brunch

매거진 AWS 전문가 되기

라이킷 4 댓글

You can make anything
by writing

C.S.Lewis

계정을 잊어버리셨나요?

by Master Seo May 10. 2020

353.(이론정리) 비공인 AWS 보안가이드 120

https://brunch.co.kr/@topasvga/979 217 sec - s3 bucket sec

217.S3버킷 보안

<1> 요청사항 <2> 조치법 <3> 확인 <4> 기타 참고 자료 <1> 요청사항 S3 사용 중이다. 데이터는 암호화 전송되어야 한다. CloudTrail로 수집된 로그는 암호화되고 검색되어야 한다. <2> 조치법 1. S3 버킷 정책에 보안 전송 설정을 한다. 2. S3 암호화를 설정한다. 3. 모든 S3 오브젝트의 데이터 이벤

brunch.co.kr/@topasvga/979

https://brunch.co.kr/@topasvga/980 218 sec - cloudtrail log ,kms cms

218.CloudTrail log 암호화,KMS-CMS

<1> 요청사항 CloudTrail log를 KMS의 Customer Master Key(CMK)를 사용하여 자동 암호화 하려 합니다. 효율적인 방법은? <2> 해결법 1. CloudTrail 설정은 AWS-KMS를 사용하여 서버 사이드 암호화를 사용 하고, CloudTrail log를 해독 한다. <3> 확인 1. KMS 에서 키를 만

brunch.co.kr/@topasvga/980

https://brunch.co.kr/@topasvga/981 219 sec - personal info ,waf url filter

219.개인정보 서버 유입,유출 트래픽 관리법

<1> 요청사항 개인정보를 가진 EC2 서버가 있다. 엄격한 컴플라이언스를 요청한다. 모든 유입되는 트래픽 에 대해서 웹 공격 방어를 하고자 한다. 나가는 트래픽에 대해서는 whitelist URL을 관리하고자 한다. 어떤 서비스를 사용해야 하나? <2> 해결책 1. 유입 웹공격 관리는 WAF 웹방화벽으로 관리 한다. 2. 나가는 트래픽은 white

brunch.co.kr/@topasvga/981

https://brunch.co.kr/@topasvga/982 220 sec - inspector guardduty

220.인증된 보안 테스트 알람을 줄이기

<1> 요청사항 인증되지 않는 VPC에서 EC2로 네트워크 포트 스캔 시 알람을 받고자 한다. GuardDuty 알람 받는다. 보안팀은 인증된 스캐너로 내부적으로 점검한다. 보안팀은 인증된 테스트의 알람은 적게 받고 싶어 한다. 인증되지 않은 시스템 활동은 알람은 계속 받아야 한다. <2> 조치법 보안팀에서 사용하는 EC2에 Inspector a

brunch.co.kr/@topasvga/982

https://brunch.co.kr/@topasvga/983 221 sec ec2 abuse

221.EC2 Abuse 경고 리스트 수신할 경우

<1> 요청사항 보안팀에서 EC2 인스턴스에 대해 Abuse 경고 리스트 수신함. 어뷰징한다고 리포팅됨 어떻게 해야 하나? <2> 조치 1. AWS Artifact를 사용한다. 아티팩트. 2. 각 인스턴스 상태의 정확한 이미�

brunch.co.kr/@topasvga/983

https://brunch.co.kr/@topasvga/984 222 sec compliance artifact

222.컴플라이언스 규정 준수 가이드는?

<1> 요청사항 보안키에 대해 컴플라이언스 표준 준수에 있는지 확인하려 한다. AWS 어떤 서비스를 이용하면 되는가? <2> 답변 AWS Artifact 서비스를 이용해, AWS compliance reports에 접근하면 된다. <3> �

brunch.co.kr/@topasvga/984

https://brunch.co.kr/@topasvga/985 223 sec pii personallly identificable information , macie

223.S3에 개인확인정보 노출 확인은?

<1> 요청사항 S3에 개인 확인 정보가 노출되었는지 확인하고자 한다. 개인확인정보 Personally identifiable information(PII)에 접근되었는지도 확인하고자 한다. 어떤 솔루션을 사용하면 되는가? <2> 조치법 Amazon Macie 서비스 사용한다. S3 사용 AWS ClouTail log와 S3 Bucket log사용

brunch.co.kr/@topasvga/985

https://brunch.co.kr/@topasvga/986 224 sec iam role ,sqs

224.SQS 검색 안되는 문제

<1> 요청사항 Application이 SQS 검색을 EC2에 구축했다. 최근 IAM 변경된후 더 이상 메시지 검색이 되지 않는다. 어떤부분을 확인해야 하는가? <2> 점검사항 1. Instance에 Role 첨부한 부분에 대한 정책 확인 필요. 2. 인스턴스가 Queue에 접근 권한이 거부 되었을수 있다. <3> 확인 1. 권한을 주는 방법은

brunch.co.kr/@topasvga/986

https://brunch.co.kr/@topasvga/987 225 sec iam policy, cloudwatch metricdata

225.CloudWatch 사용자 지정 메트릭 수집법?

<1> 요청사항 CloudWatch 사용자 지정 메트릭을 수집하고 있다. 최근, IAM 정책 변경 된후 더 이상 레포팅이 안된다. 해결 책은? <2> 해결책 1. IAM policy를 어플리케이션에 추가하라. 2. CloudWatch : PutMetricData를 허용하라. <3> 확인 사용자 지정 메트릭 설정법 aws cloudwatch put

brunch.co.kr/@topasvga/987

https://brunch.co.kr/@topasvga/988 226 sec subnet , network acl , nacl

226.Subnet으로 운영중 대규모공격 방어법은?

<1> 요청사항. 웹서버가 2개의 Zone Public subnet에서 운영중이다. Apache log를 보나 수백개의 IP에서 대규모 공격이 보여진다. 앞으로 공격 영향을 줄이는 가장 좋은 방법은? <2> 해결책 네트워크 ACL

brunch.co.kr/@topasvga/988

https://brunch.co.kr/@topasvga/989 227 sec ip packet , proxy

227. IP패킷에 대해 검사하는법

<1> 요청사항 회사는 IP 패킷에 대해 무효 또는 악의 컨텐츠 검사하려 한다. 달성법은? <2> 해결책 1. 프록시 솔루션을 도입한다. 2. EC2와 모든 나가는 VPC트래픽에 대해 프록시 사용하라. 3. 호스트 베이스 에이전트를 설정하여 호스트 베이스로 검사하라. EC2가 감염되었을수 있어 호스트에 에이전트를 설치하여 검사하라는 것이다. <

brunch.co.kr/@topasvga/989

https://brunch.co.kr/@topasvga/990 228 sec nacl

228. 보안그룹과 network ACL차이점

<1> 현황 보안그룹에서 HTTP 유입 트래픽에 대해 any(0.0.0.0/0)로 허용상태이다. 유출 트래픽에 대해 설정 없다. network ACL에서 HTTP 유입 트래픽에 대해 any(0.0.0.0/0)로 허용상태이다. 유출 트래픽에 대해 설정 없다. 서비스가 안된다. 어떻게 해야 하나 ? <2> 조치법 network ACL은

brunch.co.kr/@topasvga/990

https://brunch.co.kr/@topasvga/991 229 sec kms , cmk, rotating master keys

229.AWS KMS관리 Best practices?

<1> 요청사항 AWS Key Management Service(KMS)는 여러 옵션을 제공한다. 그중, 최소 범위 노출을 하는 Best practices 옵션은? <2> 설정법 KMS에서 자동으로 키 순환으로 마스터 키룰 교체하라. <3>

brunch.co.kr/@topasvga/991

https://brunch.co.kr/@topasvga/992 230 sec athena , cloudtrail

230.CloudTrail log 가장 효율적 분석?

<1> 요청사항 AWS Account 접속등 활동에 대해 AWS CloudTrail log를 분석 하고자 한다. audit log가 과도하게 많다. 가장 효율적으로 분석하는 방법은? <2> 조치법 1. Amazone Athena를 사용하여, CloudTrail S3버킷을 읽는다. 2. 쿼리 로그를 관찰하라. <3> 확인 1. Amazone A

brunch.co.kr/@topasvga/992

https://brunch.co.kr/@topasvga/993 231 sec cloudwatch log , os log rotating , cloudformateion

231.CloudWatch log 수집이 안되는 경우

<1> 현상 Cloudwatch logs agent로 로그 수집이 잘 되고 있다. 어느 순간 로그 스트림 수집이 멈춘다. 원인은 ? <2> 원인 1. OS로그 회전 규칙 확인하여 agent로 로그 수집과 호환 되는지 확인이 필요�

brunch.co.kr/@topasvga/993

https://brunch.co.kr/@topasvga/994 232 sec kms

232.AWS KMS 암호화

<1> 요청사항 어플리케이션은 한 AZ에만 구성되지 않는다. 다른 리전도 사용가능하다. AWS 리소스의 AWS KMS 암호화를 위해 필요한것은? <2> 조치법 1. AWS 서비스를 이용해 데이터가 리전간 복제가 되어야 한다. 2. CMK를 사용해 소스 리전의 암호화키를 다시 포장한다. 감사합니다.

brunch.co.kr/@topasvga/994

https://brunch.co.kr/@topasvga/995 233 sec cmk , rotating master keys

233.자동으로 교체되는 KMS 타입은?

