AWS (11) 썸네일형 리스트형 [번역]GuardDuty 와 Route 53 Resolver DNS firewall을 이용해 자동으로 의심스러운 DNS 쿼리(악성 도메인) 차단하는 방법 이번 포스팅은 https://aws.amazon.com/ko/blogs/security/automatically-block-suspicious-dns-activity-with-amazon-guardduty-and-route-53-resolver-dns-firewall/ 을 번역 및 해석해서 작성한 글입니다. 이번 포스팅에서는 AWS GuardDuty에서 탐지된 의심스러운 DNS 쿼리를 Route 53 Resolver DNS Firewall 에서 자동으로 차단하는 방법에 대해 알아보고자 합니다. 우선 의심스러운 DNS 쿼리란 무언인지 알아보고자 합니다. 예를 들어 AWS 콘솔에 접속하고자 https://aws.amazon.com/ 를 브라우저 주소창에 입력하게 됩니다. 이제 aws.amazon.com의 I.. [번역] 기존의 on-premise Active Directory를 클라우드와 연동해 클라우드 계정 로그인 연동, 각종 웹 어플리케이션 SSO를 하는 방법 이번 포스팅에서는 온프레미스에 존재하는 AD를 이용해 AWS 계정 로그인 연동, 윈도우 EC2 인스턴스를 AD 도메인에 조인시키는 방법, 각종 web application을 AD 계정을 이용한 SSO 연동에 대한 방법에 대해 소개하고자 합니다. https://aws.amazon.com/ko/blogs/security/build-a-strong-identity-foundation-that-uses-your-existing-on-premises-active-directory/ 해당 글을 번역 및 해석하고자 합니다. 앞서 단순히 번역하기보다는 주요한 부분만 요약 및 해석하고자 합니다. 우선 AD란 무엇인가에 대해 간단히 언급하고자 합니다. 기업에서 AD를 쓰는 이유는 몇 가지 있습니다. 인사관리 그룹 정책을 .. [번역] IAM 정책 타입들(SCP, IAM, Permission boundary): 언제 어떻게 써야하는 가 AWS에서의 유저의 행위, 그리고 대상이 되는 자원의 행위는 모두 IAM 정책의 영향을 받게 되어 있습니다. 유저가 새로운 EC2나 S3 버킷을 만들거나 기존의 자원들의 삭제 그리고 S3 버킷에 파일이 업로드될 때 이 행동들은 사전에 정의된 IAM 정책에 의해 허용 여부가 결정된다는 의미입니다. 이 포스팅에서는 여러 IAM 유형들에 대해 알아보고자 합니다. IAM 정책의 유형에는 Service control policy(SCP), 권한 경계(Permissions boundaries), 자격 증명 기반 정책(Identity-based policy), 자원 기반 정책(Resource-based policy)이 있으며 이들에 대해 언제 어떤 유형의 정책을 사용하고 누가 정책을 소유하고 관리해야 하는지에 대해 .. AWS security hub 의 status 에 대해 알아보자 삭제된 자원에 대한 finding 자동으로 조치하기 이번 포스팅에서는 security hub의 finding에 대한 워크 플루 상태 4가지와 이미 삭제된 자원에 대해 자동으로 상태를 RESOLVED로 변경하는 방식에 대해 알아보고자 합니다. 우선 AWS 보안의 포괄적인 뷰를 제공하는 Security hub 는 4가지 status 가 존재합니다. NEW - finding이 최초로 생성될 때 NOTIFIED - 리소스 소유자에게 결과에 대한 작업을 수행하도록 통지한 경우 SUPPRESSED - 결과가 조치가 필요하지 않는 경우 RESOLIVED - 결과를 검토하고 조치를 취한 이후 이를 통해 생성되는 findings 을 이해하고 어떤 후속 조치를 취해야 하는지를 분석할 수 있습니다. 