You can make anythingby writing
C.S.Lewis
<1> 요청사항 <2> 조치법 <3> 확인 <4> 기타 참고 자료 <1> 요청사항 S3 사용 중이다. 데이터는 암호화 전송되어야 한다. CloudTrail로 수집된 로그는 암호화되고 검색되어야 한다. <2> 조치법 1. S3 버킷 정책에 보안 전송 설정을 한다. 2. S3 암호화를 설정한다. 3. 모든 S3 오브젝트의 데이터 이벤
brunch.co.kr/@topasvga/979
<1> 요청사항 CloudTrail log를 KMS의 Customer Master Key(CMK)를 사용하여 자동 암호화 하려 합니다. 효율적인 방법은? <2> 해결법 1. CloudTrail 설정은 AWS-KMS를 사용하여 서버 사이드 암호화를 사용 하고, CloudTrail log를 해독 한다. <3> 확인 1. KMS 에서 키를 만
brunch.co.kr/@topasvga/980
<1> 요청사항 개인정보를 가진 EC2 서버가 있다. 엄격한 컴플라이언스를 요청한다. 모든 유입되는 트래픽 에 대해서 웹 공격 방어를 하고자 한다. 나가는 트래픽에 대해서는 whitelist URL을 관리하고자 한다. 어떤 서비스를 사용해야 하나? <2> 해결책 1. 유입 웹공격 관리는 WAF 웹방화벽으로 관리 한다. 2. 나가는 트래픽은 white
brunch.co.kr/@topasvga/981
<1> 요청사항 인증되지 않는 VPC에서 EC2로 네트워크 포트 스캔 시 알람을 받고자 한다. GuardDuty 알람 받는다. 보안팀은 인증된 스캐너로 내부적으로 점검한다. 보안팀은 인증된 테스트의 알람은 적게 받고 싶어 한다. 인증되지 않은 시스템 활동은 알람은 계속 받아야 한다. <2> 조치법 보안팀에서 사용하는 EC2에 Inspector a
brunch.co.kr/@topasvga/982
<1> 요청사항 보안팀에서 EC2 인스턴스에 대해 Abuse 경고 리스트 수신함. 어뷰징한다고 리포팅됨 어떻게 해야 하나? <2> 조치 1. AWS Artifact를 사용한다. 아티팩트. 2. 각 인스턴스 상태의 정확한 이미�
brunch.co.kr/@topasvga/983
<1> 요청사항 보안키에 대해 컴플라이언스 표준 준수에 있는지 확인하려 한다. AWS 어떤 서비스를 이용하면 되는가? <2> 답변 AWS Artifact 서비스를 이용해, AWS compliance reports에 접근하면 된다. <3> �
brunch.co.kr/@topasvga/984
<1> 요청사항 S3에 개인 확인 정보가 노출되었는지 확인하고자 한다. 개인확인정보 Personally identifiable information(PII)에 접근되었는지도 확인하고자 한다. 어떤 솔루션을 사용하면 되는가? <2> 조치법 Amazon Macie 서비스 사용한다. S3 사용 AWS ClouTail log와 S3 Bucket log사용
brunch.co.kr/@topasvga/985
<1> 요청사항 Application이 SQS 검색을 EC2에 구축했다. 최근 IAM 변경된후 더 이상 메시지 검색이 되지 않는다. 어떤부분을 확인해야 하는가? <2> 점검사항 1. Instance에 Role 첨부한 부분에 대한 정책 확인 필요. 2. 인스턴스가 Queue에 접근 권한이 거부 되었을수 있다. <3> 확인 1. 권한을 주는 방법은
brunch.co.kr/@topasvga/986
<1> 요청사항 CloudWatch 사용자 지정 메트릭을 수집하고 있다. 최근, IAM 정책 변경 된후 더 이상 레포팅이 안된다. 해결 책은? <2> 해결책 1. IAM policy를 어플리케이션에 추가하라. 2. CloudWatch : PutMetricData를 허용하라. <3> 확인 사용자 지정 메트릭 설정법 aws cloudwatch put
brunch.co.kr/@topasvga/987
<1> 요청사항. 웹서버가 2개의 Zone Public subnet에서 운영중이다. Apache log를 보나 수백개의 IP에서 대규모 공격이 보여진다. 앞으로 공격 영향을 줄이는 가장 좋은 방법은? <2> 해결책 네트워크 ACL
brunch.co.kr/@topasvga/988
<1> 요청사항 회사는 IP 패킷에 대해 무효 또는 악의 컨텐츠 검사하려 한다. 달성법은? <2> 해결책 1. 프록시 솔루션을 도입한다. 2. EC2와 모든 나가는 VPC트래픽에 대해 프록시 사용하라. 3. 호스트 베이스 에이전트를 설정하여 호스트 베이스로 검사하라. EC2가 감염되었을수 있어 호스트에 에이전트를 설치하여 검사하라는 것이다. <
brunch.co.kr/@topasvga/989
<1> 현황 보안그룹에서 HTTP 유입 트래픽에 대해 any(0.0.0.0/0)로 허용상태이다. 유출 트래픽에 대해 설정 없다. network ACL에서 HTTP 유입 트래픽에 대해 any(0.0.0.0/0)로 허용상태이다. 유출 트래픽에 대해 설정 없다. 서비스가 안된다. 어떻게 해야 하나 ? <2> 조치법 network ACL은
brunch.co.kr/@topasvga/990
<1> 요청사항 AWS Key Management Service(KMS)는 여러 옵션을 제공한다. 그중, 최소 범위 노출을 하는 Best practices 옵션은? <2> 설정법 KMS에서 자동으로 키 순환으로 마스터 키룰 교체하라. <3>
brunch.co.kr/@topasvga/991
<1> 요청사항 AWS Account 접속등 활동에 대해 AWS CloudTrail log를 분석 하고자 한다. audit log가 과도하게 많다. 가장 효율적으로 분석하는 방법은? <2> 조치법 1. Amazone Athena를 사용하여, CloudTrail S3버킷을 읽는다. 2. 쿼리 로그를 관찰하라. <3> 확인 1. Amazone A
brunch.co.kr/@topasvga/992
<1> 현상 Cloudwatch logs agent로 로그 수집이 잘 되고 있다. 어느 순간 로그 스트림 수집이 멈춘다. 원인은 ? <2> 원인 1. OS로그 회전 규칙 확인하여 agent로 로그 수집과 호환 되는지 확인이 필요�
brunch.co.kr/@topasvga/993
<1> 요청사항 어플리케이션은 한 AZ에만 구성되지 않는다. 다른 리전도 사용가능하다. AWS 리소스의 AWS KMS 암호화를 위해 필요한것은? <2> 조치법 1. AWS 서비스를 이용해 데이터가 리전간 복제가 되어야 한다. 2. CMK를 사용해 소스 리전의 암호화키를 다시 포장한다. 감사합니다.