<1> 요청사항 조직 정책은 모든 암호화 키를 자동으로 12개월마다 순환되어야 한다. AWS Key Management Service(KMS) key 는 어떤 타입을 써야 하나? <2> 조치 Customer Master Key (CMK) 사용하라. <3> 확인 Customer Master Key (CMK) > 암호화 구성에만 키 교체 옵션이

brunch.co.kr/@topasvga/995

https://brunch.co.kr/@topasvga/996 234 sec kinesis data anlytics

234.데이터 이전시 분석 서비스는?

<1> 요청사항 온 프라미스에 디지털화한 데이터가 있다. 데이터를 AWS로 이전해서 분석하고자 한다. 데이터 전송시 암호화가 필요하다. 어떤 AWS 서비스가 필요한가? <2> 처리법 Kinesis Data Anlytics 사�

brunch.co.kr/@topasvga/996

https://brunch.co.kr/@topasvga/997 235 sec aws ad , ad group, iam role , trust

235.기존 온프라미스의 AD를 사용하고자 할때

<1> 요청사항 IT 인프라는 AWS로 이전하고자 한다. AWS ID확인을 기존 온프라미스의 AD를 사용하고자 한다. 어떻게 사용해야 하나? <2> 설정해야 하는 2가지 1. AD의 Group에 필요한 IAM Role을 생��

brunch.co.kr/@topasvga/997

https://brunch.co.kr/@topasvga/998 236 sec rds , auth , secret manager , role

236.EC2와 Lambda가 RDS 접근 인증 필요시

<1> 요청사항 3계증 웹 프로그램을 EC2에 배포한다. EC2는 RDS 연결 인증이 필요하다. 람다는 같은 RDS에 같은 인증이 필요하다. 인증은 반드시 EC2 있다. 람다는 EC2에 연결되어야 한다. 다른 연결은 허

brunch.co.kr/@topasvga/998

https://brunch.co.kr/@topasvga/999 237 sec cloudfront , certificate manager

237. 인증서 사용하기

<1> 요청사항 CloudFront , ELB , ALB , AutoScaling 사용이 필요하다. EC2는 한국 리전에 있다. 도메인 네임을 사용해서 암호화 전송이 필요하다. 클라이언트 > CloudFront > LB AWS Cetificate Manager를 사용한다. 몇

brunch.co.kr/@topasvga/999

https://brunch.co.kr/@topasvga/1000 238 sec ad , iam roles

238.AD사용자가 AWS자원 사용하고자 할때

<1> 요청사항 기존 온프라미스에 AD가 있다. 기존 AD로 AWS ID와 그룹을 이용해 자원을 접근하고자 한다. 권한관련해서 AWS 서비스에서 대해 AD 사용자에게 제공되어야 하는것은? <2> 조치 1. AWS IAM �

brunch.co.kr/@topasvga/1000

https://brunch.co.kr/@topasvga/1001 239 sec certificate manager , elb

239.암호화되지 않는 문서 전송 감사

<1> 요청사항 회사의 많은 인원이 원격에서 데이터를 올려야 한다. 파일은 다양한다. 신뢰하지 않는 네트워크에서 암호화되지 않는 문서들이 전송된다. 최소 노력으로 감사를 하려고 한다. 어��

brunch.co.kr/@topasvga/1001

https://brunch.co.kr/@topasvga/1002 240 sec kms , key rotate , mfa , cmk , sse-kms

240.KMS로 자동으로 암호키는 회전하려면?

<1> 요청사항 3개의 스토리지에 민감한 데이터를 저장한다. 분류에 따라 접근 제한, 보안 , 민감 데이터로 구분해 올리고자 한다. 모두 단일화된 키로 암호화 하려고 한다. 2차 인증은 필수로 한다

brunch.co.kr/@topasvga/1002

https://brunch.co.kr/@topasvga/1003 241 sce ad , trust

241.온프라미스에서 AWS 데이터베이스 접근필요

<1> 요청사항 클라우드 기반 사용자는 분리된 인증 도메인을 가져야 한다. 클라우드 기반 사용자는 온프라미스에 접근하면 안된다. AWS에 데이터베이스와 EC2가 있다. AD는 온프라미스에 있다. 온

brunch.co.kr/@topasvga/1003

https://brunch.co.kr/@topasvga/1004 242 sec kms policy

242. 특정사용자만이 KMS사용하도록 설정

<1> 요청사항 KMS 정책을 확인해보자 특정사용자만이 KMS사용하도록 설정 <2> 조치법 KMS 정책 설정 <3> 확인 https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html https://aws.amazon.com/ko/kms/ 감사합니다.

brunch.co.kr/@topasvga/1004

https://brunch.co.kr/@topasvga/1005 243 sec many security group , nacl , os iptables

243.방화벽 룰이 너무 많고 복잡한경우

<1> 요청사항 EC2가 유입,유출,타서버와 통신등 복잡한 룰을 가지고 있다. 룰이 복잡해서 최대 수의 보안그룹과 네트워크 제어로 구현할수 없다. 추가 비용없이 구현하고 싶다. 어떻게 해야 하나? <2> 조치법 iptable로 제어하면 된다. 서버에서 한다. OS에서 제공하는 기본 방화벽을 사용한다. 감사합니다.

brunch.co.kr/@topasvga/1005

https://brunch.co.kr/@topasvga/1006 244 sec vault

244.vault잠금 정책을 사용하기

<1> 요청사항 데이터에 대한 새로운 vault잠금 정책을 사용 초기 vault잠금도 12시간 오타로 접근이 안된다. 가장 비용 효율적인 조치 방법은? <2> 조치법 1. vault잠금을 중단시킨다 2. 오타를 수정한다. 3. 초기 vault잠금을 다시 호출한다. https://aws.amazon.com/ko/quickstart/architectu

brunch.co.kr/@topasvga/1006

https://brunch.co.kr/@topasvga/1007 245 sec ec2 lb , alb , https listener

245.온프라미스와 EC2인스턴스간 암호화 통신

<1> 요청사항 온프라미스와 EC2인스턴스간 암호화 통신을 해야 한다. EC2 는 LB를 사용한다 어떻게 구성하나? <2> 조치법 1. ALB를 통해 HTTPS 리스너를 만든다. 2. 모든 라우팅을 LB를 통해 진행한다.

brunch.co.kr/@topasvga/1007

https://brunch.co.kr/@topasvga/1008 246 sec application log monitoring , s3 , s3 event trigger , lambda, cloudwatch log

246.어플리케이션 로그 감시하는법.

<1> 요청사항 어플리케이션 로그는 text파일로 있다. 로그는 반드시 보안침해에 문제가 없는지 모니터링 필요하다. 최소 비용으로 요청사항을 맞출수 있는가? <2> 조치법 1. 스케줄을 사용하라. 2. �

brunch.co.kr/@topasvga/1008

https://brunch.co.kr/@topasvga/1009 247 sec pii, network , vpn, storage gateway

247.온프라미스의 개인정보가 제한적으로 AWS로 이전

<1> 요청사항 일반 데이터는 AWS에 있다. 개인정보 데이터는 온프라미스 데이터 센터에 있다. 온프라미스의 개인정보가 제한적으로 AWS로 이전해야 한다. 인터넷 성능은 예측할수 없다. 가장 보안�

brunch.co.kr/@topasvga/1009

https://brunch.co.kr/@topasvga/1011 248 sec root account , organization , ou

248.root 계정 관리법

<1> 현황 Root 계정을 제한한다. 빌링에 관련 모든 기능을 활성화 한다. root는 빌링 관련해만 사용한다. 리소스 운영 목적은 아니다. 관리자는 Root 계정에 대해 어떻게 관리 하면 되는가? <2> 조치 Organizational Unit(OU)을 사용한다. 모든 운영 계정은 새로운 OU를 사용한다. <3> 확인 메뉴얼 https:/

brunch.co.kr/@topasvga/1011

https://brunch.co.kr/@topasvga/1012 249 sec athena permisstion

249. Lambda의 Athena쿼리 실패 이유?

<1> 현황 Lambda 호출로 Cloudwatch event가 발생한다. S3에 저장된 CloudTrail logs들을 Lambda 함수로 Athena 쿼리를 한다. 지난 30일간의 기록. 몇분후 람다함수는 Athena쿼리에 실패한다. 불충분한 권한으로 나온다. 에러 이유는 ? <2> 조치법 Athena쿼리 실행 권한을 가지고 있지 않다. <

brunch.co.kr/@topasvga/1012

https://brunch.co.kr/@topasvga/1013 250 sec secret manager

250. Secrets manaer 인증 실패 원인?

<1> 현황 데이터베이스를 RDS로 마이그래이션 되었다. AWS Secret Manager로 관리되고 있다. Secrets manaer로 30일마다 자격증명을 회전한다. 짧은 기간 동안 여러번 인증 실패 했다. 가장 근접한 에러 원인은 무엇인가? <2> 조치 RDS 인증이 필요하다. 모든 접근이 요구될때 마다 Secrets Manager 가 필요 했다.

brunch.co.kr/@topasvga/1013

https://brunch.co.kr/@topasvga/1014 251 sec ec2 monitoring, cloudtrail vpc flow security group

251.EC2 이상한 행동에 대한 알람 툴은?

<1> 현상 EC2 이상한 행동이 보여지고 보안 알람을 받고 있다. EC2는 분리해야 한다. 툴을 사용해 조사한다. 분리와 연구 이벤트는 어떤것으로 보는가? <2> 조치 1. AWS CloudTrail 사용 2. VPC Flow Logs 사용 3. Security groups 을 본다. 가능한 볼수 있는 것 다 봐야 한다. <3> 확인 https

brunch.co.kr/@topasvga/1014

https://brunch.co.kr/@topasvga/1015 252 sec ec2 create using ami , check , aws config rule

252.승인된 AMI 관리법은?

