![]()
Data : 2022.12.17일 Agenda AWS Security Security를 해야할 때 어떤것을 기준으로 삼으면 좋을까? 가장 쉬운 접근은 BP를 찾아보고 이용하는것이다. 그리고 조금 더 발전한다면 법적 요건을 먼저 찾아보고 요구사항을 먼저 준수하면서 위험평가와 타사 위험들을 참고하여 보안성을 강화하는것으로 한다. Security만 하는게 아니라 Security도 같이 하고, 서비스를 계획할 때 Security도 참여하는것으로 변화해야한다. 가장 공감이 되는 말이였다. 물론 서비스도 중요하지만, Security도 중요하다. 나중에 Security를 보완하기 위해 구성을 변경하고 서비스를 구성하는 것만큼 비효율적인게 없다고 생각한다.. Shard Responsibility Model 책임 공유 ..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary Trivy 점검 코드의 전체적인 로직은 ECR Image를 다운로드 받고 > 취약점 점검을 하고 > 이미지를 삭제하는것으로 한다. - 물론 사전에 코드를 구동하는 환경에 Trivy 패키지를 설치한다. 실행하면 ECR Repo.txt로 각 Repo의 취약점 점검 결과를 받을 수 있으며 Trivy는 많은 옵션이 있으므로 필요한 부분은 수정하면 된다. #! /usr/bin/python3 #ECR LOGIN aws ecr get-login-password --r..
![]()
AWS Workspace는 스타트업에서 가장 많이? 사용하는 망분리 환경을 위한 서비스이다. 환경을 만드는것은 AD만 있으면 가능하기에 어렵지 않다. 하지만 Local PC와Workspace간에 데이터 교환 방법이 문제이다. S3 브라우저, S3 Mount 등 다양한 방법이 존재하며 각자의 상황에 맞는 방법이 채택하면 된다. 필자는 아래와 같은 로직으로 Local PC -> Workspace로 파일을 반입하고 있다. - 물론 이 방법이 정답은 아니다. 솔루션을 도입하면 더 좋고 효과적인 방법으로 반입할 수 있고 다른 방법도 많다. - 각 회사와 상황에 맞는 방법을 채택하면 되고, 필자가 선택만 방법을 제시함으로써 담당자에게 여러가지 방법을 알려주기 위함이다. Workspace 파일 반입 구성도 우선 Wo..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary NACL_ID를 입력받아서 해당 NACL에 지정된 IP/Port 기반으로 차단 정책을 넣는 코드이다. NACL_ID, def change_nacl에서 CidrBlock, PortRange를 변경하여 사용하면 된다. #! /usr/bin/ python3 from multiprocessing.sharedctypes import Value import boto3 from requests import session import re #Define AWS Acco..
Python을 활용한 업무의 일부를 공유하는 게시물입니다. 아직 공부하는 입장이기에 부족한 부분이 있을 수 있습니다. 지적해주시면 적극 반영하도록 하겠습니다. 퍼가시거나, 업무에서 도움이 되었다면 댓글 하나씩 부탁드립니다 :) 감사합니다. Summary workspace_id를 입력받아서 해당 workspace의 사용자 + 마지막 사용일자를 구하는 코드이다. 그리고 각 정보를 check_workspace_use-yyyy-mm-dd 파일명의 Output으로 생성된다. #!/usr/bin/python3 import boto3 import json from datetime import datetime import sys #Define AWS Account Profile PROFILES = 'service-na..
![]()
서비스, 보안, 데이터 등 어느정도 규모 있는 회사의 경우 AWS 계정을 나눠서 사용한다. 계정을 분리하면 계정간의 데이터를 공유해야 하는 일이 생기는데 이때 S3의 객체 소유권 설정/업로드할 때의 파라미터에 따라 읽기에 제한이 생긴다!! CrossAccount S3 버킷 정책 기본적으로 계정이 다르면 서로의 S3에 업로드가 불가하다. 하지만 S3 버킷에 아래와 같이 다른 계정의 ARN에 대해 설정한다면 CrossAccount의 S3 Object가 가능하며 필요에 따라서 Action, Resource를 제한하는것도 좋은 방법이다. 아래와 같이 설정하게 되면 Deny 정책이 먼저 적용되기 때문에 test-cross-account의 게정은 test 버킷에 test.txt의 이름을 제외하고 모두 업로드가 가능..
![]()
2022년 11월 openssl 재단에서 엄청난 취약점이 발견되었다는 기사가 많이 나왔다. 취약점이 공개되기 이전에는 엄청난 취약점이라고 공포심 조장이 많았는데, 실제 취약점이 공개되고 난 다음에는 영향력도 크지 않고 유효한 취약점이 되기에는 많은 조건이 있기 때문에 사실 그만큼 위험성이 높은것은 아니었다. KISA 인터넷 보호나라&KrCERT KISA 인터넷 보호나라&KrCERT www.boho.or.kr 취약점에 대한 기사를 보자마자 우리 회사 Container image에는 해당 취약점이 없을까? 현황 파악을 할 수 있을까? 하는 생각이 많았다. 근데 결론부터 말하면, 현재 회사에서는 개발/배포 과정에서 image에 대한 취약점 점검이 없었어서 취약점 점검을 위한 설계를 하였다. 취약점 점검을 위한..
![]()
kubernetes 공부를 하다보면 pod, containers라는 단어를 많이 들어볼 수 있다. 먼저 pod란? kubernetes에서 가장 기본적인 배포 단위이다. 쉽게 말해서 1개의 가상이미지라고 보면 된다. 그렇다면 container는 뭘까? pod를 이루는 Application이라고 보면 된다. 일반적으로 1개의 pod에는 1개의 container가 존재하나 필요에 따라서 다수의 containers가 존재할 수 있고 이런 경우 multi containers pod라고 한다. 그럼 init container는 뭘까? init container는 app container가 구동되기 이전에 pod를 초기화해주는 container라고 보면 된다. pod의 환경설정 또는 기타 다른 부수적인 작업을 하기 ..
![]()
앞장에서 DaemonSet에 대해서 알아보았다. 그렇다면 이번에는 StaticPod에 대해서 알아보자! 먼저 StaticPod란 무엇일까? Docs에 기재되어 있느 내용을 인용하면 Kubernetes API 서버없이 Kubelet 데몬에 의해 직접 관리하며, Node에 필수로 설치하는 Pod을 배포하기 위한 방법으로 설명되어 있다. Kubelet 데몬에 의해 직접 관리의 의미는 일반적은 Kubernetes 구조와는 다르다는것을 의미한다. 일반적은 구조는 사용자가 어떤 명령을 하면 이를 API Server에서 모두 취합하여 명령을 내린다. API Server는 사람으로치면 두뇌의 역할을 한다. 그렇기에 API Server에 장애가 발생하면 Pod 배포가 되지 않는다. 근데 StaticPod는 API Ser..