brunch.co.kr/@topasvga/994
<1> 요청사항 조직 정책은 모든 암호화 키를 자동으로 12개월마다 순환되어야 한다. AWS Key Management Service(KMS) key 는 어떤 타입을 써야 하나? <2> 조치 Customer Master Key (CMK) 사용하라. <3> 확인 Customer Master Key (CMK) > 암호화 구성에만 키 교체 옵션이
brunch.co.kr/@topasvga/995
<1> 요청사항 온 프라미스에 디지털화한 데이터가 있다. 데이터를 AWS로 이전해서 분석하고자 한다. 데이터 전송시 암호화가 필요하다. 어떤 AWS 서비스가 필요한가? <2> 처리법 Kinesis Data Anlytics 사�
brunch.co.kr/@topasvga/996
<1> 요청사항 IT 인프라는 AWS로 이전하고자 한다. AWS ID확인을 기존 온프라미스의 AD를 사용하고자 한다. 어떻게 사용해야 하나? <2> 설정해야 하는 2가지 1. AD의 Group에 필요한 IAM Role을 생��
brunch.co.kr/@topasvga/997
<1> 요청사항 3계증 웹 프로그램을 EC2에 배포한다. EC2는 RDS 연결 인증이 필요하다. 람다는 같은 RDS에 같은 인증이 필요하다. 인증은 반드시 EC2 있다. 람다는 EC2에 연결되어야 한다. 다른 연결은 허
brunch.co.kr/@topasvga/998
<1> 요청사항 CloudFront , ELB , ALB , AutoScaling 사용이 필요하다. EC2는 한국 리전에 있다. 도메인 네임을 사용해서 암호화 전송이 필요하다. 클라이언트 > CloudFront > LB AWS Cetificate Manager를 사용한다. 몇
brunch.co.kr/@topasvga/999
<1> 요청사항 기존 온프라미스에 AD가 있다. 기존 AD로 AWS ID와 그룹을 이용해 자원을 접근하고자 한다. 권한관련해서 AWS 서비스에서 대해 AD 사용자에게 제공되어야 하는것은? <2> 조치 1. AWS IAM �
brunch.co.kr/@topasvga/1000
<1> 요청사항 회사의 많은 인원이 원격에서 데이터를 올려야 한다. 파일은 다양한다. 신뢰하지 않는 네트워크에서 암호화되지 않는 문서들이 전송된다. 최소 노력으로 감사를 하려고 한다. 어��
brunch.co.kr/@topasvga/1001
<1> 요청사항 3개의 스토리지에 민감한 데이터를 저장한다. 분류에 따라 접근 제한, 보안 , 민감 데이터로 구분해 올리고자 한다. 모두 단일화된 키로 암호화 하려고 한다. 2차 인증은 필수로 한다
brunch.co.kr/@topasvga/1002
<1> 요청사항 클라우드 기반 사용자는 분리된 인증 도메인을 가져야 한다. 클라우드 기반 사용자는 온프라미스에 접근하면 안된다. AWS에 데이터베이스와 EC2가 있다. AD는 온프라미스에 있다. 온
brunch.co.kr/@topasvga/1003
<1> 요청사항 KMS 정책을 확인해보자 특정사용자만이 KMS사용하도록 설정 <2> 조치법 KMS 정책 설정 <3> 확인 https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/overview.html https://aws.amazon.com/ko/kms/ 감사합니다.
brunch.co.kr/@topasvga/1004
<1> 요청사항 EC2가 유입,유출,타서버와 통신등 복잡한 룰을 가지고 있다. 룰이 복잡해서 최대 수의 보안그룹과 네트워크 제어로 구현할수 없다. 추가 비용없이 구현하고 싶다. 어떻게 해야 하나? <2> 조치법 iptable로 제어하면 된다. 서버에서 한다. OS에서 제공하는 기본 방화벽을 사용한다. 감사합니다.
brunch.co.kr/@topasvga/1005
<1> 요청사항 데이터에 대한 새로운 vault잠금 정책을 사용 초기 vault잠금도 12시간 오타로 접근이 안된다. 가장 비용 효율적인 조치 방법은? <2> 조치법 1. vault잠금을 중단시킨다 2. 오타를 수정한다. 3. 초기 vault잠금을 다시 호출한다. https://aws.amazon.com/ko/quickstart/architectu
brunch.co.kr/@topasvga/1006
<1> 요청사항 온프라미스와 EC2인스턴스간 암호화 통신을 해야 한다. EC2 는 LB를 사용한다 어떻게 구성하나? <2> 조치법 1. ALB를 통해 HTTPS 리스너를 만든다. 2. 모든 라우팅을 LB를 통해 진행한다.
brunch.co.kr/@topasvga/1007
<1> 요청사항 어플리케이션 로그는 text파일로 있다. 로그는 반드시 보안침해에 문제가 없는지 모니터링 필요하다. 최소 비용으로 요청사항을 맞출수 있는가? <2> 조치법 1. 스케줄을 사용하라. 2. �
brunch.co.kr/@topasvga/1008
<1> 요청사항 일반 데이터는 AWS에 있다. 개인정보 데이터는 온프라미스 데이터 센터에 있다. 온프라미스의 개인정보가 제한적으로 AWS로 이전해야 한다. 인터넷 성능은 예측할수 없다. 가장 보안�
brunch.co.kr/@topasvga/1009
<1> 현황 Root 계정을 제한한다. 빌링에 관련 모든 기능을 활성화 한다. root는 빌링 관련해만 사용한다. 리소스 운영 목적은 아니다. 관리자는 Root 계정에 대해 어떻게 관리 하면 되는가? <2> 조치 Organizational Unit(OU)을 사용한다. 모든 운영 계정은 새로운 OU를 사용한다. <3> 확인 메뉴얼 https:/
brunch.co.kr/@topasvga/1011
<1> 현황 Lambda 호출로 Cloudwatch event가 발생한다. S3에 저장된 CloudTrail logs들을 Lambda 함수로 Athena 쿼리를 한다. 지난 30일간의 기록. 몇분후 람다함수는 Athena쿼리에 실패한다. 불충분한 권한으로 나온다. 에러 이유는 ? <2> 조치법 Athena쿼리 실행 권한을 가지고 있지 않다. <
brunch.co.kr/@topasvga/1012
<1> 현황 데이터베이스를 RDS로 마이그래이션 되었다. AWS Secret Manager로 관리되고 있다. Secrets manaer로 30일마다 자격증명을 회전한다. 짧은 기간 동안 여러번 인증 실패 했다. 가장 근접한 에러 원인은 무엇인가? <2> 조치 RDS 인증이 필요하다. 모든 접근이 요구될때 마다 Secrets Manager 가 필요 했다.
