데이터 암호화 준수 여부
Define data encryption policy for data at rest and in transit Establish internal processes regarding a data encryption policy used across all customer projects • Summary of any endpoints exposed to the Internet and how traffic is encrypted • Summary of processes that make requests to external endpoints over the Internet and how traffic is encrypted • Enforcing encryption at rest. By default, you should enable the native encryption features in an AWS service that stores data unless there is a reason not to. All cryptographic keys are stored and managed using a dedicated key management solution Please provide the following as evidence: • Data encryption and key management policy met the criteria defined above. • Description of how data encryption is implementation in one (1) of the submitted customer examples.
**저장 중인 데이터(data at rest)와 전송 중인 데이터(data in transit)에 대한 데이터 암호화 정책 정의** 모든 고객 프로젝트에 걸쳐 사용되는 데이터 암호화 정책에 관한 내부 프로세스 수립 • 인터넷에 노출된 모든 엔드포인트(endpoints) 요약 및 트래픽 암호화 방식 • 인터넷을 통해 외부 엔드포인트로 요청하는 프로세스 요약 및 트래픽 암호화 방식 • 저장 시 암호화(encryption at rest) 적용. 기본적으로 특별한 사유가 없는 한 데이터를 저장하는 AWS 서비스의 기본 암호화 기능을 활성화해야 합니다. **모든 암호화 키는 전용 키 관리 솔루션(key management solution)을 사용하여 저장 및 관리됩니다** 다음 내용을 증빙 자료로 제공해 주시기 바랍니다: • 위에서 정의한 기준을 충족하는 데이터 암호화 및 키 관리 정책 • 제출된 고객 사례 중 1개에서 데이터 암호화가 어떻게 구현되었는지에 대한 설명
**저장 중인 데이터(data at rest)와 전송 중인 데이터(data in transit)에 대한 데이터 암호화 정책 정의** 모든 고객 프로젝트에 걸쳐 사용되는 데이터 암호화 정책에 관한 내부 프로세스 수립 • 인터넷에 노출된 모든 엔드포인트(endpoints) 요약 및 트래픽 암호화 방식 • 인터넷을 통해 외부 엔드포인트로 요청하는 프로세스 요약 및 트래픽 암호화 방식 • 저장 시 암호화(encryption at rest) 적용. 기본적으로 특별한 사유가 없는 한 데이터를 저장하는 AWS 서비스의 기본 암호화 기능을 활성화해야 합니다. **모든 암호화 키는 전용 키 관리 솔루션(key management solution)을 사용하여 저장 및 관리됩니다** 다음 내용을 증빙 자료로 제공해 주시기 바랍니다: • 위에서 정의한 기준을 충족하는 데이터 암호화 및 키 관리 정책 • 제출된 고객 사례 중 1개에서 데이터 암호화가 어떻게 구현되었는지에 대한 설명
Our data encryption policy mandates protection for data at rest and in transit. All public endpoints use TLS encryption, and data storage uses AWS native encryption features with KMS key management. Internet-facing endpoints consist of CloudFront Distribution for content delivery, encrypting all client communications using TLS 1.2 or higher through ACM certificates. CloudFront enforces HTTPS-only policies (Viewer Protocol Policy: Redirect HTTP to HTTPS), blocking plaintext HTTP transmission. Lambda functions triggered by S3 events communicate with AWS services through HTTPS endpoints. Data at rest encryption includes S3 bucket default encryption using AWS KMS keys for media file storage (images, videos, promotional content) and CloudFront access logs. Lambda function environment variables use default encryption. All encryption keys are managed through AWS KMS with IAM policies controlling access. Data Encryption Policy: https://wishket-team.notion.site/encryption --- Our data encryption policy mandates comprehensive protection for data at rest and in transit across all customer environments. We leverage AWS KMS for centralized key management with customer-managed keys, implementing strict access controls through IAM policies. All external endpoints require TLS 1.2 or higher encryption, while data at rest utilizes AWS native encryption features. Encryption keys are managed exclusively through AWS KMS with access audited via CloudTrail. Internet-facing endpoints consist of API Gateway for microservices access, encrypting all client communications using TLS through