| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 로그분석
- 공개키
- 파일시그니처
- 인스턴스
- Burp Suite
- 클라우드
- ISMS-P
- 로드밸런서
- AWS SAA
- RDS
- EC2
- AWS SSA
- ncp
- 클라우드보안
- 와이어샤크
- Iam
- 취약점
- 클라우드서비스
- 정보보호
- metasploit
- mysql
- 보안컨설팅
- 클라우드 자격증
- isms
- azure
- 네이버클라우드
- 클라우드자격증
- 개인정보보호법
- 정보보안
- AWS
- Today
- Total
처음 만나는 클라우드 보안
[AWS SAA] IAM & 보안서비스 개념 및 문제풀이 본문
IAM
: Identity and Access 보안을 위한 계정과 접근 관리
- IAM권한 부여 방법
- 사용자 생성해서 Group에 넣는다.
- 그룹 단위로 권한 정책을 부여한다.
Federated User ★
: 외부 또는 일시적인 공동작업자, 임시 사용자에게 부여하는 임시 자격 정보(STS)
: STS를 부여받은 사용자는 아마존(쇼핑몰)계정, 구글, 페이스 북 등의 계정을 통해 AWS로그인 가능
: SAML또는 비 SAML도 지원함
인증 VS 식별
인증(Authentication) = 식별(Identification) + 검증(Verification)
식별: ID, 사번, PIN번호 등
검증: 비밀번호 등
권한부여(Authorization, 인가)
: 읽기, 쓰기, 수정, 복사, 삭제, 출력 등의 권한을 부여하는 것ex) 리눅스 - chmod 400 파일명
권한부여테이블: Matrix를 활용해서 권한을 표시
최소한의 권한 부여(Least Privilege)부여해야 함
업무상 꼭 필요한 만큼만 Need to know
IAM의 접근 승인 여부 결정방식
CloudTrail: 감사시 사용 증거를위해 '누구'가 남겼는지에 중점으로 로그 남김
TSC: Temporary Security Credential, 임시 보안 자격 정보 단기간만 사용할 목적으로 수시간 이내로 유효한 권한
IAM (Best Practice)
루트 계정은 실무에서 사용하X. 대신 AMFullAccess권한을 가진 계정을 생성해서 일반사용자에 대한 권한부여
접근 (Access)
Subject (주체): 접근을 하는 쪽 ex) User, Program, Process 등
Object (객체): 접근을 받는 쪽 ex) Data, File, Directory, Database 등
Subject가 Objecr에 접근한다 ===> 접근 권한(정책)이 필요 ex) EC2가 S3에 데이터를 저장할 경우, 접근 권한을 모아 Role생성, EC2에 부여해야 함
참고) Role(역할): 접근권한의 모음
AWS Config
: 모니터링, 변경관리를 위한 AWS의 서비스
Compliancce(규제)
- 법률과 각종 지켜야할 것들을 통칭하는 말 ex) 개인정보보호법, 정보통신망법 등
AWS 보안관련 서비스 (Security as a Service; SecaaS)
- AWS Secret Manager
: 기업의 비밀을 보관하는 서비스, 기업 기밀을 중앙서버에 암호화 키를 이용해서 암호화 보관 및 전달
- GuardDuty
인공지능, 머신러닝을 활용하여 AWS사용자 계정에 대한 위협을 탐지하는 서비스
- Inspector
잠재적인 보안 및 환경설정 문제를 위주로 취약점을 분석해주는 서비스
- Macie (가시덤블-이탈리아어)
정보자산의 가치에 따라 차등화 된 보안을 제공하는 서비스
- Certificate Manager
인증서 관리 서비스, 인증서를 제공하는 프로토콜 SSL/TLS
- Web Application Firewall (WAF) ★★★
SQL인젝션, 스크립팅 공격 등을 차단
- 일반규칠: 내용, 컨텐츠
- 비율규칙: 개수로 파악
- AWS Shield
DDoS공격 차단도구, Standard-무료로 기본 제공 / Advanced-유료 ELB/Cloudfront/Route53에 대한 DDoS공격방어, 분석 결과 확인가능
- CloudHSM : HSM(HW Security Module) 공인인증서 등을 안전하게 보관하는 장치를 Cloud에서 제공
- KMS(Key Management Service)★★
: 암호화Key관리 서비스
보안서비스관련 문제 키워드 정리
[방어관련]
네트워크 정찰, 계정에 대한 공격 시도(DDoS뿐 아니라) 등 외부로부터의 위협을 방지해주는 서비스 = Guard Duty
DDoS공격을 막는 서비스: AWS Shield
웹방화벽, SQL인젝션과 스크립트 공격 차단: WAF
[정보보호]
데이터베이스(DB)의 패스워드 관리방법, 설계도 등 기업의 비밀을 관리하는 서비스 = Secret Manager
암호화 키(.ppk .pem)를 중앙에서 관리해주는 서비스: KMS(Key Management Service)
정보가 외부로 유출되는 것을 방지해주는 서비스 = Macie(가시덤불)
SSL/TLS인증서를 관리해주는 서비스: 인증서 관리자 (Certificate Manager)
기존 보안 업체의 기술이 모두 클라우드로 모이고 있다.
보안 서비스와 TCP/IP계층
- 웹방화벽 = 7계층
- NACL = 3,4계층
'클라우드 기초 > 클라우드 자격증' 카테고리의 다른 글
| [AWS SSA] 키워드 정리 - SQS, Kinesis, Cognito, EMR, Config, Trail 등 (0) | 2022.07.06 |
|---|---|
| [AWS SSA] SQS SNS 그리고 EMR 개념정리 (0) | 2022.07.05 |
| [AWS SSA] 오토스케일링 & 로드밸런서 개념정리 (0) | 2022.07.04 |
| [AWS SSA] 스토리지 VPC네트워크 EC2 주요내용 정리 (0) | 2022.07.01 |
| [AWS SAA] AWS 솔루션 아키텍트 자격증(Solution Architect Associate) (0) | 2022.07.01 |
