Devsecops로 발전하는 엔지니어

목표 업무를 하다보니 자연 스럽게 보안 부분에 대하여 관심을 가지게 되었다. 앞으로 kail linux에 있는 tool들을 이용하여 보안공부를 같이 할 예정이며, 내용들을 정리할 것이다.(Kail linux의 경우 docker를 이용하여 실습 환경 만들 예정) 1. 웹 치약점 진단 및 FUZZ 테스트 FUZZ(Fuzzing)는 URL, 파라미터, 헤더 등에 다양한 입력값을 자동으로 삽입하여 비정상 동작이나 취약점을 탐지하는 기법입니다.사용 예시 sudo apt install ffuf -> ffuz설치를 실행한다.http://target.site/login?user=FUZZ -> FUZZ를 통해 존재하지 않는 계정, 디렉터리, 매개변수, 에러 메시지 등을 자동으로 확인할 수 있습니다. 2. 주요 옵션 및 ..

Service Mesh란?-> 애플리케이션의 서비스간 모든 통신을 처리하는 소프트웨어 계층이며, 해당 계층은 container화된 MSA로 구성되어있다. 트래픽 라우팅,보안, 관측성 및 복구 기능을 처리하는 동시에 개별 서비스에서 복잡성을 추상화 가능하다. (application runtime 환경에 새로운 기능을 도입하지 않는다.)핵심 개념중에 mTLS 의 목적은 서비스 간 암호화된 통신이며, 작동 원리는 각 서비스가 클라이언트이자 서버 인증서를 모두 보유하여 인증을 하는것이다. 작동 원리DataPlane + ControlPlane 사용하여 서비스간의 커뮤니케이션 관리 한다.ex> 아키텍쳐 내부에서 A(container) -> B(container)로 가는 전달방식 지정해야하는데, 서비스 메시의 차이점..

내용 정리 목적WordPress와 MySQL을 ECS에 Multi-container 구조로 배포하면서 겪은 다양한 시행착오를 정리합니다. 처음 도전하는 사람이라면 반드시 한 번쯤 마주칠 수 있는 이슈들이고, 반복하지 않기 위해 기록으로 남겨둡니다.🔥 삽질 포인트와 해결 과정GitLab CI/CD Variables 실종 사건문제 상황.gitlab-ci.yml 파일을 이용하여 아래의 명령어가 실행이 되었으나,aws ecs update-service --cluster $ECS_CLUSTER --service $ECS_SERVICEServiceNotFoundException:-> 에러 발생원인GitLab의 CI/CD Variables인 ECS_CLUSTER, ECS_SERVICE가 누군가에 의해 삭제됨GitL..

📁 GitLab 프로젝트 구조 1. Multi-container TaskDefinition→ ecs 한개당 mysql, wordpress두개를 컨테이너로 업데이트 하기 위한 과정WordPress 컨테이너 (공식 이미지)MySQL 8.0 컨테이너Bridge 네트워크 모드 with links볼륨 마운트로 MySQL 데이터 영속성{ "family": "devops-test-task", "networkMode": "bridge", "containerDefinitions": [ { "name": "devops-test-container", "image": "wordpress:latest", "links": ["mysql"], "environment": [ ..

📁 GitLab 프로젝트 구조1. Terraform 인프라 구성주요 리소스VPC 및 네트워킹 (Public/Private Subnets)ECS Cluster (EC2 Launch Type)Application Load BalancerAuto Scaling Group (t3.medium × 2)IAM Roles 및 Security Groups# ─────────────────────────────────────────────────────────────# DevOps 이름지정 Environment - AWS Seoul Region (ap-northeast-2)# ─────────────────────────────────────────────────────────────terraform { requir..