하지만 포괄적인 뷰를 제공하는 security hub는 단일 계정, 단일 리.. AWS SCP, OU, Policy 에 대해 알아보자 개인이 AWS 계정을 사용하는 사용하는 경우에는 사실 AWS Organization을 이용해 다른 AWS 계정들을 연동시키거나 개발계, 검증계, 운영계 등과 같은 OU를 따로 생성할 경우는 드물 것입니다. 하지만 엔터프라이즈급 기업의 경우는 다를 것입니다. 여러 가지 이유로 인해 AWS Organization을 통해 다수의 AWS 계정을 활용하며 OU를 생성해 기업의 구조와 흡사한 형태로 관리해야 할 것입니다. 이번 포스팅에서는 SCP, OU에 대해 알아보고 이들이 여태껏 봐왔던 IAM Policy 와는 어떻게 차이가 나는지 알아보고자 합니다. 위 그림의 경우 AWS Organization 에서 OU을 생성한 뒤 OU에 맞게 SCP를 적용한 후 AWS 계정을 OU에 포함시킨 후 IAM 사용자들의 Poli.. AWS IAM 정책(policy) 과 역할(role) 의 차이 이번 포스팅에서는 역할에 대해 알아보고자 합니다. 역할은 정책과 차이를 가지는 개념으로서 이 두 개의 차이가 무엇인지에 대해 알아보고자 합니다. 우선 AWS 에서 정의하는 역할의 뜻은 아래와 같습니다. 계정에서 생성할 수 있는 특정 권한을 가진 IAM 자격 증명입니다. IAM 역할은 IAM 사용자와 몇 가지 점에서 유사합니다. 역할과 사용자 모두 AWS에서 자격 증명으로 할 수 있는 것과 할 수 없는 것을 결정하는 권한 정책을 포함하는 AWS 자격 증명입니다. 그러나 역할은 한 사람과만 연관되지 않고 해당 역할이 필요한 사람이라면 누구든지 맡을 수 있어야 합니다. 또한 역할에는 그와 연관된 암호 또는 액세스 키와 같은 표준 장기 자격 증명이 없습니다. 대신에 역할을 맡은 사람에게는 해당 역할 세션을 위한.. AWS IAM Identity base 와 resource base policy 의 차이 AWS IAM 정책에 대해 알아보려 합니다. 우선 5가지 형태의 구조를 가지고 있습니다. Effect Principal Resources Action Condition 간단히 말해 누가(Principal) 대상(Resource)에 작업(Action)을 조건(Condition)에 따라 허용(Effect)할지 말지를 정해 놓은 정책입니다. 그런데 이 정책이 적용할 대상은 Identity 가 될 수도 resource 가 될 수도 있습니다. Identity 기반 정책 누가(Principal) 대상(Resource)에 작업(Action)을 조건(Condition)에 따라 허용여부(Effect)를 결정하는 것 간단히 행위자(사람) 에게 부여하는 정책입니다. 위 정책은 "bizhub.hy 라는 S3 버킷에 읽기 권한.. AWS Security Hub 와 Open Search Service 의 SIEM 연동 AWS 보안 설루션들(GuardDuty, Inspector, Macie 등)의 로그를 통합적으로 관리할 수 있는 툴 AWS Security Hub와 Open Search Serivce 와의 SIEM 연동에 대해 소개하고자 합니다. Security Hub의 한계 1. CloudTrail logs와 같은 대용량 이벤트 로그를 직접 수집하지 않는다. 2. on-premises 또는 AWS 서비스가 아닌 로그를 수집할 수 없다. 3. Security Hub에서는 90일 이상 로그를 저장할 수 없다. 4. SIEM과 유사한 기능을 가지고 있지만 SIEM에 비해 부족하다. Security Hub를 단독으로 사용할 때의 단점은 위와 같다고 합니다. 그런데 1번의 경우 잘 이해되지 않는 부분은 1. CloudTrail.. 이전 1 2 다음
