Cloud (12) 썸네일형 리스트형 [AWS] Security Group VS Network ACLs 보안 기능 AWS는 VPC 및 인스턴스를 구성하는 경우 기본적으로 트래픽 보호를 위한 Network ACLs(NACL) 기능과 Security Group(SG) 기능을 제공한다. NACL과 SG는 트래픽을 제어하는데 사용하는 일종의 방화벽 역할을 수행하며 이 과정에서 각 기능 별로 트래픽을 제어하고 처리하는 과정에서 기능 차이가 있다. #NACL (Stateless Firewalls) - VPC 및 서브넷을 구성 시 NACL을 통한 트래픽 제어 - NACL은 여러 서브넷에 적용 가능 - NACL 트래픽 제어 정책은 Inbound/Outbound Rule 최대 20개 등록 가능 - 트래픽 제어 시 NACL은 요청정보를 따로 저장하지 않아 응답 트래픽 제어 설정이 필요 (Stateless firewalls) #SG (.. [AWS] Lambda를 통한 Slack 발송 클라우드 운영 시 모니터링 기능을 개선하고자 실시간으로 이벤트 발생 시 Slack으로 메시지를 수신받도록 구성하기 위해 테스트 방법을 기술한다. #Lambda → Slack 메시지 발송 사전 준비사항 1. IAM 역할 생성 2. Lambda Function 생성 3. Slack WebHook URL 4. TEST 발송 #구축방법 Case 1) IAM 역할 생성 AWS ManagedConsole → IAM → 역할 생성(1단계) AWS ManagedConsole → IAM → 역할 생성(2단계) → 권한 정책 부여 AWS ManagedConsole → IAM → 역할 생성(3단계) → 역할 이름 지정 후 생성 완료 Case 2) Lambda Function 생성 함수 이름 및 Python 3.9 선택 역할.. [AWS] CloudFront 정리 #AWS CloudFront란 정적, 동적 웹사이트 컨텐츠를 사용자들에게 효율적으로 전달할 수 있는 서비스 #AWS CloudFornt 특징 Edge Location : 데이터 센터의 전 세계 네트워크를 통해 컨텐츠를 제공하여 퍼포먼스를 극대화 Content Delivery Network(CDN) : 웹 페이지 요청 시 분산 네트워크를 이용하여 사용자에게 컨텐츠 제공 속도 향상 #AWS CloudFornt 배포 및 구성 CloudFront는 Amazon S3 버킷 또는 고유 HTTP 서버와 같은 EC2를 지정하여 대상으로부터 파일을 가져온 후 전 세계 CloudFront Edge Location에 배포한다. Amazon S3 버킷을 사용하는 경우 객체를 공개적으로 읽을 수 있는 상태로 만들 수 있으며 C.. [AWS] Client VPN 이번 포스팅 글은 Open VPN 기반 AWS에서 제공하는 Client VPN 구축 사례를 소개한다. AWS Client VPN이란. AWS 제공하는 Client VPN는 네트워크의 리소스에 안전하게 액세스할 수 있는 관리형 VPN 서비스이다. AWS Client VPN 도입계기. 기존 OpenSource 기반 무료 VPN을 사용하면서 로그 및 계정관리 , 보안이슈 등 관리의 어려움이 있어 VPN 도입 검토 중 중앙관리가 가능한 Client VPN을 채택하였다. AWS 보안아키텍처 수립. 사내 업무환경에 맞게 보안아키텍처를 구성 및 검토하여 최종적으로 사용자 인증의 경우 Okta라는 솔루션 통해 접근 가능하도록 구성했으며 VPN TLS 연결을 위한 AWS에서 제공하는 인증서를 발급했고 최종적으로 VPN을.. [AWS] VPC 네트워크 ACL 이번 포스팅 글은 VPC 내 네트워크 접근제어 기능을 포스팅한다. 