create value with tech, not tool

안녕하세요. CloudNet@ K8S Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 EKS docs와 workshop을 기본으로 정리하였습니다. 실습 환경 # YAML 파일 다운로드 $ curl -O https://s3.ap-northeast-2.amazonaws.com/cloudformation.cloudneta.net/K8S/eks-oneclick5.yaml # CloudFormation 스택 배포 예시) aws cloudformation deploy --template-file eks-oneclick5.yaml --stack-name myeks --parameter-overrides KeyName=kp-hayley3 SgIngressSshCidr=$(curl..

안녕하세요. 최근 Security Hands-On을 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 AWS 사용자그룹 security 소모임 내용을 기반으로 했습니다. 클라우드 보안에 대한 생각은? 무엇이 클라우드 보안인가? aws security is job zero AWS 규정 준수 프로그램 Shared Responsibility Model(공동 책임 모델) 벤더가 control 할 수 있는 영역과 고객이 control 할 수 있는 영역이 나뉘어있음 3rd party 경우도 구성 방법에 따라 공유 책임 모델이 달라짐 예)customer — EC2 Linux 인스턴스에서 열려있는 포트를 결정하는 SG 그룹 규칙 구성, 최신 보안 패치로 운영체제 패치, S3 버킷에 대한 서버측..

안녕하세요. AWS EKS Hands On 내용을 공유하기 위해 작성한 글입니다. 참고 : https://www.eksworkshop.com/ PREREQUISITES https://www.eksworkshop.com/020_prerequisites/ https://www.eksworkshop.com/030_eksctl/ Beginner os 보안 적용 운영적인 측면에서 중요 SELinux(using 컨텍스트)를 이용한 컨테이너 호스트 격리 AppArmor unix : CHROOT container image 보안 image 저장소 보안 k8s user/service account user account service account : application level 권한 컨트롤 RBAC Role-bas..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. Guardducy, Macie, Inspect는 aws security service 중 detect 기능을 담당하는 서비스로 보안 위협을 감지해줍니다. AWS security services GuardDuty Amazon GuardDuty는 AWS 계정 및 워크로드에서 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하여 가시성 및 해결을 촉진하는 위협 탐지 서비스입니다. 아래와 같은 기능을 제공합니다. AWS 계정, EC2 워크로드, 컨테이너 애플리케이션 및 S3 모니터..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. SNS(Simple Notification Service) SNS는 메시지 전송 서비스 입니다. 메시지를 게시할 때 암호화 하기 위해 KMS에서 제공하는고객마스터키(CMK)를 사용합니다. SNS 서비스 → 주제생성 유형 : 표준 이름 : yhshimsec 표시이름 : yhshimsec SNS 서비스 → 구독생성 주제 : yhshimsec 선택 프로토콜 : 이메일 선택 엔드포인트 : SNS 알림을 수신할 이메일 주소 작성 SNS 서비스 → 주제 → yhshimsec → 구독자상..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. ELB ELB를 통해 트래픽을 부하분산합니다. 아래 그림과 같이 ELB Owner/IAM User가 console, api, cli 등으로 ELB를 생성하게 되고 사용자 트래픽에 따라 ALB, NLB 등이 서버 앞단에 배치되어 트래픽을 부하분산해줍니다. Overview of AWS Elastic Load Balancer (ELB) 여기에 도메인을 붙이기 위해 AWS route53 서비스를 사용하거나 인증서 발행을 위해 ACM 서비스를 사용해서 TLS 설정으로 보안을 강화해줄 ..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. 암호화는 키를 사용해 평문을 암호문으로 변환하는 프로세스입니다. 동일한 키를 사용해 암호문을 평문으로 변환할 수 있는데, 이를 복호화라고 합니다. AWS 키 관리 서비스 KMS는 공유 하드웨어 보안 모듈HSM 을 사용하면서 암호화키를 생성하고 관리할 수 있게 도와줍니다. CloudHSM은 AWS 내에서 암호화키를 관리할 수 있지만 보안 강화를 위해 전용 HSM을 사용할 수 있는 서비스입니다. KMS AWS Key Management Service(AWS KMS)는 데이터를 보..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. AWS Systems Manager AWS Systems Manager는 클라우드에서 실행되는 애플리케이션 및 인프라를 관리하는 데 도움이 되는 기능입니다. Systems Manager는 애플리케이션 및 리소스 관리를 간소화하고, 운영 문제를 감지하고 해결하는 시간을 단축하며, AWS 인프라를 규모에 따라 안전하게 운영 및 관리하는데 도움이 됩니다. Systems Manager 작동 방식 Systems Manager 일반적인 예 Systems Manager 액세스 System..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. [aws] S3 Security — 3. 동일한 계정의 S3 계정 접근편 다음으로 [aws] S3 Security — 4. S3 사전 서명된 URL 생성에 대해 알아봅시다. 4. 유효 기간이 설정된 S3 사전 서명된 URL 생성 서명된 URL은 만료 기간 안에 S3 자원에 접근할 수 있는 임시권한입니다. 콘솔은 불가하고 CLI로 API를 호출하거나 SDK를 이용해야합니다. pip3 install boto3 설치 CLI를 통해 서명된 URL을 먼저 설치합니다. # 서명된 URL..

안녕하세요. 최근 CloudNet@ AWS Security Study를 진행하며 해당 내용을 이해하고 공유하기 위해 작성한 글입니다. 해당 내용은 ‘쉽게 적용하는 AWS 보안 레시피’ 책과 AWS Docs 내용을 기반으로 했습니다. [aws] S3 Security — 2. S3 버킷 정책 생성편 다음으로 [aws] S3 Security — 3. 동일한 계정의 S3 교차 지역 복제에 대해 알아봅시다. 3. 동일한 계정의 S3 교차 지역 복제 S3 버킷으로 교차 리전 복제를 구현합니다. 버킷에 대해 리전 간 복제가 활성화된 경우 버킷의 데이터가 다른 리전의 버킷에 비동기적으로 복사됩니다. 교차 리전 복제는 데이터 내구성 향상 및 재해 복구를 지원합니다. 규정준수 및 더 나은 레이턴시 효과가 있습니다. USE..