<1> 현황 보안팀은 오직 승인된 AMI로만 구성하는것으로 관리하고자 한다. 앞으로 어떻게 해당 AMI로만 구축되는지 확인하는가? <2> 조치 1. AWS Config rule로 한다. 2. 모든 운영중인 인스턴스에 대해 조사한다. <3> 확인 https://brunch.co.kr/@topasvga/700 https://brunch.co.kr/@

brunch.co.kr/@topasvga/1015

https://brunch.co.kr/@topasvga/1016 253 sec ssm cmk

253.SSM 와 CMK 이슈

<1> 현황 개발팀은 매시간 에러 메시지를 받는다. 암호화 또는 암호해지 파라미터에 대해, SSM Parameter Store메시지를 받는다. AWS KMS customer manged Key(CMK) 사용한다. 어떤 CMK는 이슈와 관련 있는가? <2>

brunch.co.kr/@topasvga/1016

https://brunch.co.kr/@topasvga/1017 254 sec cloudtrail config log , s3 , s3 pemission , s3 bucket name

254.CloudTrail Config S3버킷에 로깅

<1> 현황 멀티 AWS 계정이 있다. AWS CloudTrail Config 로그는 하나의 S3 버킷에 중안 집중된다. 2개의 AWS계정은 로깅 되지 않았다. 원인은? <2> 확인 1. 로그 파일 프리픽스를 S3 버킷에서 확인하라. 2.

brunch.co.kr/@topasvga/1017

https://brunch.co.kr/@topasvga/1018 255 sec multi account , resource , assume role

255. 재무팀 구성원만 재무관련 내용을 보려 한다.

<1> 요청사항 AWS Organization을 이용해 여러개의 AWS 계정을 관리하고 있다. A 구성원만 재무관련 내용을 보려 한다. 리소스 관련 부분은 볼수 없게 하려 한다. 어떻게 하면 되나? <2> 조치 A 구성원에 빌링 보는 권한을 부여 한다. Assume 역할울 부여한다. <3> 확인 https://brunch.co.kr/@topasvg

brunch.co.kr/@topasvga/1018

https://brunch.co.kr/@topasvga/1019 256 sec realtime log analysis , kinesis

256. 로그 리얼타임분석과 이벤트 확인서비스는?

<1> 요청사항 도커와 EC2에서 운영중인 어플리케이션 로그가 있다. 중앙에 로그를 집중하려 한다. 리얼타임 분석이 필요하다. 이벤트에 대해 확인한다. 어떤 AWS 서비스를 조합해 사용하면 되나? <2> 조치법 1. Kinesis 사용 2. CloudWatch 사용 <3> 확인 실시간 분석은 Kinesis https://docs.aws.amaz

brunch.co.kr/@topasvga/1019

https://brunch.co.kr/@topasvga/1020 257 sec iam inspection , aws config

257.사용자 IAM 권한에 대한 감사를 하고자 한다.

<1> 요청사항 사용자 IAM 권한에 대한 감사를 하고자 한다. 어떻게 할수 있는가? <2> 조치 AWS Config사용한다. IAM 정책을 할당에 대해 변경전 , 변경후에 대해 리뷰한다. <3> 확인 https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/WhatIsConfig.html

brunch.co.kr/@topasvga/1020

https://brunch.co.kr/@topasvga/1021 258 sec cloudfront , s3 bucket policy

258.웹사이트를 CloudFront로 분산하고자 한다

<1> 요청사항 S3에 웹호스팅한다. 웹사이트를 CloudFront로 분산하고자 한다. 웹사이트를 다이렉트로 S3 URL로 접근하지 못하도록 한다. 어떻게 하면 되는가? <2> 조치 CloudFront 분산으로 원본을 접속한다. S3 버킷 권한을 수정하라. 오리진은 S3버킷 컨텐츠로만 접근하게 한다. <3> 확인 https://docs.aws.am

brunch.co.kr/@topasvga/1021

https://brunch.co.kr/@topasvga/1022 259 sec aws account manage , organizations

259.확장성 있고 효율적인 계정 관리 방법

<1> 요청사항 EC2 , S3 , RDS , DynamoDB , STS 사용을 특정 계정으로 사용한다. 계정 관리에 있어 확장성 있고 효율적인 접근은? <2> 조치 AWS Organizations을 사용한다. FULL access 정책을 만들어 Organization unit에 적용한다. <3> 확인 확장성 있는 접근은 Organization을

brunch.co.kr/@topasvga/1022

https://brunch.co.kr/@topasvga/1023 260 sec cmk , key rotate

260. CMK 순환법은?

<1> 요청사항 Customer master key(CMK)를 가지고 있다. 모든 암호화 키는 매년 순환되어야 한다. 어떤 정책을 사용할수 있는가? <2> 조치법 새 CMK를 만든다. 새로 import한다. 새 키를 별명으로 해서 새 CMK를 만든다. <3> 확인 https://docs.aws.amazon.com/ko_kr/kms/latest/d

brunch.co.kr/@topasvga/1023

https://brunch.co.kr/@topasvga/1024 261 sec access-key monitoring , cloud trail

261. Access key 노출 모니터링법?

<1> 요청사항 Access key 와 Secret access key가 노출되었다. 즉시 키를 비활성화 했다. 어떻게 잘못 사용되는것을 평가하나? <2> 조치법 CloudTrail 활성화 한다. IAM에 인증 레포트를 다운로드 하고 분석�

brunch.co.kr/@topasvga/1024

https://brunch.co.kr/@topasvga/1025 262 sec root new api create monitoring , cloudwatch, cloudtrail

262. root 키 새 API 생성 감지하려면?

<1> 요청사항 모든 API 로그가 disable 되었다. root 계정에 새 API 키는 만들어 졌다. 자동으로 감지하려면? <2> 조치 CloudWatch를 사용한다. CloudTrail 에 대해 CloudWatch 이벤트로 감지한다. 트러스트 어드바이져를 사용하여 자동 감지한다. 람다를 이용해 CloudTrail 과 root API keys의 비

brunch.co.kr/@topasvga/1025

https://brunch.co.kr/@topasvga/1026 263 sec resouce access monitoring , cloudtrail

263.인증되지 않는 접근 확인법

<1> 요청사항 3개월간 리소스에 인증되지 않는 접근이 있었다. 어떤 방법이 AWS 사용을 찾아 내는가? <2> 조치법 AWS CloudTrail 콘솔에서 사용자 활동을 찾는다. <3> 확인 https://brunch.co.kr/@topasvga/632 감사합니다.

brunch.co.kr/@topasvga/1026

https://brunch.co.kr/@topasvga/1027 264 sec mobile auth , openid , cognito

264.가장 간단한 방법으로 인증을 허용하는 방법은?

<1> 요청사항 모바일 게임은 인증을 사용한다. 대부분 사용자는 같은 OpenID-연결을 한다. 가장 간단한 방법으로 인증을 허용하는 방법은? <2> 조치법 Amazon Cognito 를 사용한다. 3. 확인법 https://docs.a

brunch.co.kr/@topasvga/1027

https://brunch.co.kr/@topasvga/1028 265 sec 3th patt audit tool , cross account , aduit check , assume role

265.서드파트 감사툴로 여러 AWS 계정 감사시

<1> 요청사항 서드파트 감사툴로 여러 AWS 계정 감사 계약을 했다. 교차 IAM 계정에 감사를 활성화 했다. 계정 접근이 문제가 있다. 트라블 슈팅을 하려 한다. 원인은? <2> 조치법 감시에 대하 Assu

brunch.co.kr/@topasvga/1028

https://brunch.co.kr/@topasvga/1029 266 sec cloudwatch log agent

266. CloudWatch log agent 문제확인

<1> 요청사항 EC2에 CloudWatch log Agent를 사용하고 있다. 특정 인스턴스가 로그가 빠진것을 확인했다. 어떤 과정으로 트라블 슈팅을 하나? <2> 조치법 에에전트가 log그룹에 대해 권한이 있는지 확인. 거절 로그가 있는지 확인 하라. 시간 차이로 거절 될수 있다. /var/cwlogs/rejects.log 를 확인하라. <

brunch.co.kr/@topasvga/1029

https://brunch.co.kr/@topasvga/1030 267 sec access-key check , aws console

267. 6개월 이상 사용하지 않은 Key 확인법

<1> 요청사항 6개월 이상 사용하지 않은 Access-Key는 자동적으로 비활성화 가능한지 확인하려 한다. 어떤 방법으로 사용하면 될까? <2> 조치법 AWS 콘솔 사용한다. IAM에서 Access Key 컬럼을 확인한다

brunch.co.kr/@topasvga/1030

https://brunch.co.kr/@topasvga/1031 268 sec cmk ,ses limit , iam policy

268.CMK 제어와 SES 제한

<1> 요청사항 AWS Key Management Service(KMS) 키 정책은 고객 마스터키 CMK에 기능이 있다. CMK는 특정 사용자에게만 하게 하려 한다. SES를 특정 리전만 사용가능 하도록 하려 한다. IAM 정책은 어떻게 하

brunch.co.kr/@topasvga/1031

https://brunch.co.kr/@topasvga/1032 269 sec ec2 protect , private , alb ,waf

269. 어떻게 EC2 공격을 방어하나?