certificates issued by ACM (AWS Certificate Manager). API Gateway enforces HTTPS-only policies, blocking plaintext HTTP requests. Internal service-to-service communication within ECS tasks occurs within VPC private subnets, with AWS Cloud Map service discovery enabling encrypted communication between microservices. External API calls from microservices to partner systems enforce HTTPS for all requests. Data at rest encryption includes S3 bucket default encryption using AWS KMS customer-managed keys for data lake storage (technology information, matching data, user activity logs), automatically encrypting all uploaded documents and analytics data. RDS database instances enable encryption at rest with KMS-managed keys, ensuring database storage, automated backups, and snapshots are encrypted. DocumentDB collections storing unstructured technology data are encrypted using KMS keys. ECS task definitions reference encrypted secrets stored in AWS Secrets Manager for database credentials, API keys, and service configuration, with automatic key rotation policies enforced. Container images in Amazon ECR are encrypted at rest. IAM policies enforce least-privilege access to encryption keys, with all key usage operations logged to CloudTrail for security auditing and compliance tracking. Data Encryption Policy: https://wishket-team.notion.site/encryption --- Our data encryption policy mandates comprehensive protection for data at rest and in transit across all customer environments. We leverage AWS KMS for centralized key management with customer-managed keys, implementing strict access controls through IAM policies. All external endpoints require TLS 1.2 or higher encryption, while data at rest utilizes AWS native encryption features. Internet-facing endpoints include API Gateway for mobile application access and Lambda function URLs for webhook integrations, encrypting all client communications using TLS through ACM certificates. API Gateway enforces HTTPS-only policies. Lambda functions making external API calls to OCR services and AI model providers enforce HTTPS for all requests. Internal communication between Lambda functions and ElastiCache occurs within VPC with encryption in-transit enabled. Data at rest encryption includes S3 bucket default encryption using AWS KMS customer-managed keys for training data storage (math problem images, OCR results, user feedback data), automatically encrypting all uploaded content. ElastiCache Redis clusters enable encryption at rest and in-transit for caching AI inference results. EBS volumes attached to GPU instances for model storage are encrypted using KMS keys. CloudWatch Logs storing application logs and AI model performance metrics use KMS encryption. AWS Secrets Manager stores API credentials, model endpoints, and configuration parameters with automatic rotation policies. Lambda environment variables containing sensitive configuration are encrypted with KMS keys. IAM policies enforce least-privilege access to encryption keys, with all key usage logged to CloudTrail for auditing. Data Encryption Policy: https://wishket-team.notion.site/encryption --- This engagement used Amazon Lightsail managed services which handle encryption automatically. Lightsail abstracts encryption configuration, managing TLS certificates and data encryption without direct KMS key management or custom encryption policies.
