처음 만나는 클라우드 보안

아키텍처의 보안 항목별 취약점을 점검하고 개선사항을 도출해보자. 2022.07.21 - [클라우드 컴퓨팅/Microsoft Azure] - [Azure 프로젝트 2/2] 시스템 구축 & Traffic Manager-지리적 라우팅 설정 [Azure 프로젝트 2/2] 시스템 구축 & Traffic Manager-지리적 라우팅 설정 Azure CosmosDB와 React웹앱을 연동하여 지리적 라우팅이 가능한 최종 시스템을 구축한다. [구축 관련 내용] 2022.07.21 - [클라우드 컴퓨팅/Microsoft Azure] - [Azure 프로젝트 1/2] 주제 구상 & 웹 어플 구축.. cloudinfosec.tistory.com 1. 권한 관리 - 불필요한 리소스 그룹 정책 관리 취약 기준: 리소스 그룹에 ..

Azure CosmosDB와 React웹앱을 연동하여 지리적 라우팅이 가능한 최종 시스템을 구축한다. [구축 관련 내용] 2022.07.21 - [클라우드 컴퓨팅/Microsoft Azure] - [Azure 프로젝트 1/2] 주제 구상 & 웹 어플 구축 시스템 구상도 1. 지역별 웹서비스 구축 Cosmos DB 의 전역 복제 기능을 활용하여 DB의 전역 복사가 이루어졌다. 이번에는 웹 애플리케이션이 구동될 가상 머신 환경을 이미지화하여 그대로 지역별로 복사하여 DB 연동 및 지역 간 데이터 연동을 확인한다. 1) 한국 우분투 서버를 이미지화 2) 지역별 VM생성 : 리전간 이미지 복사를 위해 '갤러리'기능을 활성화하면 기존 VM은 일반화되어 구동이 중지된다. 한국 - 관리자VM, 사용자 VM 생성 미국..

지금까지 배운 Azure서비스를 바탕으로 간단한 프로젝트를 진행한다. ● 서비스: 외국인 관광객을 위한 한국관광 신청 사이트 ● 구상 의도: 한국관광을 신청하고자 하는 세계 각 지역의 트래픽에 대하여 Azure의 Cosmos DB의 전역 복제 기능을 활용한다. 주요 지역에 웹서버와 복제된 DB를 위치시키고 Traffic Manager를 활용하여 고객의 접속을 가장 가까운 지역으로 라우트 할 수 있다. ● 기대 효과: 전역적으로 발생하는 접속에 대하여 '짧은 대기시간'과 '고가용성'을 확보할 수 있다. 서비스 구상도 1. 웹서버 구축 고객들이 직접 접속되는 웹서버를 구축한다. MS공식 튜토리얼에서 제공하는 소스코드를 활용한다. - 가상네트워크 + 가상 머신 생성 참고) ubuntu ssh 암호로 접속 ss..

Azure Cosmos DB 생성 실습 Azure Cosmos DB란? Auzre의 관리형 NoSQL 데이터 베이스. 전 세계 다중 지역 쓰기 및 데이터 배포 기능을 통해 사용자에게 가까운 환경에서 짧은 대기 시간과 고가용성을 제공한다. 아래 Microsoft 튜토리얼을 통해 무료 샌드박스(Sandbox) 실습환경을 제공받을 수 있다. [접속 링크] https://docs.microsoft.com/ko-kr/learn/modules/distribute-data-globally-with-cosmos-db/ 1. DB 생성 메인 > 리소스 만들기 > Azure Cosmos DB 만들기 > 코어(SQL) 선택 - 기본 설정 - 글로벌 배포 - 네트워크 - 백업정책 - 암호화 - 배포 확인 2. 여러 지역으로 ..

Azure 트래픽 관리자 Azure에서 제공하는 DNS기반 트래픽 부하 분산 서비스를 말한다. 이를 통해 사용자는 공용 연결 애플리케이션에 대해 여러 글로벌 지역에 대한 높은 고가용성과 낮은 레이턴시를 갖춘 엔드포인트를 이용할 수 있다. ■ 트래픽 관리자 종류 성능 라우팅: 대기시간이 가장 작은 IP주소로 알려준다. 우선순위 라우팅(실습): 관리자가 지정한 우선순위에 따라서 IP주소를 알려줌 가중 라우팅: 관리자가 부여한 가중치를 고려해서 IP주소를 알려줌 (AWS - Blue, Green 방식) 지리적 라우팅(실습): 지리적 위치 집합과 사용자의 지리적 위치를 고려해서 IP주소를 알려줌 다중 값 라우팅: IP를 여러 개 알려준다. 응답 없으면 여러 개 받은 IP 중에 다른 IP에 접속 서브넷 라우팅: ..