<1> 요청사항. Network ACL , 보안그룹 사용중. 웹서버는 public 서브넷에 있고, ALB사용한다. 어플리케이션 서버는 Private를 사용한다. 어떻게 EC2 보안 공격을 방어하나? <2> 조치법 웹서버를 private로 이동한다. ALB에 WAF사용한다. <3> 확인 https://brunch.co.kr/@topasvga/8

brunch.co.kr/@topasvga/1032

https://brunch.co.kr/@topasvga/1033 270 sec application log collect , cloudwatch log agent

270.어플리케이션 로그를 중앙 모으는 방법

<1> 요청사항 EC2 사용중이다. 어플리케이션 로그를 반드시 중앙에 집중해 모으려 한다. 가장 효율적인 방법은 ? <2> 조치법 CloudWatch log 에이전트를 EC2에 설치한다. 어플리케이션 로그를 CloudWatch l

brunch.co.kr/@topasvga/1033

https://brunch.co.kr/@topasvga/1034 271 sec clb , alb, auth

271. LB 교체시 동작하지 않을때 확인 필요사항

<1> 요청사항 CLB (Classic Load Balancer ) 사용하다 중지했다. ALB (Application Load Balancer) 사용으로 교체하여 비용을 절감하려 한다. 교체후 오랜 장비가 더이상 동작하지 않는다. 원인이 무엇인가? <2> 조치법 인증서가 ALB (Application Load Balancer) 에 설치된 경우이다.

brunch.co.kr/@topasvga/1034

https://brunch.co.kr/@topasvga/1035 272 sec create kms key policy

272.KMS key정책을 만들어보자.

<1> 요청사항 새 AWS Key Management Service (AWS KMS) key 를 만들었다. KMS key정책을 만들어보자. <2> 조치법 IAM 정책을 만들자 KMS key에 대해 접근 권한을 허용하자. <3> 확인 https://aws.amazon.com/ko/kms/faqs/ https://aws.amazon.com/ko/k

brunch.co.kr/@topasvga/1035

https://brunch.co.kr/@topasvga/1036 273 sec api call monitoring , cloudtrail

273.AWS API Call 활동 감시법

<1> 요청사항 AWS API Call 활동을 감시한다. 반드시 중앙 집중을 수집을 해야 한다. 현재와 미래의 AWS 지역을 관리해야 한다. 어떤것이 가장 간단한 방법으로 수집하는가? <2> 조치법 각 리전에 AWS Clo

brunch.co.kr/@topasvga/1036

https://brunch.co.kr/@topasvga/1037 274 sec iot auth , system manager , kms

274.다수의 IOT기기 자격증명 관리법

<1> 요청사항 EC2가 다수의 IOT기기를 관리한다. 안전한 자격증명이 요구된다. 가장 비용 효율적인 방법으로 자격증명을 관리하고자 한다. 어떻게 ? <2> 조치법 AWS System Manager를 사용하여 보안 스트링 파라미터를 사용하라. AWS KMS 키를 사용해 보안관리를 한다. <3> 학인 https://docs.aws.amazon.

brunch.co.kr/@topasvga/1037

https://brunch.co.kr/@topasvga/1038 275 sec application protect , nacl

275. 최소한의 방법으로 어플리케이션 공격 방어법

<1> 요청사항 최소한의 방법으로 어플리케이션에 대해 공격 방어를 하려면 ? <2> 조치법 Network ACL를 이용한다. <3> 확인법 Network ACL 로 서브넷 단위로 한번에 차단하자. Network ACL 이 가장 간단한 방법이다. https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/

brunch.co.kr/@topasvga/1038

https://brunch.co.kr/@topasvga/1039 276 sec ec2

276. EC2 2대 공인 IP통신 되기 하기

<1> 요청사항 2대의 EC2 인스터스 사용중 같은 VPC , 다른 AZ 사설 IP로는 서로 통신됨. 공인 IP로는 서로 통신이 안됨. 공인 IP로 통신 되게 하려면? <2> 조치법 같은 보안 그룹을 사용하면 된다. <3> 확��

brunch.co.kr/@topasvga/1039

https://brunch.co.kr/@topasvga/1040 277 sec web server connect , security group , alb

277. 외부에서 웹서버 접속불가시 확인사항

<1> 요청사항 웹서버의 유입 연결 확인이 필요하다. 인터넷으로부터 웹서버에 트래픽 유입이 되지 않는다. network ALC, 보안그룹, 가상 보안 어플라이언스 장비를 사용한다. ALB도 사용한다. 확인결�

brunch.co.kr/@topasvga/1040

https://brunch.co.kr/@topasvga/1041 278 sec ses, smtp endpoint , email-smtp 587

278.AWS SES 메일 발송 endpoint와 포트

<1> 요청사항 AWS SES 서비스를 통해 메일을 발송한다. TLS도 표준으로 사용한다. 메일 프로그램은 어떤 endpoint와 포트를 사용하나? <2> 조치법 email-smtp 사용한다. 포트는 587 <3> 확인법 Amazon SES SMTP 엔드포인트에 연결 https://docs.aws.amazon.com/ko_kr/ses/latest

brunch.co.kr/@topasvga/1041

https://brunch.co.kr/@topasvga/1042 279 sec api monitoring , cloudtrail, kinesis , lambda

279.미인증된 AWS API요청이 있을때 알람수신법

<1> 요청사항 수많은 미인증된 AWS API요청이 있을때 자동으로 보안 알람을 확인하는 방법은? <2> 조치법 CloudTrail로 확인한다. Amazon Kinesis로 받아서 처리한다. AWS lamdba를 이용해 임계치가 초과하면

brunch.co.kr/@topasvga/1042

https://brunch.co.kr/@topasvga/1043 280 sec date manage , s3 vpc endpoint , white list , nacl

280.민감한 데이터 관리법

<1> 요청사항 민감한 데이터를 AWS에 운영중 악의적인 데이터를 자격증명을 적용한다. 데이터는 S3 버킷에 올린다. 서버는 아웃바운드는 프록시 서버로 구성한다. 프록시 서버는 TLS암호화 통신을 조사하지 못한다. 위험을 줄이는 방법은? <2> 조치법 S3 VPC endpoint를 사용한다. s3 버킷에 대해 화이트 리스트를 관리하라. Network A

brunch.co.kr/@topasvga/1043

https://brunch.co.kr/@topasvga/1044 281 sec notebook lost , pem key lost , ec2 pem key change , ec2 run command

281.EC2에 대한 인증키 파일 분실시 조치법

<1> 요청사항 노트북을 분실했다. 노트북은 암호화 안됨. SSH키는 여러 EC2 접근에 사용하고 있었다. 보안팀은 EC2의 22번 포트를 막았다. 앞으로 운영중인 인스턴스를 어떻게 보호해야 하나? <2> 조

brunch.co.kr/@topasvga/1044

https://brunch.co.kr/@topasvga/1045 282 sec nacl, security group check , vpc flow logs , athena

282. NACL과 보안그룹 잘 동작하는지 확인법

<1> 요청사항 여러개의 어플리케이션과 많은 EC2 운용중이다. 테스트기간동안 network ACL과 보안그룹이 잘 동작하는지 확인이 필요하다. 어떻게 할수 있나? <2> 조치법 VPC Flow Logs 활성화 로그는 S3에 저장 Athena를 이용해 쿼리를 해서 확인한다. <3> 확인법 네트워크 ACL와 보안그룹에 대한 확인이므로 VPC F

brunch.co.kr/@topasvga/1045

https://brunch.co.kr/@topasvga/1046 283 sec cognito

283.cognito로 복잡한 보안 문제를 줄이는 방법

<1> 요청사항 프로그램은 사용자를 관리할 cognito를 사용한다. 권한은 AWS 리소스를 직접 접속할수 있도록 할당한다. DynamoDB를 포함해서. 새 기능 제공. 고객은 의존 성 을 제공 고객은 로그온 가능. 변경을 못할수 있다. 앞으로 복잡한 보안 문제를 줄이는 방법은? <2> 조치 1. 새로운 DB필드에 의존성 상태 필드 생성 2.

brunch.co.kr/@topasvga/1046

https://brunch.co.kr/@topasvga/1047 284 sec cmk , aad , key policy , iam group

284.데이터 접근 제한, 추가인증을 하고자 한다

<1> 요청사항 데이터를 CMK로 암호화 하고 있다. 접근에 대한 제한을 하고자 한다. 추가 인증 (AAD)을 찾고 있다. 어떤 부분을 해야 하나? <2> 조치법 키 정책을 사용한다. IAM 그룹이 접근하는 것을 제한하기 위해 사용한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/kms/latest/develope

brunch.co.kr/@topasvga/1047

https://brunch.co.kr/@topasvga/1048 285 sec cmk, s3 api access , iam policy

285. CMK S3 접근법

<1> 요청사항 3개 어플리케이션 사용중 S3의 같은 데이터 사용중 S3 암호화는 AWS KSM CMK 사용중 , 서버 사이트 암호화 KMS CMK 사용중인 S3에 대해 Programmatc access 접근으로 추천하는 방식은 ? <2> 조치��

brunch.co.kr/@topasvga/1048

https://brunch.co.kr/@topasvga/1049 286 sec guardduty alarm reduce , trust ip list , alarm

