chnh.dev

들어가며2019년 미국의 대형 금융지주회사 캐피탈 원이 해킹을 당해 1억명이 넘는 고객의 정보가 유출된 사례가 있습니다. 캐피탈원은 AWS를 사용중이었고, 공격자는 서버측 요청 위조 공격(SSRF) 취약점)을 이용해 AWS EC2의 인스턴스 메타 데이터 서비스(IMDS)에 액세스하여 AWS Access Key에 접근할 수 있었습니다. 애플리케이션 보안을 위한 WAF가 설정되어 있었으나 공격을 차단할 수 있는 적절한 설정이 되어있지 않았고, 자격 증명을 사용해 고객 정보가 저장된 S3 버킷에 액세스 할 수 있었습니다. (참고: Case Study: AWS and Capital One, https://sarangcho.co.kr/142 ) IMDS가 무엇이길래 액세스 정보까지 알아낼 수 있었던걸까요?  인스..

☁️ AWS 2023. 9. 7. 17:09

들어가며S3(Simple Storage Service)는 AWS의 무제한 객체 기반 스토리지 서비스입니다. 데이터 레이크, 웹 사이트, 모바일 애플리케이션, 백업 및 복원, 빅 데이터 분석 등 다양한 용도로 사용이 가능한 AWS의 대표 서비스 중 하나인데요, 널리 사용되는 만큼 S3 데이터 유출 사고 역시 빈번하게 발생합니다.S3는 다양한 방법의 접근 제어 및 관리 기능을 제공하고 있어 세분화된 제어가 가능합니다. 다소 복잡할 수 있기 때문에 상황에 적절한 방법을 택해 사용할 수 있어야합니다.1주차에서는 S3 접근을 통제하는 방법을 알아보고 통제 방법에 따라 다양한 조건에서 실습을 진행했습니다.  실습 준비AWS 자격 증명이 구성되어 있는 로컬PC와 AWS 자격 증명이 구성되지 않은 EC2가 필요합니다...

☁️ AWS 2023. 9. 2. 18:31

들어가며 기존에는 ec2 인스턴스에 연결하려면 키페어가 필요했다. 아마 대부분 다음 명령어로 인스턴스에 접속했을 것이다. ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name 키페어를 관리하는 게 번거롭고 신경쓰이는 부분들이 많았다. 만약 전임자가 퇴사하면서 키도 함께 삭제하거나 분실되면 ... 링크드인에서 팔로우하고있는 AWS 엔지니어의 게시글을 통해 이제 키페어 없이 instance id만 알고있다면 aws cli로 Linux 인스턴스에 연결할 수 있다는 소식을 알게됐다. 인스턴스 연결 방법과 제한 사항에 대해 간단히 정리해보려한다. 아직 한국 공식 문서에는 올라오지 않았으나 영문 문서에는 게시되어있다. EC2 Insta..

☁️ AWS 2023. 6. 21. 22:30

들어가며 테스트용 EC2나 RDS는 퇴근 후에 사용하지 않는 경우가 대부분이다. 비용 절감을 위해 사용하지 않을 때 리소스를 정리해야하지만 퇴근 전에 인스턴스 중지하고 출근해서 다시 켜고하는 건 너무 귀찮고 비효율적이다. Event Bridge와 System Manager(이하 SSM)의 Automation Document을 사용하면 EC2 뿐만 아니라 RDS도 특정 시간에 시작하고 중지할 수 있다. 다음과 같은 요구사항이 있는 사람에게 이 글이 도움이 될 것이다. 평일 오전9시에는 켜지고 오후9시가 되면 테스트 RDS가 중지되면 좋겠어요. 밤에만 사용하는 EC2가 있어서 매일 밤 10시에 켜지고 오전 6시에 꺼지게 해주세요. 구현 원리를 간단히 그림으로 표현해봤다. AWS에서는 미리 정의된 Runboo..

