Amazon VPC 콘솔 마법사 구성 Amazon VPC 콘솔 마법사를 사용해 다음과 같이 기본이 아닌 VPC를 구성할 수 있습니다. 단일 Public Subnet이 있는 VPC Public 및 Private Subnet이 있는 VPC - NAT Public 및 Private Subnet과 AWS Site-to-Site VPN 액세스를 제공하는 VPC Private Subnet과 AWS Site-to-Site VPN 액세스를 제공하는 VPC 단일 Public Subnet이 있는 VPC 이 구성에는 단일 Public Subnet을 가진 VPC와 인터넷을 통해 통신할 수 있게 해주는 Internet Gateway가 포함된다. 간단한 웹 사이트 같은 단일 티어의 Public Web Application을 실행..
Amazon VPC란? Amazon VPC는 Amazon EC2의 네트워크 계층이다. Amazon VPC에서 사용되는 핵심 개념은 아래와 같다. 1. Virtual Private Cloud(VPC) - 사용자의 AWS 계정 전용 가상 네트워크이다. 2. Subnet - VPC에서 사용하는 IP주소의 범위를 나타낸다. 3. Routing Table - 네트워크 트래픽을 전달할 위치를 결정하는데 사용되는 규칙 집합이다. 4. Internet Gateway - VPC의 리소스와 인터넷 간의 통신을 활성화하기 위해 VPC에 연결하는 게이트웨이이다. 5. VPC Endpoint - Internet Gateway, NAT 장치, VPN 연결, AWS Direct Connect의 연결 없이도 PrivateLink로 ..
AWS IAM의 데이터 보호 데이터를 보호하기 위해 AWS 계정의 자격증명을 보호하고, IAM을 사용해 개별 사용자 계정을 생성해 관리하는 것이 좋다. 여기서 개별 사용자 계정에 필요한 권한만 부여하게 된다. 또한 다음과 같은 방법으로 데이터를 보호해야 한다. 각 IAM 계정마다 MFA를 사용한다. SSL/TLS를 사용해 AWS Resource와 통신한다. AWS CloudTrail을 사용해 API 및 사용자 로깅을 수행한다. AWS 암호화 솔루션을 AWS 서비스 내의 모든 기본 보안 컨트롤과 함께 사용한다. Amazon S3에 저장된 개인 데이터를 검색하고 보호하고자 Amazon Macie와 같은 고급 관리형 보안 서비스를 사용한다. AWS CLI, API를 통해 AWS에 접근할 때 FIPS 140-2..
AWS CloudTrail의 보안 모범 사례 CloudTrail 탐지 보안 모범 사례 1. 추적 생성 AWS 계정의 이벤트 기록을 보유하려면 Trail을 생성해야 한다. CloudTrail은 Trail을 생성하지 않고 CloudTrail Console에서 관리 이벤트에 대한 90일의 이벤트 기록정보를 제공하지만, 이 기록은 영구적이지 않을 뿐더러 모든 유형의 이벤트에 대한 정보를 제공하는게 아니다. 따라서 지속적인 레코드 및 모든 이벤트 유형이 포함된 레코드를 얻으려면 Trail을 생성해야 한다. Trail은 지정하는 AWS Amazon S3 Bucket에 Log 파일을 저장한다. CloudTrail 데이터를 관리하는데 용이하도록 모든 AWS 리전에서 관리이벤트를 로깅하는 Trail 하나를 생성한 후 A..
CloudTrail에 대한 Amazon S3 Bucket 정책 기본적으로 Amazon S3 Bucket 및 객체는 Private하다. Resource 소유자만 Bucket과 Bucket에 포함된 객체에 액세스할 수 있다. Resource 소유자는 액세스 정책을 작성해 다른 Resource 및 사용자에게 액세스 권한을 부여할 수 있다. 여기서는 그에대한 정책들을 소개한다. 다음 정책은 CloudTrail이 지원되는 리전의 Amazon S3 Bucket에 Log 파일을 작성하도록 허용한다. { "Version": "2012-10-17", "Statement": [ { "Sid": "AWSCloudTrailAclCheck20150319", "Effect": "Allow", "Principal": {"Servi..
AWS CloudTrail 보안 이 자료는 CloudTrail 사용 시 책임 분담 모델을 적용하는 방법을 이해하는데 도움을 주기 위한 자료이다. 다음 항목에서 보안 및 규정 준수 목표를 충족하기 위해 CloudTrail을 구성하는 방법을 보여준다. 또한 CloudTrail Resource를 모니터링하고 보호하는데 도움이 되는 다른 AWS Service 사용법에 대해서도 소개한다. AWS CloudTrail 데이터 보호 AWS는 데이터 보호를 위해 AWS 계정의 자격 증명을 보호하고, AWS IAM을 사용해 개별 IAM 사용자 계정에 직무에 필요한 권한만을 부여하는 것이 좋다. 또한 다음과 같은 방법으로 데이터를 보호하는 것이 좋다. 각 IAM 사용자에 멀티 팩터 인증(MFA)를 사용한다. SSL/TLS를..