클라우드 시큐리티 과정 2기 - 2주차 클라우드 서비스 비교 및 AWS 심화

안녕하세요. Twodragon입니다. 

클라우드 시큐리티 과정 2기 강의를 시작하게 되었고, 게더 타운(Gather Town)에서 진행되는 일정을 소개 드리려고 합니다.

 

먼저 게더 타운 진행 스케줄은 총 2시간(20분 진행, 5분 휴식)으로 다음과 같습니다.

온라인 강의 특성 상 눈의 피로 또는 학생분들의 높은 집중력을 위해 20분씩 진행하고 5분 휴식을 취하고 있습니다. 

---

10:00 - 10:20 = 근황 토크 & 멘티끼리 토론 (1분이 요약하여 발표 // 과제 토론 1회, 주제 토론 1회) & 과제 피드백 

10:25 - 10:45 = 클라우드 서비스 비교 (AWS vs Azure vs GCP)

10:50 - 11:10 = AWS 심화 (EC2, S3, IAM)

11:15 - 11:35 = AWS 실습

11:40 - 12:00 = 3주차 과정 이해를 위한 필수적인 실습

---

 

1. 근황 토크 & 과제 피드백

- 근황 토크 & 과제 관련하여 토론 진행

  Q1) 과제하면서 힘들었던 점 또는 개선할 점, 과제 내용 요약 발표

- AWS vs Azure vs GCP 과제 피드백

 

- 현재 클라우드 보안에서 이슈가 되고 있는 사항 (KRCERT 또는 기사를 통해 얻은 참고자료)

 * RUST 취약점(CVE-2022-21658) : RUST std::fs::remove_dir_all 표준 라이브러리 함수가 레이스 컨디션에 취약하여 발생

 * Windows DNS 서버 원격 코드 실행 취약점(CVE-2022-21984) : Windows DNS에서 부적절한 입력값 처리로 인해 발생하는 원격코드 실행 취약점

 * Citrix 사의 Hypervisor, XenServer 취약점(CVE-2022-23034) : Citrix Hypervisor 및 XenServer에서 발생하는 권한상승 취약점 

 * Cisco Small Business RV 시리즈 라우터 취약점(CVE-2022-20699) : 공격자가 SSL VPN 게이트웨이로 역할을 하는 기기에 특수 제작된 HTTP 요청을 전송해 원격으로 루트 권한으로 악성코드를 실행

 * 2022년 1월 중순 이후 GuardDuty에서 Kubernetes 유형 발생

 

2. 클라우드 서비스 비교 (AWS vs Azure vs GCP)

- 클라우드 컴퓨팅 패러다임 : https://twodragon.tistory.com/567

클라우드 컴퓨팅의 패러다임 변화 (Paradigm in cloud computing)

- 마이크로서비스 아키텍처 : 마이크로 서비스 기반 복합 UI 만들기 | Microsoft Docs

마이크로 서비스 기반 복합 UI 만들기

- 온프레미스와 클라우드 보안 : https://youtu.be/EnF4I0J2K8g

- AWS, Azure, GCP 서비스 용어 및 보안 정책 정리 : https://twodragon.tistory.com/557

AWS, Azure, GCP 서비스 용어 및 보안 정책 정리

- AWS 용어 정리 : https://yongdev91.tistory.com/22

간단하게 AWS용어들을 정리해보자

 

3. AWS 심화 (EC2, S3, IAM)

- AWS에서 많이 사용하는 서비스 위주로 설명 (EC2, VPC, SG, S3, IAM 등)

Q2) 회사에서 AWS에 2계층 고가용성 웹 애플리케이션을 배포하고 있다. 웹 계층에 대해 더 낮은 전체 CPU 리소스를 활용하면서 정적 콘텐츠를 위한 내구성 있는 스토리지를 제공하는 서비스는 무엇입니까?
1. Amazon EBS Volume
2. Amazon EC2 Instance Store
3. Amazon RDS Instance
4. Amazon S3

- Windows 에서 putty를 이용한 EC2 ssh 접속 : https://www.devoops.kr/79  

Windows Putty 환경에서 AWS EC2 ssh 접속

- IAM 명시적 거부 추가 설명 : https://whchoi98.gitbook.io/aws-iam/iam-policy

IAM 정책(Policy)과 권한(Permission) - AWS IAM

- IAM 인증정보 유출 경로 : 스크린샷, 코드 형상관리 파일(git, env) 관리 미흡, 코드 내 하드코딩 된 인증정보(서버 측 코드)/코드 내 하드코딩 된 인증정보(HTML), 불필요한 공개 설정 등 다양함 

- IAM 유출 시 위협: 키 획득 이후 인스턴스 조작(시작, 종료, 원격접속), 타 사용자 생성, 권한 부여, 로그 삭제로 추가 공격 수행 가능

 - EC2 내의 DB vs RDS 비교 : [Bespin’s Pick vol.11] AWS RDS vs EC2 차이점, 간단히 파악하기 - BESPINGLOBAL

[Bespin’s Pick vol.11] AWS RDS vs EC2 차이점, 간단히 파악하기 - BESPINGLOBAL

 

4. AWS 실습

- AWS EC2 셋팅, VPC NACL 설정, 필요한 IP만 SG 등록

- S3 버킷 퍼블릭액세스 차단 및 접근제어 ACL 설정

- IAM 권한 및 정책 설정 그리고 명시적 거부

- ARN Format 설명

 

5. 3주차 과정 이해를 위한 필수적인 실습

- AWS EC2 설정 : AWS EC2 인스턴스 생성하기 ~ My Programming Trend Report (progtrend.blogspot.com)

- GuardDuty 유형 : 결과 유형 - Amazon GuardDuty

- NSG Flow Log 예시 : Introduction to flow logging for NSGs - Azure Network Watcher | Microsoft Docs

- VPC Flow Log 예시 : VPC 흐름 로그 - Amazon Virtual Private Cloud

- CloudTrail Log 예시 : CloudTrail 로그 파일의 예 - AWS CloudTrail (amazon.com)

- AWS EC2 Web Server 설치 : (AWS) Amazon Linux 2에 Apache Web Server 설치하기 ~ My Programming Trend Report (progtrend.blogspot.com) 

- AWS Nginx 설치 : [AWS] 아마존 EC2 서버에 NginX 설치하는 방법 (tistory.com)

- AWS MySQL 설치 : [AWS] 아마존 EC2 서버에 MariaDB 설치 (tistory.com)

- AWS GuardDuty 유형 파악 : Finding types - Amazon GuardDuty

 

---

참고자료

투드래곤 (클라우드 시큐리티 과정 2기 - 3주차 AWS 보안 심화) (tistory.com)

투드래곤 (클라우드 시큐리티 과정 2기 - 1주차 클라우드 서비스 기초) (tistory.com)

투드래곤 (클라우드 시큐리티 과정 2기 시작 (2022년 01월 22일 ~ )) (tistory.com)

투드래곤 (클라우드 보안 온라인 강의 시작 (2021년 07월 24일 ~ 10월 3일)) (tistory.com)