[AWS][SAA][EXAMTOPICS] Question 31 (확인)

Currently, a company's legacy application relies on an unencrypted Amazon RDS MySQL database with a single instance. All current and new data in this database must be encrypted to comply with new compliance standards.

How is this to be achieved?

• A. Create an Amazon S3 bucket with server-side encryption enabled. Move all the data to Amazon S3. Delete the RDS instance.
• B. Enable RDS Multi-AZ mode with encryption at rest enabled. Perform a failover to the standby instance to delete the original instance.
• C. Take a Snapshot of the RDS instance. Create an encrypted copy of the snapshot. Restore the RDS instance from the encrypted snapshot.
• D. Create an RDS read replica with encryption at rest enabled. Promote the read replica to master and switch the application over to the new master. Delete the old RDS instance.

 

 

한글로 번역

현재 회사의 레거시 애플리케이션은 단일 인스턴스가 있는 암호화되지 않은 Amazon RDS MySQL 데이터베이스에 의존합니다. 이 데이터베이스의 모든 현재 및 새 데이터는 새로운 규정 준수 표준을 준수하도록 암호화되어야 합니다.

이것은 어떻게 달성될 수 있습니까?

• A. 서버 측 암호화가 활성화된 Amazon S3 버킷을 생성합니다. 모든 데이터를 Amazon S3로 이동합니다. RDS 인스턴스를 삭제합니다.
• B. 미사용 데이터 암호화가 활성화된 RDS 다중 AZ 모드를 활성화합니다. 대기 인스턴스로 장애 조치를 수행하여 원본 인스턴스를 삭제합니다.
• C. RDS 인스턴스의 스냅샷을 만듭니다. 스냅샷의 암호화된 복사본을 만듭니다. 암호화된 스냅샷에서 RDS 인스턴스를 복원합니다.
• D. 미사용 데이터 암호화가 활성화된 RDS 읽기 전용 복제본을 생성합니다. 읽기 전용 복제본을 마스터로 승격하고 애플리케이션을 새 마스터로 전환합니다. 이전 RDS 인스턴스를 삭제합니다.

 

정답:

• C. Take a Snapshot of the RDS instance. Create an encrypted copy of the snapshot. Restore the RDS instance from the encrypted snapshot.

 

해설:

Amazon RDS 암호화된 DB 인스턴스의 제한

Amazon RDS 암호화된 DB 인스턴스에는 다음과 같은 제한이 있습니다.

• Amazon RDS DB 인스턴스의 암호화는 인스턴스를 생성할 때에만 가능하며 DB 인스턴스가 생성된 후에는 불가능합니다.
• 다만 암호화되지 않은 스냅샷의 사본을 암호화할 수 있기 때문에 암호화되지 않은 DB 인스턴스에 실질적으로 암호화를 추가할 수 있습니다. 즉, DB 인스턴스의 스냅샷을 만든 다음 해당 스냅샷의 암호화된 사본을 만들 수 있습니다. 그런 다음 암호화된 스냅샷에서 DB 인스턴스를 복구할 수 있고, 원본 DB 인스턴스의 암호화된 사본이 생깁니다. 자세한 내용은 DB 스냅샷 복사 섹션을 참조하세요.
• 암호화된 DB 인스턴스의 암호화를 비활성화할 수 없습니다.
• 암호화되지 않은 DB 인스턴스의 암호화된 스냅샷은 생성할 수 없습니다.
• 암호화된 DB 인스턴스의 스냅샷은 DB 인스턴스와 동일한 KMS 키를 사용하여 암호화해야 합니다.
• 암호화되지 않은 DB 인스턴스의 암호화된 읽기 전용 복제본이나 암호화된 DB 인스턴스의 암호화되지 않은 읽기 전용 복제본은 보유할 수 없습니다.
• 암호화된 읽기 전용 복제본이 소스 DB 인스턴스와 동일한 AWS 리전에 있는 경우 해당 인스턴스와 동일한 KMS 키를 사용하여 암호화해야 합니다.
• 암호화되지 않은 백업 또는 스냅샷을 암호화된 DB 인스턴스로 복원할 수 없습니다.
• 암호화된 스냅샷을 한 AWS 리전에서 다른 리전으로 복사하려면 대상 AWS 리전에 KMS 키를 지정해야 합니다. 이는 KMS 키가 생성된 AWS 리전에만 해당하기 때문입니다.
• 소스 스냅샷은 복사 프로세스 전체에서 암호화를 유지합니다. Amazon RDS는 봉투 암호화를 사용하여 복사 프로세스 중에 데이터를 보호합니다. 봉투 암호화에 대한 자세한 내용은 AWS Key Management Service 개발자 안내서에서 봉투 암호화를 참조하세요.
• 암호화된 DB 인스턴스의 암호화를 해제할 수 없습니다. 하지만 암호화된 DB 인스턴스에서 데이터를 내보내고 암호화되지 않은 DB 인스턴스로 해당 데이터를 가져올 수 있습니다.

 

참조 문서:

https://docs.aws.amazon.com/ko_kr/AmazonRDS/latest/UserGuide/Overview.Encryption.html

Amazon RDS 리소스 암호화 - Amazon Relational Database Service

20220902

현재 회사의 레거시 애플리케이션은 단일 인스턴스가 있는 암호화되지 않은 Amazon RDS MySQL 데이터베이스에 의존합니다. 이 데이터베이스의 모든 현재 및 새 데이터는 새로운 규정 준수 표준을 준수하도록 암호화되어야 합니다.

지문에서는 보안과 관련된 이슈가 있다. 어떻게 구성하는지에 대한 선택지를 선택해야하는데,

우선 A 선택지를 본다면 서버 측 암호화가 활성화된 Amazon S3 버킷을 생성합니다. 모든 데이터를 Amazon S3로 이동합니다. RDS 인스턴스를 삭제합니다. 하지만, 현재 회사는 MySQL 데이터베이스에 의존한다고 하는데, S3로 마이그레이션하여 적용하는것은 적합한 솔루션이 아니다.
B 선택지는 미사용 데이터 암호화가 활성화된 RDS 다중 AZ 모드를 활성화합니다. 대기 인스턴스로 장애 조치를 수행하여 원본 인스턴스를 삭제합니다. 다중 AZ 솔루션의 경우는 장애조치로 제시되는 솔루션인데, 지문에서는 장애에 대한 언급이 없다. 게다가 암호화하여 Active 인스턴스를 장애를 일으켜서 Stand by 인스턴스를 Active 인스턴스로 바꾼다는것인데, 해당 솔루션에는 리스크가 따른다.
D 선택지의  미사용 데이터 암호화가 활성화된 RDS 읽기 전용 복제본을 생성합니다. 읽기 전용 복제본을 마스터로 승격하고 애플리케이션을 새 마스터로 전환합니다. 이전 RDS 인스턴스를 삭제합니다.
D 선택지도 적합한 솔루션으로 예상되지만 C 선택지의 RDS 인스턴스의 스냅샷을 만듭니다. 스냅샷의 암호화된 복사본을 만듭니다. 암호화된 스냅샷에서 RDS 인스턴스를 복원하는것이 더욱 간단하게 암호화 DB를 만드는 방법이라 예상된다.