286.GuardDuty 알람 줄이는 법

<1> 요청사항 GuardDuty를 사용한다. 하나의 VPC에 EC2에 FTP 서버 동작중이다. 매시간 GuardDuty에 공격으로 확인되는 이밴트가 발생된다. 잘못된 알람으로 확인했다. 이런 문제를 해결하려면 ? <2> 조치법 GuardDuty에 신뢰할수 있는 IP 리스트로 추가한다. 알람이 줄어들 것이다. <3> 확인 GuardDuty에서 화이트

brunch.co.kr/@topasvga/1049

https://brunch.co.kr/@topasvga/1050 287 sec s3a data manage , cmk, cross-account access , kkms , api

287. S3에 민감한 데이터를 관리법

<1> 요청사항 S3에 민감한 데이터를 보관한다. CMK를 사용한다. 업자들에게 공유된다. Cross-account에서 액세스 해야 한다. 가장 효율적인 방법은? <2> 조치법 1.KMS를 사용해 관리 키 접근 권한을 부�

brunch.co.kr/@topasvga/1050

https://brunch.co.kr/@topasvga/1051 288 sec s3 access controle , iam pilicy s3 control

288.버킷에 대한 불법 접근 시도시 조치법

<1> 요청사항 S3 버킷은 암호화 되어 있다. 하지만 외부에서 버킷에 대해 불법 접근 하려는 것이 확인되었다. IAM 제한을 폴더 단위로 제한 하고 싶다. 어떻게 해야하나? <2> 조치법 IAM 정책을 만들어 S3 접근을 제한하라. <3> 확인법 https://brunch.co.kr/@topasvga/682 감사합니다.

brunch.co.kr/@topasvga/1051

https://brunch.co.kr/@topasvga/1052 289 sec ec2 keypair , aws console , cloudwatch log , aws log filter

289. EC2 키 페어 확인법

<1> 요청사항 EC2 키 페어가 있다 보안 담당자는 현재 EC2 인스턴스의 키페어인지 확인하고자 한다. 어떻게 확인하나? <2> 조치법 AWS관리 콘솔에서 확인한다. Cloudwatch log에서 확인한다. aws logs filter-log-events 사용한다. <3> 확인 https://brunch.co.kr/@topasvga/481 감사

brunch.co.kr/@topasvga/1052

https://brunch.co.kr/@topasvga/1053 290 sec s3, data , kms , sse-kms

290. 관리키 저장과 암호화 자동으로 하려면?

<1> 요청사항 민감한 데이터를 아마존 S3에 이전하고자 한다. 데이터 암호화 해야 한다. 관리키 저장과 암호화 프로세스 없이 관리 되어야 한다. 어떻게 하나? <2> 조치법 AWS KMS사용한다. 서버 사이

brunch.co.kr/@topasvga/1053

https://brunch.co.kr/@topasvga/1054 291 sec 3 compnay , access control, tcp 444 , privatelink endpoint ,444 permit

291.여러 회사에서 보안강화된 데이터 전송이 필요할때

<1> 요청사항 여러 회사에서 어플리케이션을 사용중이다. 모두 AWS를 사용중이다. TCP 443으로 EC2 ,NLB를 사용한다. 보안 이슈로 서버는 공인망에 있으면 안된다. 접속 제한법? <2> 조치법 PrivateLink endpoint서비스를 사용한다. 보안그룹은 443을 PrivateLink 에서 오는것을 허용한다. <3> 확인 https:

brunch.co.kr/@topasvga/1054

https://brunch.co.kr/@topasvga/1055 292 sec s3 kms cmk , cmk policy , s3 bucket , iam policy

292. KMS CMK로 암호화된 S3 다운로드 하기

<1> 요청사항 S3는 KMS CMK로 암호회 되어 있다. IAM 사용자는 콘솔로 다운로드를 할수 없다. 다른 사용자는 다운로드 사용가능하다. 어떤 정책을 점검과 수정 해야 하나? <2> 조치법 CMK 정책 S3 버킷정

brunch.co.kr/@topasvga/1055

https://brunch.co.kr/@topasvga/1056 293 sec cloudtrail log ckeck

293.AWS CloudTrail 변조 방지법

<1> 요청사항 AWS CloudTrail에 이벤트 로그로 트라블슈팅하는 지원이 필요하다. 어떻게 변조방지와 비인가 접근 로그 파일을 제어하는가? <2> 조치법 1. 로그파일 무결성 확인이 활성화 되어 있는지

brunch.co.kr/@topasvga/1056

https://brunch.co.kr/@topasvga/1057 294 sec kms decryption ,use decryption api

294.가장 간단한 AWS KMS 해독 방법?

<1> 요청사항 민감한 데이터에 대해 AWS KMS로 암호화 했다. 가장 간단하고 가장 보안적인 해독 방법은 ? <2> 조치법 암호화 데이터키를 암호화 데이터와 같이 저장한다. 해독 API를 사용해 데이터��

brunch.co.kr/@topasvga/1057

https://brunch.co.kr/@topasvga/1058 295 sec change noti , guardduty

295.변화에 대해 보안팀은 반드시 알람 받기

<1> 요청사항 여러개의 일반 AWS 계정을 가지고 있다. 중앙에서 관리하는 보안 계정을 가지고 있다. S3에는 데이터분류하는 Tag가 달려있다. 어떤 변화에 대해서나 보안팀은 반드시 알람을 받아야 한다. 요구 되는 솔루션은? <2> 조치법 GuardDuty를 보안계정에 활성화 한다. 그리고 일반 AWS 계정을 포함 시킨다. <3> 확인법 http

brunch.co.kr/@topasvga/1058

https://brunch.co.kr/@topasvga/1059 296 sec s3 secure data transfer ,kms , bucket policy

296.암호화와 보안전송을 필수로 하는법

<1> 요청사항 S3에 데이터가 있다. 작은 파일에 수많은 민감 정보가 있다. 데이터는 전송중 반드시 암호화 되어 있어야 한다. 버킷은 반드시 사설에 있어야 한다. 사고로 버플릭에 노출되더라도 데이터는 반드시 암호회 되어 있어야 한다. 어떻게 하나? <2> 조치법 1. 암호화를 KMS를 사용한다.. SSE-KMS 2. 버킷 정책에 보안 전송이 아니면

brunch.co.kr/@topasvga/1059

https://brunch.co.kr/@topasvga/1060 297 sec federation auth

297.federation 인증 설정법

<1> 요청사항 federation 인증을 사용하고자 한다. 설정 방법을 확인해 보자 <2> 조치법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_oidc.html 감사합니다.

brunch.co.kr/@topasvga/1060

https://brunch.co.kr/@topasvga/1061 298 sec vpc container tls , acm pca

298.컨테이너간 TLS통신시 보안과 쉬운 관리법?

<1> 요청사항 VPC 사용중인다. 컨테이너간 TLS통신을 해야 한다. 가장 보안적이고 유지가 쉬운 방법은? <2> 조치법 1. ACM PCA (AWS Certificate Manager Private Certificate Authority) 사용해 인증한다. 2. ACM (AWS Certificate Manager) 을 통해 해독하고 사설 인

brunch.co.kr/@topasvga/1061

https://brunch.co.kr/@topasvga/1062 299 sec ec2 alb , waf

299.감염이 의심스러운 EC2 조사 절차?

<1> 요청사항 EC2 AutoScaling 사용중 ALB사용중 EC2가 손상되었다. 감염이 의심스럽다 조사하는 절차는 ? <2> 조치법 EC2에서 네트워크 인터페이스 분리 EC2에 유입 유출을 막는다. WAF에서 EC2 인스턴�

brunch.co.kr/@topasvga/1062

https://brunch.co.kr/@topasvga/1063 300 sec s3 , key delete , kms , dele key api

300.관리 편리한 암호화와 암호화 키 즉시 삭제법

<1> 요청사항 보안 솔루션은 S3에 대해 완벽하게 암호화를 하려한다. 특별한 관리 없이 , 고 가용성을 제공하고자 한다. 즉시 암호화 키를 삭제할수도 있어야 한다. 어떤 솔루션을 사용하면 되나?

brunch.co.kr/@topasvga/1063

https://brunch.co.kr/@topasvga/1064 301 sec s3 access denied 403 , kms , s3 policy , iam role

301.S3접근 불가시 확인사항 3가지

<1> 요청사항 AWS SDK사용중. EC2사용중. S3 접근 시도. 403 Access Denied 나옴. 어떻게 해결하나? <2> 조치법 1. KMS 키 정책이 KMS 해독을 할수 있는 정책으로 설정되어 있는지 확인하라. 2. S3정책에서 접근할수 있는 정책인지 확인하라. 3. IAM역할이 EC2에 적절한 권한이 있는지 확인하라. <3> 확인

brunch.co.kr/@topasvga/1064

https://brunch.co.kr/@topasvga/1065 302 sec ec2 kms , kms api , vpc endpoint , kms cmk , iam

302.EC2는 새로 생성된 AWS KMS CMK 해독

<1> 요청사항 EC2는 새로 생성된 AWS KMS CMK 에 해독에 실패했다. 인스턴스는 KMS 해독이 활성화 되어 있다. 인스턴스는 KMS API로 VPC endpoint를 사용하고 있다. 원인은? <2> 조치법 KMS CMK키 정책에 IAM 사용자 권한 활성화가 빠져 있다. <3> 확인법 AWS 계정에 대한 액세스 허용 및 IAM 정책

brunch.co.kr/@topasvga/1065

https://brunch.co.kr/@topasvga/1066 303 sec database auth , system manager parameter store

