안녕하세요, Twodragon입니다.
이번 포스트에서는 클라우드 보안 과정 6기의 AWS 보안 및 아키텍처에 관련된 내용을 다루고자 합니다. 이 과정은 게더 타운에서 진행되며, 각 세션은 20분 강의 후 5분 휴식으로 구성되어 있습니다. 이러한 구성은 온라인 강의의 특성 상 눈의 피로를 줄이고, 멘티 분들의 집중력을 최대화하기 위함입니다. 여러분들과 함께 다양한 AWS 보안 및 아키텍처 관련 주제를 깊이 있게 다루어 보고자 합니다.
10:00 - 10:20 근황 토크 & 과제 피드백
- 한 주간의 근황 공유 및 토론
- 영상 & 과제 피드백: 어려웠던 점, 개선점 공유
- 보안 이슈 논의
10:25 - 10:50 AWS 아키텍처 및 보안 기본
- AWS 보안 (EC2, S3, IAM, EKS)
- 2024년 AWS 클라우드 보안 가이드 (with ISMS)
11:00 - 11:30 AWS 아키텍처 심화
- AWS 네트워크 서비스
- AWS FinOps
11:40 - 12:00 필수적인 실습을 통한 이론 정리
최신 보안 업데이트 권고사항
- 금융보안원이 금융회사의 안전한 클라우드서비스 이용을 지원하기 위해 주요 국내·외 9개 클라우드 서비스 제공업체(CSP)와 협업하여 「금융분야 상용 클라우드서비스 보안 관리 참고서」를 발간했습니다. 이 참고서는 클라우드 보안 관리를 위한 5개 분야와 32개 기준으로 구성되어 있으며, 각 분야별로 가상자원 관리, 네트워크 관리, 계정 및 권한 관리, 암호키 관리, 로깅 및 모니터링 관리 등을 포함합니다. 참고서에는 보안 관리 기준별 설명, 예시, 우수 사례 등을 제공합니다.
- Fortinet의 FortiManager에서 발생한 임의 코드 실행 취약점(CVE-2024-47575)은 코드 실행 검증이 제대로 이루어지지 않아 발생했습니다.
- 삼성 Exynos 프로세서에서는 권한 상승 취약점(CVE-2024-44068)이 메모리 관리 결함으로 인해 발생했으며, 이는 Use-After-Free 취약점입니다.
- Cisco Nexus Dashboard의 취약점(CVE-2024-20432, CVE-2024-20449)은 입력 검증 부재로 인해 발생한 명령 및 코드 실행 문제입니다.
- F5의 BIG-IP에서 발생한 권한 상승 취약점(CVE-2024-45844)은 잘못된 권한 관리로 인한 문제이며, VMware HCX의 SQL Injection 취약점(CVE-2024-38814)은 입력 값 검증 부족에서 발생했습니다.
- Google Kubernetes Image Builder는 세션 관리 오류로 인증 취약점(CVE-2024-9486)이 발생했습니다.
- GitHub Enterprise Server와 Oracle WebLogic Server의 취약점(CVE-2024-9487, CVE-2024-21216)은 각각 인증 처리와 세션 관리 결함에서 비롯되었습니다.
1. AWS 보안
AWS에서는 EC2, S3, IAM 등 다양한 서비스를 통해 강력한 보안 기능을 제공합니다. AWS 보안 기초 워크숍을 통해 기본 계정 보안 설정, 네트워크 보안, 데이터 보안 등을 학습할 수 있습니다(AWS 보안 기초). 또한, IAM에서 명시적 거부 정책을 추가하여 권한을 더 세밀하게 제어할 수 있습니다(IAM 명시적 거부 추가 설명)[AWS 보안 기초 및 네트워크 보안 실습 가이드].
Startup Security Baseline
This workshop is a Security Clinic designed to help customers improve their security posture by implementing foundational AWS security best practices. The workshop covers basic account hygiene that all customers need to implement.
catalog.workshops.aws
AWS IAM Hands On Lab | AWS IAM
Update : 2020-10-25
whchoi98.gitbook.io
보안 그룹과 네트워크 ACL & LabGuide | Notion
참고 링크
gasidaseo.notion.site
2. 2024년 AWS 클라우드 보안 가이드 (with ISMS)
SK쉴더스에서 2024년 EC2, S3, IAM, RDS, 특히 EKS 등 ISMS에 매핑되는 다양한 서비스의 AWS 클라우드 보안 가이드 및 보안 대응 방안을 제공합니다. 해당 가이드를 통해 기본적인 컴플라이언스 요건을 충족하고 아키텍처 보안을 심화해 나가면 되겠습니다.
AWS 보안 점검 및 보안 설정 가이드 | Notion
가이드를 읽기에 앞서
rogue-gouda-f87.notion.site
3. AWS 아키텍처 심화
좀 더 깊이 있는 내용으로 AWS 네트워크 서비스의 구조와 데이터 트래픽 전송 비용에 대해 학습합니다. 이를 통해 AWS 시스템을 더 효율적으로 관리하는 방법을 배웁니다. 또한, FinOps 에 필요한 아키텍처 구성도 및 Infracost에 대해 살펴보려고 합니다.
