brunch

매거진 AWS 전문가 되기
라이킷 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by Master Seo Sep 25. 2023

37탄-8. AWS 보안 아키텍처 labs : 100

목표

버킷에 대한 접근 제한을 하자.  

Cloudfront를 통해서만  버킷에 접속 되도록 하자.



<1> AWS Account Setup and Root User : 자격증명 보고, 암호 설정 정책

<2> CloudFront  with S3 Bucket Origin = 접근 제한 버킷을 Cloudfront를 통해 접속 -실습

<3> Enable Security Hub : AWS 보안 검사 자동화 및 보안 경고 중앙 집중화 - 링크 소개   




<1> AWS Account Setup and Root User : 자격증명 보고, 암호 설정 정책


1

Generate and Review the AWS Account Credential Report : 자격증명 보고서(csv) 다운로드 및 정기적으로 점검


2

Configure a Strong Password Policy for Your Users : 암호 설정 정책 사용



3

다음은 참조만 하세요.


AWS Organizations 이나 Control Tower 사용 권고

https://wellarchitectedlabs.com/security/100_labs/100_basic_identity_and_access_management_user_group_role/   




<2> CloudFront  with S3 Bucket Origin = 접근 제한 버킷을 Cloudfront를 통해 접속 -실습


1

현재 OAI는 권장하지 않습니다 → OAC로 구성을 적극 권장, 오리진 액세스 제어.

https://aws.amazon.com/ko/blogs/korea/amazon-cloudfront-introduces-origin-access-control-oac/ 

https://docs.aws.amazon.com/ko_kr/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html  


구성 ?

User ----- Cloudfront -----------S3  



2

S3  버킷 생성

Topasvga-web

Bucket setting for Block Plublic Access

 체크 유지 = Block all public access

버저닝  enable  



3

<!DOCTYPE html>

<html>

  <head>

    <title>Example</title>

  </head>

  <body>

    <h1>CloudNet@ - Example Heading</h1>

    <p>CloudNet@ - Example paragraph.</p>

  </body>

</html>  



4

S3 접속 확인

접속 안된다.

Block all public access 차단되어 있으니 접속 안된다.  



5

CloudFront 설정 : 프라이빗 S3 버킷에 CloudFront를 통해서만 접속 가능하게 설정

OAI 설정 + 기본 루트 개체(index.html)


원본 도메인

Topasvga-web--amazon.com 선택


이름

Topasvga-web


원복 액세스

Legacy access identities

CloudFront  원본 액세스 ID(OAI)를 사용하여 S3 버킷에 액세스 합니다.


원본 액세스 ID

새 OAI 생성

버킷정책

예, 버킷 정책 업데이트  


웹 애플리케이션 방화벽(WAF)


보안 보호 비활성화

여기선 아직  WAF를 사용하진 않는다.


기본값  루트 객체 - 선택 사항

Index.html

북미로 선택.

생성  



5

S3 에서 권한 확인.

퍼블릭은 차단 되어 있다.

자동으로 설정되는 S3 버킷 정책 확인

Cloudfront arn 들어가 있음. = Cloudfront만 접속 할수 있음.

S3:getobject가 들어가 있음.     


6

S3로 접속 확인

여전히 안된다.

Cloudfront 도메인 접속  확인.

잘 된다.

Cloudfront를 통해서는 된다.  


7

삭제 : CloudFront(Disable → Delete) , S3 버킷(비우기 → 삭제)   




<3> Enable Security Hub : AWS 보안 검사 자동화 및 보안 경고 중앙 집중화 - 링크 소개 


https://wellarchitectedlabs.com/security/100_labs/100_enable_security_hub/   





다음은 보안 모범사례 200

https://brunch.co.kr/@topasvga/3449

9. AWS 보안 아키텍처 labs : 200

<1> AUTOMATED DEPLOYMENT OF DETECTIVE CONTROLS = CloudTrail + Config + GuardDuty + Security Hub <2> AUTOMATED DEPLOYMENT OF EC2 WEB APPLICATION = EC2(워드프레스) 웹 서비스 + 기본 환경 배포 <3> AUTOMATED DEPL

brunch.co.kr/@topasvga/3449

 



주말 CloudNet  스터디 내용 참고하여  정리한 부분입니다.

https://gasidaseo.notion.site/gasidaseo/CloudNet-Blog-c9dfa44a27ff431dafdd2edacc8a1863  



감사합니다.

keyword
Master Seo 소속 클라우드전문가카페 직업 엔지니어

(전) 네이버 엔지니어 7년 , 네이버 클라우드 마스터, PRO , AWS 아키프로, Google프로아키, Azure어드민, CCNP, 맛집,여행 전문가, 좋은 기운을 주는사람
구독자 2,522
매거진의 이전글 37탄-7. AWS - 웹 공격의 방어 환경 구축
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari