Security (29) 썸네일형 리스트형 [실습] AWS Secrets Manager 실습하기 (Lambda를 이용한 RDS 비밀번호 자동 변경) 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS Secrets Manager를 이용하여 RDS(MySQL) Password를 변경하는 실습을 해보겠습니다. 그리고, Application에서 Secrets Manager 호출하는 실습도 해봐야하는데요. 인프라 엔지니어의 지식의 한계가 있어서 이번 세션에서는 진행하지 못할 것 같습니다. 아시는 분 댓글에 링크 주시면 너무 고마울 것 같습니다. 구성도 Lambda(SecretsManagerlambdaA)의 위치는 Public subnet에 위치하지 않아도 됩니다. 편의상 저 위치에 배치한 것입니다. 사전 작업 인프라 생성 : vpc, subnet, igw, routing table, ec2 등은 설명 생략합니다. 2022.07.02 - [Networkin.. [이론] AWS Secrets Manager 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 Secrets Manager에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 개요 어플리케이션에는 노출 시 문제가 되는 비밀값 존재(ex : 데이터베이스 접속정보 등) 비밀값을 AWS Secrets Manager에 저장해놓고, Application에서 API를 호출하여 받아가는 방식 비밀값 저장 방법 AWS Secrets Manager : AWS KMS 통해 암호화 AWS Systems Manager의 파라미터 스토어 : AWS KMS 통해 암호화 배포 자동화 툴 (Jenkins, Chef, Ansible 등) 파라미터 스토어 대비 AWS Secrets Manager의 장점 AWS CLI 또는 SDK를 통해 임의의 암호 생성 비밀.. [실습] AWS WAF 구성하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS WAF를 ALB에 연결하여 탐지 및 차단하는 실습을 해보겠습니다. 써 보시면 아시겠지만, AWS WAF는 특정 서브넷에서 동작하는 것이 아니라 Region이나 Global에서 동작합니다. 즉, 정책(Web ACL)만 생성하여 해당 서비스에 연결(Associated AWS resources)해서 사용하는 개념입니다. 구성도 인터넷에서 Domain(https://www.gtek.com)으로 접속을 시도하면 아래처럼 동작됩니다. ① Route 53에 등록된 CNAME을 통해서 albA로 패킷을 전달합니다. ② albA에 연결된 wafA에서 패킷을 탐지 및 차단합니다. 이때, wafA는 albA에 등록된 ACM 인증서를 사용하며, 로그는 지정된 위치(S3 o.. [이론] AWS WAF 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS WAF에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 이외 내용은 업무적으로 필요할때마다 찾아보시는 것이 효율적이라고 생각합니다. AWS WAF Layer 7의 Web Application에 대한 공격 탐지 및 차단 Nginx WAF 유료 모델을 이용하여 만든 서비스 사용 가능한 AWS services : CloudFront, Application LoadBalancer, API Gateway, AWS AppSync AWS WAF 기능 웹 트래픽 필터링 : IP 주소, HTTP 헤더 및 본문 또는 사용자 정의 URI와 같은 조건을 기준으로 웹 트래픽 필터링 AWS WAF Bot Control (옵션, 유료) : 일반적인 .. [실습] AWS Network Firewall 구성하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS Network Firewall에 대해서 여러 가지 정책 시나리오와 함께 실습을 해보겠습니다. 독립형, 중앙집중형(TGW 통해 구현 가능) 구성이 가능하나, 이번 세션은 독립형으로 실습을 진행합니다. 중앙집중형은 TGW를 구성하여 모든(라우팅 : 0.0.0.0/0 -> TGW) 패킷을 Network Firewall이 존재하는 VPC로 전달하는 구성입니다. 구성도 사전 작업 인프라 생성 : vpc, subnet, igw, routing table, ec2, nlb 등은 설명 생략합니다. 2022.07.02 - [Networking] - [실습] Amazon VPC 구성요소 생성하기 [실습] Amazon VPC 구성요소 생성하기 안녕하세요 서후아빠입니다. .. [이론] AWS Network Firewall 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 2020년 12월에 출시?