클라우드 설정 진단 - EBS/DB Snapshot Public 공유
점검 결과
| 스냅샷 | 타입 | 공개 공유 | 평가 |
|---|
| snap-12345678 | EBS | Yes | 위험! |
| rds-snapshot-prod | RDS | Yes | 위험! |
| snap-87654321 | EBS | No | 안전 |
공개 스냅샷 분석
# EBS Snapshot 속성
aws ec2 describe-snapshots --snapshot-ids snap-12345678
{
"Snapshots": [{
"SnapshotId": "snap-12345678",
"Public": true,
"VolumeSize": 100,
"Encrypted": false,
"Description": "Production Database Volume"
}]
}
[위험 요소]
- 암호화되지 않은 상태로 공개
- 누구나 복사하여 EC2 인스턴스 생성 가능
- 데이터베이스의 모든 데이터 노출
- 백업에서 민감한 정보 추출 가능
# RDS Snapshot 속성
aws rds describe-db-snapshots --db-snapshot-identifier rds-snapshot-prod
{
"DBSnapshots": [{
"Public": true,
"StorageEncrypted": false,
"DBSnapshotIdentifier": "rds-snapshot-prod"
}]
}
[영향]
- 복호화되지 않은 데이터베이스 접근 가능
- 사용자 정보, 금융 데이터 노출
조치 가이드
- 스냅샷 공개 공유 비활성화: aws ec2 modify-snapshot-attribute
- 암호화 활성화: EBS 및 RDS 암호화 필수
- 스냅샷 보관 정책: 불필요한 스냅샷 자동 삭제
- 접근 제어: 특정 계정/역할만 공유