본문 바로가기

Security

 (29)
[실습] East-West 구간 TGW Flow Log로 방화벽 대체 2023년 9월부터 2024년 4월까지 프로젝트를 수행하고 복귀하였습니다. 블로그 작성 시 노션이 편리하다고 판단하여 향후에는 노션에서 블로그 작성할 예정입니다.  "[실습] East-West 구간 TGW Flow Log로 방화벽 대체"를 보고 싶으시면 아래 링크를 클릭하여 주세요https://encouraging-firewall-932.notion.site/East-West-TGW-Flow-Log-90cc8fdcad1f4a579faf4604f8811ce5 East-West 구간 TGW Flow Log로 방화벽 대체 | Notion안녕하세요 서후아빠입니다. ^_^ 이번 세션은 East-West(VPC~VPC, VPC ~ On-premise)구간에서 방화벽을 사용하지 않고 Flow log로 대체하는 방법에..
[실습] EKS - Cluster에 대해서 kubectl 접근 허용 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 kubectl을 통하여 Cluster를 접근 허용에 대한 개념과 실습을 해보겠습니다. EKS Cluster는 AdministratorAccess 권한이 있는 IAM user일지라도 Cluster에 접근 허용을 별도 설정해 주어야 합니다. 구성도 bastionA는 userA 전용으로 로컬에 clusterA, clusterB에 대한 정보를 저장하고, userA에 대한 접근이 허용된 2개의 cluster에 접근합니다. (context 전환을 통하여 cluster를 접근하므로 cluster가 헷갈리는 경우 발생 가능) bastionB와 bastionC는 공용으로 1개의 cluster에 대한 정보를 저장하고, 여러 사용자가 리소스 기반으로 허용된 각 cluster에 ..
[실습] AWS Security Hub 구성하기 (GuardDuty, Inspector, Macie, Config, Detective, EventBridge 등) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS Security Hub를 구성하는 실습을 해보겠습니다. Security Hub는 침해 사고를 통합적으로 대응하는데 중요한 역할을 하는 서비스입니다. 이전에 공부한 GuardDuty, Inspector, Macie, Detective와 함께 연계하여 EventBridge를 통하여 대응하도록하는 연결고리이기 때문입니다. 내용은 간단하기 때문에 구성도 이해에 중점을 두시기 바랍니다. 구성도 [1단계 : 원본 데이터] VPC, CloudTrail, S3 등을 사용 중이라면 별도 설정이 불필요하며, Inspector 경우는 IAM, VPC Endpoint, SSM Agent 설치 등 별도 조치가 필요합니다. [2단계 : 탐지] GuardDuty, Inspect..
[실습] Amazon Inspector 구성하기 (VPC endpoint, SSM, S3, KMS) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Inspector를 구성하고, 검출 결과를 S3에 저장하는 실습을 해보겠습니다. EventBridge를 통한 SNS 및 CloudWatch 연동은 Amazon macie 구성과 동일한 부분으로 생략하였습니다. 구성도 Inspector를 사용하기 위해서는 Inspector(or ssm) agent를 Instance에 설치해야 하며, Inspector(or ssm) agent는 기본적으로 Public으로 통신하기 때문에 Public 통신이 불가능한 Instance를 위해서 VPC endpoint를 생성해야 합니다. 만약 위 구성도처럼 VPC endpoint가 생성된 경우에는 pubA-ec2 or ecs-ec2-cluster도 VPC endpoint(ssm-ep-..
[실습] Amazon Macie 구성하기 (Security Hub, EventBridge, SNS, CloudWatch 구성) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Maice에 EventBridge와 SNS, CloudWatch를 연결하여 관리자에게 알림을 보내고 Logging하는 내용과 Security Hub로 연결하는 실습을 해보겠습니다. Security Hub로 전달된 내용을 처리하는 것에 대해서는 추후 Security Hub 내용에서 다루도록 하겠습니다. 구성도 사용자가 S3 bucket(mybucket)에 민감한 정보가 담긴 파일을 업로드하면 Macie에서 이를 탐지하면 탐지 결과를 EventBridge, Security Hub로 전달합니다. 또한, Macie의 job 로그는 CloudWatch(...classificationjobs)로 전달하고, 탐지 결과에 대해서 사용자는 S3 bucket(maciebuck..