303.데이터베이스 자격증명 저장과 접근법

<1> 요청사항 어플리케이션은 EC2 사용, CloudFormation템플릿으로 EC2 자동 확장그룹을 사용한다. 데이터베이스 자격증명을 하고 있다. 데이터베이스 자격증명을 로깅한다. 가장 효율적인 방법�

brunch.co.kr/@topasvga/1066

https://brunch.co.kr/@topasvga/1067 304 sec ec2 , data , vpc private , no eip

304.민감한 데이터 인터넷 노출되지 않게 하기

<1>요청사항 민감한 데이터를 EC2로 이전했다. 서브넷이 사고로 인터넷에 노출될수 있는게 확인되었다. 어떻게 마이그래이션 하는것을 추천하는가? <2> 조치법 1. VPC 설정을 하여 사설에 둔다. 2. EIP를 할당하지 않도록 한다. <3> 확인법 서브넷이 사고로 노출될수 있다는 것은 VPC단에서 해결해야 한다. 그래서 VPC Subne

brunch.co.kr/@topasvga/1067

https://brunch.co.kr/@topasvga/1068 305 sec userdata script , ami , kms

305. 사용자 데이터 스크립트에 민감한 정보 조치법

<1> 요청사항 EC2 부팅시 설정을 실행시키는 사용자 데이터 스크립트에 민감한 정보가 있다. 보안팀은 사람들이 민감한 정보를 가진 사용자 데이터 스크립트를 못보게 하려 한다. 어떻게 하는것��

brunch.co.kr/@topasvga/1068

https://brunch.co.kr/@topasvga/1069 306 sec s3 encryption , server side encryption sse-kms

306.S3 여러 암호화 키를 사용하는 최소 설정법

<1> 요청사항 온프라미스 테이터를 AWS S3로 이전 한다. 암호화해 전송한다. 암호화키는 하나말고 다른 키들로 사용하고자 한다. 최소 설정으로 구현할수 있는가? <2> 조치법 1. 모든 파일을 같은 S3 버킷에 넣어라. 2. 서버사이트 암호화를 사용하라. KMS 관리키를 사용하라. SSE-KMS 사용. <3> 확인법 https://docs.aws

brunch.co.kr/@topasvga/1069

https://brunch.co.kr/@topasvga/1070 307 sec application ,auth , private certification auth

307.어플리케이션 감염으로 인증키 노출 우려될때

<1> 요청사항 어플리케이션 서버가 Private 서브넷에 있다. ELB사용하며 자동 확장한다. HTTPS로 접근한다. 데이터 전송은 암호화 되어야 한다. 어플리케이션 감염으로 인해 키가 노출될것을 우려한다. 외부 인증서 보호를 하려면 어떻게해야 하나? <2>. 조치법 1. 내부 자체 인증서를 만들어 인스턴스에 적용한다. - 어플리케이션이 감염되더

brunch.co.kr/@topasvga/1070

https://brunch.co.kr/@topasvga/1071 308 sec lambda - cloudwatch log , permission

308.람다사용중 CloudWatch로그 찾을수 없을때

<1> 요청사항 람다 함수 사용중이다. CloudWatch 로그를 찾을수 없다. 어떻게 설명할수 있나? <2> 조치사항 람다에서 Cloudwatch log에 대한 실행권한이 있어야 한다. 권한이 없는 경우 로그를 쌓지 못�

brunch.co.kr/@topasvga/1071

https://brunch.co.kr/@topasvga/1072 309 sec s3 data , key rotate , s3 kms, cmk , 1 year cmk

309.민감한 데이터 자동 순환 설정 하기

<1> 요청사항 민감한 데이터가 S3버킷에 AWS KMS CMK로 보호되고 있다. 키는 매년 자동 순환되었으면 한다. 버킷에서 어떻게 설정하는가? <2> 조치사항 S3- KMS를 선택한다. CMK 순환을 활성화 한다. CMK만 1년 단위로 순환 가능하다. <3> 확인법 https://docs.aws.amazon.com/kms/latest/devel

brunch.co.kr/@topasvga/1072

https://brunch.co.kr/@topasvga/1073 310 sec application head add, use lambda

310. 웹어플리케이션 보안 해더 추가 필요시

<1> 요청사항 웹어플리케이션에서 HTTP 보안 해더를 추가해 보호 하려한다. 웹어플리케이션으로 소스 코드 접근 불가하다. 어떻게 요구사항을 충족 할수 있나? <2> 조치사항 1. 람다를 사용한다. 2. 요구되는 해더를 추가한다. <3> 확인 https://brunch.co.kr/@topasvga/651 감사합니다.

brunch.co.kr/@topasvga/1073

https://brunch.co.kr/@topasvga/1074 311 sec ec2 cloudwatch , cloudwatch log agent check

311. EC2가 Cloudwatch log 트라블슈팅

<1> 요청사항 보안 이벤트가 발생했다. EC2가 Cloudwatch log를 보내지 않는것을 발견했다. 어떻게 트라블 슈팅하나? <2> 조치법 1. EC2에 접속한다. CloudWatch log에이전트가 동작하고 있는지 확인하라. 2.

brunch.co.kr/@topasvga/1074

https://brunch.co.kr/@topasvga/1075 312 sec s3 encryptiom, access , s3 bucket policy

312. 제한된 S3버킷은 접근을 못하도록 하려면?

<1> 요청사항 암호화된 S3 버킷이 있다. 개발자가 제한된 S3버킷은 접근을 못하도록 해야 한다. 그러나 접근이 가능하다. 원인은? <2> 조치법 S3 버킷 정책이 잘못되어 있다. 정책에서 개발자에서 허용되어 있다. <3> 확인법 버킷 정책을 수정해 막아야 한다. https://brunch.co.kr/@topasvga/682 감사합니다.

brunch.co.kr/@topasvga/1075

https://brunch.co.kr/@topasvga/1076 313 sec http flooding attck , waf , rate-base role

313. HTTP flooding 공격 대처법

<1> 요청사항 웹 어플리케이션을 운영중이다. EC2는 ALB뒤에 있다. CloudFront도 사용한다. AWS WAF도 사용한다. 버그로 공격을 받고 있다. HTTP flooding 공격을 받고 있다. 공격을 차단하는 방법은? <2> 조치

brunch.co.kr/@topasvga/1076

https://brunch.co.kr/@topasvga/1077 314 sec ec2 , application attck , security , inspector check

314. 어플리케이션이 악의적인 공격의 타겟이 될경우

<1> 요청사항 아마존 EC2를 이용해 전통적인 3계층 구조로 되어 있다. 어플리케이션은 인터넷에서 악의적인 공격의 타겟이 되었다. 감염과 공격 제한을 어떤 단계로 하면 되나? <2> 조치법 1. 보안

brunch.co.kr/@topasvga/1077

https://brunch.co.kr/@topasvga/1078 315 sec rds , minium downtime , secret manager auto rotate , permission

315. 자격증명 순환시 최소시간 다운법

<1> 요청사항 EC2에 응용 프로그램을 운영중이다. 사용자 이름과 암호로 RDS에 연결하여 인증받는다. 자격증명 순환시 , 자격중명을 보호하고 최소의 다운시간을 가져가려면 어떻게 해야 하나? <2>

brunch.co.kr/@topasvga/1078

https://brunch.co.kr/@topasvga/1079 316 sec high ha , aws cloudHSM

316. 고가용성을 제공하는 암호화키 저장 서비스는?

<1> 요청사항 암호화 키 저장을 관리하고 있다. 요구사항은 VPC에서만 접근가능해야 한다. 실행 취소 제어가 되어야 한다. 로깅 되어야 한다. 고 가용성을 가져야 한다. 요청에 맞는 서비스는 ? <2

brunch.co.kr/@topasvga/1079

https://brunch.co.kr/@topasvga/1080 317 sec cloudtail log event , security group change event , cloudwatch dashboard

317.보안 그룹의 변화가 생기면 알람을 받고자 한다

<1> 요청사항 보안 그룹의 변화가 생기면 알람을 받고자 한다. AWS CloudTrail log events를 확인해 Cloudwatch 알람을 받고자 한다. 보안그룹 변경 테스트를 해보니 알람이 오지 않는다. 어떤 절차로 트라블 슈팅을 해야 하나? <2> 조치법 1. CloudWatch 대시보드를 우선 보자. 2. 보안그룹이 변경되었을때 동작하도록

brunch.co.kr/@topasvga/1080

https://brunch.co.kr/@topasvga/1081 318 sec create accesskey alarm , cloudwatch alarm check

318. Access Key생성되면 알람을 받고자 한다

<1> 요청사항 Access Key가 생성되면 알람을 받고자 한다. AWS CloudTrail , CloudWatch log , CloudWatch를 이용해 알람을 보내고 있다. 하지만 알람이 오지 않는다. 어떤 액션으로 이 문제를 풀수 있는가? <2> 조�

brunch.co.kr/@topasvga/1081

https://brunch.co.kr/@topasvga/1082 319 sec parameterstore database encryption, ssm.amazonaws.com policy update , kms key, kme:decrypt

319. 파라미터 스토어의 파라미터 접근 불가 에러시

<1> 요청사항 AWS System Manager Parameter Store사용하여 데이터베이스 암호를 저장한다. 람다를 이용한다. 민감한 데이터 파라미터를 보안문자와 KMS key로 관리한다. IAM허용 한다. 람다가 실행되었는데 파라미터 접근 불가 에러가 발생했다. 불가 에러를 해결하는 방법은? <2> 조치법 1. ssm.amazonaws.com

brunch.co.kr/@topasvga/1082

https://brunch.co.kr/@topasvga/1083 320 sec s3 data encryption, s3 bucket policy , s3:getobject