## 첫 번째 텍스트 저희 데이터 암호화 정책은 저장 데이터(data at rest)와 전송 중 데이터(data in transit) 보호를 의무화합니다. 모든 퍼블릭 엔드포인트는 TLS 암호화를 사용하며, 데이터 저장소는 KMS 키 관리와 함께 AWS 네이티브 암호화 기능을 활용합니다. 인터넷 대면 엔드포인트는 콘텐츠 전송을 위한 CloudFront 배포로 구성되며, ACM 인증서를 통해 TLS 1.2 이상을 사용하여 모든 클라이언트 통신을 암호화합니다. CloudFront는 HTTPS 전용 정책(뷰어 프로토콜 정책: HTTP를 HTTPS로 리디렉션)을 적용하여 평문 HTTP 전송을 차단합니다. S3 이벤트로 트리거되는 Lambda 함수는 HTTPS 엔드포인트를 통해 AWS 서비스와 통신합니다. 저장 데이터 암호화에는 미디어 파일 저장(이미지, 동영상, 홍보 콘텐츠)과 CloudFront 액세스 로그를 위한 AWS KMS 키를 사용하는 S3 버킷 기본 암호화가 포함됩니다. Lambda 함수 환경 변수는 기본 암호화를 사용합니다. 모든 암호화 키는 IAM 정책으로 액세스를 제어하는 AWS KMS를 통해 관리됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 두 번째 텍스트 저희 데이터 암호화 정책은 모든 고객 환경에서 저장 데이터와 전송 중 데이터에 대한 포괄적인 보호를 의무화합니다. 고객 관리 키와 함께 중앙 집중식 키 관리를 위해 AWS KMS를 활용하며, IAM 정책을 통한 엄격한 액세스 제어를 구현합니다. 모든 외부 엔드포인트는 TLS 1.2 이상 암호화를 요구하며, 저장 데이터는 AWS 네이티브 암호화 기능을 활용합니다. 암호화 키는 CloudTrail을 통해 액세스가 감사되는 AWS KMS를 통해서만 관리됩니다. 인터넷 대면 엔드포인트는 마이크로서비스 액세스를 위한 API Gateway로 구성되며, ACM(AWS Certificate Manager)에서 발급한 인증서를 통한 TLS를 사용하여 모든 클라이언트 통신을 암호화합니다. API Gateway는 HTTPS 전용 정책을 적용하여 평문 HTTP 요청을 차단합니다. ECS 태스크 내의 내부 서비스 간 통신은 VPC 프라이빗 서브넷 내에서 발생하며, AWS Cloud Map 서비스 디스커버리가 마이크로서비스 간 암호화된 통신을 가능하게 합니다. 마이크로서비스에서 파트너 시스템으로의 외부 API 호출은 모든 요청에 HTTPS를 강제합니다. 저장 데이터 암호화에는 데이터 레이크 저장소(기술 정보, 매칭 데이터, 사용자 활동 로그)를 위한 AWS KMS 고객 관리 키를 사용하는 S3 버킷 기본 암호화가 포함되며, 업로드된 모든 문서와 분석 데이터를 자동으로 암호화합니다. RDS 데이터베이스 인스턴스는 KMS 관리 키로 저장 시 암호화를 활성화하여 데이터베이스 저장소, 자동 백업, 스냅샷이 암호화되도록 합니다. 비정형 기술 데이터를 저장하는 DocumentDB 컬렉션은 KMS 키를 사용하여 암호화됩니다. ECS 태스크 정의는 데이터베이스 자격 증명, API 키, 서비스 구성을 위한 AWS Secrets Manager에 저장된 암호화된 시크릿을 참조하며, 자동 키 로테이션 정책이 적용됩니다. Amazon ECR의 컨테이너 이미지는 저장 시 암호화됩니다. IAM 정책은 암호화 키에 대한 최소 권한 액세스를 강제하며, 모든 키 사용 작업은 보안 감사 및 컴플라이언스 추적을 위해 CloudTrail에 기록됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 세 번째 텍스트 저희 데이터 암호화 정책은 모든 고객 환경에서 저장 데이터와 전송 중 데이터에 대한 포괄적인 보호를 의무화합니다. 고객 관리 키와 함께 중앙 집중식 키 관리를 위해 AWS KMS를 활용하며, IAM 정책을 통한 엄격한 액세스 제어를 구현합니다. 모든 외부 엔드포인트는 TLS 1.2 이상 암호화를 요구하며, 저장 데이터는 AWS 네이티브 암호화 기능을 활용합니다. 