Live:CloudOps Webinars & Hands-on Workshops ·Register ↗
본문으로 건너뛰기

보안 및 규정 준수

보안

CloudWatch Application Signals는 Observability 데이터를 보호하고 업계 표준 규정 준수를 보장하기 위해 다중 보안 계층을 구현합니다.

데이터 암호화

저장 시 암호화:

  • 모든 트레이스 데이터는 AES-256 암호화로 보호됩니다
  • RUM 데이터는 AWS Key Management Service (KMS)로 암호화됩니다
  • Synthetic monitoring 데이터는 암호화된 상태로 저장됩니다
  • 추가적인 제어를 위해 고객 관리형 키를 사용할 수 있습니다

전송 중 암호화:

  • 모든 데이터 전송은 TLS 1.2 이상을 사용합니다
  • CloudWatch 서비스에 대한 API 호출은 암호화됩니다
  • RUM 데이터 수집은 HTTPS를 사용합니다
  • Agent와 collector 간 통신은 보안이 적용됩니다

Identity and Access Management

IAM 권한:

Application Signals에 대한 접근 권한을 부여할 때 최소 권한 원칙을 사용하세요:

읽기 전용 접근:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "application-signals:ListServices",
        "application-signals:GetService",
        "application-signals:ListOperations",
        "application-signals:GetOperation",
        "cloudwatch:GetMetricData",
        "cloudwatch:ListMetrics",
        "xray:GetTraceSummaries",
        "xray:GetTraceGraph",
        "xray:GetServiceGraph"
      ],
      "Resource": "*"
    }
  ]
}
전체 접근:
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "application-signals:*",
        "cloudwatch:PutMetricData",
        "xray:PutTraceSegments",
        "xray:PutTelemetryRecords"
      ],
      "Resource": "*"
    }
  ]
}

데이터 프라이버시 및 PII 보호

데이터 정제:

  • 민감한 정보에 대해 데이터 마스킹을 구현합니다
  • 트레이스 속성에서 PII에 대해 토큰화를 사용합니다
  • 데이터 보존 정책을 구성합니다
  • 수집된 데이터를 정기적으로 감사합니다

모범 사례:

  • 트레이스에 비밀번호, API 키 또는 토큰을 포함하지 마세요
  • 이메일 주소와 전화번호를 해시하거나 마스킹하세요
  • 민감한 데이터가 포함된 URL에서 쿼리 파라미터를 제거하세요
  • 개인정보 대신 일반 식별자를 사용하세요

네트워크 보안

VPC 구성:

  • 보안 강화를 위해 VPC 내에 agent를 배포합니다
  • CloudWatch API 호출에 VPC 엔드포인트를 사용합니다
  • 트래픽을 제한하도록 보안 그룹을 구성합니다
  • 추가 제어를 위해 네트워크 ACL을 구현합니다

Agent 보안:

  • 최소 필수 권한으로 agent를 실행합니다
  • 보안 패치로 agent를 최신 상태로 유지합니다
  • 보안 이벤트에 대해 agent 로그를 모니터링합니다
  • 가능한 경우 읽기 전용 접근을 사용합니다

데이터 프라이버시

Application Signals가 데이터 프라이버시 요구사항을 처리하는 방식에 대해 설명합니다.

데이터 수집 및 사용

수집하는 데이터:

  • 애플리케이션 성능 메트릭 및 트레이스
  • 서비스 종속성 정보
  • 오류 정보 및 스택 트레이스
  • 시스템 및 인프라 메타데이터

수집하지 않는 데이터:

  • 애플리케이션 비즈니스 데이터 또는 사용자 콘텐츠
  • 데이터베이스 내용 또는 파일 시스템 데이터
  • 사용자 자격 증명 또는 인증 토큰
  • 개인 식별 정보 (명시적으로 포함하지 않는 한)

데이터 보존

기본 보존 기간:

  • 트레이스 데이터: 30일 (최대 1년까지 구성 가능)
  • 메트릭: 15개월 (표준 CloudWatch 보존 기간)
  • RUM 데이터: 30일 (최대 1년까지 구성 가능)
  • Synthetics 결과: 90일 (구성 가능)

데이터 삭제:

  • CloudWatch 데이터 보존 정책을 사용합니다
  • 자동화된 데이터 수명 주기 관리를 구현합니다
  • 필요 시 AWS Support를 통해 데이터 삭제를 요청합니다

규정 준수 프레임워크

지원되는 표준:

  • SOC 2: 보안, 가용성 및 기밀성 제어
  • PCI DSS: 결제 카드 업계 데이터 보안 표준
  • HIPAA: 의료정보 이동성 및 책임에 관한 법률
  • GDPR: 일반 데이터 보호 규정
  • FedRAMP: 연방 위험 및 인증 관리 프로그램

규정 준수 가이드

일반적인 규정 준수 시나리오에 대한 구체적인 지침입니다.

HIPAA 규정 준수

요구사항:

  • 트레이스에서 보호 건강 정보 (PHI)를 암호화합니다
  • 접근 제어 및 감사 로깅을 구현합니다
  • AWS와 비즈니스 제휴 계약 (BAA)을 사용합니다
  • 적절한 데이터 보존 정책을 구성합니다

구현 방법:

  • 트레이스 속성 및 span 이름에서 PHI를 마스킹합니다
  • 고객 관리형 KMS 키를 사용합니다
  • 감사 로깅을 위해 CloudTrail을 활성화합니다
  • 데이터 격리를 위해 VPC 엔드포인트를 구성합니다

PCI DSS 규정 준수

주요 고려사항:

  • 트레이스 또는 로그에 카드 소유자 데이터를 포함하지 마세요
  • 네트워크 분리를 구현합니다
  • 전송 중 및 저장 시 데이터에 암호화를 사용합니다
  • 정기적인 보안 평가 및 침투 테스트를 수행합니다

모범 사례:

  • 계측 전에 민감한 데이터를 토큰화합니다
  • Application Signals agent에 프라이빗 서브넷을 사용합니다
  • 최소 권한 IAM 정책을 구현합니다
  • 수집된 데이터를 정기적으로 검토합니다

GDPR 규정 준수

데이터 주체 권리:

  • 개인정보 접근 권리
  • 정정 권리
  • 삭제 권리 ("잊힐 권리")
  • 데이터 이동 권리

구현 방법:

  • 텔레메트리 데이터에서 PII 수집을 최소화합니다
  • 데이터 익명화 기법을 구현합니다
  • 비즈니스 필요에 따라 데이터 보존을 구성합니다
  • 데이터 처리 활동을 문서화합니다

보안 모니터링

Application Signals 배포에서 보안 이벤트를 모니터링합니다.

보안 모범 사례

  • API 활동 로깅을 위해 CloudTrail을 활성화합니다
  • IAM 정책 변경 및 접근 패턴을 모니터링합니다
  • 비정상적인 데이터 접근 패턴에 대해 알림을 설정합니다
  • 정기적인 보안 평가 및 취약점 스캔을 수행합니다
  • 다중 인증 (MFA)을 구현합니다

인시던트 대응

  • 보안 이벤트에 대한 인시던트 대응 계획을 마련합니다
  • 침해 발생 시 Application Signals를 비활성화하는 방법을 파악합니다
  • 에스컬레이션 절차를 문서화합니다
  • 정기적인 인시던트 대응 테스트를 수행합니다