■ VMSS(Virtual Machine Scale Sets)란? Azure에서 부하 분산에 활용되는 가상 머신 그룹을 관리하는 서비스를 말한다. 가상 머신의 수는 사용자가 사전에 정의한 일련의 규칙에 따라 자동으로 축소되거나 확장될 수 있다. (AWS의 Auto Scaling기능과 유사하다.) VMSS (Virtual Machine Scaling Set: 오토 스케일링) : 수요에 맞추어 서버수를 증가 시킬 수 있다는 클라우드의 핵심이 되는 기능 (이전 포스팅에 내용 추가) VMSS를 구현실습 1. VMSS 프런트 엔드 배포 메인 > 리소스 만들기 > 가상 머신 확장 집합 선택 > 만들기 - 기본 사항 - 디스크 새 디스크 > 디스크 추가 및 연결 - 네트워크 - 가상 네트워크 만들기 - 부하분산장치 ..

■ 부하 분산 장치 (Azure Load Balancer) OSI 4 계층에서 여러 가상 머신 간의 트래픽을 분산시킬 수 있는 Azure서비스를 말한다. ■ Application Gateway VS Load Balancer AGW = Internet Gateway + Application Load Balancer, 부하분산장치 = Network Load Balancer 권장 트래픽 설명 대상 백 엔드풀 Application Gateway HTTP 7계층 부하분산 기능 [ALB] 가용성 집합 Load Balancer 비 HTTP(S) 4계층 부하 분산 서비스 [NLB] 가용성 영역 - 공용 부하분산: 공용 IP, 클라이언트가 찾아왔을 때 부하분산 작동 - 내부 부하분산: 외부에선 직접적인 접근 불가, 내부..

Azure에서 과도한 트래픽에 대응할 수 있는 부하분산 서비스에 대해 알아보자. 개념: Azure 애플리케이션 게이트웨이 = AWS ALB-어플리케이션 로드밸런서 ■ 용어정리 - L4 로드밸런서 (Loadbalancer) : IP주소, Port번호를 이용해서 부하 분산 (Least Connection, Least Response Time, Round Robin) - L7 로드밸런서 (Loadbalancer) => 애플리케이션 게이트웨이 : HTTP/HTTPS의 헤더와 메시지의 내용, URL유형, Cookie값을 기준으로 분산 부하 : 앞에는 Front end IP주소(공용 IP) 배치, 뒤에는 Back end Pool(공용 IP, 내부 IP, FQDN-도메인 이름, 가상 머신 확장 집합) 실습: 애플리케..

인프라 장애 발생 시 신속하게 정상 작동시킬 수 있는 '고가용성' 구현 방법에 대해 알아보자. ■ 용어정리 - 고가용성 (High Availability) : Hot Server 문제 발생 시 Standby Server로 대체하는 장애 대응 기법 (ex. Router, Database) - 부하분산 (Load Balancer) : 하나 이상의 서버를 구성하여 트래픽을 분산시키는 컴퓨팅 기법 (ex. Application Server, Firewall) - 단일 실패 지점 (SPOF, Single Point Of Failure) : 단일 서버로 구성되어 장애 발생 시 시스템 전체가 마비되는 상황 디스크 용량 조정 > 재부팅) 2. 마이그레이션(Migration) : 기존 HW에 구동 중인 VM을 다른 정상..

Azure 큐 스토리지 (Azure Queue Storage) 대량의 메시지를 저장하기 위한 서비스로서 세계 어느 곳 에서든 스토리지 계정을 통해 메시지에 액세스 할 수 있다. 메시지의 길이는 최대 64KB로 허용되는 최대 TTL(Time to Live)은 7일이다. 1. 큐 스토리지 생성 - 큐 스토리지 생성 스토리지 계정 > 큐 > +큐 - 메시지 추가 두 가지 큐를 추가하고 하나는 만료기간이 없이, 다른 하나는 만료기간을 10분으로 설정한다. 생성된 큐 선택 > 개유 > 메시지 추가 최종적으로는 만료기간을 지정해두지 않은 한 개의 큐만 남아있을 것이다. 2. 스토리지 탐색기(Storage Explorer) Azure 가상머신 내부에 설치되어 스토리지 계정에 대한 파일, 큐, 테이블 업로드 및 다운로..