성덕이의 개발공간

RBAC이란? (Role-Based Access Control)- 그룹이나 사용자에게 직접 권한을 주지 않고, 논리적인 집합들을 역할로 만들고 사용자나 그룹에게 연결 가능- 필요에 따라 역할을 부여할 수 있으므로 관리하기에 편함  SuperUser 계정이 Dev 계정에게 S3 수정 정책이 있는 RBAC을 주는 시나리오를 실습해보자.내가 가진 IAM USer 대상으로 진행해보겠다. (Cross-Account는 추후) 1. SuperUser에서 RBAC을 위한 Role 생성1) IAM -> 좌측 카테고리의 역할(Role) 선택 -> 역할 만들기- 신뢰할 수 있는 엔터티 유형 : AWS 계정- AWS 계정 : 이 계정 (본인 AWS ID)2) 다음3) AdministratorAccess 권한(Policy) 추..

다음과 같은 과정으로 진행하면 된다.1) TGW 생성2) VPC A, VPC B에 TGW Attachment 생성 후 부착3) VPC A의 라우팅 테이블에서 VPC B의 라우팅 테이블 IP 추가4) VPC B의 라우팅 테이블에서 VPC A의 라우팅 테이블 IP 추가 1) Transit Gateway (TGW) 생성하기1) VPC의 왼쪽 카테고리에서 Transit Gateways 선택2) Create Transit Gateway 선택3) Name 및 description 선택4) Configure the transit gateway : Multicast support 등 모두 선택5) 생성생성 완료!약 3~10분 정도 걸립니다!2) VPC A에 TGW Attachment 생성 기본적으로 TGW 연결을 위한..

VPC A와 VPC B를 피어링하는 방법은 다음과 같다.- 1) 대상 VPC에서 Peering Connection을 생성한다.- 2) 대상 VPC에서 트래픽을 주고받을 Subnet의 Routing Table에 소스 VPC의 IP 대역을 적는다.- 3) 소스 VPC에서 대상 IP 대역을 적는다. 1) VPC A 대상 Peering 생성1) VPC -> 좌측 카테고리 Peering Connections 선택 -> Create Peering 생성2) Peering Name 작성3) Select a local VPC to peer with : 연결할 VPC 선택 (필자는 VPC A)4) Select another VPC to peer with : My account, This Region 선택5) VPC ID ..

Generate Metrics을 왜 사용할까요?예시로, 비용 문제 때문에, A라는 Agent Log는 저장하고 싶지 않습니다. 따라서 Indexed 과정에서 Log를 Exclusion Filter를 진행합니다.하지만 사용자는 A라는 Agent에서 특정한 log는 Monitor 알람 설정을 위해 Index하고 싶습니다. 이때 바로 Generate Metrics을 사용합니다.위와 같은 상황이 가능한 이유는 아래와 같습니다. Generate Metric의 단계는 다음 사이에 있습니다.Ingest Log ===> Live Tail ===> Generate Metrics ===> Index log 따라서, Exclustion Filter를 하더라도, Indexed 될 수 있습니다.1. Generate Metric..

Exclusion Filter란, Ingested log에서 불필요한 Log를 제외하고 Indexed Log 과정을 진행합니다.불필요한 로그를 필터링하여 Log를 Indexed한다면 비용 효율적으로 사용할 수 있습니다. 참고로 Datadog Log Pipeline 순서는 다음과 같기에,Ingest Log ===> Live Tail ===> Generate Metrics ===> Index log (exclusion)Exclsuion Filter를 적용하더라도 Live Tail에는 그대로 보입니다! 1. Indexes 관리 페이지 접속하기1) Datadog DashBoard Login2) 왼쪽 카테고리중 Logs 선택3) Log Explorer 클릭 후 오른쪽 끝 Log Settings 클릭4) 왼쪽 카테..

