티스토리 뷰
안녕하세요. 최근 Security Hands-On을 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 AWS 사용자그룹 security 소모임 내용을 기반으로 했습니다.
클라우드 보안에 대한 생각은? 무엇이 클라우드 보안인가?
- aws security is job zero
- AWS 규정 준수 프로그램
- Shared Responsibility Model(공동 책임 모델)
- 벤더가 control 할 수 있는 영역과 고객이 control 할 수 있는 영역이 나뉘어있음
- 3rd party 경우도 구성 방법에 따라 공유 책임 모델이 달라짐
- 예)customer — EC2 Linux 인스턴스에서 열려있는 포트를 결정하는 SG 그룹 규칙 구성, 최신 보안 패치로 운영체제 패치, S3 버킷에 대한 서버측 암호화 기능 사용
- 벤더 (AWS)— 물리적 데이터 센터를 모니터링하기 위한 카메라 시스템 설치, 데이터 센터에서 디스크 드라이브 파쇄, 하이퍼바이저 수준에서 패킷 스니핑 방지, AWS 데이터 센터 내부의 내부 네트워크 보안
Organized Around Core — Cloud Adaption Framework(security perspective)
- identity and access management : 식별, 인증, 인가(누가 어디에 어떻게) ex) IAM, SSO…
2. detective controls : 문제 발생 시 저장하고 finding ex) logging, monitoring, config
3. infrastructure protection : network security, ex) SG, WAF, ddos
4. data protection : 전송/저장 데이터 보안(encryption at rest, encryption in transit) ex) KMS, HSM
5. incident response : 앞의 1~4번 과정이 어느 정도 구성된 후 가능. public cloud에서는?
실습
WAFV2 Automation block
- aws, cloudfront, alb, cognito, api gateway, appsync
- 3rd party rules migration 쉽지 않음
- Signature-Based vs. Rule-Based WAFs — Penta Security
- AWS WAF를 통한 웹 공격 방어 정책 설정 및 오탐 예외 처리하기
- GWLB + 3rd party WAF
WAF 실습
웹 공격에 취약하도록 의도된 web application ( DVWA ) 에서 AWS WAF 를 통해 웹 공격을 차단하는 방법
GuardDuty
- Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다.[이전 [aws] GuardDuty, Macie, Inspector 글 참고]
- GuardDuty는 detection 기능을 담당합니다.
- IPS 는 악성 트래픽을 식별하고 그러한 트래픽이 네트워크에 유입되는 것을 사전에 차단하는 기능을 담당합니다.
실습
- template — cloudformation(waf-v2-workshop.template) (admin/password)
2. s3 — 미리 s3 생성 후 실습 파일(prune_old_entries.zip, guarddutytoacl_V3_210309.template, guardduty_to_acl_lambda.zip) 업로드 후 해당 s3 url로 cloudformation 생성
3. WAF — ALB에 붙이기
1)Web ACLs
IP sets
- add my own rules and rule groups 선택
blog migration project
written in 2022.12.17
https://medium.com/techblog-hayleyshim/aws-security-fd7ef8b7cefd
written in 2022.12.17
https://medium.com/techblog-hayleyshim/aws-security-fd7ef8b7cefd
'IT > Infra&Cloud' 카테고리의 다른 글
| [aws] AppStream 2.0 (0) | 2023.10.29 |
|---|---|
| [gcp] GKE troubleshooting (0) | 2023.10.29 |
| [csp]Hierarchy Architecure & API/API Gateway (0) | 2023.10.29 |
| [gcp] GKE Implementation & CLI Configuration (0) | 2023.10.29 |
| [aws] Developing on AWS (0) | 2023.10.29 |
최근에 올라온 글
최근에 달린 댓글
- Total
- Today
- Yesterday
TAG
- controltower
- GKE
- k8s
- 혼공챌린지
- 도서
- 파이썬
- 혼공단
- NFT
- OS
- k8s cni
- 혼공파
- GCP
- 국제 개발 협력
- VPN
- EKS
- terraform
- SDWAN
- S3
- AWS
- PYTHON
- IaC
- NW
- AI
- k8s calico
- gcp serverless
- security
- cloud
- operator
- cni
- handson
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 |
글 보관함