Menu 370

AWS CloudTrail & Config란?

AWS CloudTrail 란? AWS 계정이 수행하는 작업에 대해 로그를 기록하는 서비스 AWS 내에서 수행되는 모든 계쩡 활동에 대해 기록이 되며 이 로그는 CloudWatch Logs 또는 S3 버킷에 저장가능 이는 모든 계정에 기본적으로 활성화 되어 있다. 이의 로그파일은 KMS 사용하여 암호화가 가능하다. CloudTrail Insight를 사용하여 AWS 계정에서 비정상적인 활동을 감지 할 수 있다. AWS 계정의 거버넌스, 규정준수, 운영감사, 위험감사에 활용 CloudTrail 로그 파일 무결성 검증 기능을 사용하여 CloudTrail에서 로그파일을 지정된 S3 버킷으로 전송한 이후로 CloudTrail 로그 파일이 그대로 유지되거나, 삭제, 수정되었는지 확인 가능하다. AWS Config..

AWS Amazon EventBridge란?

AWS Amazon EventBridge란? 거의 실시간으로 이벤트를 자동으로 전송하는 서비스 90개 이상의 AWS 서비스에서 이벤트를 자동 수집 SaaS 애플리케이션 및 AWS 서비스의 이벤트에 반응하는 애플리케이션을 구축할 때 사용 예를들어 이벤트 소스에 대한 규칙을 구성하여 Amazon SN 주제에 메시지를 게시하여 관리자의 이메일로 보낼 수 있다. 왼쪽의 Event Source들이 EventBridge로 들어온다. 들어온 것들은 EventBus를 통해 처리를 하게 된다. 그 이후 이벤트 Rules를 통해 오른쪽에 있는 타겟으로 보내준다. 이벤트 발생시 적절하게 조건에 따라 다른 타겟으로 보내주는 것이다. 실습 Amazon EventBridge 이벤트에 들어간다. 이를 이용하기위해 규칙을 생성해야한..

AWS CloudWatch란?

AWS CloudWatch란? AWS 클라우드 리소스와 AWS에서 실행되는 애플리케이션을 위한 모니터링 서비스 지표를 수집 및 추적하고 로그 파일을 수집 및 모니터링하고 경보를 설정 EC2, DynamoDB 테이블, RDS 인스턴스 같은 AWS 리소스 뿐만아니라 애플리케이션과 서비스에서 생성된 사용자 정의 지표 및 애플리케이션에서 생성된 모든 로그 파일을 모니터링 시스템 전반의 리로스 사용률, 애플리케이션 성능, 운영 상태를 파악 CloudWatch의 4가지 기능 1) 지표 (Metircs) AWS 클라우드 리소스 및 AWS에서 실행하는 애플리케이션을 모니터링 CPU사용량, 네트워크 사용량 등의 AWS 서비스에 대한 측정값 AWS 제품 및 서비스에 대한 지표가 자동으로 제공되며 자체 애플리케이션 및 서비..

AWS Organizations이란?

AWS Organizations이란? 여러 AWS 계정을 중앙에서 관리하는 글로벌 서비스이다. 전체 계정을 관리하는 관리계정(Master Account), 나머지는 멤버 계정이라고 부른다. 조직관리를 위해 OU(Organization Unit)이라는 조직 단위로 그룹화 하여 관리 그룹마다 서비스 제어 정책(SCP, Serivce Control Policy)를 적용해서 액세스를 제한해야 하는 서비스를 제어 가능 계정을 통합하면 결제를 한곳으로 통합이 가능하고 볼륨 가격을 할인받을 수 있다. AWS OU란? OU(Organization Unit)이라는 조직단위로 그룹화하여 관리하는 기능 사용중인 AWS 계정을 Root OU로 초대하여 멤버 계정으로 만들 수 있음 AWS SCP 서비스 제어 정책 (Servic..

AWS GuardDuty, Macie, Inspector란?