brunch.co.kr/@topasvga/1013
<1> 현상 EC2 이상한 행동이 보여지고 보안 알람을 받고 있다. EC2는 분리해야 한다. 툴을 사용해 조사한다. 분리와 연구 이벤트는 어떤것으로 보는가? <2> 조치 1. AWS CloudTrail 사용 2. VPC Flow Logs 사용 3. Security groups 을 본다. 가능한 볼수 있는 것 다 봐야 한다. <3> 확인 https
brunch.co.kr/@topasvga/1014
<1> 현황 보안팀은 오직 승인된 AMI로만 구성하는것으로 관리하고자 한다. 앞으로 어떻게 해당 AMI로만 구축되는지 확인하는가? <2> 조치 1. AWS Config rule로 한다. 2. 모든 운영중인 인스턴스에 대해 조사한다. <3> 확인 https://brunch.co.kr/@topasvga/700 https://brunch.co.kr/@
brunch.co.kr/@topasvga/1015
<1> 현황 개발팀은 매시간 에러 메시지를 받는다. 암호화 또는 암호해지 파라미터에 대해, SSM Parameter Store메시지를 받는다. AWS KMS customer manged Key(CMK) 사용한다. 어떤 CMK는 이슈와 관련 있는가? <2>
brunch.co.kr/@topasvga/1016
<1> 현황 멀티 AWS 계정이 있다. AWS CloudTrail Config 로그는 하나의 S3 버킷에 중안 집중된다. 2개의 AWS계정은 로깅 되지 않았다. 원인은? <2> 확인 1. 로그 파일 프리픽스를 S3 버킷에서 확인하라. 2.
brunch.co.kr/@topasvga/1017
<1> 요청사항 AWS Organization을 이용해 여러개의 AWS 계정을 관리하고 있다. A 구성원만 재무관련 내용을 보려 한다. 리소스 관련 부분은 볼수 없게 하려 한다. 어떻게 하면 되나? <2> 조치 A 구성원에 빌링 보는 권한을 부여 한다. Assume 역할울 부여한다. <3> 확인 https://brunch.co.kr/@topasvg
brunch.co.kr/@topasvga/1018
<1> 요청사항 도커와 EC2에서 운영중인 어플리케이션 로그가 있다. 중앙에 로그를 집중하려 한다. 리얼타임 분석이 필요하다. 이벤트에 대해 확인한다. 어떤 AWS 서비스를 조합해 사용하면 되나? <2> 조치법 1. Kinesis 사용 2. CloudWatch 사용 <3> 확인 실시간 분석은 Kinesis https://docs.aws.amaz
brunch.co.kr/@topasvga/1019
<1> 요청사항 사용자 IAM 권한에 대한 감사를 하고자 한다. 어떻게 할수 있는가? <2> 조치 AWS Config사용한다. IAM 정책을 할당에 대해 변경전 , 변경후에 대해 리뷰한다. <3> 확인 https://docs.aws.amazon.com/ko_kr/config/latest/developerguide/WhatIsConfig.html
brunch.co.kr/@topasvga/1020
<1> 요청사항 S3에 웹호스팅한다. 웹사이트를 CloudFront로 분산하고자 한다. 웹사이트를 다이렉트로 S3 URL로 접근하지 못하도록 한다. 어떻게 하면 되는가? <2> 조치 CloudFront 분산으로 원본을 접속한다. S3 버킷 권한을 수정하라. 오리진은 S3버킷 컨텐츠로만 접근하게 한다. <3> 확인 https://docs.aws.am
brunch.co.kr/@topasvga/1021
<1> 요청사항 EC2 , S3 , RDS , DynamoDB , STS 사용을 특정 계정으로 사용한다. 계정 관리에 있어 확장성 있고 효율적인 접근은? <2> 조치 AWS Organizations을 사용한다. FULL access 정책을 만들어 Organization unit에 적용한다. <3> 확인 확장성 있는 접근은 Organization을
brunch.co.kr/@topasvga/1022
<1> 요청사항 Customer master key(CMK)를 가지고 있다. 모든 암호화 키는 매년 순환되어야 한다. 어떤 정책을 사용할수 있는가? <2> 조치법 새 CMK를 만든다. 새로 import한다. 새 키를 별명으로 해서 새 CMK를 만든다. <3> 확인 https://docs.aws.amazon.com/ko_kr/kms/latest/d
brunch.co.kr/@topasvga/1023
<1> 요청사항 Access key 와 Secret access key가 노출되었다. 즉시 키를 비활성화 했다. 어떻게 잘못 사용되는것을 평가하나? <2> 조치법 CloudTrail 활성화 한다. IAM에 인증 레포트를 다운로드 하고 분석�
brunch.co.kr/@topasvga/1024
<1> 요청사항 모든 API 로그가 disable 되었다. root 계정에 새 API 키는 만들어 졌다. 자동으로 감지하려면? <2> 조치 CloudWatch를 사용한다. CloudTrail 에 대해 CloudWatch 이벤트로 감지한다. 트러스트 어드바이져를 사용하여 자동 감지한다. 람다를 이용해 CloudTrail 과 root API keys의 비
brunch.co.kr/@topasvga/1025
<1> 요청사항 3개월간 리소스에 인증되지 않는 접근이 있었다. 어떤 방법이 AWS 사용을 찾아 내는가? <2> 조치법 AWS CloudTrail 콘솔에서 사용자 활동을 찾는다. <3> 확인 https://brunch.co.kr/@topasvga/632 감사합니다.
brunch.co.kr/@topasvga/1026
<1> 요청사항 모바일 게임은 인증을 사용한다. 대부분 사용자는 같은 OpenID-연결을 한다. 가장 간단한 방법으로 인증을 허용하는 방법은? <2> 조치법 Amazon Cognito 를 사용한다. 3. 확인법 https://docs.a
brunch.co.kr/@topasvga/1027
<1> 요청사항 서드파트 감사툴로 여러 AWS 계정 감사 계약을 했다. 교차 IAM 계정에 감사를 활성화 했다. 계정 접근이 문제가 있다. 트라블 슈팅을 하려 한다. 원인은? <2> 조치법 감시에 대하 Assu
brunch.co.kr/@topasvga/1028
<1> 요청사항 EC2에 CloudWatch log Agent를 사용하고 있다. 특정 인스턴스가 로그가 빠진것을 확인했다. 어떤 과정으로 트라블 슈팅을 하나? <2> 조치법 에에전트가 log그룹에 대해 권한이 있는지 확인. 거절 로그가 있는지 확인 하라. 시간 차이로 거절 될수 있다. /var/cwlogs/rejects.log 를 확인하라. <
brunch.co.kr/@topasvga/1029
<1> 요청사항 6개월 이상 사용하지 않은 Access-Key는 자동적으로 비활성화 가능한지 확인하려 한다. 어떤 방법으로 사용하면 될까? <2> 조치법 AWS 콘솔 사용한다. IAM에서 Access Key 컬럼을 확인한다
brunch.co.kr/@topasvga/1030
<1> 요청사항 AWS Key Management Service(KMS) 키 정책은 고객 마스터키 CMK에 기능이 있다. CMK는 특정 사용자에게만 하게 하려 한다. SES를 특정 리전만 사용가능 하도록 하려 한다. IAM 정책은 어떻게 하
brunch.co.kr/@topasvga/1031
<1> 요청사항. Network ACL , 보안그룹 사용중. 웹서버는 public 서브넷에 있고, ALB사용한다. 어플리케이션 서버는 Private를 사용한다. 어떻게 EC2 보안 공격을 방어하나? <2> 조치법 웹서버를 private로 이동한다. ALB에 WAF사용한다. <3> 확인 https://brunch.co.kr/@topasvga/8
brunch.co.kr/@topasvga/1032
<1> 요청사항 EC2 사용중이다. 어플리케이션 로그를 반드시 중앙에 집중해 모으려 한다. 가장 효율적인 방법은 ? <2> 조치법 CloudWatch log 에이전트를 EC2에 설치한다. 어플리케이션 로그를 CloudWatch l
brunch.co.kr/@topasvga/1033
<1> 요청사항 CLB (Classic Load Balancer ) 사용하다 중지했다. ALB (Application Load Balancer) 사용으로 교체하여 비용을 절감하려 한다. 교체후 오랜 장비가 더이상 동작하지 않는다. 원인이 무엇인가? <2> 조치법 인증서가 ALB (Application Load Balancer) 에 설치된 경우이다.
