아마존 OpenSearch 서비스의 보안성과 성능 향상하기
아마존 OpenSearch 서비스에서 최근 도입한 새로운 전송 계층 보안(TLS) 정책인 Policy-Min-TLS-1-2-PFS-2023-10은 최신 TLS 1.3 프로토콜과 완벽한 전달 보안(PFS) 암호 모음을 포함한 TLS 1.2를 지원합니다. 이 새로운 정책은 보안을 강화하고 OpenSearch의 성능을 향상시킵니다.
새로운 TLS 정책의 도입 배경
이전까지 OpenSearch 서비스는 도메인 엔드포인트 보안을 위한 사전 정의된 TLS 정책을 제공했으며, 이를 통해 HTTPS를 적용해 트래픽을 종단 간 암호화할 수 있었습니다. 하지만 이러한 정책은 TLS 1.0과 TLS 1.2 같은 오래된 버전에만 제한되어 있었고 PFS 제공은 포함되지 않았습니다.
새로운 솔루션 개요
새로운 TLS 보안 정책은 TLS 1.3과 PFS를 구현하여 OpenSearch 서비스 도메인에 대한 보안성을 강화합니다. 이는 클라이언트와 OpenSearch 서비스 도메인 간의 트래픽 기밀성과 무결성을 향상시키며 민감한 데이터를 위한 더욱 안전하고 효율적인 통신 채널을 제공합니다. TLS 1.3은 레거시 TLS 암호를 겨냥한 특정 공격을 방지하고, 0-RTT 재개와 같은 향상된 기능을 제공하여 더욱 빠른 연결 시간을 보장합니다. PFS는 서버의 장기 비밀 키가 나중에 손상되더라도 과거 통신이 안전하게 유지되도록 하는 중요한 보안 강화 방법입니다.
실행하기 위한 사전 준비
이 새로운 정책을 사용하려면 다음이 필요합니다:
- 활성화된 AWS 계정
- OpenSearch 서비스 도메인 생성 및 수정 권한이 있는 AWS IAM 권한
OpenSearch 서비스에서 새로운 TLS 정책 활성화
새로운 TLS 정책을 활성화하려면 AWS Command Line Interface(AWS CLI)를 사용하여 다음 명령어를 입력하세요:
새 도메인 생성:
aws opensearch create-domain \
--domain-name my-domain \
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}' <other config options>
기존 도메인 업데이트:
aws opensearch update-domain-config \
--domain-name my-domain \
--domain-endpoint-options '{"TLSSecurityPolicy": "Policy-Min-TLS-1-2-PFS-2023-10"}'
클라이언트 측 고려 사항
대부분의 최신 클라이언트 및 라이브러리는 기본적으로 TLS 1.3 및 TLS 1.2와 PFS를 지원해야 합니다. 그러나 호환성 문제나 기타 문제가 발생하는 경우, 클라이언트 라이브러리 또는 설정을 업데이트하여 새 TLS 정책 지원을 활성화해야 할 수 있습니다.
결론
새로운 Policy-Min-TLS-1-2-PFS-2023-10 보안 정책은 OpenSearch 서비스에 대한 보안성과 성능 향상을 제공합니다. TLS 1.3 및 PFS와 함께 TLS 1.2를 지원함으로써 데이터 전송 보안을 강화하고 빠른 연결 시간을 제공합니다. 새로운 TLS 보안 정책을 사용하여 OpenSearch 서비스 도메인에 연결할 때 보안성을 개선할 것을 권장합니다.
더 읽어보기
더 많은 정보는 다음 링크에서 확인할 수 있습니다: AWS OpenSearch 서비스 TLS 옵션 [1]