AWS Data 전송 비용
Today Keys : AWS, data, transfer, traffic, cost, GB, 전송, 트래픽, 비용, cloud 이번 포스팅에서는 AWS 데이터 전송 비용에 대해서 정리한 포스팅입니다. 이번에 정리한 내용은 데이터 전송 비용은 개인적으로
zigispace.net
Estimate AWS networking costs with a self-hosted calculator | Amazon Web Services
Amazon Web Services (AWS) offers a wide choice of networking services. While these services enable AWS to meet more customer needs around networking, that variety increases the number of available options to consider in making architectural decisions when
aws.amazon.com
1. AWS 가격 책정 원칙
- AWS는 실제 사용한 만큼만 비용을 지불하는 "Pay-as-you-go" 가격 모델을 기반으로 합니다.
- 사용량이 많아질수록 비용이 절감되는 "Volume-based discount"가 적용됩니다.
- 장기적인 서비스 사용 계획을 세울 경우 "Reserved Instances"나 "Savings Plans"를 통해 추가적인 할인을 받을 수 있습니다.
2. AWS 서비스별 비용 구조
- 각 AWS 서비스(예: EC2, S3, RDS)는 사용량에 따라 과금되며, 서비스별로 데이터 전송 비용, 저장 공간 사용료, 처리량 비용 등이 다를 수 있습니다.
3. 데이터 전송 비용
- AWS 내부 네트워크 간 데이터 전송은 대부분 무료입니다.
- AWS 밖으로 데이터를 전송할 때 발생하는 비용은 리전에 따라 다르며, 이 비용은 데이터 전송량에 따라 계산됩니다.
4. 비용 최적화 도구와 기술
- AWS Cost Explorer: 사용 패턴 및 비용 추세를 분석하여 비용 관리와 예산 설정을 돕는 도구입니다.
- AWS Budgets: 예산을 설정하고 사용량 및 비용에 대한 알림을 설정할 수 있습니다.
- AWS Trusted Advisor: 비용 절감, 성능 향상, 보안 강화를 위한 권장 사항을 제공합니다.
5. 학습 자료 및 참고 문헌
- AWS EC2 Pricing Overview: [AWS EC2 Pricing]
- AWS Saving Plan: [AWS Saving Plan]
이러한 자료들은 AWS의 비용 구조를 이해하고, 비용을 관리하며 최적화하는 데 필요한 다양한 정보와 도구를 제공합니다. 정기적인 비용 분석과 리소스 최적화를 통해 AWS 비용을 효율적으로 관리할 수 있습니다.
4. 필수적인 실습을 통한 이론 정리
AWS에서 제공하는 다양한 실습과 예제는 이론적 지식을 실제 환경에 적용해 보는 데 큰 도움이 됩니다. AWS Security Group 모니터링 예시 , AWS 안전한 S3 사용 가이드, Public IP 찾는 AWS cli 명령어 쿼리문 , awskrug security center 자료, ISMS-P기반 보안 점검을 위한 Prowler 활용 등은 AWS 보안 담당자이면 알면 좋은 핵심 주제들입니다.
이 글은 AWS의 보안에서부터 아키텍처 심화, 실습까지 다양한 주제를 다루었습니다. AWS를 처음 접하거나 이미 사용 중인 사용자 모두에게 유용한 정보가 되길 바랍니다. AWS를 통해 안전하고 효율적인 클라우드 인프라를 구축해 나가는 데 이 글이 도움이 되기를 바랍니다.
참고자료
- 클라우드 시큐리티 과정 5기 - 3주차 : https://twodragon.tistory.com/629
- 클라우드 시큐리티 과정 4기 - 3주차 : https://twodragon.tistory.com/609
- 클라우드 시큐리티 과정 3기 - 4주차 : https://twodragon.tistory.com/595
- 클라우드 시큐리티 과정 3기 - 3주차 : https://twodragon.tistory.com/594
- 투드래곤 (클라우드 시큐리티 과정 2기 - 3주차 AWS 보안 심화) (tistory.com)
- 투드래곤 (클라우드 시큐리티 과정 2기 - 4주차 Azure 보안) (tistory.com)
- https://velog.io/@sechawang/AWS-에서-Aurora오로라-RDS-DB-를-생성하는-방법
'* Twodragon > 보안 강의 (Course)' 카테고리의 다른 글
| 클라우드 시큐리티 과정 6기 - 4주차 AWS 자산식별 및 ISMS-P 대응 가이드 (0) | 2024.11.01 |
|---|---|
| 클라우드 시큐리티 과정 6기 - 2주차 AWS 기초 및 아키텍처 (0) | 2024.10.18 |
| 클라우드 시큐리티 과정 6기 - 1주차 클라우드의 확장성과 IT 트렌드 (0) | 2024.10.11 |
| 클라우드 시큐리티 과정 6기 온라인 강의 (2024.10.05 ~ ) (0) | 2024.10.04 |