brunch.co.kr/@topasvga/1034
<1> 요청사항 새 AWS Key Management Service (AWS KMS) key 를 만들었다. KMS key정책을 만들어보자. <2> 조치법 IAM 정책을 만들자 KMS key에 대해 접근 권한을 허용하자. <3> 확인 https://aws.amazon.com/ko/kms/faqs/ https://aws.amazon.com/ko/k
brunch.co.kr/@topasvga/1035
<1> 요청사항 AWS API Call 활동을 감시한다. 반드시 중앙 집중을 수집을 해야 한다. 현재와 미래의 AWS 지역을 관리해야 한다. 어떤것이 가장 간단한 방법으로 수집하는가? <2> 조치법 각 리전에 AWS Clo
brunch.co.kr/@topasvga/1036
<1> 요청사항 EC2가 다수의 IOT기기를 관리한다. 안전한 자격증명이 요구된다. 가장 비용 효율적인 방법으로 자격증명을 관리하고자 한다. 어떻게 ? <2> 조치법 AWS System Manager를 사용하여 보안 스트링 파라미터를 사용하라. AWS KMS 키를 사용해 보안관리를 한다. <3> 학인 https://docs.aws.amazon.
brunch.co.kr/@topasvga/1037
<1> 요청사항 최소한의 방법으로 어플리케이션에 대해 공격 방어를 하려면 ? <2> 조치법 Network ACL를 이용한다. <3> 확인법 Network ACL 로 서브넷 단위로 한번에 차단하자. Network ACL 이 가장 간단한 방법이다. https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/
brunch.co.kr/@topasvga/1038
<1> 요청사항 2대의 EC2 인스터스 사용중 같은 VPC , 다른 AZ 사설 IP로는 서로 통신됨. 공인 IP로는 서로 통신이 안됨. 공인 IP로 통신 되게 하려면? <2> 조치법 같은 보안 그룹을 사용하면 된다. <3> 확��
brunch.co.kr/@topasvga/1039
<1> 요청사항 웹서버의 유입 연결 확인이 필요하다. 인터넷으로부터 웹서버에 트래픽 유입이 되지 않는다. network ALC, 보안그룹, 가상 보안 어플라이언스 장비를 사용한다. ALB도 사용한다. 확인결�
brunch.co.kr/@topasvga/1040
<1> 요청사항 AWS SES 서비스를 통해 메일을 발송한다. TLS도 표준으로 사용한다. 메일 프로그램은 어떤 endpoint와 포트를 사용하나? <2> 조치법 email-smtp 사용한다. 포트는 587 <3> 확인법 Amazon SES SMTP 엔드포인트에 연결 https://docs.aws.amazon.com/ko_kr/ses/latest
brunch.co.kr/@topasvga/1041
<1> 요청사항 수많은 미인증된 AWS API요청이 있을때 자동으로 보안 알람을 확인하는 방법은? <2> 조치법 CloudTrail로 확인한다. Amazon Kinesis로 받아서 처리한다. AWS lamdba를 이용해 임계치가 초과하면
brunch.co.kr/@topasvga/1042
<1> 요청사항 민감한 데이터를 AWS에 운영중 악의적인 데이터를 자격증명을 적용한다. 데이터는 S3 버킷에 올린다. 서버는 아웃바운드는 프록시 서버로 구성한다. 프록시 서버는 TLS암호화 통신을 조사하지 못한다. 위험을 줄이는 방법은? <2> 조치법 S3 VPC endpoint를 사용한다. s3 버킷에 대해 화이트 리스트를 관리하라. Network A
brunch.co.kr/@topasvga/1043
<1> 요청사항 노트북을 분실했다. 노트북은 암호화 안됨. SSH키는 여러 EC2 접근에 사용하고 있었다. 보안팀은 EC2의 22번 포트를 막았다. 앞으로 운영중인 인스턴스를 어떻게 보호해야 하나? <2> 조
brunch.co.kr/@topasvga/1044
<1> 요청사항 여러개의 어플리케이션과 많은 EC2 운용중이다. 테스트기간동안 network ACL과 보안그룹이 잘 동작하는지 확인이 필요하다. 어떻게 할수 있나? <2> 조치법 VPC Flow Logs 활성화 로그는 S3에 저장 Athena를 이용해 쿼리를 해서 확인한다. <3> 확인법 네트워크 ACL와 보안그룹에 대한 확인이므로 VPC F
brunch.co.kr/@topasvga/1045
<1> 요청사항 프로그램은 사용자를 관리할 cognito를 사용한다. 권한은 AWS 리소스를 직접 접속할수 있도록 할당한다. DynamoDB를 포함해서. 새 기능 제공. 고객은 의존 성 을 제공 고객은 로그온 가능. 변경을 못할수 있다. 앞으로 복잡한 보안 문제를 줄이는 방법은? <2> 조치 1. 새로운 DB필드에 의존성 상태 필드 생성 2.
