Cloud/Amazon Web Service 12

thumbnail 기본 썸네일
Cloud/Amazon Web Service

퍼블릭 클라우드(AWS) 침해사고 대응 전략

퍼블릭 클라우드(AWS) 침해사고 대응 전략사고는 "발생하면"이 아니라 "발생할 때"를 기준으로 준비해야 한다.들어가며온프레미스에서는 네트워크 장비 로그를 뒤지고 서버에 직접 접속하여 포렌식을 수행했다. 하지만 AWS 같은 퍼블릭 클라우드 환경에서의 침해사고 대응은 전혀 다른 접근이 필요하다. 물리 서버 대신 API가 있고, 네트워크 탭 대신 VPC Flow Logs가 있으며, 디스크 이미징 대신 스냅샷이 있다.이 글에서는 27회 해킹방지워크샵에서 발표된 AWS 사고대응 전략을 기반으로, 클라우드 환경에서의 IR(Incident Response) 체계를 정리한다.1. 클라우드 사고 대응(IR)이란?의심되는 사이버 보안 사고에 대해 대비, 탐지, 억제 및 복구를 수행하는 데 활용되는 인력, 프로세스 및 기..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

AWS Trusted Advisor로 보안, 비용, 성능 최적화하기

AWS Trusted Advisor로 보안, 비용, 성능 최적화하기AWS가 직접 인프라를 점검해주는 "무료 컨설턴트"를 활용하고 있는가?들어가며AWS 인프라를 운영하다 보면 "지금 내 설정이 제대로 되어 있는 건가?"라는 의문이 생기곤 한다. Security Group이 너무 열려 있지는 않은지, 비용을 낭비하고 있지는 않은지, 가용성은 충분한지 — 일일이 확인하기엔 리소스가 너무 많다.AWS Trusted Advisor는 이런 고민을 해결해주는 서비스다. AWS 인프라를 자동으로 검사하고, 보안, 비용, 성능, 안정성, 서비스 한도 등 5가지 관점에서 모범 사례 기반의 권장 사항을 제공한다.1. Trusted Advisor란?Trusted Advisor는 AWS 인프라를 수동적으로(passively) ..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

AWS IAM 심화 — Identity & Federation, Cognito, STS 이해

AWS IAM 심화 — Identity & Federation, Cognito, STS 이해멀티 계정, 외부 사용자, 임시 자격 증명 — IAM의 심화 세계를 파헤친다.들어가며IAM 기초(사용자, 그룹, 역할, 정책)를 넘어서면, AWS에서의 자격 증명 관리는 훨씬 넓고 깊은 세계가 펼쳐진다. 특히 멀티 계정 환경, 외부 사용자 연동, 임시 자격 증명 같은 개념은 실무에서 반드시 마주치게 된다.이 글에서는 IAM 정책의 고급 문법, STS를 통한 임시 자격 증명, Identity Federation의 다양한 유형, 그리고 Cognito와 AWS Directory Services까지 포괄적으로 정리한다.1. IAM 정책 심화JSON 정책 구조 복습IAM 정책은 JSON 형태의 문서로, 핵심 요소는 다음과 ..
기본 썸네일
Cloud/Amazon Web Service

AWS 계정 보안 설정 가이드 — MFA, 루트 계정 관리, IAM 정책

AWS 계정 보안 설정 가이드 — MFA, 루트 계정 관리, IAM 정책AWS 계정을 만들고 가장 먼저 해야 할 일은 "보안 설정"이다.들어가며AWS 계정을 생성하면 기본적으로 루트 사용자가 모든 권한을 갖게 된다. 이 상태로 서비스를 운영하는 것은 관리자 비밀번호가 적힌 포스트잇을 모니터에 붙여두는 것과 같다.이 글에서는 AWS에서 공식적으로 권장하는 AWS Startup Security Baseline(SSB)의 계정 보안 항목(ACCT.01~ACCT.12)을 기반으로, 계정을 안전하게 구성하는 방법을 단계별로 정리한다.1. 계정 연락처 설정 (ACCT.01)왜 중요한가?AWS에서 보안 이슈가 발생하면 등록된 연락처로 알림을 보낸다. 연락처가 더 이상 사용하지 않는 개인 이메일이라면 중요한 보안 알림..
기본 썸네일
Cloud/Amazon Web Service