☁️ AWS 2023. 6. 3. 00:53

들어가며 이 글에서는 이전 포스팅에서 설명했던 EC2 상태 변경 알람을 Slack으로 받아보는 방법에 대해 다룬다. EC2 상태 변경 알람은 이벤트 패턴이 규정되어 있어서 따로 SNS 구독이나 CloudWatch 경보를 생성할 필요가 없다. 나는 개인용으로 사용할 거라 따로 Slack 앱을 생성하지 않고 Incoming Webhook을 사용할 예정이다. 이 과정을 수행하고 나면 EC2 상태가 변경됐을 때 다음과 같은 알람을 받게된다. 작동 방식을 간단히 그림으로 표현하면 다음과 같다. 구성 방법 1. Slack Webhook 생성 Slack App directory에서 Incoming Webhook을 검색한다. Add to channel을 선택하고 알람을 수신받을 채널을 선택한다. 나는 개인적으로 받아볼..

☁️ AWS 2023. 6. 1. 11:14

들어가며 AWS 계정을 해킹당해서 다량의 gpu 인스턴스가 생성되어 채굴에 사용되는 경우가 있다. 애초에 해킹 당하지 않도록 보안에 주의해야겠지만, 만약 예상하지 않은 리소스 시작이 발생한다면 빠르게 알아차리고 대응할 수 있는 것도 중요하다. 조직 단위로 비용알람을 걸어놓은 경우에도 해커가 조직을 탈퇴시킨 뒤에 인스턴스를 띄워서 인지가 늦어지는 경우가 있었다. 따라서 EC2시작 중지가 발생할 경우 즉시 인지하고 대응할 수 있도록 대비해야한다. 이를 위해 EC2 상태가 변경되면 Slack으로 알람을 받도록 Event Brigde + Lambda를 사용해서 구성하여 사용하고있다. 그런데 최근 AWS User Notification이라는 기능이 새로 출시되어 간편하게 EC2 Status 변경 알람을 설정할 수..

☁️ AWS 2023. 5. 25. 19:24

들어가며 보안을 위해 Console을 사용할 수 있는 계정 및 조직을 제한할 수 있는 AWS Management Console 프라이빗 액세스 기능이 발표되었다. VPC 엔드포인트 정책을 통해 제어하는 방식인데, 때문에 특정 서비스에 대해서는 콘솔 접근을 제어할 수 없고 아직 서울 리전에서는 제공하지 않는다. 따라서 현 상황에서 사용할 수 있는 콘솔 제어 방법에 대해 소개하려 한다. IP 기반 AWS Console 사용 제어 IAM 사용자가 특정 IP로 로그인 했을 때만 Conosle 사용 가능 예를 들어 "사무실 IP로만 콘솔 사용이 가능하게 해주세요."와 같은 요청이 있을 때 사용할 수 있다. Console 로그인 자체를 차단할 수는 없지만 로그인 이후 콘솔 사용을 불가능하게 하는 데 의의가 있다. ..

☁️ AWS 2023. 5. 23. 10:08

들어가며 요즘들어 OO비교 서비스를 제공하는 업체들을 자주 접하게 되었다. 타 기관의 인프라 조건을 사전에 모두 파악할 수 없기에 연동 기관이 추가될 때마다 고려해야할 사항이 늘어났다. 이번 케이스는 기존 연동 기관과 신동 연동 기관의 api 호출 방법이 다른 것에서 시작됐다. 기존에 연동중인 협력사들은 NLB의 고정 Private IP를 사용해 NLB에 접근하고 있었다. 새로 연동하는 B 은행은 내부 정책상 도메인을 사용해 NLB로 요청을 보내야했다. 도메인 통신을 위해서는 NLB의 리스너에 SSL/TLS인증서(이하 SSL 인증서)를 적용해야하는데, 이렇게 되면 기존의 IP 통신에 문제가 생긴다. NLB에 SSL 인증서를 적용하면 IP 통신을 할 수 없는 이유 SSL 인증서의 작용 원리를 생각해보면 당..

☁️ AWS 2023. 4. 19. 11:14