Default VPC Walkthrough 새로운 AWS 계정은 모두 기본 VPC가 있고 바로 사용할 수 있으며 계정을 시작하면 VPC는 하나만 생성됨 새로운 EC2 인스턴스는 서브넷을 지정하지 않으면 기본 VPC에 실행됨 기본 VPC는 처음부터 인터넷에 연결되어 있어서 인스턴스가 인터넷에 액세스하고 내부의 EC2 인스턴스는 공용 IPv4 주소를 얻기 때문에 EC2 인스턴스를 생성하자마자 연결할 수 있음 EC2 인스턴스를 위한 공용 및 사설 IPv4 DNS 이름을 얻음 VPC 콘솔 - Your VPCs 이름은 없지만 기본 VPC가 생성되어 있으며 IPv4 CIDR 블록을 확인할 수 있음 172.31.0.0/16이면 IP의 마지막 옥텟 두 개가 변경될 수 있다는 뜻이므로 .255.255까직 가능하므로 범위..
Understanding CIDR – IPv4 클래스 없는 도메인 간 라우팅을 CIDR(Classless Inter-Domain Routing)이라고 함 IP 주소를 할당하는 방법으로 보안 그룹 규칙과 AWS의 네트워킹을 다룰 때 사용됨 단순한 IP 범위를 정의하는데 도움을 줌 122.149.196.85/32 같이 /32 로 끝나는 IP 주소는 IP 하나만 나타냄 0.0.0.0/0 같이 /0 으로 끝나는 IP 주소는 모든 IP를 나타냄 192.168.0.0/26 같이 /26 으로 끝나는 IP 주소는 64개의 IP 주소를 뜻함 CIDR의 구성 요소는 두 개 기본 IP : 범위에 포함된 IP로 범위의 시작이 되며 범위 내부에 있기도 함 예) 10.0.0.0 또는 192.168.0.0 등 서브넷 마스크 : I..
AWS Shared Responsibility Model AWS responsibility : 클라우드의 보안을 뜻함 AWS가 사용자에게 제공되는 모든 인프라인 하드웨어, 소프트웨어, 시설, 네트워킹을 보호 (S3, DynamoDB, RDS 등) Customer responsibility : 사용자의 책임을 뜻함 EC2 인스턴스의 경우 고객인 사용자가 운영체제 관리 책임(운영체제 패치, 업데이트 포함 등)을 가짐 이를 위해 방화벽을 구성해야 하므로 네트워크 ACL과 보안 그룹을 구성하고 IAM 인스턴스 역할을 통해 EC2 인스턴스가 올바른 IAM 정보를 가지게 Shared controls : 공유된 제어 항목 패치 관리와 구성 관리, 인지 및 교육 등이 있으며 AWS와 사용자에게 공유됨 패치 관리 예1)..
Amazon Macie 완전 관리형의 데이터 보안 및 데이터 프라이버시 서비스이며 머신 러닝과 패턴 일치를 사용하여 AWS의 민감한 정보를 검색하고 보호 즉, 민감한 데이터인 개일 식별 정보(PII : Personally Identifiable Information 같은 정보)를 경고 예) PII 데이터가 S3 버킷에 있을 때 Macie가 이것을 분석한 후 PII로 분류되는 데이터를 검색하여 CloudWatch 이벤트가 EventBridge로 검색 결과를 알려줌 그 후 CloudWatch 이벤트와 통합해서 SNS Topic이나 람다 함수와 통합하여 S3 버킷의 민감한 정보를 찾아냄 원하는 S3 버킷을 지정해 이 기능을 활성화하면 됨
Amazon Inspector EC2 인스턴스에서 자동 평가를 실행 즉, 오직 EC2 인스턴스에만 해당하며 AMI나 RDS 등에서는 사용되지 않음 실행 중인 운영체제를 분석하고 알려진 취약성을 확인하도록 도움 의도하지 않은 네트워크 접근성에 대해 분석할 수도 있음 이런 모든 평가를 위해 EC2 인스턴스의 운영체제에 AWS 인스펙터 에이전트를 설치해야 함 평가가 실행되면 취약성 목록을 보고받고 SNS로 해당 보고서에 대한 알림을 보낼 수 있음 EC2에 인스펙터 에이전트를 설치하면 인스펙터 서비스와 연결되고 평가를 실행할 수 있으며 탐지 결과는 알림으로 보내지며 SNS Topic으로 전송됨 What does AWS Inspector evaluate? 인스펙터가 평가하는 것 에이전트가 필요 없는 평가에는 네트..
Amazon GuardDuty 지능형 위협 탐지 서비스로 AWS 계정을 보호 많은 로그를 분석해서 머신 러닝 알고리즘과 이상 탐지 기술, 타사 데이터를 사용해서 계정에 대한 공격을 탐지 30일 평가판을 제공하며 소프트웨어를 설치할 필요는 없음 로그들은 GuardDuty 입력 데이터로 들어오면 CloudTrail 로그는 비정상적인 API 호출이나 무단 배포를 탐지 VPC 플로우 로그는 비정상적인 내부 트래픽이나 비정상 IP 주소를 탐지 DNS 로그는 DNS 쿼리 인코딩 데이터를 보내는 손상된 EC2 인스턴스를 탐지 CloudWatch 이벤트 규칙을 설정하여 GuardDuty 탐지 결과를 알릴 수 있음 CloudWatch 이벤트 규칙의 대상은 람다 함수나 SNS Topic이 될 수 있으며 이메일 경보 등을 ..
AWS Shield 분산 서비스 거부 공격인 DDoS 공격으로부터 스스로를 보호하려면 AWS 실드를 사용해야 함 AWS 실드에는 두 가지 종류가 존재 AWS Shield Standard 모든 AWS 고객에 적용되는 무료 서비스이며 SYN/UDP Floods와 반사 공격, 3계층/4계층 공격으로부터 보호 AWS Shield Advanced DDoS 공격에 대한 완화 서비스를 제공하며 비용은 조직당 매달 3000달러 더 정교한 공격을 보호해주고 EC2, ELB, CloudFront, Global Accelerator, Route 53 서비스를 대상으로 사용 또한 DDoS 대응 팀인 DRT(DDoS response team)에 항상 액세스 가능 DDoS 공격 때문에 로드 밸런서 등의 그룹이 크게 확장됨에 따라..
