Amazon Web Services 한국 블로그

Amazon S3 이중 계층 서버측 암호화(DSSE-KMS) 기능 출시

오늘 저희는 Amazon S3의 새로운 암호화 옵션인 AWS Key Management Service에 저장된 키를 사용하는 Amazon Simple Storage Service (S3) 이중 계층 서버 측 암호화(DSSE-KMS)를 출시합니다. 이 옵션은 Amazon S3의 새로운 암호화 옵션으로 S3 버킷에 객체를 업로드할 때 객체에 두 계층의 암호화를 적용합니다. DSSE-KMS는 두 계층의 CNSA 암호화에 대한 FIPS 규정 준수 및 DAR CP(미사용 데이터 기능 패키지) 버전 5.0 지침을 위한 국가 안보국 CNSSP 15를 충족하도록 설계되었습니다. DSSE-KMS를 사용하면 데이터에 여러 계층의 암호화를 적용하기 위한 규제 요건을 충족할 수 있습니다.

Amazon S3는 고객이 객체 수준에서 두 계층의 암호화를 적용하고 두 계층 모두에 사용하는 데이터 키를 제어할 수 있는 유일한 클라우드 객체 스토리지 서비스입니다. DSSE-KMS를 사용하면 미국 국방부(DoD) 고객 등 엄격한 규제를 적용받는 고객이 보다 쉽게 엄격한 보안 표준을 충족할 수 있습니다.

DSSE-KMS를 사용하면 객체에 대한 PUT 또는 COPY 요청에서 이중 계층 서버 측 암호화(DSSE)를 지정하거나 기본적으로 모든 새 객체에 DSSE를 적용하도록 S3 버킷을 구성할 수 있습니다. 또한 IAM 및 버킷 정책을 사용하여 DSSE-KMS를 적용할 수 있습니다. 각 암호화 계층은 개별 데이터 암호화 키가 있는 별도의 암호화 구현 라이브러리를 사용합니다. DSSE-KMS는 암호화 구현의 단일 계층에서 취약성이 발생할 가능성이 낮지 않도록 민감한 데이터를 보호하는 데 도움이 됩니다.

DSSE-KMS는 클라이언트측 암호화에 필요한 인프라에 투자하지 않고도 사용자의 데이터에 2계층 암호화를 적용하는 프로세스를 간소화합니다. 각 암호화 계층은 Galois 카운터 모드를 사용하는 256비트 고급 암호화 표준(AES-GCM) 알고리즘의 다른 구현을 사용합니다. DSSE-KMS는 AWS Key Management Service(AWS KMS)를 사용하여 데이터 키를 생성하므로 키당 권한을 설정하고, 키 교체 일정을 지정하여 고객 관리형 키를 제어할 수 있습니다. DSSE-KMS를 사용하면 이제 Amazon Athena, Amazon SageMaker 등의 AWS 서비스를 통해 이중 암호화된 데이터를 쿼리 및 분석할 수 있습니다.

이번 출시를 통해 Amazon S3는 이제 서버 측 암호화를 위한 네 가지 옵션을 제공합니다.

  1. Amazon S3 관리형 키를 사용한 서버측 암호화(SSE-S3)
  2. AWS KMS를 사용한 서버 측 암호화(SSE-KMS)
  3. 고객 제공 암호화 키를 사용한 서버 측 암호화(SSE-C)
  4. KMS에 저장된 키를 사용한 이중 계층 서버측 암호화(DSSE-KMS)

DSSE-KMS가 실제로 어떻게 작동하는지 살펴보겠습니다.

S3 버킷을 생성하고 DSSE-KMS를 켜기
Amazon S3 콘솔에서 새 버킷을 생성하려 탐색 창에서 버킷을 선택합니다. 버킷 생성을 선택하고 고유하고 의미 있는 버킷 이름을 선택합니다. 기본 암호화 섹션에서 DSSE-KMS를 암호화 옵션으로 선택합니다. 사용 가능한 AWS KMS 키에서 요건에 맞는 키를 선택합니다. 마지막으로 버킷 생성을 선택하여 DSSE-KMS 암호화 설정으로 암호화한 S3 버킷 생성을 완료합니다.

암호화

DSSE-SSE 지원 S3 버킷에 객체 업로드
버킷 목록에서 객체를 업로드하려는 버킷의 이름을 선택합니다. 버킷의 객체 탭에서 업로드를 선택합니다. 파일 및 폴더에서 파일 추가를 선택합니다. 그런 다음 업로드할 파일을 선택한 다음 열기를 선택합니다. 서버측 암호화에서 암호화 키 지정 안 함을 선택합니다. 그런 다음 업로드를 선택합니다.

서버측 암호화

객체가 S3 버킷에 업로드되면 업로드된 객체가 버킷의 서버 측 암호화 설정을 상속합니다.

서버측 암호화 설정

S3 버킷에서 DSSE-KMS 암호화 객체 다운로드
이전에 업로드한 객체를 선택하고 다운로드를 선택하거나 다음으로 다운로드객체 작업 메뉴에서 선택합니다. 객체를 다운로드하면 로컬로 열 때 객체가 자동으로 암호 해독되므로 클라이언트 애플리케이션을 변경할 필요가 없습니다.

정식 출시
AWS KMS(DSSE-KMS)에 저장된 키를 사용한 Amazon S3 이중 계층 서버 측 암호화는 현재 모든 AWS 리전에서 사용할 수 있습니다. AWS CLI 또는 AWS Management Console을 통해 DSSE-KMS를 시작할 수 있습니다. Amazon S3에서 사용 가능한 모든 암호화 옵션에 대해 자세히 알아보려면 Amazon S3 사용 설명서를 참조하십시오. DSSE-KMS에 대한 요금 정보는 Amazon S3 요금 페이지 (스토리지 탭) 및 AWS KMS 요금 페이지를 참조하십시오.

— Irshad