brunch.co.kr/@topasvga/1046
<1> 요청사항 데이터를 CMK로 암호화 하고 있다. 접근에 대한 제한을 하고자 한다. 추가 인증 (AAD)을 찾고 있다. 어떤 부분을 해야 하나? <2> 조치법 키 정책을 사용한다. IAM 그룹이 접근하는 것을 제한하기 위해 사용한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/kms/latest/develope
brunch.co.kr/@topasvga/1047
<1> 요청사항 3개 어플리케이션 사용중 S3의 같은 데이터 사용중 S3 암호화는 AWS KSM CMK 사용중 , 서버 사이트 암호화 KMS CMK 사용중인 S3에 대해 Programmatc access 접근으로 추천하는 방식은 ? <2> 조치��
brunch.co.kr/@topasvga/1048
<1> 요청사항 GuardDuty를 사용한다. 하나의 VPC에 EC2에 FTP 서버 동작중이다. 매시간 GuardDuty에 공격으로 확인되는 이밴트가 발생된다. 잘못된 알람으로 확인했다. 이런 문제를 해결하려면 ? <2> 조치법 GuardDuty에 신뢰할수 있는 IP 리스트로 추가한다. 알람이 줄어들 것이다. <3> 확인 GuardDuty에서 화이트
brunch.co.kr/@topasvga/1049
<1> 요청사항 S3에 민감한 데이터를 보관한다. CMK를 사용한다. 업자들에게 공유된다. Cross-account에서 액세스 해야 한다. 가장 효율적인 방법은? <2> 조치법 1.KMS를 사용해 관리 키 접근 권한을 부�
brunch.co.kr/@topasvga/1050
<1> 요청사항 S3 버킷은 암호화 되어 있다. 하지만 외부에서 버킷에 대해 불법 접근 하려는 것이 확인되었다. IAM 제한을 폴더 단위로 제한 하고 싶다. 어떻게 해야하나? <2> 조치법 IAM 정책을 만들어 S3 접근을 제한하라. <3> 확인법 https://brunch.co.kr/@topasvga/682 감사합니다.
brunch.co.kr/@topasvga/1051
<1> 요청사항 EC2 키 페어가 있다 보안 담당자는 현재 EC2 인스턴스의 키페어인지 확인하고자 한다. 어떻게 확인하나? <2> 조치법 AWS관리 콘솔에서 확인한다. Cloudwatch log에서 확인한다. aws logs filter-log-events 사용한다. <3> 확인 https://brunch.co.kr/@topasvga/481 감사
brunch.co.kr/@topasvga/1052
<1> 요청사항 민감한 데이터를 아마존 S3에 이전하고자 한다. 데이터 암호화 해야 한다. 관리키 저장과 암호화 프로세스 없이 관리 되어야 한다. 어떻게 하나? <2> 조치법 AWS KMS사용한다. 서버 사이
brunch.co.kr/@topasvga/1053
<1> 요청사항 여러 회사에서 어플리케이션을 사용중이다. 모두 AWS를 사용중이다. TCP 443으로 EC2 ,NLB를 사용한다. 보안 이슈로 서버는 공인망에 있으면 안된다. 접속 제한법? <2> 조치법 PrivateLink endpoint서비스를 사용한다. 보안그룹은 443을 PrivateLink 에서 오는것을 허용한다. <3> 확인 https:
brunch.co.kr/@topasvga/1054
<1> 요청사항 S3는 KMS CMK로 암호회 되어 있다. IAM 사용자는 콘솔로 다운로드를 할수 없다. 다른 사용자는 다운로드 사용가능하다. 어떤 정책을 점검과 수정 해야 하나? <2> 조치법 CMK 정책 S3 버킷정
brunch.co.kr/@topasvga/1055
<1> 요청사항 AWS CloudTrail에 이벤트 로그로 트라블슈팅하는 지원이 필요하다. 어떻게 변조방지와 비인가 접근 로그 파일을 제어하는가? <2> 조치법 1. 로그파일 무결성 확인이 활성화 되어 있는지
brunch.co.kr/@topasvga/1056
<1> 요청사항 민감한 데이터에 대해 AWS KMS로 암호화 했다. 가장 간단하고 가장 보안적인 해독 방법은 ? <2> 조치법 암호화 데이터키를 암호화 데이터와 같이 저장한다. 해독 API를 사용해 데이터��
brunch.co.kr/@topasvga/1057
<1> 요청사항 여러개의 일반 AWS 계정을 가지고 있다. 중앙에서 관리하는 보안 계정을 가지고 있다. S3에는 데이터분류하는 Tag가 달려있다. 어떤 변화에 대해서나 보안팀은 반드시 알람을 받아야 한다. 요구 되는 솔루션은? <2> 조치법 GuardDuty를 보안계정에 활성화 한다. 그리고 일반 AWS 계정을 포함 시킨다. <3> 확인법 http
brunch.co.kr/@topasvga/1058
<1> 요청사항 S3에 데이터가 있다. 작은 파일에 수많은 민감 정보가 있다. 데이터는 전송중 반드시 암호화 되어 있어야 한다. 버킷은 반드시 사설에 있어야 한다. 사고로 버플릭에 노출되더라도 데이터는 반드시 암호회 되어 있어야 한다. 어떻게 하나? <2> 조치법 1. 암호화를 KMS를 사용한다.. SSE-KMS 2. 버킷 정책에 보안 전송이 아니면
brunch.co.kr/@topasvga/1059
<1> 요청사항 federation 인증을 사용하고자 한다. 설정 방법을 확인해 보자 <2> 조치법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuide/id_roles_providers_oidc.html 감사합니다.
brunch.co.kr/@topasvga/1060
<1> 요청사항 VPC 사용중인다. 컨테이너간 TLS통신을 해야 한다. 가장 보안적이고 유지가 쉬운 방법은? <2> 조치법 1. ACM PCA (AWS Certificate Manager Private Certificate Authority) 사용해 인증한다. 2. ACM (AWS Certificate Manager) 을 통해 해독하고 사설 인
brunch.co.kr/@topasvga/1061
<1> 요청사항 EC2 AutoScaling 사용중 ALB사용중 EC2가 손상되었다. 감염이 의심스럽다 조사하는 절차는 ? <2> 조치법 EC2에서 네트워크 인터페이스 분리 EC2에 유입 유출을 막는다. WAF에서 EC2 인스턴�
brunch.co.kr/@topasvga/1062
<1> 요청사항 보안 솔루션은 S3에 대해 완벽하게 암호화를 하려한다. 특별한 관리 없이 , 고 가용성을 제공하고자 한다. 즉시 암호화 키를 삭제할수도 있어야 한다. 어떤 솔루션을 사용하면 되나?
