통합검색
찾고 싶은 것이 있나요?
보안에 대한 630개의 검색결과가 있습니다.
- 블로그 AWS CloudTrail과 CloudWatch를 활용한 로그 모니터링 [ 머리말 ] 온프레미스, 프라이빗 클라우드, 퍼블릭 클라우드 등 모든 인프라의 형태와 그 위에 구현된 모든 아키텍처는 단일 계정 또는 다중 계정 등 특정 조건을 넘어 모두 보안을 고려해야 합니다. 그리고 그 보안의 첫걸음은 현 상태에 대한 모니터링에서 시작합니다. AWS를 활용한 아키텍처에서 가장 멋진 점 중 하나는, 각종 사용자의 Action을 CloudTrail을 통해 추적, 저장할 수 있다는 점이며, 발생한 로그를 기반으로 CloudWatch에서 메시지를 발생시켜 Alarm을 전달할 수 있다는 점입니다. 이 연계는 EventBridge를... 2023.02.01
- 블로그 온프레미스 도메인의 AWS 이전 형태에 따른 Route53/DNS 설정 및 고려 사항 1. 개요 사용자가 AWS의 VPC를 생성할 때, Route 53 Resolver는 자동으로 VPC의 Resolver를 사용하여 EC2 인스턴스 및 private hosted zone의 Domain 이름에 대한 쿼리에 응답하며 다른 Domain 이름에 대해서는 Public Name Server에 대해 Reculsive 쿼리를 수행합니다.해당 Resolver에는 온프레미스 환경과 주고받는 DNS 쿼리에 응답하도록 구성하는 Endpoint 기능이 추가로 포함되어 있으며, 온프레미스와 주고받는 DNS 쿼리의 방향에 따라 Inbound Endpoint 와 Outbound Endpoint를 각각 생성하여 활용할 수 있습니다. ● Inbound Endpoint : 온프레미스... 2023.02.01
- 블로그 AWS Network LoadBalancer의 Target 으로 Application LoadBalancer 활용 상세 1. 개요 AWS의 Application LoadBalancer는 L7 기반의 LoadBalancer이며 HTTP 헤더 및 Method, 경로 기반 라우팅과 같은 다양한 LoadBalancing 기능을 지원합니다. 사용자 트래픽이 늘어남에 따라 동적으로 확장되며, 따라서 IP 주소가 고정되지 않는 형태로 서비스를 제공합니다. IP 고정이 되지 않기 때문에 On-Premise나 VPC 외부 통신 구간의 방화벽 등 보안 장비에서 FQDN이나 IP 대역으로 허용 정책을 등록해야만 했으며, 고정 IP로 Application LoadBalancer 서비스 제공이 필요한 경우에는 Global Accelerator를 앞단에 구성하거나, 별도의 Network LoadBalancer와... 2023.02.01
- 블로그 AWS GWLB를 활용한 인터넷 관문 보안 아키텍처(3rd-party 방화벽 솔루션 활용) 1. 개요 AWS에서 VPC 란 사용자가 정의하는 IP 주소 범위 선택, 서브넷 생성, 라우팅 테이블 및 네트워크 게이트웨이 구성 등 가상 네트워킹 환경을 얘기합니다. VPC는 IGW(Internet Gateway)를 통해서 인터넷 통신을 하며, VGW(Virtual Private Gateway)를 통해서 On-Premise 통신을 합니다. 인터넷을 통해서 서비스가 연결되는 애플리케이션들은, 외부로부터의 여러 위협 및 원치 않은 접근을 제한하기 위한 보안 통제 조치들을 충분히 고려하여 구성할 필요가 있습니다. 이러한 보안 통제 조치들은 애플리케이션의 유형이나, 크기, 요구되는 컴플라이언스 수준,... 2023.02.01
- 블로그 AWS Global Accelerator의 설정에 따른 상세 구성 및 고려 사항 1. 개요 AWS Global Accelerator 서비스는 가속 기능을 가진 서비스로, 원래는 서비스의 이름에서 알 수 있듯이 로컬 및 글로벌 사용자가 이를 통해 애플리케이션의 성능을 향상시키거나 custom routing accelerator를 사용하여 하나 이상의 사용자를 여러 대상 중에 특정 대상에 매핑하는 형태로 사용할 수 있는 서비스입니다. 기본적으로 서비스와 연결하기 위한 두 개의 static IP 주소를 제공하며, 해당 static IP는 AWS edge Network 의 Anycast IP입니다. AWS의 자원 중에 몇 안 되는 static IP... 2023.02.01
- 블로그 Fargate 환경에서 Docker Build 하기 1. 개요 CI/CD Pipeline 환경을 구성하기 위해서 Jenkins 또는 Gitlab과 같은 도구들을 많이 사용합니다.수많은 빌드들이 CI/CD Pipeline에서 동시다발적으로 수행되어야 하기 때문에 auto-scaling을 구성하기 위해서AWS의 ECS 또는 EKS 클러스터 기반으로 Worker(Jenkins의 경우 Agent, Gitlab의 경우 Runner라고 부릅니다.)를 구성하면 편리합니다.Fargate 기반으로 구성할 경우 비용 효율적으로 사용할 수 있는 장점도 생깁니다.하지만 Fargate 기반으로 Docker Build를 수행해야 하는 경우 Docker 명령 실행 시 문제가 발생을 합니다.이 문제의 원인과 해결하기 위한 방법에 대해서 알아보겠습니다. 2.... 2023.02.01