320. 가장 보안적이고 비용 효율적인 S3데이터 보호

<1> 요청사항 새 어플리케이션이 민감한 데이터를 S3에 저장중이다. 특정 키 패턴을 가지고 저장한다. 버킷은 SSE 암호화 하고 있다. 가장 보안적이고 비용 효율적으로 민감한 데이터를 보호하는 방법은? <2> 조치법 S3 버킷정책에 s3:getObject 에 대해 거부하는 설정을 하라. <3> 확인법 S3에서 데이터를 가져갈수 없도록 하는 것이

brunch.co.kr/@topasvga/1083

https://brunch.co.kr/@topasvga/1084 321 sec 1111 port data , cloudwatch custom metric , vpc flow log , network acl

321.서버에서 1111포트로 데이터 유출 되지 않도록

<1> 요청사항 어플리케이션 취약성이 발견되었다. 분석 코드는 특정 포트 1111을 랜덤하게 분석한다. 코드가 패치되는 동안 빠르게 모든 서버에서 1111포트로 데이터 유출이 되지 않도록 하고자 한다. 어떻게 하나? <2> 조치법 1. CloudWatch Custom metic을 사용하여, VPC Flow log에서 1111로 유출 트래픽을 확인한다

brunch.co.kr/@topasvga/1084

https://brunch.co.kr/@topasvga/1085 322 sec s3 bucket policy

322.같은 계정에 S3 버킷이 2개 일때 권한

<1> 요청사항 같은 계정에 S3 버킷이 2개 있다. 버킷 2는 정책이 없다. 같은 계정에 버킷 1은 특정 사용자를 허용한다. 같은 계정에서 어떤 버킷을 볼수 있나? <2> 조치법 버킷1, 버킷 2 둘다 가능하다. <3> 확인법 https://brunch.co.kr/@topasvga/682 감사합니다.

brunch.co.kr/@topasvga/1085

https://brunch.co.kr/@topasvga/1086 323 sec ebs volume data delete , os delete , ebs format

323.EBS 볼륨의 데이터 완전 삭제하는법?

<1> 요청사항 EC2에 내부 문서 저장소가 있다. EBS 볼륨은 암호화되어 저장된다. 확장성을 위핸 파일을 S3에 보관한다. 모든 파일은 반드시 삭제 되고, 디스크가 재사용시 데이터를 사용할수 없음을 확인해야 한다. 어떤 방법으로 데이터에 어느 누구도 접근할수 없도록 할수 있는가? <2> 조치법 1. 운영체제에서 delete 명령어로 지운다. 2

brunch.co.kr/@topasvga/1086

https://brunch.co.kr/@topasvga/1087 324 sec cloudtrail s3 , s3 bucket

324. CloudTrail이 S3에 저장 실패할 경우

<1> 요청사항 CloudTrail은 API Call을 모니터링 한다. CloudTrail 이 S3에 저장하는것이 실패한다. 어떤 액션으로 CloudTrail 이벤트가 S3에 저장되도록 할수 있나? <2> 조치법 1. CloudTrail 에 S3버킷이 정의 되어 있는지 확인하라. 2. CloudTrail에 S3 버킷에 대한 prfix가 정의 되어 있는지

brunch.co.kr/@topasvga/1087

https://brunch.co.kr/@topasvga/1088 325 sec s3 cmk encryptiom s3 upload , s3ccopy

325.암호화 키를 활성화해 다이나모DB에 저장하려면?

<1> 요청사항 고객 제공하는 암호화 키를 활성화 해서 다이나모DB에 저장해야 한다. 암호화 키에 대해 완벽하게 제어하고자 한다. 어떤 다이나모 DB 기능을 사용하면 보안요건에 충족할수 있을까? <2> 조치법 1. S3에 고객 제공하는 암호화 키를 이용해 서버사이트 암호화를 한다. 2. 데이터를 S3에 업로드한다 3. S3Copy를 이용해 모든

brunch.co.kr/@topasvga/1088

https://brunch.co.kr/@topasvga/1089 326 sec elb, ec2 error , elb , ec2 shutdown

326. ELB 뒤에 EC2서버 손상시 조치법?

<1> 요청사항 ELB 뒤에 EC2서버가 손상되었다는 경보를 받았다. 어떤 기술로 제한하고 , 증거 수집을 허용할수 있는가? <2> 조치법 1. 인스턴스를 ELB에서 제외시킨다. 2. 인스턴스를 셧다운 시킨다. <3> 확인법 https://brunch.co.kr/@topasvga/79 https://brunch.co.kr/@topasvga/35

brunch.co.kr/@topasvga/1089

https://brunch.co.kr/@topasvga/1090 327 sec https clustim tls , clodfront , rsa public key

327. 인증서 CloudFront 가용성확보

<1> 요청사항 웹사이트를 CloudFront로 구성했다. HTTPS 를 설정해 AWS Certificate Manager를 이용해 Custom TLS 인증을 사용한다. 어떤 조합이 인증서가 CloudFront 가용성이 확보 되나? <2> 조치법 1. RSA public Key 인증서를 가져온다. 2. 리전에 인증서를 가져온다. <3> 확

brunch.co.kr/@topasvga/1090

https://brunch.co.kr/@topasvga/1091 328 sec region , aws limite , condition, stringequals , ec2:region

328.특정 리전에서만 AWS 사용하게 하고자 한다

<1> 요청사항 IAM 정책으로 특정 리전에서만 AWS 서비스를 사용하게 하고자 한다. 어떤 정책을 적용해야 하나? <2> 조치법 정책 내용 1. Condition 2. StringEquals 3. ec2:Region 이 포함 되어야 한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuid

brunch.co.kr/@topasvga/1091

https://brunch.co.kr/@topasvga/1092 329 sec waf trigger , cloudfront , alb

329.AWS WAF rule을 트리거하는 웹 소스는?

<1> 요청사항 AWS WAF rule을 트리거하는 올라른 웹 접근 제어 리스트 소스는 ? <2> 조치법 1. CloudFront 2. ALB (Application Load Balancer) <3> 확인법 웹 방화벽를 트리거 하는 소스는 CDN , API GW, LB 이다. 1) Amaz

brunch.co.kr/@topasvga/1092

https://brunch.co.kr/@topasvga/1093 330 sec root secrrity , nwe iam admin , mfa

330.AWS root 계정의 사용에 대해 보안 강화법

<1> 요청사항 AWS root 계정의 사용에 대해 보안 강화하고자 한다. 최고 레벨의 보안을 제공하려 한다. 어떻게 하나? <2> 조치법 1. 새로운 IAM 사용자를 admin 권한을 제공한다. 2. ROOT 계정에 대해 M

brunch.co.kr/@topasvga/1093

https://brunch.co.kr/@topasvga/1094 331 sec security , security group , nacl , public subnet

331. 보안그룹,NACL사용 보안 기기 테스트 환경?

<1> 요청사항 가상 보안장비가 인라인으로 연결되어 있다. 다양한 보안 요청사항의 환경을 제공하기 위해 보안그룹과 네트워크 ACL을 사용하기 원한다. 어떤 설정을 허용해야 보안 기기의 트래픽이 라우팅 되는가? <2> 조치법 보안 장비를 인터넷 게이트웨이를 사용하는 Public Subnet에 위치하라. <3> 확인법 https://brunch.c

brunch.co.kr/@topasvga/1094

https://brunch.co.kr/@topasvga/1095 332 sec cloudfront s3 bucket access , oai origin access indentity

332.CloudFront사용 S3버킷 직접접근 불가법

<1> 요청사항 DDOS 공격 경험으로 CloudFront 구성을 S3 버킷을 이용하 구성했다. CloudFront 를 지나 S3 버킷에 직접 접근할수 있는 사용자가 발견되었다. URL을 이용해 직접 접속되지 않도록 무엇�

brunch.co.kr/@topasvga/1095

https://brunch.co.kr/@topasvga/1096 333 sec remote access , vpn

333.원격지직원만 어플리케이션 사용하기 위한 서비스?

<1> 요청사항 오직 직원만 접근가능한 어플리케이션이 있다. 대부분은 사무실에서 일한다. 일부는 여행을 하거나 원격지에서 접근해야 한다. 어떤 부분일 제공해야 접근이 가능한가? <2> 조치법

brunch.co.kr/@topasvga/1096

https://brunch.co.kr/@topasvga/1097 334 sec ec2 file change check , clodwatch log , sns

334.EC2에 있는 파일 수정되면 감지를 하고자 한다

<1> 요청사항 EC2 에 있는 파일이 수정되면 감지를 하고자 한다. 수정되면 반드시 보안팀에 알람이 가야 한다. 가장 효율적인 방법은? <2> 조치법 1. CloudWatch log를 이용하라. 2. 이벤트에 대해 SNS로 감지되도록 한다. <3> 확인법 https://brunch.co.kr/@topasvga/618 https://brunch

brunch.co.kr/@topasvga/1097

https://brunch.co.kr/@topasvga/1098 335 sec ad , iam role ad , saml , trust

335. AWS인증을 위해 기존 온프라미스 AD활용

<1> 요청사항 인프라를 AWS로 이전하고자 한다. AWS인증을 위해 기존 온프라미스에 있는 AD를 활용하고자 한다. 어떻게 하면 되나? <2> 조치법 1. IAM role을 각 AD 그룹에 만든다. 2. IAM과 SAML 을 �

brunch.co.kr/@topasvga/1098

https://brunch.co.kr/@topasvga/1099 336 sec cmk delete

336. CMK를 삭제할 예정이다. 조치법은?

<1> 요청사항 EC2 인스턴스는 EBS 볼룸을 연결해 데이터를 저장하고 있다. 데이터는 비동기적으로 S3 버킷과 동기화 한다. EBS 볼륨과 S3버킷은 같은 AWS KMS CMK로 암호화 되고 있다. 직원이 회사를 떠

brunch.co.kr/@topasvga/1099

https://brunch.co.kr/@topasvga/1100 337 sec security group 0.0.0.0/0 , nacl

337.가장 효율적인 네트워크 보안 리스크 재조정 활동

<1> 요청사항 보안그룹에 SSH와 RDP트래픽을 0.0.0.0/0 (모든곳)에서 접속되도록 했다. 가장 효율적으로 리스크를 재조정하는 활동은? <2> 조치법 1. 네트워크 ACL을 사용하는 것이다. 2. 소스가 0.0.0.0/0

brunch.co.kr/@topasvga/1100

https://brunch.co.kr/@topasvga/1101 338 sec cmk , net cmk , kms key manage iam

338.CMK를 관리하고 싶지는 않다면?