인터넷 대면 엔드포인트에는 모바일 애플리케이션 액세스를 위한 API Gateway와 웹훅 통합을 위한 Lambda 함수 URL이 포함되며, ACM 인증서를 통한 TLS를 사용하여 모든 클라이언트 통신을 암호화합니다. API Gateway는 HTTPS 전용 정책을 적용합니다. OCR 서비스와 AI 모델 제공업체에 외부 API 호출을 하는 Lambda 함수는 모든 요청에 HTTPS를 강제합니다. Lambda 함수와 ElastiCache 간의 내부 통신은 전송 중 암호화가 활성화된 VPC 내에서 발생합니다. 저장 데이터 암호화에는 훈련 데이터 저장소(수학 문제 이미지, OCR 결과, 사용자 피드백 데이터)를 위한 AWS KMS 고객 관리 키를 사용하는 S3 버킷 기본 암호화가 포함되며, 업로드된 모든 콘텐츠를 자동으로 암호화합니다. ElastiCache Redis 클러스터는 AI 추론 결과 캐싱을 위한 저장 및 전송 시 암호화를 활성화합니다. 모델 저장을 위한 GPU 인스턴스에 연결된 EBS 볼륨은 KMS 키를 사용하여 암호화됩니다. 애플리케이션 로그와 AI 모델 성능 지표를 저장하는 CloudWatch Logs는 KMS 암호화를 사용합니다. AWS Secrets Manager는 자동 로테이션 정책과 함께 API 자격 증명, 모델 엔드포인트, 구성 매개변수를 저장합니다. 민감한 구성을 포함하는 Lambda 환경 변수는 KMS 키로 암호화됩니다. IAM 정책은 암호화 키에 대한 최소 권한 액세스를 강제하며, 모든 키 사용은 감사를 위해 CloudTrail에 기록됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 네 번째 텍스트 이 프로젝트는 암호화를 자동으로 처리하는 Amazon Lightsail 관리형 서비스를 사용했습니다. Lightsail은 암호화 구성을 추상화하여 직접적인 KMS 키 관리나 사용자 정의 암호화 정책 없이 TLS 인증서와 데이터 암호화를 관리합니다.
## 첫 번째 텍스트 저희 데이터 암호화 정책은 저장 데이터(data at rest)와 전송 중 데이터(data in transit) 보호를 의무화합니다. 모든 퍼블릭 엔드포인트는 TLS 암호화를 사용하며, 데이터 저장소는 KMS 키 관리와 함께 AWS 네이티브 암호화 기능을 활용합니다. 인터넷 대면 엔드포인트는 콘텐츠 전송을 위한 CloudFront 배포로 구성되며, ACM 인증서를 통해 TLS 1.2 이상을 사용하여 모든 클라이언트 통신을 암호화합니다. CloudFront는 HTTPS 전용 정책(뷰어 프로토콜 정책: HTTP를 HTTPS로 리디렉션)을 적용하여 평문 HTTP 전송을 차단합니다. S3 이벤트로 트리거되는 Lambda 함수는 HTTPS 엔드포인트를 통해 AWS 서비스와 통신합니다. 저장 데이터 암호화에는 미디어 파일 저장(이미지, 동영상, 홍보 콘텐츠)과 CloudFront 액세스 로그를 위한 AWS KMS 키를 사용하는 S3 버킷 기본 암호화가 포함됩니다. Lambda 함수 환경 변수는 기본 암호화를 사용합니다. 모든 암호화 키는 IAM 정책으로 액세스를 제어하는 AWS KMS를 통해 관리됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 두 번째 텍스트 저희 데이터 암호화 정책은 모든 고객 환경에서 저장 데이터와 전송 중 데이터에 대한 포괄적인 보호를 의무화합니다. 고객 관리 키와 함께 중앙 집중식 키 관리를 위해 AWS KMS를 활용하며, IAM 정책을 통한 엄격한 액세스 제어를 구현합니다. 모든 외부 엔드포인트는 TLS 1.2 이상 암호화를 요구하며, 저장 데이터는 AWS 네이티브 암호화 기능을 활용합니다. 암호화 키는 CloudTrail을 통해 액세스가 감사되는 AWS KMS를 통해서만 관리됩니다. 