chnh.dev

들어가며2019년 미국의 대형 금융지주회사 캐피탈 원이 해킹을 당해 1억명이 넘는 고객의 정보가 유출된 사례가 있습니다. 캐피탈원은 AWS를 사용중이었고, 공격자는 서버측 요청 위조 공격(SSRF) 취약점)을 이용해 AWS EC2의 인스턴스 메타 데이터 서비스(IMDS)에 액세스하여 AWS Access Key에 접근할 수 있었습니다. 애플리케이션 보안을 위한 WAF가 설정되어 있었으나 공격을 차단할 수 있는 적절한 설정이 되어있지 않았고, 자격 증명을 사용해 고객 정보가 저장된 S3 버킷에 액세스 할 수 있었습니다. (참고: Case Study: AWS and Capital One, https://sarangcho.co.kr/142 ) IMDS가 무엇이길래 액세스 정보까지 알아낼 수 있었던걸까요?  인스..

☁️ AWS 2023. 9. 7. 17:09

들어가며S3(Simple Storage Service)는 AWS의 무제한 객체 기반 스토리지 서비스입니다. 데이터 레이크, 웹 사이트, 모바일 애플리케이션, 백업 및 복원, 빅 데이터 분석 등 다양한 용도로 사용이 가능한 AWS의 대표 서비스 중 하나인데요, 널리 사용되는 만큼 S3 데이터 유출 사고 역시 빈번하게 발생합니다.S3는 다양한 방법의 접근 제어 및 관리 기능을 제공하고 있어 세분화된 제어가 가능합니다. 다소 복잡할 수 있기 때문에 상황에 적절한 방법을 택해 사용할 수 있어야합니다.1주차에서는 S3 접근을 통제하는 방법을 알아보고 통제 방법에 따라 다양한 조건에서 실습을 진행했습니다.  실습 준비AWS 자격 증명이 구성되어 있는 로컬PC와 AWS 자격 증명이 구성되지 않은 EC2가 필요합니다...

☁️ AWS 2023. 9. 2. 18:31

들어가며 이미 잘 사용하고 있는 분들이 많겠지만, 개인적으로 한번쯤 정리해보고 싶었던 부분이라 글을 작성하게 되었다. 리소스를 생성하든, 함수를 생성하든 나에게 이름을 짓는 순간은 가장 심혈을 기울이게 되는 순간 중 하나이다. 미래의 나를 위한 가독성, 협업을 위해서, 유지 보수, 오류 감소, 문서로서의 역할 등등... 네이밍 컨벤션이 중요한 이유는 넘친다. IaC 도입의 긍정적인 효과—공동작업과 재사용성, 기술의 자산화 등—을 온전히 누리기 위해서는 네이밍 컨벤션에 대한 협의가 반드시 이루어져야한다고 생각한다. 어떻게 하면 '좋은' 인프라를 위한 네이밍을 할 수 있을지 Best Practice를 기반으로 정리하였다. 주관적인 견해와 수집한 정보들을 바탕으로 작성한 것이므로 다음 내용이 정답이 아님을 미..

📃 Terraform 2023. 7. 13. 14:20

들어가며 이 글은 Golden Image Pipeline 구성 - 1. Packer와 Ansible로 이미지 만들기의 후속이다. 이번에는 golden ami를 정의한 packer 템플릿이나 ansible playbook에 변경 후 branch에 push될 경우 ami를 생성하도록 구성하는 방법을 설명한다. 더보기 AMI ID를 콘솔에 접속하지 않고 바로 출력할 수 있도록 packer 템플릿에 manifest file을 생성하는 post-processor를 추가하고, 최신 linux ami를 가져오는 data 블럭을 새로 만들었다. # base-linux-ami.pkr.hcl locals { timestamp = regex_replace(timestamp(), "[- TZ:]", "") } data "..

🔄 CICD 2023. 6. 26. 16:13

들어가며 이 글에서는 Immutable Infrastructure가 무엇인지 이해하고, 이를 구현하기 위한 첫 단계로 Packer와 Ansible을 사용하여 골든 이미지를 만든다. 이후 Github Actions을 사용해 변경사항이 Ansible Playbook에 푸시될 때마다 자동으로 Packer를 실행하는 Golden Image 파이프라인을 구성한 다음, Terraform을 사용하여 변경된 이미지로 인프라를 교체하도록 설정하여 자동화된 Immutable Infra를 구현하는 것을 목표로 한다. 완성하면 요런느낌 ✨ 시리즈는 다음과 같이 계획되어있다. 1. Packer와 Ansible로 이미지 만들기 2. GitHub Actions로 이미지 생성 자동화 3. Terraform을 사용하여 AWS에 변경된..

🔄 CICD 2023. 6. 26. 14:07

들어가며 골든 이미지 파이프라인을 구성하면서 Github repo에 특정 이벤트가 발생했을 때 작업을 트리거하는 설정이 필요했다. 이 과정에서 Github Actions을 사용하게 되었고, 작업을 실행하는 workflow를 구성해야 했다. workflow는 리포지토리에 체크인된 YAML 파일에 의해 정의되기 때문에 파일 작성을 위한 syntax 공부가 필요했다. 이 글에은 해당 workflow 구성 파일 작성을 위해 공식 문서를 보면서 정리한 내용이다. Workflow syntax for GitHub Actions 설명에 사용하는 전체 예제 코드는 다음과 같다. # https://docs.github.com/en/actions/using-workflows/about-workflows name: learn..

🔄 CICD 2023. 6. 22. 17:36

들어가며 기존에는 ec2 인스턴스에 연결하려면 키페어가 필요했다. 아마 대부분 다음 명령어로 인스턴스에 접속했을 것이다. ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name 키페어를 관리하는 게 번거롭고 신경쓰이는 부분들이 많았다. 만약 전임자가 퇴사하면서 키도 함께 삭제하거나 분실되면 ... 링크드인에서 팔로우하고있는 AWS 엔지니어의 게시글을 통해 이제 키페어 없이 instance id만 알고있다면 aws cli로 Linux 인스턴스에 연결할 수 있다는 소식을 알게됐다. 인스턴스 연결 방법과 제한 사항에 대해 간단히 정리해보려한다. 아직 한국 공식 문서에는 올라오지 않았으나 영문 문서에는 게시되어있다. EC2 Insta..

☁️ AWS 2023. 6. 21. 22:30

들어가며 테스트용 EC2나 RDS는 퇴근 후에 사용하지 않는 경우가 대부분이다. 비용 절감을 위해 사용하지 않을 때 리소스를 정리해야하지만 퇴근 전에 인스턴스 중지하고 출근해서 다시 켜고하는 건 너무 귀찮고 비효율적이다. Event Bridge와 System Manager(이하 SSM)의 Automation Document을 사용하면 EC2 뿐만 아니라 RDS도 특정 시간에 시작하고 중지할 수 있다. 다음과 같은 요구사항이 있는 사람에게 이 글이 도움이 될 것이다. 평일 오전9시에는 켜지고 오후9시가 되면 테스트 RDS가 중지되면 좋겠어요. 밤에만 사용하는 EC2가 있어서 매일 밤 10시에 켜지고 오전 6시에 꺼지게 해주세요. 구현 원리를 간단히 그림으로 표현해봤다. AWS에서는 미리 정의된 Runboo..

☁️ AWS 2023. 6. 3. 00:53