한 Network Firewall에 개념에 대해서 간단히 정리해 보았습니다. 정리 하다보니 많은 부분에서 GWLB 구성 기본 개념과 겹치는 부분이 있었습니다. 아마도 실습 구성도 비슷하지 않을까 생각됩니다. 그리고 일반 방화벽은 stateful 정책만 지원하는데 반해, Network firewall은 stateless+stateful 혼용 지원이 되어 개념상 차이가 있습니다. 개요 AWS VPC 기반의 관리형 방화벽(IDS/IPS ) 서비스 Internet Gateway를 통해 움직이는 트래픽을 필터링하여 리소스 보호 Open source IPS인 Suritaca 사용 도메인 정책 지원 구성요소 Firewall : VPC subnet.. [이론] AWS KMS (Key Management Service) 기본 개념 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 AWS KMS에 대해서 업무적으로 필요한 최소한의 개념에 대해서 간단히 정리해 보았습니다. 개요 KMS를 이용하여 AWS 내에 존재하는 데이터를 암복호화하는 서비스 구분 AWS 관리형 key 고객 관리형 key AWS 소유 key 정의 AWS 서비스가 고객의 계정에서 고객 대신 생성, 관리 및 사용하는 KMS key 사용자가 생성, 소유 및 관리하는 AWS 계정의 KMS key AWS 서비스가 여러 AWS 계정에서 사용하기 위해 소유하고 관리하는 KMS 키 모음 권한 AWS 고객 AWS 비용 무료 (프리티어 초과 시 요금 부과) 유료 무료 고객 관리형 key 삭제 - key와 연결된 구성 요소(모든 메타데이터 포함) 삭제되어 복구 불가능하고, 해당 key로 .. [실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-2편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 지난 세션에 이어서 ACM에서 Private 도메인을 등록하고 Private 인증서를 발급하여 ALB에 연결하는 과정을 실습해보겠습니다. 1~5단계는 아래 링크 클릭 2022.07.26 - [Security] - [실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-1편 [실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-1편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 ACM에서 Public 도메인을 구매하고 Public 인증서를 발급하여 ALB에 연결하는.. [실습] AWS Certificate Manager (ACM)을 이용하여 인증서(Public, Private) 발급하여 Route 53과 ELB 연동하기-1편 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 ACM에서 Public 도메인을 구매하고 Public 인증서를 발급하여 ALB에 연결하는 과정을 실습해보겠습니다. 이어서 진행되는 Private 도메인 등록과 인증서 발급 과정도 참고 바랍니다. 구성도 albA1에는 Public 인증서를 등록, albA2에는 Private 인증서를 등록하여 구성하는 과정입니다. albA2는 외부에서 접속하는 테스트 과정이 불가능하여 부득이하게 bastion(windows)를 통하여 테스트를 하였습니다. VPN 연결 등 다른 방법으로 albA2 접속이 가능하신 분은 bastion을 배포하지 않으셔도 됩니다. ※ Private에 구성된 albA2일지라도 Public 인증서를 연결해서 사용 가능합니다. 만약 Public/Priva.. [실습] AWS IAM의 Permissions boundary(권한 경계)를 이용하여 미흡한 운영자로부터 서비스 인프라 보호하기 안녕하세요 서후아빠입니다. ^_^ 이번 세션은 특정 사용자(ex : Junior 개발자, 신규입사자 등)로부터 운영중인(Production) 인프라를 보호하기 위해서 접근을 차단하는 IAM 정책에 대해서 실습을 해보겠습니다. 적절한 설정을 통하여 안정적인 서비스 운영을 할 수 있기를 바랍니다. 구성도 user01은 admin 권한을 부여하여 모든 Resources에 접근이 가능합니다. user02는 admin 권한을 부여하였지만, Permissions boundary에서 ec2 중에서 특정 tag된 Resources만 허용하였기 때문에 해당 Resources외에는 접근이 모두 차단됩니다. 구성도 인프라 생성 : vpc, subnet, igw, routing table, ec2 등은 설명 생략합니다. 20.. 이전 1 2 3 다음