AWS GuardDuty란? AWS 계정 및 워크로드에 악의적 활동을 모니터링하고 상세한 보안 결과를 제공하는 위협 탐지 서비스 (탐지만 가능) 공격자 정찰, 인스턴스 침해, 계정 침해 및 버킷 침해와 같은 위협을 파악하도록 지원하여 AWS 계정, 워크로드 및 데이터에 대한 광범위한 보호를 제공 보안 탐지 결과를 GuardDuty 콘솔과 Amazon CloudWatch Events로 전달하여 알림을 토대로 조치를 취할 수 있고 기존 이벤트 관리 또는 워크로드 시스템에 통합이 가능하다. Amazon Macie란? 데이터 보안 및 데이터 프라이버시 서비스로서, 기계학습 및 패턴 일치를 활용하여 AWS에서 민감한 데이터를 검색하고 보호 이름, 주소, 신용카드 정보 같은 개인 식별 정보(PII)를 포함하여 대규..

AWS Shield & WAF란?

AWS Shield란? AWS 웹 애플리케이션을 DDoS (Distributed Denial of Service) 공격으로부터 보호 DDoS란? 수십 대에서 많게는 수백만 대의 PC를 원격 조종해 특정 웹사이트에 동시에 접속시킴으로써 단시간 내에 과부하를 일으키는 행위 AWS는 2가지 유형의 Shield를 제공한다. 1) Shield Standard 모든 AWS사용자에게 적용되어 있음 (무료) SYN / UDP Flood등 기본적인 DDoS공격 보호 2) Shield Advanced 스탠다드 서비스보다 많은 보호 제공 (유료) EC2, ELB, CloudFront, Route 53등에서 정교한 DDoS보호 제공 WAF란? (Web Application Firewall) 웹 애플리케이션을 보호하는 방화벽 ..

AWS Secrets Manager란?

AWS Secrets Manager란? 보안 정보(자격 증명)를 중앙 집중식으로 저장, 검색, 액세스 제어, 교체, 감사 및 모니터링하는 서비스 보안정보는 DB 자격증명, 온프레미스 리소스 자격증명, SaaS애플리케이션 자격증명, 타사 API 키 및 Secure Shell(SSH) 키 등이 될 수 있다. 키는 이친구가 가지고있고 필요시 이친구에게 요청하여 사용하고 보관 및 관리해주는 친구다. 보안정보(자격증명, Secret)을 유지하는 방법 1) 사용자가 소유하고 AWS Key Management Service(KMS)에 저장한 암호화 키를 사용해 저장 보안 정보를 암호화 2) 사용자는 AWS Identity and Access Management(IAM) 정책을 사용하여 보안 정보에 대한 액세스를 제어..

AWS Key Management Service (KMS)란?

암호화 (Encryption)이란? 데이터를 도난이나 해킹으로부터 보호하기 위한 방법 3가지 암호화 방법 1) 전송중 암호화 : 네트워크로 전송하는 트래픽을 암호화 2) 서버측 암호화 : 서버에 저장된 데이터를 암호화 3) 클라이언트측 암호화 : 데이터를 보내기전에 암호화 Key Management System (KMS) 암호화 키를 생성 및 관리하는 서비스 키(Key)는 암호화를 하고 암호를 해독하는 역할 AWS에서 암호화에 관련된 서비스는 대부분 KMS와 관련되어 있음 EBS, S3, RDS등의 AWS 서비스 데이터 암호화에 대부분 KMS를 사용 키를 자동으로 교체하는 기능을 지원 (보안을 위해) 감사를 위해 AWS CloudTrail과도 통합되어 모든 키 사용에 관한 로그를 제공 3가지 유형의 키를..

AWS Cognito, AWS Single Sing-On이란?

AWS Cognito 애플리케이션에 대한 로그인 및 인증을 제공하는 기능 웹과 모바일 앱에 빠르고 사용자 가입, 로그인 및 엑세스 제어 기능 애플, 구글, 페이스북 등의 계정과 통합 가능 AWS Single Sing-On (SSO)이란? SSO는 중앙에서 관리하는 하나의 계정으로 여러 애플리케이션에 로그인하는 기능 AWS Organiztaion, Active Directory, SAML 2.0 과 통합가능 SAML은 인증을 지원하기 위한 표준 데이터 포맷 SSO가 온프레미스와도 연동이 가능하고 SAML과도 계정이 통합이 가능하다. 하나의 계정으로 AWS 외 비즈니스에 로그인하여 작업이 가능하다.