brunch.co.kr/@topasvga/1063
<1> 요청사항 AWS SDK사용중. EC2사용중. S3 접근 시도. 403 Access Denied 나옴. 어떻게 해결하나? <2> 조치법 1. KMS 키 정책이 KMS 해독을 할수 있는 정책으로 설정되어 있는지 확인하라. 2. S3정책에서 접근할수 있는 정책인지 확인하라. 3. IAM역할이 EC2에 적절한 권한이 있는지 확인하라. <3> 확인
brunch.co.kr/@topasvga/1064
<1> 요청사항 EC2는 새로 생성된 AWS KMS CMK 에 해독에 실패했다. 인스턴스는 KMS 해독이 활성화 되어 있다. 인스턴스는 KMS API로 VPC endpoint를 사용하고 있다. 원인은? <2> 조치법 KMS CMK키 정책에 IAM 사용자 권한 활성화가 빠져 있다. <3> 확인법 AWS 계정에 대한 액세스 허용 및 IAM 정책
brunch.co.kr/@topasvga/1065
<1> 요청사항 어플리케이션은 EC2 사용, CloudFormation템플릿으로 EC2 자동 확장그룹을 사용한다. 데이터베이스 자격증명을 하고 있다. 데이터베이스 자격증명을 로깅한다. 가장 효율적인 방법�
brunch.co.kr/@topasvga/1066
<1>요청사항 민감한 데이터를 EC2로 이전했다. 서브넷이 사고로 인터넷에 노출될수 있는게 확인되었다. 어떻게 마이그래이션 하는것을 추천하는가? <2> 조치법 1. VPC 설정을 하여 사설에 둔다. 2. EIP를 할당하지 않도록 한다. <3> 확인법 서브넷이 사고로 노출될수 있다는 것은 VPC단에서 해결해야 한다. 그래서 VPC Subne
brunch.co.kr/@topasvga/1067
<1> 요청사항 EC2 부팅시 설정을 실행시키는 사용자 데이터 스크립트에 민감한 정보가 있다. 보안팀은 사람들이 민감한 정보를 가진 사용자 데이터 스크립트를 못보게 하려 한다. 어떻게 하는것��
brunch.co.kr/@topasvga/1068
<1> 요청사항 온프라미스 테이터를 AWS S3로 이전 한다. 암호화해 전송한다. 암호화키는 하나말고 다른 키들로 사용하고자 한다. 최소 설정으로 구현할수 있는가? <2> 조치법 1. 모든 파일을 같은 S3 버킷에 넣어라. 2. 서버사이트 암호화를 사용하라. KMS 관리키를 사용하라. SSE-KMS 사용. <3> 확인법 https://docs.aws
brunch.co.kr/@topasvga/1069
<1> 요청사항 어플리케이션 서버가 Private 서브넷에 있다. ELB사용하며 자동 확장한다. HTTPS로 접근한다. 데이터 전송은 암호화 되어야 한다. 어플리케이션 감염으로 인해 키가 노출될것을 우려한다. 외부 인증서 보호를 하려면 어떻게해야 하나? <2>. 조치법 1. 내부 자체 인증서를 만들어 인스턴스에 적용한다. - 어플리케이션이 감염되더
brunch.co.kr/@topasvga/1070
<1> 요청사항 람다 함수 사용중이다. CloudWatch 로그를 찾을수 없다. 어떻게 설명할수 있나? <2> 조치사항 람다에서 Cloudwatch log에 대한 실행권한이 있어야 한다. 권한이 없는 경우 로그를 쌓지 못�
brunch.co.kr/@topasvga/1071
<1> 요청사항 민감한 데이터가 S3버킷에 AWS KMS CMK로 보호되고 있다. 키는 매년 자동 순환되었으면 한다. 버킷에서 어떻게 설정하는가? <2> 조치사항 S3- KMS를 선택한다. CMK 순환을 활성화 한다. CMK만 1년 단위로 순환 가능하다. <3> 확인법 https://docs.aws.amazon.com/kms/latest/devel
brunch.co.kr/@topasvga/1072
<1> 요청사항 웹어플리케이션에서 HTTP 보안 해더를 추가해 보호 하려한다. 웹어플리케이션으로 소스 코드 접근 불가하다. 어떻게 요구사항을 충족 할수 있나? <2> 조치사항 1. 람다를 사용한다. 2. 요구되는 해더를 추가한다. <3> 확인 https://brunch.co.kr/@topasvga/651 감사합니다.
brunch.co.kr/@topasvga/1073
<1> 요청사항 보안 이벤트가 발생했다. EC2가 Cloudwatch log를 보내지 않는것을 발견했다. 어떻게 트라블 슈팅하나? <2> 조치법 1. EC2에 접속한다. CloudWatch log에이전트가 동작하고 있는지 확인하라. 2.
brunch.co.kr/@topasvga/1074
<1> 요청사항 암호화된 S3 버킷이 있다. 개발자가 제한된 S3버킷은 접근을 못하도록 해야 한다. 그러나 접근이 가능하다. 원인은? <2> 조치법 S3 버킷 정책이 잘못되어 있다. 정책에서 개발자에서 허용되어 있다. <3> 확인법 버킷 정책을 수정해 막아야 한다. https://brunch.co.kr/@topasvga/682 감사합니다.
brunch.co.kr/@topasvga/1075
<1> 요청사항 웹 어플리케이션을 운영중이다. EC2는 ALB뒤에 있다. CloudFront도 사용한다. AWS WAF도 사용한다. 버그로 공격을 받고 있다. HTTP flooding 공격을 받고 있다. 공격을 차단하는 방법은? <2> 조치
brunch.co.kr/@topasvga/1076
<1> 요청사항 아마존 EC2를 이용해 전통적인 3계층 구조로 되어 있다. 어플리케이션은 인터넷에서 악의적인 공격의 타겟이 되었다. 감염과 공격 제한을 어떤 단계로 하면 되나? <2> 조치법 1. 보안
brunch.co.kr/@topasvga/1077
<1> 요청사항 EC2에 응용 프로그램을 운영중이다. 사용자 이름과 암호로 RDS에 연결하여 인증받는다. 자격증명 순환시 , 자격중명을 보호하고 최소의 다운시간을 가져가려면 어떻게 해야 하나? <2>
brunch.co.kr/@topasvga/1078
<1> 요청사항 암호화 키 저장을 관리하고 있다. 요구사항은 VPC에서만 접근가능해야 한다. 실행 취소 제어가 되어야 한다. 로깅 되어야 한다. 고 가용성을 가져야 한다. 요청에 맞는 서비스는 ? <2
brunch.co.kr/@topasvga/1079
<1> 요청사항 보안 그룹의 변화가 생기면 알람을 받고자 한다. AWS CloudTrail log events를 확인해 Cloudwatch 알람을 받고자 한다. 보안그룹 변경 테스트를 해보니 알람이 오지 않는다. 어떤 절차로 트라블 슈팅을 해야 하나? <2> 조치법 1. CloudWatch 대시보드를 우선 보자. 2. 보안그룹이 변경되었을때 동작하도록
brunch.co.kr/@topasvga/1080
<1> 요청사항 Access Key가 생성되면 알람을 받고자 한다. AWS CloudTrail , CloudWatch log , CloudWatch를 이용해 알람을 보내고 있다. 하지만 알람이 오지 않는다. 어떤 액션으로 이 문제를 풀수 있는가? <2> 조�
brunch.co.kr/@topasvga/1081
<1> 요청사항 AWS System Manager Parameter Store사용하여 데이터베이스 암호를 저장한다. 람다를 이용한다. 민감한 데이터 파라미터를 보안문자와 KMS key로 관리한다. IAM허용 한다. 람다가 실행되었는데 파라미터 접근 불가 에러가 발생했다. 불가 에러를 해결하는 방법은? <2> 조치법 1. ssm.amazonaws.com
brunch.co.kr/@topasvga/1082
<1> 요청사항 새 어플리케이션이 민감한 데이터를 S3에 저장중이다. 특정 키 패턴을 가지고 저장한다. 버킷은 SSE 암호화 하고 있다. 가장 보안적이고 비용 효율적으로 민감한 데이터를 보호하는 방법은? <2> 조치법 S3 버킷정책에 s3:getObject 에 대해 거부하는 설정을 하라. <3> 확인법 S3에서 데이터를 가져갈수 없도록 하는 것이
brunch.co.kr/@topasvga/1083
<1> 요청사항 어플리케이션 취약성이 발견되었다. 분석 코드는 특정 포트 1111을 랜덤하게 분석한다. 코드가 패치되는 동안 빠르게 모든 서버에서 1111포트로 데이터 유출이 되지 않도록 하고자 한다. 어떻게 하나? <2> 조치법 1. CloudWatch Custom metic을 사용하여, VPC Flow log에서 1111로 유출 트래픽을 확인한다
brunch.co.kr/@topasvga/1084
<1> 요청사항 같은 계정에 S3 버킷이 2개 있다. 버킷 2는 정책이 없다. 같은 계정에 버킷 1은 특정 사용자를 허용한다. 같은 계정에서 어떤 버킷을 볼수 있나? <2> 조치법 버킷1, 버킷 2 둘다 가능하다. <3> 확인법 https://brunch.co.kr/@topasvga/682 감사합니다.