Blue/Green 배포 전략 -> 무중단 배포의 대표적인 방식-서비스 운영 중, 새로운 버전을 배포하면서도 중단 없이 전환할 수 있는 방법으로 많이 활용되는 전략이 바로 Blue/Green Deployment입니다.이 글에서는 Blue/Green 배포의 개념, 동작 방식, 장단점, 그리고 실무에서 고려해야 할 사항을 정리했습니다. Blue/Green 배포란?-Blue/Green 배포는 두 개의 동일한 환경(Blue, Green)을 번갈아 가며 운영하여 무중단 배포와 빠른 롤백을 가능하게 하는 전략입니다.Blue 환경 : 현재 운영 중인 서비스 환경 (Production)Green 환경 : 새로운 버전을 배포하여 검증하는 환경동작 방식Blue 환경 운영 중현재 서비스는 Blue 환경에서 정상적으로 사용자..

1. 보안 암호 생성 (Secret 생성) [AWS Console] AWS 콘솔 → Secrets Manager → "보안 암호 생성" 클릭보안 암호 유형 선택 (예: 기타 유형 또는 RDS 선택)사용자 이름 / 암호 / 키-값 쌍 입력암호 이름 입력암호화 키(KMS 키)는 기본값인 aws/secretsmanager 또는 사용자 정의 키 선택"보안 암호 생성" 클릭 → 완료 [CLI]aws secretsmanager create-secret --name my-database-secret --description " IAM pw change test" --secret-string '{"username":"admin","password":"MySecurePass123"}'2. 보안 암호 값 업데이트[AWS ..

✅ IAM 정책과 최소 권한 원칙Secrets Manager는 보안 인증 정보를 저장하는 서비스인 만큼, 접근 권한 설정이 매우 중요합니다.다음과 같은 원칙을 적용해야 합니다최소 권한 원칙: 오직 필요한 Secret만 접근할 수 있도록 IAM 정책을 구성속성 기반 제어 (ABAC): 태그 기반 접근 제어 사용 가능리소스 기반 정책: Secret 단위로 리소스 정책을 붙여 접근 제어 가능IP 기반 제한: IAM 정책 또는 리소스 정책에 IP 조건 포함 가능 (aws:SourceIp)예시로, 다음 정책은 퍼블릭 접근을 막고 특정 IP에서만 접근을 허용하는 조건✅ BlockPublicPolicy로 퍼블릭 액세스 차단Secrets Manager는 퍼블릭 접근을 차단하기 위해 blockPublicPolicy 기능..

✅ Secrets Manager란?AWS Secrets Manager는 데이터베이스 자격 증명, 애플리케이션 인증 정보, OAuth 토큰, API 키 및 기타 민감한 보안 정보를 안전하게 저장하고 주기적으로 교체할 수 있도록 도와주는 서비스입니다. 이를 통해 애플리케이션 코드에 하드코딩된 인증 정보 없이 , 런타임 시 동적으로 자격증명을 검색할 수 있어 보안 사고 위험을 크게 줄일 수 있습니다. 🔐 하드코딩 제거와 동적 조회Secrets Manager를 사용하면 보안 자격 증명을 코드에 하드코딩할 필요 없이, 런타임 중 API 호출을 통해 필요한 시점에 자격증명을 가져올 수 있습니다. 이를 통해 코드 누출로 인한 자격 증명 유출 위험을 방지하고, 자격 증명을 주기적으로 교체하며, IAM 역할을 통해 최..

🌐Client VPN이란?AWS Client VPN은 온프레미스 네트워크 또는 외부 사용자가 AWS 리소스에 안전하게 접근할 수 있도록 돕는 완전관리형 VPN 서비스입니다. OpenVPN 기반으로 작동하며, 자체적으로 VPN 서버를 구축하지 않고도 보안성, 확장성, 편의성을 갖춘 VPN 환경을 구성할 수 있습니다. 🧰 주요 기능기능 설명보안 연결OpenVPN 클라이언트를 통해 TLS 기반 보안 연결 제공관리형 서비스타사 VPN 솔루션 관리 필요 없음고가용성/탄력성연결 사용자 수에 따라 자동 확장인증 방식AD 인증, SAML, 인증서 기반 등 다양한 클라이언트 인증 지원세분화된 접근 제어네트워크 기반 접근 제어(AD 그룹, 보안 그룹 등) 설정 가능전이중 연결단일 터널로 AWS와 온프레미스 자원 모두 ..