chnh.dev

들어가며2019년 미국의 대형 금융지주회사 캐피탈 원이 해킹을 당해 1억명이 넘는 고객의 정보가 유출된 사례가 있습니다. 캐피탈원은 AWS를 사용중이었고, 공격자는 서버측 요청 위조 공격(SSRF) 취약점)을 이용해 AWS EC2의 인스턴스 메타 데이터 서비스(IMDS)에 액세스하여 AWS Access Key에 접근할 수 있었습니다. 애플리케이션 보안을 위한 WAF가 설정되어 있었으나 공격을 차단할 수 있는 적절한 설정이 되어있지 않았고, 자격 증명을 사용해 고객 정보가 저장된 S3 버킷에 액세스 할 수 있었습니다. (참고: Case Study: AWS and Capital One, https://sarangcho.co.kr/142 ) IMDS가 무엇이길래 액세스 정보까지 알아낼 수 있었던걸까요?  인스..

☁️ AWS 2023. 9. 7. 17:09

들어가며S3(Simple Storage Service)는 AWS의 무제한 객체 기반 스토리지 서비스입니다. 데이터 레이크, 웹 사이트, 모바일 애플리케이션, 백업 및 복원, 빅 데이터 분석 등 다양한 용도로 사용이 가능한 AWS의 대표 서비스 중 하나인데요, 널리 사용되는 만큼 S3 데이터 유출 사고 역시 빈번하게 발생합니다.S3는 다양한 방법의 접근 제어 및 관리 기능을 제공하고 있어 세분화된 제어가 가능합니다. 다소 복잡할 수 있기 때문에 상황에 적절한 방법을 택해 사용할 수 있어야합니다.1주차에서는 S3 접근을 통제하는 방법을 알아보고 통제 방법에 따라 다양한 조건에서 실습을 진행했습니다.  실습 준비AWS 자격 증명이 구성되어 있는 로컬PC와 AWS 자격 증명이 구성되지 않은 EC2가 필요합니다...

☁️ AWS 2023. 9. 2. 18:31

들어가며 기존에는 ec2 인스턴스에 연결하려면 키페어가 필요했다. 아마 대부분 다음 명령어로 인스턴스에 접속했을 것이다. ssh -i /path/key-pair-name.pem instance-user-name@instance-public-dns-name 키페어를 관리하는 게 번거롭고 신경쓰이는 부분들이 많았다. 만약 전임자가 퇴사하면서 키도 함께 삭제하거나 분실되면 ... 링크드인에서 팔로우하고있는 AWS 엔지니어의 게시글을 통해 이제 키페어 없이 instance id만 알고있다면 aws cli로 Linux 인스턴스에 연결할 수 있다는 소식을 알게됐다. 인스턴스 연결 방법과 제한 사항에 대해 간단히 정리해보려한다. 아직 한국 공식 문서에는 올라오지 않았으나 영문 문서에는 게시되어있다. EC2 Insta..

☁️ AWS 2023. 6. 21. 22:30

들어가며 AWS 계정을 해킹당해서 다량의 gpu 인스턴스가 생성되어 채굴에 사용되는 경우가 있다. 애초에 해킹 당하지 않도록 보안에 주의해야겠지만, 만약 예상하지 않은 리소스 시작이 발생한다면 빠르게 알아차리고 대응할 수 있는 것도 중요하다. 조직 단위로 비용알람을 걸어놓은 경우에도 해커가 조직을 탈퇴시킨 뒤에 인스턴스를 띄워서 인지가 늦어지는 경우가 있었다. 따라서 EC2시작 중지가 발생할 경우 즉시 인지하고 대응할 수 있도록 대비해야한다. 이를 위해 EC2 상태가 변경되면 Slack으로 알람을 받도록 Event Brigde + Lambda를 사용해서 구성하여 사용하고있다. 그런데 최근 AWS User Notification이라는 기능이 새로 출시되어 간편하게 EC2 Status 변경 알람을 설정할 수..