AWS 보안 기초 — 공동 책임 모델과 핵심 보안 서비스

AWS 보안 기초 — 공동 책임 모델과 핵심 보안 서비스클라우드 보안의 첫걸음은 "누가 무엇을 책임지는가"를 이해하는 것이다.들어가며AWS를 처음 접하는 보안 엔지니어라면, 가장 먼저 마주치는 개념이 바로 공동 책임 모델(Shared Responsibility Model)이다. 온프레미스 환경에서는 물리 서버부터 애플리케이션까지 모든 보안을 우리가 책임졌지만, 클라우드에서는 이야기가 달라진다.이 글에서는 AWS 보안의 근간이 되는 공동 책임 모델을 살펴보고, AWS가 제공하는 핵심 보안 서비스들을 정리한다. 클라우드 보안 시리즈의 첫 번째 글로, 이후 계정 보안, IAM 심화, 침해사고 대응 등으로 이어질 예정이다.1. 공동 책임 모델이란?AWS 공동 책임 모델은 보안 책임을 AWS와 고객이 나누어 갖는..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

AWS EC2 Instance Storage (AWS EC2 인스턴스 스토리지 종류)

EBS ( Elastic Block Storage ) 네트워크 드라이브 이기 때문에 인터넷 연결이 없으면 사용할 수 없다. ⇒ 네트워크 드라이브 이기 때문에 연결도 해제도 상당히 자유롭다. ⇒ 대체 작동으로 사용 가능 EBS는 EC2와 마찬가지로 사용 범위가 AZ 내로 한정된다. 한 개 인스턴스에 여러 개 EBS를 부착할 수 있다. EBS는 사용하지 않을 시 생성만 하고 연결하지 않을 수 있다. EBS는 처음 생성 시 인스턴스 종료 시 EBS볼륨 자동 삭제라는 기능이 활성화 되어있는데 삭제를 원하지 않을 경우 비활성화 할 수 있다. EBS 는 볼륨이기 때문에 처음 생성 시 용량, 프로비전 속도 등을 고려해 생성해야 하지만 이후에 용량을 늘릴 수도 있다. EBS Snapshot 기능 EBS Asnapsho..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

IAM(Identity Access Management) 계정 관리 및 Key Pair 관리 (IAM 보안)

계정 관리 계정 관리자는 IAM 자격 증명(사용자, 그룹, 역할)에 권한 정책을 연결 할 수 있으며, 적절한 권한을 통해 서비스 관리가 이루어져야 한다. 사용자 계정 (IAM User) 관리 Full Access 권한 등 중요도가 높고 강력한 AWS 관리형 정책은 관련 담당자외 다른 IAM 계정에 권한 할당이 되지 않도록 주의해야 한다. 특히 위 사진과 같은 AdministratorAccess 권한은 다수의 IAM 계정에 설정되지 않도록 매우 주의해야 한다. 또한, 불필요한 계정(임직원 계정, 테스트 계정, 미사용 계정 등)은 제거하도록 한다. 이를 제거함으로써 공격 표면을 줄일 수 있다. IAM 사용자 계정 단일화 관리 기본적으로 AWS IAM 계정 생성 시 1인 1계정 발급 원칙을 가지고, 1명의 담..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

AWS IAM(Identity Access Management) ? / IAM 기본적인 보안 설정

AWS IAM ? IAM은 Identity Access Management의 악어로 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있게 해주는 서비스이다. 즉, AWS의 사용자 계정, 권한, 역할 등을 관리할 수 있는 서비스이다. AWS 계정을 생성할 떄는 해당 계정의 모든 AWS 서비스 및 리소스에 대한 Full Access 권한이 있는 계정으로 시작하게 되는데 이 사용자를 "루트 사용자"라고 하고, 처음 시작 할 경우 Email 및 Password를 통해 액세스할 수 있게 된다. 이는 AWS를 사용함과 동시에 MFA(Multi-Factor Authentication)를 설정하고 일상적인 작업에서는 루트 사용자 계정을 사용하지 않는 것을 권장한다. 루트 사용자 계정을 일상 작업에 사용하지 않는 것을..
thumbnail 기본 썸네일
Cloud/Amazon Web Service

Amazon S3(Simple Storage Service) / S3를 이용한 정적 웹 배포

Amazon S3 ? Amazon S3는 Simple Storage Service 의 약어로 AWS에서 제공하는 객체 기반 스토리지 서비스이다. Amazon S3 용도 백업과 스토리지로 활용된다. 재해 복구의 용도 ⇒ ex ) 리전이 다운되는 경우 다른 리전으로 백업할 때 해당 데이터 백업 아카이브용 ⇒ S3에 파일을 아카이브해두면 추후 매우 쉽게 검색할 수 있다. 하이브리드 클라우드 스토리지 ⇒ 온프레미스 → 클라우드 확장을 원할 경우 미디어 호스팅 다량의 데이터를 저장하고, 빅 데이터 분석을 수행하기 위해 사용 정적 웹 사이트 호스팅 버킷 이름은 다른 AWS 계정의 버킷이름과 중복될 수 없다. 버킷은 전역적이지 않기 때문에 단 1개의 리전에서만 생성되고 존재한다. 자세한 S3에 관한 내용은 아래 공식..

티스토리툴바