시작 클릭

 

   2) AMI 선택

 

   3) 인스턴스 유형 선택

 

   4) 인스턴스 구성

 

   5) 스토리지 추가 

 

   6) 태그 추가

 

   7) 보안 그룹 구성

   8) 스토리지 암호화 여부 확인

 

   9) EC2 인스턴스 클릭 및 스토리지 클릭

 

   10) 스토리지 암호화 설정여부 확인

 

나. EBS 볼륨 암호화 설정 방법

 

   1) Elatic Block Store 메뉴 내 볼륨 기능 선택

 

   2) 볼륨 생성 메뉴 내 "암호화" 활성화 후 KMS 키 값을 추가하여 설정해야 한다.

 

위 사진은 암호화 안 한 상태

 

대응 방안 : 직접 기존 볼륨의 암호화 설정만 켜는 것은 불가능하다. 따라서 아래 순서로 암호화된 볼륨으로 전환할 수 있다.

1. 스냅샷 생성

• 암호화되지 않은 원본 볼륨에서 스냅샷을 만든다.

1. 스냅샷 복사 시 암호화 설정

• AWS 콘솔 또는 CLI 로 해당 스냅샷을 복사하면서 encrypted 플래그를 켠다.

1. 암호화된 볼륨 생성 및 교체

• 복사된(암호화된) 스냅샷으로부터 새 EBS 볼륨을 생성한 뒤, 인스턴스에 연결되어 있던 기존 볼륨을 분리하고 새 볼륨을 연결한다.

• 루트 볼륨인 경우 인스턴스를 중지한 뒤 작업해야 한다.

1. (선택) AMI 생성 후 재배포

• 간편하게, 암호화되지 않은 인스턴스에서 AMI(이미지)를 생성 -> 복사 시 암호화 -> 해당 AMI로 새 인스턴스를 띄우는 방법도 있다.

 

 

진단 기준 :

양호 기준 : EBS 및 볼륨 리소스에 암호화가 활성화되어 있을 경우

취약 기준 : EBS 및 볼륨 리소스에 암호화가 비활성화 되어 있을 경우