본문 바로가기

반응형

전체 글

(63)
대퇴사 시대 퇴사자 관리는 어떻게 해야 하는 가-M365 백업/복구 우리는 Saas 서비스를 사용하게 될 경우 사실 모든 것이 서비스로 제공된다고 착각했으며 백업 역시 기능에 포함되어 있다고 생각했습니다. 하지만 여기 MS의 약관을 살펴보면 백업에 대한 기능은 없기에 3자 솔루션으로 백업하라는 문구를 떡 하니 찾아볼 수가 있는데요. 사실 M365의 경우 E3, E5 이상의 tier를 사용 할 경우 E-discovery 기능과 아카이브 사서함 등을 통해 백업의 기능을 하긴 하지만 유저 친화적이지 않는 사용법과 비싼 라이선스를 구매해야 한다는 아쉬움이 있습니다. MS의 M365 뿐 아니라 다른 Saas 솔루션 역시 마찬가지로 고객의 데이터에 대해서는 책임을 지지 않습니다. 이 그림을 보게 되면 모든 형태의 서비스들에 대해 데이터는 결국 고객, 사용자가 책임져야 한다는 것을 ..
백업 데이터를 믿지 마라! 백업 데이터에 대한 제로 트러스트 2017년 SMB의 취약성을 이용한 Wannacry 랜섬웨어로 인해 전 세계가 난리가 난 적 있습니다. 그 후 우리는 랜섬웨어를 대응하기 위해 백업이라는 전략을 택했습니다. 즉 백업 데이터를 가지고 있기 때문에 랜섬웨어에 걸려도 괜찮다? 또는 백업 데이터로 복구하면 된다 라는 전략을 가지고 갔지만 이는 백업 데이터가 온전히 잘 관리되고 있을 때만 가능했었습니다. 사실 우리는 열심히 꾸준히 백업을 정해진 스케줄에 맞게 수행하지만 복구해 본 경험? 은 사실 거의 없거나 또는 한번 도 없을지도 모릅니다. 일단 백업 데이터만 가지고 있으면 랜섬웨어를 대응할 수 있다고 알고는 있었지 실제로 랜섬웨어에 걸려서 가지고 있던 백업 데이터를 사용해 복구해 보거나 모의 훈련을 통해 복구에 필요한 경험과 프로세스를 가지고 ..
포워드 프록시 VS 리버스 프록시 이번 포스팅에서는 프록시와 리버스 프록시에 대해 알아보겠습니다. 기술면접에서 프록시와 리버스 프록시에 차이에 대해 물어보기도 합니다. 프록시의 사전적 의미는 아래와 같습니다. 프록시 - 서버와 클라이언트 사이에 중계기로써 대리로 통신을 수행하는 것 클라이언트와 서버의 통신은 클라이언트의 요청과 서버의 응답으로 이뤄집니다. 클라이언트 -> 서버 -> 클라이언트 순으로 통신이 진행되는데 프록시가 그 사이에 끼게 됩니다. 대리인 역할을 하는 프록시가 클라이언트를 대신하면 포워드 프록시가 되고 서버를 대신하면 리버스 프록시가 됩니다. 포워드 프록시 포워드 프록시의 기능에 대해 알아보기 전에 위 그림을 보면서 포워드 프록시가 무슨 일을 할지 한번 생각해 보겠습니다. 포워드 프록시란 클라이언트의 대리인입니다. 즉 ..
VM VS 컨테이너 IT 직군에서 면접 볼 때 기술 질문으로 자주 나오는 질문인 VM과 컨테이너에 차이를 한번 알아보겠습니다. 가장 기본적인 형태의 대답이라고 한다면 VM은 Hypervisor 위에 하드웨어를 가상화한 후 OS들이 독립적으로 생성된다. 컨테이너는 커널부분은 호스트 OS와 공유하면서 프로세스를 격리화 시켜 OS 수준의 가상화를 제공한다. 간단한 답변이지만 이속에는 많은 내용들이 포함되어 있습니다. 하나하나 분석해 보도록 하겠습니다. 우선 가장 핵심적인 차이점을 보겠습니다. VM은 호스트OS와 실제로 독립되어있다 VM은 하드웨어를 가상화시킵니다. 각 VM들은 호스트 OS와 별개의 가상화된 하드웨어 자원을 가지고 있습니다. 그래서 호스트 OS 또는 게스트 OS에서 단독으로 일어나는 장애가 다른 VM 또는 호스트 ..
