로그 포 로그

이제까지는 AWS의 대시보드 콘솔에서 직접 마우스 클릭을 통해 리소스를 생성하고, 접근하고, 제어했습니다. 그런데 모든 리소스를 GUI로 관리하는 것은 규모가 큰 시스템을 장기적으로 관리할 경우 좋은 선택이 아닙니다. 오늘은 AWS의 리소스를 CLI로 관리하는 방법에 대해 알아보겠습니다. 1. AWS CLI 설치하기 최신 버전의 AWS CLI 설치 또는 업데이트 - AWS Command Line Interface 이전 버전에서 업데이트하는 경우 unzip 명령을 실행하면 기존 파일을 덮어쓸지 묻는 메시지가 표시됩니다. 스크립트 자동화와 같은 경우에 이러한 프롬프트를 건너뛰려면 unzip에 대한 -u 업데이 docs.aws.amazon.com 운영체제에 맞는 방법으로 위 공식 문서를 참고해 aws cli를..

방화벽은 크게 상태를 저장하는 Stateful과 저장하지 않은 Stateless 두 가지 유형으로 나눠볼 수 있습니다. 여기서 상태를 저장한다는 뜻은 무엇일지, 또 두 방화벽이 패킷을 필터링하는 방법과 장단점은 무엇인지 지금부터 알아보겠습니다. 방화벽이란 ? Rule에 따라 들어오는 패킷의 Pass 또는 Drop 여부를 결정하는 필터링 서비스를 말합니다. 이 때 필터링을 결정하는 정책을 설정할 수 있고, 허용 목록을 설정하는 Whitelist (default: 차단)와 거부 목록을 설정하는 Blacklist (default: 허용)로 접근 제한을 할 수 있습니다. Stateful 방화벽 - 동적 패킷 필터링 기본적으로 웹 요청과 응답은 클라이언트가 서버에 Request를 보내고, 서버가 이에 대응하는 R..

AWS에서 생성한 리소스들의 접근 제어를 하는 방법은 다양합니다. 그 중 기본적이면서 가장 중요한 보안 설정인 방화벽 구성에 대해 알아보겠습니다. 보안 그룹(SG, Security Gruop)과 네트워크 ACL(Access Control List), WAF(Web Application Firewall)은 모두 각 단에서의 방화벽 역할을 합니다. 위 위 아키텍쳐는 각 인스턴스(서버)에 보안 그룹을 설정하고, 서브넷 앞의 ACL로 접근 가능 리스트를 설정하고, 전체 VPC 앞에 WAF를 걸어 세 레이어로 방화벽을 구성한 모습입니다. 각 요소들이 어떤 역할을 하는지 지금부터 자세히 알아보겠습니다. 1. 보안 그룹 보안 그룹은 서버(인스턴스) 단위로 Inbound/Outbound 정책을 설정할 수 있습니다. 서..

보안 관제과 효과적인 대응을 위해 현장에서는 다양한 솔루션을 활용하고 있습니다. 그 중에서도 관제의 대표적인 오른팔 SIEM과 차세대 SOAR에 대해 알아보겠습니다. 보안관제의 가장 큰 어려움은 방대한 데이터입니다. 실제로 다양한 장비에서는 수 천만 건의 무한한 로그가 발생하고, 이 모든 로그를 보안담당자가 일일히 확인하고 위협 분석을 하는 것은 불가능한 일입니다. 이 이벤트 중에서도 "위협이벤트"로 분류되는 것들마저도 너무나 많고, 항상 그렇듯 시간은 없고 사람은 부족합니다. 이런 고질적인 보안 관제의 문제를 해결하기 위해 새로운 장비와 솔루션을 통해 효과적으로 데이터를 분석하려는 시도가 계속되고 있습니다. 그 중에서도 SIEM과 SOAR는 공통적으로 여러 이기종간의 보안 장비에서 대량의 데이터를 수집..

AWS는 글로벌 클라우드 서비스를 제공하기 위해 전세계 각국에서 리소스를 호스팅하고 있습니다. 오늘은 AWS가 어떻게 전세계에 서비스를 제공할 수 있는지, 그리고 이를 위해 구축한 인프라가 무엇인지 살펴보도록 하겠습니다. AWS에서 기본적으로 사용하고 있는 인프라 용어들을 통해 서비스 이용의 이해를 높여볼까요? 1. 데이터 센터(AWS IDC Center) 데이터 센터는 말 그대로 실제 AWS 서버들이 모여있는 공간입니다. 철제 구조물인 랙(Rack)에 물리 서버를 쌓아(마운팅) 설계된 곳으로, 민감하고 중요한 정보를 포함한 모든 디지털 데이터가 저장되어 있기 때문에 데이터 센터 설계의 표준 또한 존재합니다. 2. AZ(Availability Zone, 가용 영역) 데이터 센터들이 모여 있는 클러스터들이..

다양한 클라우드 서비스 제공업체(CSP) 중 점유율이 가장 높은 Amazon의 AWS와 MS의 Azure, Google Cloud를 중심으로 비교해보려고 합니다. 우선 제공하는 기능을 중심으로 세 클라우드 서비스의 차이를 함께 알아보겠습니다. 오늘은 그 중에서도 AWS의 Route 53과 유사한 기능을 제공하는 타 클라우드 서비스의 Azure DNS와 Google Cloud DNS에 대해 알아보겠습니다. +) 클라우드 DNS 서비스에 대한 설명과 AWS Route 53 실습은 아래 글에서 확인할 수 있습니다! [AWS Route53] 도메인 이름으로 웹 서비스 배포하기 1. 클라우드 DNS 서비스와 Route 53 외부에서는 클라우드 서비스 안의 호스트 이름을 해석하지 못하는데, DNS 서비스 설정을 통..

1. 클라우드 DNS 서비스와 Route 53 외부에서는 클라우드 서비스 안의 호스트 이름을 해석하지 못하는데, DNS 서비스 설정을 통해 호스트 이름을 해석하도록 할 수 있습니다. 쉽게 말해, IP 주소가 아니라 도메인 이름으로 배포한 웹 서비스에 접속하도록 도와주는 서비스입니다. AWS 클라우드 서비스를 이용하는 사용자는 Route 53을 통해 도메인 이름으로 접속할 수 있고, 이 도메인 네임을 새로 Route 53 내에서 구매하거나, 이전하거나, 기존의 도메인을 연결해 어플리케이션을 배포할 수 있습니다. Route 53은 위 아키텍쳐에서 VPC 앞 단에 위치하여 배포한 웹 서비스 접속을 위해 사용자가 타고 들어오며, 필요에 따라 다양한 라우팅 옵션을 선택해 사용할 수 있습니다. 그럼 지금부터 함께 ..

공공기관에서는 AWS나 GCP와 같은 글로벌 사의 클라우드를 사용하지 않고, 국내 몇 개의 클라우드 서비스만 사용하는 것을 알 수 있습니다. 도대체 왜 그럴까요? 바로 KISA에서 주관하는 클라우드컴퓨팅서비스 보안인증제도(CSAP, Cloud Security Assurance Program) 때문입니다. 1. CSAP 란? 「 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 」에 따르면 공공기관이 안전하게 민간 클라우드를 이용할 수 있도록 클라우드 보안인증제도를 마련하고 시행해야 한다는 내용이 있습니다. 따라서 국가정보원과 과학기술정보통신부, KISA는 국가 및 공공기관에 안전성과 신뢰성이 검증된 클라우드서비스 공급을 위해 인증 체계를 마련하고 인증을 실시해 보안 우려를 해소해야 합니다. 궁극적으로는 인..