인터넷 대면 엔드포인트는 마이크로서비스 액세스를 위한 API Gateway로 구성되며, ACM(AWS Certificate Manager)에서 발급한 인증서를 통한 TLS를 사용하여 모든 클라이언트 통신을 암호화합니다. API Gateway는 HTTPS 전용 정책을 적용하여 평문 HTTP 요청을 차단합니다. ECS 태스크 내의 내부 서비스 간 통신은 VPC 프라이빗 서브넷 내에서 발생하며, AWS Cloud Map 서비스 디스커버리가 마이크로서비스 간 암호화된 통신을 가능하게 합니다. 마이크로서비스에서 파트너 시스템으로의 외부 API 호출은 모든 요청에 HTTPS를 강제합니다. 저장 데이터 암호화에는 데이터 레이크 저장소(기술 정보, 매칭 데이터, 사용자 활동 로그)를 위한 AWS KMS 고객 관리 키를 사용하는 S3 버킷 기본 암호화가 포함되며, 업로드된 모든 문서와 분석 데이터를 자동으로 암호화합니다. RDS 데이터베이스 인스턴스는 KMS 관리 키로 저장 시 암호화를 활성화하여 데이터베이스 저장소, 자동 백업, 스냅샷이 암호화되도록 합니다. 비정형 기술 데이터를 저장하는 DocumentDB 컬렉션은 KMS 키를 사용하여 암호화됩니다. ECS 태스크 정의는 데이터베이스 자격 증명, API 키, 서비스 구성을 위한 AWS Secrets Manager에 저장된 암호화된 시크릿을 참조하며, 자동 키 로테이션 정책이 적용됩니다. Amazon ECR의 컨테이너 이미지는 저장 시 암호화됩니다. IAM 정책은 암호화 키에 대한 최소 권한 액세스를 강제하며, 모든 키 사용 작업은 보안 감사 및 컴플라이언스 추적을 위해 CloudTrail에 기록됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 세 번째 텍스트 저희 데이터 암호화 정책은 모든 고객 환경에서 저장 데이터와 전송 중 데이터에 대한 포괄적인 보호를 의무화합니다. 고객 관리 키와 함께 중앙 집중식 키 관리를 위해 AWS KMS를 활용하며, IAM 정책을 통한 엄격한 액세스 제어를 구현합니다. 모든 외부 엔드포인트는 TLS 1.2 이상 암호화를 요구하며, 저장 데이터는 AWS 네이티브 암호화 기능을 활용합니다. 인터넷 대면 엔드포인트에는 모바일 애플리케이션 액세스를 위한 API Gateway와 웹훅 통합을 위한 Lambda 함수 URL이 포함되며, ACM 인증서를 통한 TLS를 사용하여 모든 클라이언트 통신을 암호화합니다. API Gateway는 HTTPS 전용 정책을 적용합니다. OCR 서비스와 AI 모델 제공업체에 외부 API 호출을 하는 Lambda 함수는 모든 요청에 HTTPS를 강제합니다. Lambda 함수와 ElastiCache 간의 내부 통신은 전송 중 암호화가 활성화된 VPC 내에서 발생합니다. 저장 데이터 암호화에는 훈련 데이터 저장소(수학 문제 이미지, OCR 결과, 사용자 피드백 데이터)를 위한 AWS KMS 고객 관리 키를 사용하는 S3 버킷 기본 암호화가 포함되며, 업로드된 모든 콘텐츠를 자동으로 암호화합니다. ElastiCache Redis 클러스터는 AI 추론 결과 캐싱을 위한 저장 및 전송 시 암호화를 활성화합니다. 모델 저장을 위한 GPU 인스턴스에 연결된 EBS 볼륨은 KMS 키를 사용하여 암호화됩니다. 애플리케이션 로그와 AI 모델 성능 지표를 저장하는 CloudWatch Logs는 KMS 암호화를 사용합니다. AWS Secrets Manager는 자동 로테이션 정책과 함께 API 자격 증명, 모델 엔드포인트, 구성 매개변수를 저장합니다. 민감한 구성을 포함하는 Lambda 환경 변수는 KMS 키로 암호화됩니다. IAM 정책은 암호화 키에 대한 최소 권한 액세스를 강제하며, 모든 키 사용은 감사를 위해 CloudTrail에 기록됩니다. 데이터 암호화 정책: https://wishket-team.notion.site/encryption --- ## 네 번째 텍스트 이 프로젝트는 암호화를 자동으로 처리하는 Amazon Lightsail 관리형 서비스를 사용했습니다. Lightsail은 암호화 구성을 추상화하여 직접적인 KMS 키 관리나 사용자 정의 암호화 정책 없이 TLS 인증서와 데이터 암호화를 관리합니다.
