안녕하세요. Twodragon입니다.
클라우드 시큐리티 과정 3기 강의를 시작하게 되었고, 게더 타운(Gather Town)에서 진행되는 일정을 소개 드리려고 합니다.
먼저 게더 타운 진행 스케줄은 총 2시간(20분 진행, 5분 휴식)으로 다음과 같습니다.
온라인 강의 특성 상 눈의 피로 또는 학생분들의 높은 집중력을 위해 20분씩 진행하고 5분 휴식을 취하고 있습니다.
10:00 - 10:20 = 근황 토크 & 멘티끼리 토론 (과제 요약하여 발표 // 과제 토론 1회, 주제 토론 1회) & 과제 피드백
10:25 - 10:45 = 클라우드 서비스 비교 (AWS vs Azure vs GCP)
10:50 - 11:10 = AWS 기초 및 심화 (EC2, S3, IAM)
11:15 - 11:35 = AWS 보안 (EC2, S3, IAM, Kubernetes)
11:40 - 12:00 = 3회차 과정 이해를 위한 필수적인 실습
1. 근황 토크 & 과제 피드백
- 근황 토크 & 과제 관련하여 토론 진행 & 과제 피드백
- AWS 아키텍처 구성도 작성 시 draw.io 활용 : https://sjquant.tistory.com/61
Q1) 과제하면서 힘들었던 점 또는 개선할 점, 과제 내용 요약 발표
- 현재 클라우드 보안에서 이슈가 되고 있는 사항 (KRCERT 또는 기사를 통해 얻은 참고자료)
* Cisco 제품 보안 업데이트 권고 : Cisco ISE(Identity Services Engine)에서 발생하는 CSRF 취약점 (CVE-2022-20961) 등이 발견되어 최신 버전으로 업데이트 권고
* 구글 Chrome 브라우저 보안 업데이트 권고 : 크롬 브라우저의 확장 프로그램에서 발생하는 Use-after-free 취약점 및 부적절한 구현 취약점 발견되어 최신 버전으로 업데이트 권고
* 온디스크 플레이어 원격코드실행 취약점 : 온디스크 플레이어에서 URL 등에 대한 검증 미흡으로 인해 발생하는 원격 코드 실행 취약점으로, 취약한 버전의 제품 이용자는 OndiskPlayerAgent 버전 1.3.9.19 이상으로 설치
2. 클라우드 서비스 비교 (AWS vs Azure vs GCP)
- AWS vs Azure vs GCP 영상 시청하면서 궁금했던 점 Q&A
Q2) 영상을 시청하면서 AWS에서 궁금한 점이 있는지?
Q3) 회사에서 AWS에 2계층 고가용성 웹 애플리케이션을 배포하고 있다. 웹 계층에 대해 더 낮은 전체 CPU 리소스를 활용하면서 정적 콘텐츠를 위한 내구성 있는 스토리지를 제공하는 서비스는 무엇입니까?
1. Amazon EBS Volume
2. Amazon EC2 Instance Store
3. Amazon RDS Instance
4. Amazon S3
- AWS, Azure, GCP 서비스 용어 및 보안 정책 정리 : https://twodragon.tistory.com/557
AWS, Azure, GCP 서비스 용어 및 보안 정책 정리
안녕하세요. Twodragon 입니다. 이번에 AWS, Azure, Google Cloud Platform (GCP) 등 퍼블릭 클라우드 이야기를 해보려고 합니다. 다양한 보안업계에서 현재 핫이슈로 떠오르고 있는 퍼블릭 클라우드, 이 분야
twodragon.tistory.com
- ARN Format 설명
- 2회차 추가적인 설명 : https://twodragon.tistory.com/578
클라우드 시큐리티 과정 2기 - 2주차 클라우드 서비스 비교 및 AWS 심화
안녕하세요. Twodragon입니다. 클라우드 시큐리티 과정 2기 강의를 시작하게 되었고, 게더 타운(Gather Town)에서 진행되는 일정을 소개 드리려고 합니다. 먼저 게더 타운 진행 스케줄은 총 2시간(20분
twodragon.tistory.com
- Windows 에서 putty를 이용한 EC2 SSH 접속 : https://www.devoops.kr/79
Windows Putty 환경에서 AWS EC2 ssh 접속
항상 MAC에서만 작업하다 보니 Windows 환경에서 접속 설정을 해놓지 않았었는데. 오늘 Windows Putty 환경에서 접속 할일이 생겼네요. 아래와 같이 EC2 인스턴스에 설정되어 있는 키 페어 이름이 HarryJun
www.devoops.kr
- AWS-Vault 사용법 : https://www.44bits.io/ko/post/securing-aws-credentials-with-aws-vault
aws-vault 사용법: AWS의 인증 정보 안전하게 사용하기
aws-vault는 99디자인스(99designs)에서 개발한 AWS 인증 정보를 로컬 환경에 안전하게 보관할 수 있도록 도와주는 도구입니다. 운영체제 별로 제공되는 안전한 공간에 인증정보를 저장해 플레인 텍스
www.44bits.io
3. AWS 기초 및 심화 (EC2, S3, IAM)
- AWS에서 많이 사용하는 서비스 위주로 설명 (EC2, VPC, SG, S3, IAM 등)
- AWS EC2 Web Server 설치 : (AWS) Amazon Linux 2에 Apache Web Server 설치하기 ~ My Programming Trend Report (progtrend.blogspot.com)
- AWS 환경에서 Public IP 서칭 : https://kloudle.com/academy/how-to-get-all-public-ip-addresses-in-your-aws-account/
How to get all public IP addresses in your AWS account — Kloudle Website
The knowledge of all public IP addresses across different services within AWS is a good way to get started with understanding what the attack footprint of an organisation looks like. This article describes fetching this information using both, the web cons
kloudle.com
- VPC Flow Log 예시 : VPC 흐름 로그 - Amazon Virtual Private Cloud
- AWS IAM SCP, OU, Policy 정책 : https://going-to-end.tistory.com/entry/AWS-SCP-OU-Policy-%EC%97%90-%EB%8C%80%ED%95%B4-%EC%95%8C%EC%95%84%EB%B3%B4%EC%9E%90
AWS SCP, OU, Policy 에 대해 알아보자
개인이 AWS 계정을 사용하는 사용하는 경우에는 사실 AWS Organization을 이용해 다른 AWS 계정들을 연동시키거나 개발계, 검증계, 운영계 등과 같은 OU를 따로 생성할 경우는 드물 것입니다. 하지만 엔
going-to-end.tistory.com
Q4) Atlasian, jira, bamboo 어떤 식으로 활용하는지?