[번역]GuardDuty 와 Route 53 Resolver DNS firewall을 이용해 자동으로 의심스러운 DNS 쿼리(악성 도메인) 차단하는 방법 이번 포스팅은 https://aws.amazon.com/ko/blogs/security/automatically-block-suspicious-dns-activity-with-amazon-guardduty-and-route-53-resolver-dns-firewall/ 을 번역 및 해석해서 작성한 글입니다. 이번 포스팅에서는 AWS GuardDuty에서 탐지된 의심스러운 DNS 쿼리를 Route 53 Resolver DNS Firewall 에서 자동으로 차단하는 방법에 대해 알아보고자 합니다. 우선 의심스러운 DNS 쿼리란 무언인지 알아보고자 합니다. 예를 들어 AWS 콘솔에 접속하고자 https://aws.amazon.com/ 를 브라우저 주소창에 입력하게 됩니다. 이제 aws.amazon.com의 I..
[번역] 기존의 on-premise Active Directory를 클라우드와 연동해 클라우드 계정 로그인 연동, 각종 웹 어플리케이션 SSO를 하는 방법 이번 포스팅에서는 온프레미스에 존재하는 AD를 이용해 AWS 계정 로그인 연동, 윈도우 EC2 인스턴스를 AD 도메인에 조인시키는 방법, 각종 web application을 AD 계정을 이용한 SSO 연동에 대한 방법에 대해 소개하고자 합니다. https://aws.amazon.com/ko/blogs/security/build-a-strong-identity-foundation-that-uses-your-existing-on-premises-active-directory/ 해당 글을 번역 및 해석하고자 합니다. 앞서 단순히 번역하기보다는 주요한 부분만 요약 및 해석하고자 합니다. 우선 AD란 무엇인가에 대해 간단히 언급하고자 합니다. 기업에서 AD를 쓰는 이유는 몇 가지 있습니다. 인사관리 그룹 정책을 ..
[번역] IAM 정책 타입들(SCP, IAM, Permission boundary): 언제 어떻게 써야하는 가 AWS에서의 유저의 행위, 그리고 대상이 되는 자원의 행위는 모두 IAM 정책의 영향을 받게 되어 있습니다. 유저가 새로운 EC2나 S3 버킷을 만들거나 기존의 자원들의 삭제 그리고 S3 버킷에 파일이 업로드될 때 이 행동들은 사전에 정의된 IAM 정책에 의해 허용 여부가 결정된다는 의미입니다. 이 포스팅에서는 여러 IAM 유형들에 대해 알아보고자 합니다. IAM 정책의 유형에는 Service control policy(SCP), 권한 경계(Permissions boundaries), 자격 증명 기반 정책(Identity-based policy), 자원 기반 정책(Resource-based policy)이 있으며 이들에 대해 언제 어떤 유형의 정책을 사용하고 누가 정책을 소유하고 관리해야 하는지에 대해 ..
쿠버네티스 마스터노드 내부에 뭐가 있는지 보자 쿠버네티스는 마스터 노드와 워커 노드로 구성되어 있으며 마스터 노드 내부에는 etcd, api-server, controller-manager, scheduler 가 있으며 워커 노드에는 kubelet, kube-proxy가 있다고 알려져 있습니다. 이 포스팅에서 이들 컴포넌트들이 pods, replicaset, daemonset, deployment, service 등의 형태로 어떻게 구성되어 있는지 한번 살펴 보고자 합니다. 쿠버네티스 구조를 인터넷에 검색해 보면 아래와 같이 kube-proxy와 kubelet 은 워커 노드에 존재하는 것을 알 수 있습니다. 보통 pods, replicaset, deployment 등의 자원들은 워커 노드에 생성된다라고 여겨지는데 실제로 마스터 노드에서도 생성 가능합..

반응형