![]()
AWS Instance의 SecurityGroup 또는 VPC 설정을 잘 한다면, 위협이 줄어들 수 있겠지만 테스트를 해보면서 Instance를 만들어본 입장에서.. 생각보다 많은 공격이 유입되는거 같다. 그럴때마다 직접 대응할수도 없고, 확인한 방법이 무엇이 있을까 생각하던차!! AWS GuardDuty를 알게되었다. AWS GuardDuty란? 공식 홈페이지에서는 AWS 환경 내에서 예의치 않은 잠재적 위협이나 악의적인 활동을 식별하는 서비스로 소개되어 있다. 즉, AWS CloudTrail 로그, VPC 흐름 로그, DNS 쿼리 로그을 기반으로 악의적인 활동을 식별한다. 실제로 서비스를 활성화 한다면 아래와 같은 대시보드를 볼 수 있고, IAM/EC2/S3의 카테고리로 위협 분류되어 있다. 각 카테..
![]()
이전에 만들어둔 웹서버에 이상한 웹 트래픽이 인입되어 관련 내용을 포스팅한 적이 있었다. 그때 당시에 자체 점검했을 때는 특별한 파일 생성이력, 프로세스, Netstat 상태가 이상 없어서 단순한 해프닝으로 끝냈는데 오늘 우연히 GuardDuty 확인하다보니, 내 서버가 모네로 채굴이 악용된 흔적이 확인되었다!! [AWS][Forensic] 내 테스트 서버에 공격이 들어오다! :: 하다 보면 늘어나는 업무 지식 (tistory.com) [AWS][Forensic] 내 테스트 서버에 공격이 들어오다! [Secworkshop] Protecting workloads on AWS :: 평범한 직장인의 평범한 블로그 (tistory.com) [Secworkshop] Protecting workloads on AW..
![]()
AWS에는 보안을 위한 다양한 서비스가 존재한다. AWS Inspector, Config, GarudDuty 등등 이렇게 많은 로그를 한눈에 볼 수 있는 방법은 무엇일까? AWS SecurityHub에서 각종 서비스 및 3rd 로그를 취합하여 한눈에 모니터링 할 수 있다!! AWS SecurityHub 서비스란? AWS 보안 상태를 한눈에 보기 위한 대시보드이다. 기본적으로 GuardDuty, Inspector, Macie, Config 등의 AWS Service뿐 아니라 3rd 로그를 취합하고 이를 시각화해준다. 또한, AWS Config에서 지정한 규정 팩 외 AWS 모범사례, CIS, PCI 기반의 규정을 기반으로 점검을 할 수도 있다. - AWS가 이런점이 아주 좋은거 같다. 회사에서 필요로 하는..
![]()
AWS는 Instance부터 서비스 하나하나까지 다 사용량에 비례한 과금 방식이다. 즉, 내가 사용하는 만큼 과금되는 것이다. 전산센터 자체 구축이 어렵거나 스타트업에게는 아주 좋은 사업모델인것 같다. 최근 Secworkshop을 하거나 이것저것 서비스를 활성화하면서 테스트하는건이 많아서 이번달에는 지난달대비 결제해야되는 금액이 늘어났다 ㅜㅜ 내돈... 필자는 아래 2가지 과정을 통해서 나도 모르게 청구되는 비용을 막고 있다. 1. 미리 월별 예상 비용을 설정하고, 특정 임계치를 넘으면 본인 메일로 알람이 오도록 만도록 설정 2. 예산 초과 알람이 오면 불필요한 Resource 식별 및 삭제 작업을 주기적으로 진행 오늘도 알람이 알람이 안왔으면.. 나도 모르는 돈이 나갈뻔했다!! AWS를 테스트하는 분이..
![]()
필자는 현재 모 회사에 정보보호팀으로 재직중인 직원이다. 정보보호팀으로 매년 당사 자산에 대한 컨설팅을 받고 있는데, 매년 취약점 건수가 줄어들지가 않는다. 인프라 또는 개발팀에서는 컨설팅 받을 때 조치하고, 컨설팅을 끝나면 다시 취약한 상태로 변경해서 운용을 하곤 있는데, 당최 회사에 있는 시스템 및 솔루션으로는 이러한 변경 내역을 모두 파악할 수가 없다.. 아주아주 힘들다. 근데 AWS에서는 AWS CONFIG 서비스를 통해 Resource를 평가하고, 이를 추적관리하기 위한 아주 좋은 서비스가 있어서 소개한다. AWS CONFIG 서비스란? AWS Resource를 특정 정책 (기준) 준수 여부를 파악/평가하고 변경내역 등을 기록 모니터링할 수 있는 일종의 감사 서비스이다. 추가로 아래와 같이 AW..
![]()
오늘 AWS Secworkshop을 실습하다가, VPC를 보니 Security Group에 EC2의 보안 그룹 ID가 들어가있는걸 보았다. Security Group을 해당 서비스에 대한 Firewall으로 인식하고 있었기에 당연히 IP/Port가 들어가 있어야 될거 같았는데 EC2의 보안 그룹 ID가 들어가있어서 내용을 좀 찾아보았다!! 결론부터 말하면, 이는 특정 IP에 대해서 허용해주는 의미가 아니라 해당 Security Group을 통과해온 Resource에 대해서는 허용해주겠다는 의미이다!! 주인장도 처음에는 이해가 잘 되지 않아서 아래와 같이 나름의 가상의 시나리오를 세워보았다. □ 가상 시나리오 A 서비스는 외부에 Open 되어 있는 웹서비스를 제공하고 있고, ELB를 통해 서비스가 이중화 ..
![]()
Zero Trust architecture for service-to-service workloads (workshops.aws) Workshop Studio catalog.us-east-1.prod.workshops.aws 어떤 이유에서인지.. Zero Trsut의 CloudFormtation이 자꾸 Error가 발생하여, 실습은 하지 않고 개념에 대해서만 알아보자!! - ZeroTrsut는 2020년 보안 워크샵을 가면 항상 설명을 들었었는데, 그때는 관심없게 지나가다가 이제 정리해보자! Zero Trust 란? 말 그대로 아무도 믿을 수 없는 관계를 뜻한다. 전통적인 Infra 환경에서는 크게 "외부"은 위험한 영역이고, "내부"은 안전한 영역으로 이분법적인 사고를 갖는다. 하지만, "내부" 이라고..
![]()
[Secworkshop] Protecting workloads on AWS :: 평범한 직장인의 평범한 블로그 (tistory.com) [Secworkshop] Protecting workloads on AWS Scenario - Protecting Workloads on AWS from the Instance to the Edge (awssecworkshops.com) Scenario - Protecting Workloads on AWS from the Instance to the Edge Protecting workloads on AWS from th.. dobby-isfree.tistory.com AWS Secworkshop로 테스트를 하고 있었는데 어떤 미상의 공격자에게 Web Exploit ..
![]()
회사 입사를 하고, 매년 1개 자격증을 취득하자는 목표를 세웠었는데.. 2020년도에는 CPPG를 취득하고, 2021년도에는 결론이다.. 뭐다.. 바쁘다는 핑계로 취득하지 못했다. 사실 좀 게으른것고 있고.. ㅎㅎㅎ 올해에는 AWS에 관심을 가지고 실습을 하고 있다. 그래서 AWS Security Specialty 자격증을 취득하고자 한다!!! 과거에는 AWS Security Specialty 자격증을 취득하기 위해서 특정 자격 요건이 있었는데 2018년부터는 자격 요건이 사라지면서, 응시료만 내면 누구나 시험을 응시할 수 있도록 변했다. 야호 그렇다면 어떤 문제들이 출제 되는가? AWS Certified Security - Specialty (amazon.com) AWS Certified Securit..
