* 이 글은 인프런 'AWS 클라우드 서비스 인프라 구축 이해와 해킹, 보안' 강의를 듣고 정리한 글입니다.
🪪 IAM
: aws 리소스에 대한 액세스 관리
- 한 프로젝트에 여러 사람이 참여할 때 주로 사용(관리자 권한이 탈취되면 위험하므로)
❗️한 사용자에게 최소한의 권한만 부여해야한다❗️
핵심 3가지
1. 사용자: 사용자가 IAM에서 생성 및액세스, aws 리소스에 필요한 권한 부여 가능
2. 그룹: 사용자를 그룹에 추가 가능, 개별 사용자 대신 그룹에 권한 부여 가능
3. 정책: 사용자 또는 그룹에 대하 ㄴ권한 정의(JSON문서)
4. 역할: 일반적으로 사용자에게 aws 서비스에 액세스 할 수 있는 임시 권한 부여에 사용 (ex. s3권한이 있는 역할을 ec2에 연결)
- 정책과 역할은 서로 연결되어 있어 중요하다
🐳 Docker와 악성코드
- 도커 컨테이너 플랫폼에 암호화폐 채굴 악성코드 설치된 사례가 발견되고 있음(2022)
- 경로) 외부에서 열려잇는 도커 콘솔을 통해 aws 자격증명이 노출(accessKey, secretKey)
- 몰래 채굴 → 비용이 많이 늘어나 피해자에게 청구됨
- 비트코인 값이 많이 오름에 따라 사례 발생이 늘어남
⚱️ 골드 환경이란
: 보안 설정을 사전에 적용해 배포할 수 있게 만든 환경 또는 이미지
- 이미지를 만들 때 스크립트로 적용하는 방식도 있음
- '주요 정보 통신 기반 시설 취약점' 기준으로 서버 진단 후 적용해도 됨
- CIS 벤치마킹: 쿠버네티스의 권한/보안 관련 체크리스트
- 생성 방법) EC2 중지 후 이미지 생성 -> 인스턴스 생성할 때마다 사용 가능
- 실무에서는 이런식으로 미리 보안이 적용된 이미지를 사용
➕ 추가조사
1. CIS Benchmark
: 인터넷 보안 센터(CIS)의 세계적으로 인정받는 일련의 합의 기반 모범 사례
- 새로운 제품 또는 서비스의 배포 계획을 수립하거나 기존 배포가 안전한지 확인할 때 쓰임
CIS 벤치마크란 무엇인가요? - CIS 벤치마크 설명 - AWS
각 CIS 벤치마크에는 권장 사항에 대한 설명, 권장 사항의 이유 및 시스템 관리자가 권장 사항을 올바르게 구현하기 위해 따를 수 있는 지침이 포함되어 있습니다. 각 벤치마크는 대상 IT 시스템
aws.amazon.com
'Tools > AWS' 카테고리의 다른 글
| [EB/Error] EB에 배포한 Node.js 실행 안 됨 (1) | 2024.07.23 |
|---|---|
| 섹션0. 클라우드 서비스 개념과 보안 이해 (0) | 2024.06.06 |
| ElastiCache Redis 과금 (0) | 2024.02.13 |