## 제출 증빙 자료 | 문서 | 설명 | |------|------| | [데이터 암호화 및 키 관리 정책](/checklist/customer-examples/security-networking/netsec-002/encryption) | 전송 중/저장 중 암호화 정책, KMS 키 관리, 구현 체크리스트 | ## 요구사항 충족 근거 ### 1. 인터넷 노출 엔드포인트 암호화 **데이터 암호화 정책 섹션 2**에서 정의: - 모든 퍼블릭 엔드포인트 TLS 1.2 이상 - ALB/CloudFront SSL/TLS 인증서 관리 - HTTP → HTTPS 자동 리다이렉트 ### 2. 외부 엔드포인트 요청 암호화 **데이터 암호화 정책 섹션 3**에서 정의: - 외부 API 호출 시 HTTPS 필수 - 인증서 검증 필수 수행 - VPC Endpoint/PrivateLink 우선 검토 ### 3. 저장 데이터 암호화 (Encryption at Rest) **데이터 암호화 정책 섹션 4**에서 정의: - S3: SSE-S3 또는 SSE-KMS - EBS/RDS: 볼륨 암호화 기본 활성화 - DynamoDB, EFS/FSx 암호화 필수 ### 4. 암호화 키 관리 **데이터 암호화 정책 섹션 5**에서 정의: - AWS KMS 중앙 관리 - 고객별 CMK 사용 - 연 1회 자동 키 로테이션 - CloudTrail 키 사용 로깅 ### 5. 고객 구현 사례 **Funnels, Kotech Market, Happy EduTech** 구현에서 실증: - CloudFront/API Gateway TLS 1.2+ 적용 - S3, RDS, EBS KMS 암호화 - Secrets Manager 자동 키 로테이션
등록된 자료가 없습니다.
⏺ Route 53 커스텀 도메인 증빙이 NETSEC-002에 도움이 되는 이유 현재 Big Company는 NETSEC-002에서 "Not Met" 상태입니다. 기존 응답에서는 "Lightsail이 암호화를 자동으로 처리하므로 직접적인 KMS 키 관리나 커스텀 암호화 정책이 없다"고 기술되어 있습니다. 하지만 Route 53 커스텀 도메인 설정은 다음을 증명합니다: 1. 인터넷 노출 엔드포인트 명시 NETSEC-002 요구사항 중 "인터넷에 노출된 엔드포인트 요약 및 트래픽 암호화 방법"을 충족합니다. 커스텀 도메인이 있다는 것은 명확한 퍼블릭 엔드포인트가 존재한다는 증거입니다. 2. TLS 암호화 적용 증명 Lightsail에서 커스텀 도메인을 사용하려면 SSL/TLS 인증서가 필요합니다. 이는 전송 중 데이터 암호화가 구현되어 있음을 보여줍니다. 3. HTTPS 강제 적용 Lightsail 로드 밸런서를 통해 HTTP에서 HTTPS로 리다이렉트를 설정했다면, 암호화되지 않은 트래픽을 차단하는 정책이 있음을 증명합니다. 4. Lightsail 추상화에도 불구하고 보안 구현 Lightsail이 관리형 서비스라 해도 파트너가 의도적으로 보안 설정을 적용했음을 보여줍니다. 단순히 "자동으로 처리된다"가 아니라 "커스텀 도메인과 TLS를 적용하여 암호화를 보장했다"로 서술할 수 있습니다.