https://www.atlassian.com/ko/software/jira/guides/expand-jira/jira-slack-integration
Jira와 Slack의 통합 - Atlassian | Atlassian
최고의 소프트웨어팀들은 조기에 자주 출시합니다. Jira Cloud for Slack을 사용하면 동기화된 상태를 쉽게 유지하고, 작업에 집중하고, 작업에 적합한 사용자를 참여시킬 수 있습니다.
www.atlassian.com
4. AWS 보안 (EC2, S3, IAM, Kubernetes)
- IAM 명시적 거부 추가 설명 : https://whchoi98.gitbook.io/aws-iam/iam-policy
IAM 정책(Policy)과 권한(Permission) - AWS IAM
명시적 거부가 있는 경우, 허용된 정책 권한이 있더라도 우선하게 됩니다. hawkeye는 EC2FullAccess 권한으로 Cloudwatch에 대한 권한을 가지고 있지만, 사용자에 인라인정책을 적용하여 명시적 접근 거
whchoi98.gitbook.io
- IAM 인증정보 유출 경로 : 스크린샷, 코드 형상관리 파일(git, env) 관리 미흡, 코드 내 하드코딩 된 인증정보(서버 측 코드)/코드 내 하드코딩 된 인증정보(HTML), 불필요한 공개 설정 등 다양함
- IAM 유출 시 위협: 키 획득 이후 인스턴스 조작(시작, 종료, 원격접속), 타 사용자 생성, 권한 부여, 로그 삭제로 추가 공격 수행 가능
- AWS EC2 셋팅, VPC NACL 설정, 필요한 IP만 SG 등록
- AWS EC2에 SSM 인증하여 안전하게 접근 : https://yoo11052.tistory.com/116
[AWS] EC2에 SSM 으로 접속하기
만약에 Internet Gateway 와 NAT Gateway가 달려있지 않은 외부와 완전히 차단된 Private 서브넷에 생성된 EC2에 접속하고 싶다면 어떻게 하면 될까? Client VPN을 이용하는 방법도 있지만, 비용적으로 부담이
yoo11052.tistory.com
- GuardDuty 유형 : 결과 유형 - Amazon GuardDuty
유형 - 아마존 GuardDuty
이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.
docs.aws.amazon.com
5. 3회차 과정 이해를 위한 필수적인 실습
- AWS EC2 설정 : AWS EC2 인스턴스 생성하기 ~ My Programming Trend Report (progtrend.blogspot.com)
- AWS Nginx 설치 : [AWS] 아마존 EC2 서버에 NginX 설치하는 방법 (tistory.com)
- AWS MySQL 설치 : [AWS] 아마존 EC2 서버에 MariaDB 설치 (tistory.com)
- AWS GuardDuty 유형 파악 : Finding types - Amazon GuardDuty
- NSG Flow Log 예시 : Introduction to flow logging for NSGs - Azure Network Watcher | Microsoft Docs
참고자료
투드래곤 (클라우드 시큐리티 과정 2기 - 3주차 AWS 보안 심화) (tistory.com)
클라우드 시큐리티 과정 2기 - 2주차 클라우드 서비스 비교 및 AWS 심화 https://twodragon.tistory.com/578
투드래곤 (클라우드 시큐리티 과정 2기 - 1주차 클라우드 서비스 기초) (tistory.com)
'* Twodragon > 보안 강의 (Course)' 카테고리의 다른 글
| 클라우드 시큐리티 과정 3기 - 4회차 AWS 아키텍처 심화 및 ChatGPT 활용 (0) | 2022.12.17 |
|---|---|
| 클라우드 시큐리티 과정 3기 - 3회차 AWS 아키텍처 및 보안 심화 (0) | 2022.12.09 |
| 클라우드 시큐리티 과정 3기 - 1회차 DevSecOps 기초 (0) | 2022.11.23 |
| 클라우드 시큐리티 과정 3기 온라인 강의 (2022.11.20 ~ 2023.03.13) (0) | 2022.11.20 |