- 블로그 AWS 서비스 DR 환경 구축하기 -1 1. 개요 AWS에 구축한 프로젝트에서 서울 리전 → 도쿄 리전으로 DR을 구성해야 되는 요건이 있었습니다.주요 AWS Resource로는 ECS, Aurora RDS, S3 등을 사용하고 있었고, 최대한 AWS의 기능을 활용하여 구축을 진행을 했었습니다.DR을 구축하기 위해 어떤 고민이 있었고, 사용한 방법은 어떤 것이 있었는지 알아보겠습니다. 2. 관련된 서비스 ● ALB● ECS – Fargate● ECR● Aurora RDS for MySQL● S3● Route53 3. 프로젝트 개요 이 프로젝트는 AWS에서 SaaS 서비스를 구축 중이었습니다.Public 서비스는 없고, Direct... 2023.02.01
- 블로그 AWS Control Tower POC 1. 개요 사내에 AWS 환경의 LandingZone이 있습니다.AWS에서 출시한 Control Tower 서비스를 이용하여 LandingZone 구축이 가능한데요.Control Tower를 통해 생성되는 LandingZone이 어떤 특징이 있는지 살펴보고 사용 방법을 알아보겠습니다. 2. AWS Control Tower 2.1 Control Tower 특징● 랜딩 존Control Tower 생성 시 Security, Logging Account가 생성됩니다.OU Full feature를 사용하게 되며, AWS SSO가 생성됩니다.● 가드레일전반적인 AWS 환경에 대한 상위 수준 규칙이며, 일반적인 언어로 표현됩니다.방지와 감지 두 가지 종류가 있으며 방지는 SCP를 통해서 하고, 감지는... 2023.02.01
- 블로그 Private Link를 이용한 CIDR이 동일한 VPC 간 리소스 접근 방안 1. 개요 AWS로 서비스를 운영하다 보면 타 VPC의 리소스에 연결이 필요한 경우가 있습니다. 타 VPC에 자원에 접근을 위해선 다양한 방법이 있습니다. 만약 접근하고자 하는 자원이 Public Network에 있다면 Pubilc IP를 통해 접근을 할 수 있지만, Private Network에 있는 자원이라면 바로 접근이 불가합니다. 이때 운영자는 VPC Peering 혹은 Transit Gateway를 사용하여 다른 VPC에 있는 리소스로의 접근이 가능할 것입니다. 하지만 VPC CIDR이 동일하다면 Routing에 문제가 생겨 동일 CIDR을 갖는 타 VPC의 리소스에... 2023.02.01
- 블로그 AWS 서비스로 Aurora Mysql DB 접근제어 구현하기 1. 개요 일반적으로 AWS로 프로젝트를 진행하다 보면, Amazon Aurora를 많이 사용하게 됩니다.Aurora에 저장되는 데이터가 민감 정보이거나 개인 정보로 식별이 된다면 반드시 DB 접근제어 솔루션을 통해 보안을 강화하여야 합니다.하지만 작은 프로젝트의 경우 소수의 개발자/엔지니어 통제를 위해 상용 DB 접근제어를 도입하기엔 비용에 부담이 될 수 있습니다.이번 포스팅에서는 AWS 기능을 이용한 DB 접근제어 방안을 살펴보겠습니다. *참고* DB 접근 제어의 요건• 누가 데이터에 액세스하거나 수정했습니까?• 데이터에 액세스하거나 수정 한시기는 언제입니까?• 특정 사용자가 데이터에 액세스하는... 2023.02.01
- 블로그 AWS Session Manager를 통한 Bastion Server 대체 및 보안 강화 1. 개요 CSP(Cloud Service Provider) 환경 혹은 On-premise 환경에서 서버 접근 제어를 위해 Bastion Server(Jumping host)를 구축하게 됩니다.이번 포스트에서는 CSP 환경, 그중 AWS 사용 시 Bastion Server를 대체 구현할 수 있는 서비스인 AWS System Manager Session Manager 서비스를 활용한 서버 접근 제어 구현을 다루겠습니다. 2. 내용 일반적으로 Service를 위한 EC2는 Private Subnet에 배치하고 ALB를 Public Subnet에 배치하여 서비스를 노출하곤 합니다.이때, 시스템 엔지니어 혹은 개발자들이 자신의 로컬 환경에서 Private Subnet에 위치한... 2023.02.01
- 블로그 AWS IoT Core Endpoint 신뢰하지 않는 인증서 오류 트러블슈팅 1. 개요 AWS IoT Core를 사용하여 프로젝트를 진행할 시 SDK를 사용하여 백엔드를 개발하는 경우가 있습니다.이번 포스트는 Backend에서 IoT Core를 사용하는 어플리케이션을 개발할 시에 겪은 ‘신뢰하지 않는 인증서 오류’를 해결한 케이스에 대해 다뤄보려고 합니다. 2. 트러블슈팅 2.1 배경 (아키텍처 다이어그램) 2.2 발단 개발 환경은 Spring boot로 개발된 Backend Pod가 EKS on EC2로 기동 중이었으며, Backend에서 IoT Core를 통해 IoT Device에 Rule을 내리는 기능이 개발 중이었습니다. 이때 다음과 같은 에러가 발생합니다. 위의... 2023.02.01