brunch.co.kr/@topasvga/1085
<1> 요청사항 EC2에 내부 문서 저장소가 있다. EBS 볼륨은 암호화되어 저장된다. 확장성을 위핸 파일을 S3에 보관한다. 모든 파일은 반드시 삭제 되고, 디스크가 재사용시 데이터를 사용할수 없음을 확인해야 한다. 어떤 방법으로 데이터에 어느 누구도 접근할수 없도록 할수 있는가? <2> 조치법 1. 운영체제에서 delete 명령어로 지운다. 2
brunch.co.kr/@topasvga/1086
<1> 요청사항 CloudTrail은 API Call을 모니터링 한다. CloudTrail 이 S3에 저장하는것이 실패한다. 어떤 액션으로 CloudTrail 이벤트가 S3에 저장되도록 할수 있나? <2> 조치법 1. CloudTrail 에 S3버킷이 정의 되어 있는지 확인하라. 2. CloudTrail에 S3 버킷에 대한 prfix가 정의 되어 있는지
brunch.co.kr/@topasvga/1087
<1> 요청사항 고객 제공하는 암호화 키를 활성화 해서 다이나모DB에 저장해야 한다. 암호화 키에 대해 완벽하게 제어하고자 한다. 어떤 다이나모 DB 기능을 사용하면 보안요건에 충족할수 있을까? <2> 조치법 1. S3에 고객 제공하는 암호화 키를 이용해 서버사이트 암호화를 한다. 2. 데이터를 S3에 업로드한다 3. S3Copy를 이용해 모든
brunch.co.kr/@topasvga/1088
<1> 요청사항 ELB 뒤에 EC2서버가 손상되었다는 경보를 받았다. 어떤 기술로 제한하고 , 증거 수집을 허용할수 있는가? <2> 조치법 1. 인스턴스를 ELB에서 제외시킨다. 2. 인스턴스를 셧다운 시킨다. <3> 확인법 https://brunch.co.kr/@topasvga/79 https://brunch.co.kr/@topasvga/35
brunch.co.kr/@topasvga/1089
<1> 요청사항 웹사이트를 CloudFront로 구성했다. HTTPS 를 설정해 AWS Certificate Manager를 이용해 Custom TLS 인증을 사용한다. 어떤 조합이 인증서가 CloudFront 가용성이 확보 되나? <2> 조치법 1. RSA public Key 인증서를 가져온다. 2. 리전에 인증서를 가져온다. <3> 확
brunch.co.kr/@topasvga/1090
<1> 요청사항 IAM 정책으로 특정 리전에서만 AWS 서비스를 사용하게 하고자 한다. 어떤 정책을 적용해야 하나? <2> 조치법 정책 내용 1. Condition 2. StringEquals 3. ec2:Region 이 포함 되어야 한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/IAM/latest/UserGuid
brunch.co.kr/@topasvga/1091
<1> 요청사항 AWS WAF rule을 트리거하는 올라른 웹 접근 제어 리스트 소스는 ? <2> 조치법 1. CloudFront 2. ALB (Application Load Balancer) <3> 확인법 웹 방화벽를 트리거 하는 소스는 CDN , API GW, LB 이다. 1) Amaz
brunch.co.kr/@topasvga/1092
<1> 요청사항 AWS root 계정의 사용에 대해 보안 강화하고자 한다. 최고 레벨의 보안을 제공하려 한다. 어떻게 하나? <2> 조치법 1. 새로운 IAM 사용자를 admin 권한을 제공한다. 2. ROOT 계정에 대해 M
brunch.co.kr/@topasvga/1093
<1> 요청사항 가상 보안장비가 인라인으로 연결되어 있다. 다양한 보안 요청사항의 환경을 제공하기 위해 보안그룹과 네트워크 ACL을 사용하기 원한다. 어떤 설정을 허용해야 보안 기기의 트래픽이 라우팅 되는가? <2> 조치법 보안 장비를 인터넷 게이트웨이를 사용하는 Public Subnet에 위치하라. <3> 확인법 https://brunch.c
brunch.co.kr/@topasvga/1094
<1> 요청사항 DDOS 공격 경험으로 CloudFront 구성을 S3 버킷을 이용하 구성했다. CloudFront 를 지나 S3 버킷에 직접 접근할수 있는 사용자가 발견되었다. URL을 이용해 직접 접속되지 않도록 무엇�
brunch.co.kr/@topasvga/1095
<1> 요청사항 오직 직원만 접근가능한 어플리케이션이 있다. 대부분은 사무실에서 일한다. 일부는 여행을 하거나 원격지에서 접근해야 한다. 어떤 부분일 제공해야 접근이 가능한가? <2> 조치법
brunch.co.kr/@topasvga/1096
<1> 요청사항 EC2 에 있는 파일이 수정되면 감지를 하고자 한다. 수정되면 반드시 보안팀에 알람이 가야 한다. 가장 효율적인 방법은? <2> 조치법 1. CloudWatch log를 이용하라. 2. 이벤트에 대해 SNS로 감지되도록 한다. <3> 확인법 https://brunch.co.kr/@topasvga/618 https://brunch
brunch.co.kr/@topasvga/1097
<1> 요청사항 인프라를 AWS로 이전하고자 한다. AWS인증을 위해 기존 온프라미스에 있는 AD를 활용하고자 한다. 어떻게 하면 되나? <2> 조치법 1. IAM role을 각 AD 그룹에 만든다. 2. IAM과 SAML 을 �
brunch.co.kr/@topasvga/1098
<1> 요청사항 EC2 인스턴스는 EBS 볼룸을 연결해 데이터를 저장하고 있다. 데이터는 비동기적으로 S3 버킷과 동기화 한다. EBS 볼륨과 S3버킷은 같은 AWS KMS CMK로 암호화 되고 있다. 직원이 회사를 떠
brunch.co.kr/@topasvga/1099
<1> 요청사항 보안그룹에 SSH와 RDP트래픽을 0.0.0.0/0 (모든곳)에서 접속되도록 했다. 가장 효율적으로 리스크를 재조정하는 활동은? <2> 조치법 1. 네트워크 ACL을 사용하는 것이다. 2. 소스가 0.0.0.0/0
brunch.co.kr/@topasvga/1100
<1> 요청사항 새 AWS 계정에 IAM role과 정책을 수정하고자 한다. 수많은 마스터키가 있다. CMK를 관리하고 싶지는 않다. 다음중 IAM에서 KMS권한을 복잡하게 수정하지 않고 관리하려면 ? <2> 조치법 새로 CMK를 생성하고 , 반드시 KMS 키 관리자의 IAM 정책을 미러링하라. <3> 확인법 https://docs.aws
brunch.co.kr/@topasvga/1101
<1> 요청사항 AWS 계정은 AWS CloudTrail API call log 사용하고자 한다. 로그는 S3버킷에 저장되어야 한다. 각 Trail은 유일한 prefix를 가지고 중앙 집중 서비스를 제공한다. 설정은 어떤 로그 수정도 감지해야 한다. 어떤 과정이 요구되는가? <2> 조치법 1. 버킷 정책에 새 중앙 집중 S3버킷에 Cloud
brunch.co.kr/@topasvga/1102
<1> 요청사항 제3의 회사를 통해 AWS계정의 비용 최적화 하고자 한다. 계정에 대한 우려가 크다. 우려를 막고자 한다면? <2> 조치법 1. External ID를 요구하라. 2. 조건에 sts:External 역할을 추가하라. <3
brunch.co.kr/@topasvga/1103
<1> 요청사항 VPC와 온프라미스 데이터간 연결되어 있다. 온프라미스에서 AWS로 ping테스트를 했다. ping 응답이 없다. flow log보면 요청을 들어간다. flow log보면 REJECT된다고 나온다. ping을 허용 하��
brunch.co.kr/@topasvga/1105
<1> 요청사항 보안정책은 VPC Flow Logs는 활성화 하는것으로 한다. VPC 리소스에 대해 자동으로 감사를 하려 한다. 어떤 조합으로 확인할수 있는가? <2> 조치법 1. AWS Config 사용한다. 2. AWS Config 이벤트 트리거해서 CloudWatch Event 룰을 만든다. <3> 확인법 https://brunch.co.k
brunch.co.kr/@topasvga/1106
<1> 요청사항 웹 어플리케이션 구축됨. 어플리케이션은 S3 버킷을 이용해 스테틱 컨텐츠 제공. API Gateway로 RESTful 서비스 제공. DynamoDB 사용. SAML을 이용해 이미 존재하는 디렉토리는 노출된다. 어떤 조합이 웹 어플리케이션 인증 과 API call 가능하게 하나? <2> 조치법 1. SAML 2. Cognito 조합
brunch.co.kr/@topasvga/1107
<1> 요청사항 S3 버킷 정책이 오직 10.10.10.0/24에서만 접근이 허용되도록 했다. 10.10.10.40에서 S3버킷 오브젝트를 다운로드 하려는데 접근 거부 메시지가 나왔다. 관리자가 권한 접근을 위해 필요한 변경은 ? <2> 조치법 Bucket/* 리소스 입력이 되어야 한다. <3> 확인법 https://brunch.co.kr/
brunch.co.kr/@topasvga/1108
<1> 요청사항 특정 리전에서만 AWS 자원을 만들게 한다. 승인되지 않은 리전에 리소스가 만들어지면 알람을 받고자 한다. 다음중 알람을 받으려 하면 어떻게 해야 하나? <2> 조치법 AWS CloudTrail log�
brunch.co.kr/@topasvga/1109
<1> 요청사항 보안 정책상 KMS는 반드시 AWS network 내 사용해야 하고, 공인 서비스를 사용하면 안된다. 어떤 조합이 가장 만족스러운 결과를 가져오는가? <2> 조치 1. AWS KMS정책을 사용하은 aw
brunch.co.kr/@topasvga/1110
<1> 요청사항 VPC에 있는 Windows EC2가 온프라미스와 연결되었다. 보안팀은 GuardDuty룰 활성화해서 경고를 받고자 한다. command-and-control 서버와 통신하고자 하는데 GuardDuty의 경고 받는데 실패했다.
brunch.co.kr/@topasvga/1111
<1> 요청사항 EC2 사용 중이다. EC2를 여러 사람과 공유하고 있다. root로 SSH는 허용하지 않는다. EC2가 해킹당할 수도 있다. EC2를 이용해 다른 AWS 자원을 공격할지 걱정된다. 어떻게 방어할 수 있나? <2> 조치법 IPtable을 사용해 방어한다. <3> 확인 1. 외부의 공격을 긴급하게 막 해할 경우는 네트워크 ACL를
brunch.co.kr/@topasvga/1112
<1> 요청사항 가장 보안적인 AWS root 계정을 보호하는 방법은? <2> 조치법 1. Admin정책을 가진 IAM사용자에게 MFA를 사용한다. 2. AWS KMS 이용해 root 사용자 계정, IAM access key를 암호화하라. 그�
brunch.co.kr/@topasvga/1113
<1> 요청사항 모든지역에 AWS Cloudtrail 을 활성화 했다. 추가적인 보안으로 로그 파일을 서버측 AWS KMS 암호화 한다. ( SSE-KMS) 로그에 대해 무결성을 활성화 했다. File은 접근 가능하다. 그러나 로그는 접근이 안된다. 가장 근접한 원인은? <2> 조치법 KMS 키 정책이 IAM 사용자에게 암호해독을 위한 역할 권한을 허
brunch.co.kr/@topasvga/1114
<1> 요청사항 EC2 가 유지보수로 중단 되었다. 암호화는 Customer Master Key(CMK)로 하고 EBS가 추가되어 있다. EBS 분리후 EC2를 재시작 했다. 추가가 필요한 IAM정책은? <2> 조치법 KMS에 대한 정책이 있어여 한다. <3> 확인법 https://docs.aws.amazon.com/ko_kr/kms/latest
brunch.co.kr/@topasvga/1010
175.(ISMS-P) 계정 암호정책 https://brunch.co.kr/@topasvga/749 176. (ISMS-P) 계정 보안 확인 리스트 https://brunch.co.kr/@topasvga/750 177. (ISMS-P) 네트워크 보안 확인 리스트 https://brunch.co.kr/@topasvga/751 178. (ISMS-P) D
brunch.co.kr/@topasvga/1118
https://sessin.github.io/awswafhol/
sessin.github.io
https://brunch.co.kr/@topasvga/1202
<1> 기본 서비스 <2> 웹 서비스 <3> 서버리스 <4> 미디어 서비스 <5> IoT 서비스 <6> AD,Bot 서비스 <7> 보안 <8> 마이그래이션 <9> 배포 <10> 빅데이터 , 머신러닝 <11> 기타 실습 과정 <1> 기본 서��
brunch.co.kr/@topasvga/1202