<1> 요청사항 새 AWS 계정에 IAM role과 정책을 수정하고자 한다. 수많은 마스터키가 있다. CMK를 관리하고 싶지는 않다. 다음중 IAM에서 KMS권한을 복잡하게 수정하지 않고 관리하려면 ? <2> 조치법 새로 CMK를 생성하고 , 반드시 KMS 키 관리자의 IAM 정책을 미러링하라. <3> 확인법 https://docs.aws

brunch.co.kr/@topasvga/1101

https://brunch.co.kr/@topasvga/1102 339 sec log edit check , cloudtrail , kms log encryption

339.로그 수정을 감지하려면 ?

<1> 요청사항 AWS 계정은 AWS CloudTrail API call log 사용하고자 한다. 로그는 S3버킷에 저장되어야 한다. 각 Trail은 유일한 prefix를 가지고 중앙 집중 서비스를 제공한다. 설정은 어떤 로그 수정도 감지해야 한다. 어떤 과정이 요구되는가? <2> 조치법 1. 버킷 정책에 새 중앙 집중 S3버킷에 Cloud

brunch.co.kr/@topasvga/1102

https://brunch.co.kr/@topasvga/1103 340 sec 3th aws use , external id , sts:external

340. 제3의 회사를 통해 AWS비용 최적화시 조치법

<1> 요청사항 제3의 회사를 통해 AWS계정의 비용 최적화 하고자 한다. 계정에 대한 우려가 크다. 우려를 막고자 한다면? <2> 조치법 1. External ID를 요구하라. 2. 조건에 sts:External 역할을 추가하라. <3

brunch.co.kr/@topasvga/1103

https://brunch.co.kr/@topasvga/1105 341 sec ping , flow log reject, nacl

341. ping은 되나 나가는게 안될때

<1> 요청사항 VPC와 온프라미스 데이터간 연결되어 있다. 온프라미스에서 AWS로 ping테스트를 했다. ping 응답이 없다. flow log보면 요청을 들어간다. flow log보면 REJECT된다고 나온다. ping을 허용 하��

brunch.co.kr/@topasvga/1105

https://brunch.co.kr/@topasvga/1106 342 sec vpci change monitoring , aws config , cloudwatch event

342.VPC 리소스에 대해 자동으로 감사를 하려 한다

<1> 요청사항 보안정책은 VPC Flow Logs는 활성화 하는것으로 한다. VPC 리소스에 대해 자동으로 감사를 하려 한다. 어떤 조합으로 확인할수 있는가? <2> 조치법 1. AWS Config 사용한다. 2. AWS Config 이벤트 트리거해서 CloudWatch Event 룰을 만든다. <3> 확인법 https://brunch.co.k

brunch.co.kr/@topasvga/1106

https://brunch.co.kr/@topasvga/1107 343 sec web autj, api call , saml, cognito

343. 어떤 조합이 웹 인증과 API call가능한가

<1> 요청사항 웹 어플리케이션 구축됨. 어플리케이션은 S3 버킷을 이용해 스테틱 컨텐츠 제공. API Gateway로 RESTful 서비스 제공. DynamoDB 사용. SAML을 이용해 이미 존재하는 디렉토리는 노출된다. 어떤 조합이 웹 어플리케이션 인증 과 API call 가능하게 하나? <2> 조치법 1. SAML 2. Cognito 조합

brunch.co.kr/@topasvga/1107

https://brunch.co.kr/@topasvga/1108 344 sec s3 bucket , bucket/*

344.S3버킷 오브젝트 다운로드 하려는데 접근 거부시

<1> 요청사항 S3 버킷 정책이 오직 10.10.10.0/24에서만 접근이 허용되도록 했다. 10.10.10.40에서 S3버킷 오브젝트를 다운로드 하려는데 접근 거부 메시지가 나왔다. 관리자가 권한 접근을 위해 필요한 변경은 ? <2> 조치법 Bucket/* 리소스 입력이 되어야 한다. <3> 확인법 https://brunch.co.kr/

brunch.co.kr/@topasvga/1108

https://brunch.co.kr/@topasvga/1109 345 sec region limite , alarm , cloudtrail log alarm

345. 승인되지 않은 리전에 리소스 만들어질경우 알람

<1> 요청사항 특정 리전에서만 AWS 자원을 만들게 한다. 승인되지 않은 리전에 리소스가 만들어지면 알람을 받고자 한다. 다음중 알람을 받으려 하면 어떻게 해야 하나? <2> 조치법 AWS CloudTrail log�

brunch.co.kr/@topasvga/1109

https://brunch.co.kr/@topasvga/1110 346 sec kms , aws network , no public , ksm sourceVpce , vpc endpoint , kms , private dns

346. KMS는 반드시 AWS network 내 사용

<1> 요청사항 보안 정책상 KMS는 반드시 AWS network 내 사용해야 하고, 공인 서비스를 사용하면 안된다. 어떤 조합이 가장 만족스러운 결과를 가져오는가? <2> 조치 1. AWS KMS정책을 사용하은 aw

brunch.co.kr/@topasvga/1110

https://brunch.co.kr/@topasvga/1111 347 sec command and control server , guardduty

347. command-and-control서버와 통신

<1> 요청사항 VPC에 있는 Windows EC2가 온프라미스와 연결되었다. 보안팀은 GuardDuty룰 활성화해서 경고를 받고자 한다. command-and-control 서버와 통신하고자 하는데 GuardDuty의 경고 받는데 실패했다.

brunch.co.kr/@topasvga/1111

https://brunch.co.kr/@topasvga/1112 348 sec ec2 , iptables

348.EC2 이용해 다른 AWS 자원을 공격 시 방어

<1> 요청사항 EC2 사용 중이다. EC2를 여러 사람과 공유하고 있다. root로 SSH는 허용하지 않는다. EC2가 해킹당할 수도 있다. EC2를 이용해 다른 AWS 자원을 공격할지 걱정된다. 어떻게 방어할 수 있나? <2> 조치법 IPtable을 사용해 방어한다. <3> 확인 1. 외부의 공격을 긴급하게 막 해할 경우는 네트워크 ACL를

brunch.co.kr/@topasvga/1112

https://brunch.co.kr/@topasvga/1113 349 sec root , admin iam mfa , ksm , 30 day rotate

349. 가장 보안적인 AWS root 보호법?

<1> 요청사항 가장 보안적인 AWS root 계정을 보호하는 방법은? <2> 조치법 1. Admin정책을 가진 IAM사용자에게 MFA를 사용한다. 2. AWS KMS 이용해 root 사용자 계정, IAM access key를 암호화하라. 그�

brunch.co.kr/@topasvga/1113

https://brunch.co.kr/@topasvga/1114 350 sec cloudtrail log , ksm key policy , iam permisstion

350.Cloudtraill 로그 접근 안되는 원인은?

<1> 요청사항 모든지역에 AWS Cloudtrail 을 활성화 했다. 추가적인 보안으로 로그 파일을 서버측 AWS KMS 암호화 한다. ( SSE-KMS) 로그에 대해 무결성을 활성화 했다. File은 접근 가능하다. 그러나 로그는 접근이 안된다. 가장 근접한 원인은? <2> 조치법 KMS 키 정책이 IAM 사용자에게 암호해독을 위한 역할 권한을 허

brunch.co.kr/@topasvga/1114

https://brunch.co.kr/@topasvga/1010 351 sec cmk iam , kms policy

351. CMK 사용시 IAM정책

<1> 요청사항 EC2 가 유지보수로 중단 되었다. 암호화는 Customer Master Key(CMK)로 하고 EBS가 추가되어 있다. EBS 분리후 EC2를 재시작 했다. 추가가 필요한 IAM정책은? <2> 조치법 KMS에 대한 정책이 있어여 한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/kms/latest

brunch.co.kr/@topasvga/1010

https://brunch.co.kr/@topasvga/1118 352 sec isms-p check list

352. 비공인 AWS ISMS-P 체크 리스트

175.(ISMS-P) 계정 암호정책 https://brunch.co.kr/@topasvga/749 176. (ISMS-P) 계정 보안 확인 리스트 https://brunch.co.kr/@topasvga/750 177. (ISMS-P) 네트워크 보안 확인 리스트 https://brunch.co.kr/@topasvga/751 178. (ISMS-P) D

brunch.co.kr/@topasvga/1118

https://sessin.github.io/awswafhol/

AWS WAF Workshop

sessin.github.io