Datadog에서 Log Indexed를 하는 이유는 크게 다음과 같습니다.Log AnalyizeLog Store 수집되는 Log를 추후 Monitor를 통해 알람을 설정하거나,Dashboard 구성 및 Notebook을 하려면 Index 과정이 필요합니다. 하지만 모든 수집되는 Ingest Log에 Indexed 과정을 진행하게 되면 불필요한 비용이 많이 생기게 됩니다.Ingest와 Index의 비용은 다음과 같습니다. Indexing 비용은 저장 주기에 따라 달라집니다. (3, 7, 15, 30, 30일 이상) million log event 당 1.7$가 부여되는 것을 볼 수 있습니다.엥? 생각보다 싸잖아..? 간과한 사실이 하나 있습니다!예시로 하루에 70Milion log가 발생된다고 가정해봅..

해당과정에서 검출된 EKS Account 토큰 탈취에 대해 조치를 취해보겠다. [AWS SecurityHub] AWS GuardDuty를 통한 Runtime 탐지 조사하기 [T]필자의 EKS의 pod 서버는 누군가가 nc 명령어로 reverse shell을 외부로 연결시키는 공격을 당했다.AWS GuardDuty에서 어떻게 탐지되는지 확인해보자. 해당 환경에서 이어서 진행한다. [AWS SecurityHub] AWS Guseongduck.tistory.com공격자는 탈취한 EC2의 자격증명을 이용하여 EKS Pod에서 사용하는 Service Account를 탈취 후 Secret에 대한 접근까지 가능공격자는 Pod에 접근 시 kubectl exec 명령을 사용하여 Pod에 배포된 Container에 She..

해당과정을 통해 CVE 취약점을 발견했다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Inspector를 통해 구체적인 침투 증적 조사 [T]AWS Inspector란?보안 평가 서비스어플리케이션 환경을 스캔하여 보안 취약점 및 모범 사례 위반 사항을 탐지 및 보고 해당 게시글에서 이어서 진행 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를seongduck.tistory.comAWS Inspector와 AWS CloudWatch로 해당 정황을 파악했다.해킹당한 서버에 Session Manager로 붙기 (패치)패치를 적용하기 위해 잠시 서버에 접근할 수 있도록 환경을 변경해보자.1) VPC -> 네트워크 ACL -> 해당 서브넷을 ..

계정 및 인스턴스 해킹으로 인해 유출된 자격증명 교체 및 불필요 유저 지워보도록 한다.해당 과정의 탐지는 아래 게시글에서 진행했다. [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS CloudTrail을 통해 IAM 이벤트 조사하기 [T]AWS CloudTrail이란?AWS 계정의 모든 활동을 기록하고 추적할 수 있는 서비스모든 API 요청을 기록누군가가 나의 인스턴스에 IAM 이벤트를 일으켰는지 AWS CloudTrail을 통해 확인해보자 해당 환경에서 이seongduck.tistory.com인스턴스가 해킹당하여 자격증명이 유출되었을 때참고로 4)에서 인스턴스 중지 => 인스턴스 시작을 해야 자격증명이 재갱신된다.단순히 재부팅하면 갱신되지 않는다!1) IAM -> C..

SSH Briteforce 공격을 받아 빠르게 조치를 취하는 방법에 대해 다뤄보겠다.해당 상황이 벌어졌을 때 감지하는건 다음 게시글을 참조해보자 [AWS SecurityHub] AWS GuardDuty로 침입 감지한 로그를 AWS Security Hub를 통해 살펴보기 [T]AWS Security Hub란?AWS Security Hub는 탐지된 보안 이벤트에 대한 가시성을 제공보안 상태를 중앙 집중화하여 모니터링 및 관리AWS 환경의 보안 상태를 한눈에 파악하고 관리할 수 있는 강력한 도구 AWSseongduck.tistory.com누군가가 SSH BruteForce 및 비트코인을 수집하기 위해 나의 인스턴스가 해커에게 탈취된 상황1) VPC -> 네트퉈크 ACL 이동2) sir-workshop-comp..