☁️ AWS 2023. 5. 25. 19:24

들어가며 보안을 위해 Console을 사용할 수 있는 계정 및 조직을 제한할 수 있는 AWS Management Console 프라이빗 액세스 기능이 발표되었다. VPC 엔드포인트 정책을 통해 제어하는 방식인데, 때문에 특정 서비스에 대해서는 콘솔 접근을 제어할 수 없고 아직 서울 리전에서는 제공하지 않는다. 따라서 현 상황에서 사용할 수 있는 콘솔 제어 방법에 대해 소개하려 한다. IP 기반 AWS Console 사용 제어 IAM 사용자가 특정 IP로 로그인 했을 때만 Conosle 사용 가능 예를 들어 "사무실 IP로만 콘솔 사용이 가능하게 해주세요."와 같은 요청이 있을 때 사용할 수 있다. Console 로그인 자체를 차단할 수는 없지만 로그인 이후 콘솔 사용을 불가능하게 하는 데 의의가 있다. ..

☁️ AWS 2023. 5. 23. 10:08

들어가며 기존에 생성되어있던 리소스들을 terraform으로 관리하려면 설정(Configuration)과 상태(State)를 다 가져와야한다. terraform코드를 생성할 때 vpc.tf, ec2.tf 처럼 각 리소스에 대한 설정 파일을 작성한다. 그리고 이 설정 파일들을 plan하고 apply하면 코드가 생성되고 terraform.tfstate 파일에 기록된다. terraform import를 사용하면 리소스의 상태 파일은 업데이트 되지만 설정 파일을 만들어주지는 않는다. 때문에 설정파일이 없는 상태에서 import를 진행하면 terraform.tfstate파일만 생기게 되고, plan을 했을 때 리소스가 지워지게 된다. 이미 생성된 많은 리소스들의 구성파일을 일일히 작성하는 데는 한계가 있어 콘솔이..

📃 Terraform 2023. 5. 12. 16:14

들어가며 요즘들어 OO비교 서비스를 제공하는 업체들을 자주 접하게 되었다. 타 기관의 인프라 조건을 사전에 모두 파악할 수 없기에 연동 기관이 추가될 때마다 고려해야할 사항이 늘어났다. 이번 케이스는 기존 연동 기관과 신동 연동 기관의 api 호출 방법이 다른 것에서 시작됐다. 기존에 연동중인 협력사들은 NLB의 고정 Private IP를 사용해 NLB에 접근하고 있었다. 새로 연동하는 B 은행은 내부 정책상 도메인을 사용해 NLB로 요청을 보내야했다. 도메인 통신을 위해서는 NLB의 리스너에 SSL/TLS인증서(이하 SSL 인증서)를 적용해야하는데, 이렇게 되면 기존의 IP 통신에 문제가 생긴다. NLB에 SSL 인증서를 적용하면 IP 통신을 할 수 없는 이유 SSL 인증서의 작용 원리를 생각해보면 당..

☁️ AWS 2023. 4. 19. 11:14

들어가며 대외기관과 시스템 연계가 필요한 상황이 잦다. 신용 정보와 같은 민감한 데이터가 오가는 경우 보안이 매우 중요한데, 이 때 연동할 기관이 AWS상에서 서비스를 운영중이라면 PrivateLink를 이용하여 보다 간결하게 시스템 연계가 가능하다. VPC Peering이 아닌 PrivateLink를 쓰는 이유 VPC와 VPC를 연결하는 방법은 PrivateLink외에도 VPC Peering이나 Transit Gateway 등이 있지만, VPC Peering을 사용하는 경우 보안상 VPC 정보를 노출할 수 밖에 없다는 문제가 있다. Transit Gateway는 multi vpc를 효율적으로 관리할 수 있다는 장점이 있지만 비용이 만만치않다. VPC Peering을 맺을 경우 서브넷 단위로 연결되기 때..

☁️ AWS 2023. 2. 23. 17:03