본문 바로가기
4-1. 2025-1 심화 스터디/클라우드 보안

[2025.04.04] 뭉게뭉게_3주차 활동

jyamethyst21 2025. 4. 5. 00:10

3주차에는 인프런 강의 <AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안> 섹션 5, 6을 공부했다.

https://inf.run/5quxH

 

AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안 강의 | 보안프로젝트 - 인프런

보안프로젝트 | , 보안 실무에 꼭 필요한 기초를 완성하세요! 👨‍🔧 Cloud Security? [사진] IT 서비스가 클라우드 환경으로 전환되면서클라우드 환경 보안의 중요성이점점 더 커지고 있습니다. 우

www.inflearn.com

 

 
 
  1. CloudFormation 자동화 배포

       1) CloudFormation 정의: json, yaml 등으로 코딩하여 자동 배포할 수 있는 도구

    1. AWS 인프라 리소스를 서로 긴밀하게 통합할 수 있으며, AWS에서만 활용 가능
    2. 테라폼(Terraform)은 여러 클라우드 서비스에서 활용 가능
    3. 템플릿으로 생성할 수 있으며, 스택(Stack)을 통해 변경 사항을 다른 리소스에 미치는 영향을 미리 파악하고 리소스간의 종속성을 관리할 수 있음
    4. AWS::*, Alexa::* 및 Custom::* 과 같은 네임스페이스의 리소스 공급자에서 AWS CloudFormation을 사용하는 경우 추가 요금은 부과되지 않음 → 이 경우 수동으로 생성했을 때와 마찬가지로 AWS CloudFormation을 사용해 생성한 AWS 리소스(예: Amazon EC2 인스턴스, Elastic Load Balancing 로드 밸런서 등)에 대해서만 요금을 지불

        2) 내부 서브넷의 서버에 접속하는 방법

             1. SSH키를 Public쪽에 옮겨서 내부 IP에 접속 - 보안 위협!

             2. SSH를 옮기지 않고, 포워딩으로 내부 IP에 접속

             3. 내부에 서버 인스턴스를 생성할 때, SSH root 계정 생성

 

    2. AWS 클라우드 서비스 로그 이해

  1. 클라우드 자원별 로그
  • EC2 생성/삭제, S3 스토리지 로그, 데이터베이스 로그, 서버리스 자원 로그, 컨테이너 로그 등
  • 각 자원별로 Clould Watch를 이용하여 확인 및 통합 가능
  • Cloud Watch 에이전트를 이용하여 EC2의 로그를 확장해서 통합 분석 가능

   2. 네트워크 트래픽 로그

  • 가상 네트워크 VPC Flow 로그
  • 각 VPC 별로 플로우 로그를 생성하여 관리

   3. 자원 이벤트 로그

  • AWS SDK, CLI를 이용한 API 로그 관리
  • API를 호출한 IP 주소와 호출한 사용자 계정 추적 가능

   4. 비용 이벤트 로그

  • 클라우드 서비스를 이용할 때 각 자원별/태그별 비용 확인
  • 정해진 예상 금액 이상으로 사용할 때 경고 메시지(메일) 기능

    3. CloudTrail을 이용한 사용자 이벤트 기록

  1. CloudTrail의 개요
  • AWS 계정 관리, 규정 준수, 운영 및 위험 감사를 지원하는 서비스
  • 기록된 정보를 참고하여 사용자, 역할, 서비스에 수행한 작업에 대한 정보를 검토할 수 있음
  • AWS에서 서비스하고 있는 모든 행위의 이벤트를 모아서 분석, 리소스 변경 추적 등 가능
  • 추적 생성 시 S3 버킷이 생성되면서 로그가 저장됨
  • 이벤트 기록을 살펴보면 이벤트 이름/시간 등의 정보가 기록됨

   2. ColudTrail 이벤트 종류

  • 관리 이벤트: 계정 리소스에서 수행되는 관리 작업에 대한 정보 제공
  • 데이터 이벤트: 리소스에서 수행되는 리소스 작업의 정보 제공
  • Insights 이벤트: 계정에서 발생된 비정상적인 활동 기록

    4. VPC Flow 로그

    1. VPC Flow 로그란?

  • VPC 흐름 로그는 VPC와의 IP 트래픽을 캡처하는데 도움
  • VPC 흐름 로그의 데이터는 CloudWatch 로그 또는 S3 버킷에 게시 할 수 있음
  • 허용된 트래픽만 기록하거나 거부된 트래픽 또는 둘 다를 기록하도록 선택할 수 있음
  • VPC 수준, 서브넷 수준, 네트워크 인터페이스 수준 등 다양한 수준에서 생성
  • VPC와의 모든 IP 트래픽을 기록할 수 있지만, Accept/Reject, ALL 등을 선택 가능

    5. AWS CloudWatch 통합 로그 분석

    1. AWS CloudWatch 이해

  • AWS에서 제공하는 AWS의 자원과 애플리케이션을 모니터링 할 수 있는 관리 서비스
  • 모니터링 하는 모든 자원의 로그와 지표 정보들을 수집하여 시각화 할 수 있음
  • CloudWatch 지표 프리티어 요금
    • 5분 간격의 기본 모니터링 지표
    • CPU 사용량, 디스크 사용량, 로드 밸런서의 응답 시간, 총 요청 수 등
    • 네트워크 트래픽
    • DB 레플리카 랙 시간
    • 캐시 hit/miss 비율
  • 1분 간격의 세부 모니터링 지표 10개
  • API 요청 1백만 건

 

'4-1. 2025-1 심화 스터디 > 클라우드 보안' 카테고리의 다른 글

[2025.03.28] 뭉게뭉게_2주차 활동  (0) 2025.03.30
[2025.03.21] 뭉게뭉게_1주차 활동  (0) 2025.03.21

'4-1. 2025-1 심화 스터디/클라우드 보안' Related Articles

티스토리툴바