[이론] Amazon Macie 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon Macie에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. Amazon Macie는 완전 관리형 서비스이며, 민감한 개인정보를 보호하는 서비스입니다. 개요 기계 학습 및 패턴(정규식) 일치를 사용하여 개인정보나 민감한 데이터를 검색, 모니터링 및 보호 버킷과 객체에 대한 메타데이터를 주기적으로 자동 검색 버킷의 상태(공개 액세스 여부, 암호화 여부 등) 시각화 AWS Organizations를 통한 다중 계정 지원 AWS CloudTrail에서 S3 데이터 이벤트를 활성화하는 것 불필요 : 비용 절감 민감한 데이터 구분 항목 내용 관리형 데이터 자격증명 AWS secret access key, JWT, HTTP 인증 ..
[실습] Amazon Detective 사용해보기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Detective를 사용하는 실습을 해보겠습니다. Security Hub를 활성화하지 않고 GuardDuty만 활성화해도 사용이 가능한 서비스입니다. 다양한 탐지(Findings) 결과에 대해서 오탐인지, 침해사고인지 분석할 수 있는 능력이 필요합니다. 구성도 AWS의 다양한 서비스에서 Findings 결과에 대해서 분석합니다. 사전 작업 서비스 활성화 : GuardDuty, Inspector, Macie, Security Hub 등은 설명 생략합니다. 1단계 : Detective 활성화 (리전별) Detective > Get started > Attach IAM polic에서 권한 부여(기본값으로 진행) > Enable Amazon Detective (최초..
[이론] Amazon Detective 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Detective에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. Detective는 GuardDuty와 비슷하면서 차이가 있는데요. GuardDuty는 로그를 수집하여 이상 징후를 탐지(심각도 및 간단한 정보 제공, 오탐 발생)하는 서비스이고, Detective는 로그를 수집하여 분석(그래프, 건수, 관계 등 상세한 정보 제공) 및 가시성을 제공하는 서비스입니다. 이상 징후에 대해서 GuardDuty를 통해 알림받고, Detective를 통해 원인 규명 및 후속 조치를 하는 프로세스를 만들 수 있습니다. 개요 보안 탐지 결과 또는 의심스러운 활동의 근본 원인을 쉽게 분석 및 식별 사용자의 로그 데이터를 자동으로 수집(Behavi..
[실습] Amazon GuardDuty 실습하기 (EventBridge, SNS, CloudWatch 구성) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 GuardDuty에 EventBridge와 SNS, CloudWatch를 연결하여 관리자에게 알림을 보내고 Logging하는 실습을 해보겠습니다. 구성도 Cloud Shell에서 EC2 or S3에 대해서 Sample 공격을 시도하면 GuardDuty가 탐지합니다. EventBridge(ebRule)는 GuardDuty의 탐지 결과를 SNS로 호출합니다. SNS(mytopic)는 구독(user01@gtek.com)과 Publish에 연결된 Lambda(mytopicfunction)를 호출합니다. Lambda는 event 내용을 CloudWatch Log group(/aws/lambda/mytopicfuntion)로 호출합니다. 1단계 : SNS 설정 SNS ..
[이론] Amazon GuardDuty 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Amazon GuardDuty에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. GuardDuty는 탐지기능(차단하지 않음)이 주 기능이며, 탐지된 정보를 Detective에서 분석 및 차단되도록 설정하거나 Lambda를 통하여 자동화 되도록 설정이 필요합니다. 개요 AWS에서 발생하는 데이터 및 AWS 환경에 대해서 분석/처리하여 지속적으로 모니터링하면서 예기치 않게 발생하는 잠재적 무단 활동과 악의적 활동을 탐지합니다. 모든 리전에서 활성화를 권장하며, CloudTrail, VPC Flow Log, DNS Log 등은 활성화하지 않고도 사용할 수 있습니다. 동작 원리 AWS 환경의 권한 Escalation : 노출된 자격 증명 ..

티스토리툴바