네트워크 액세스 제어 목록(ACL)이란 VPC 환경에서 한개 이상의 서브넷에서 트래픽을 제어할 수 있는 방화벽 역할을 수행하는 보안 옵션 계층이다. 네트워크 ACL 규칙 항목 1. 규칙번호 : 규칙은 가장 낮은 번호 규칙부터 평가되며, 규칙이 트래픽과 일치하는 즉시 적용된다. 2. 유형 : SSH, TCP 등 모든 트래픽 또는 사용자 지정 범위를 지정할 수 있다. 3. 프로토콜 : 표준 프로토콜 번호가 있는 모든 프로토콜을 지정할 수 있다. 4. 포트범위 : 트래픽에 대한 수신 포트 또는 범위를 지정할 수 있다. 5. 소스 : 인바운드 규칙 내 CIDR 범위를 지정할 수 있다. 6. 목적지 : 아웃바운드 규칙 내 CIDR 범위를 지정할 수.. [AWS] WorkSpaces 업무 망 분리 이번 포스팅 글에서는 AWS와 같은 클라우드 환경에대해 업무 서비스 접근을 위한 망분리 아키텍처를 고민하던 중 AWS WorkSpaces라는 서비스를 알게 되었고 운이좋게도?! 2021년부터 Seoul 리전도 제공된다는 내용을 확인하게 되었으며 지금까지 조사해온 내용을 정리하게 되었다. 최근 ISMS-P 인증을 준비하기 위해 물리/논리적 망 분리에 대한 장/단점을 검토를 진행하였으며 AWS 환경의 논리적 망분리 방안으로 추진중에 있다. 물리/논리적 망분리 비교표 AWS WorkSpaces란 가상의 데스크탑 환경을 클라우드 기반으로 사용자에게 제공하며 실제 사용자에게 각각 독립된 가상 업무 환경을 제공할 수 있는 VDI 서비스이다. 망 분리 보안 아키텍처 사내 업무환경과 AWS 공식 문서를 참고하여 아래의.. [AWS] 웹 방화벽(Web Application Firewall, WAF) 로깅 구성 - 3 저번 포스팅 글에서 Athena 설정 까지 완료는 되었지만 문제가 있다.. 원하는 값을 추출하여 확인하는 작업까지는 많이 수월하지만.. 매일 확인이 필요한 담당자로써는 자동으로 쿼리문을 실행하여 결과만을 보여주는 작업이 필요하다고 느낀다. 그래서 이번 글에서는 Lambda를 이용하여 Athena 쿼리를 매일 실행해주는 작업을 진행하고자 한다. #AWS Lambda Lambda란 서버를 프로비저닝하거나 관리하지 않고도 코드를 실행할 수 있는 컴퓨팅 서비스이다. 이 서비스를 사용한다면 매일 로그인하지 않고 Athena 서비스를 이용하여 쿼리문 실행이 가능하다. #Lambda 함수 생성 스케쥴링 작업을 실행하기 위해 우선 함수 생성을 진행한다. 런타임 언어는 Python을 진행하였지만 다른 언어를 사용하고 싶.. [AWS] 웹 방화벽(Web Application Firewall, WAF) 로깅 구성 - 2 이전 포스팅 글에서 AWS WAF 풀 로깅을 S3로 저장을 설정해봤다. 풀 로그 기록 활성을 진행한 뒤 한가지 문제? 가 있다. 해킹 공격이 발생하여 WAF 규칙의 로그를 확인하고 싶을 때 S3에 저장된 데이터가 어마어마해서 찾기가 너무 힘들다. 따라서 이번 글은 S3에 저장된 로깅정보를 Database 쿼리문을 통해 필요한 정보만 추출할 수 있는 서비스 해볼 것이다. #AWS Glue 와 Athena 서비스란? AWS Glue는 분석에 필요한 데이터를 쉽게 탐색, 준비, 조합할 수 있도록 제공하는 서비스이다. AWS Athena는 표준 SQL을 사용해 S3에 저장된 데이터를 간편하게 분석할 수 있는 쿼리 서비스이다. 이번 글은 위에 서비스를 사용해서 나에게 정말 필요한 정보만 가져올 수 있도록 구축을 .. 이전 1 2 다음
