Devsecops로 발전하는 엔지니어

컨테이너 도입을 위한 방법으로는 Docker, Kubernetes 등 다양한 접근이 있습니다. 하지만 이번에는 처음 컨테이너 기반 서비스 배포를 시작하는 단계로,AWS EC2 + Bastion + GitHub Actions + Docker를 활용하여 Private EC2에 안전하게 WordPress를 배포하는 흐름을 구축했습니다. 🧩 [1편] CI/CD 환경 구축 준비 및 인프라 구성🧱주요 내용1. 프로젝트 목표GitHub Actions → Bastion → Private EC2에 WordPress 자동 배포Docker + ECR을 활용한 컨테이너 기반 구성보안상 privaet EC2는 직접 접근 금지, Bastion 경유 하여 접근제어2. 네트워크 아키텍처VPC 및 서브넷 구성Public Subne..

🌐 AWS Transit Gateway개념 정리AWS Transit Gateway는 VPC와 온프레미스 네트워크 간의 연결을 중앙에서 관리할 수 있도록 돕는 전송 허브(Hub) 역할을 합니다. 특히 Site-to-Site VPN을 활용하여 온프레미스 네트워크와 AWS 간 안전하고 신뢰성 있는 통신을 구성할 수 있습니다. 🔐Site-to-Site VPN 개념 및 구성 요소Transit Gateway : VPC 및 온프레미스 네트워크를 연결하는 허브 역활을 수행Site-to-Site VPN연결 : VPN터널을 통해 IPv4 및 IPv6 트래픽을 전송할 수 있으며, 고객 게이트웨이 디바이스를 통해 IKE협상이 시작된다.Customer Gateway Device : 고객측에 위치한 물리적 또는 가상디바이스 ..

🌐 AWS Site-to-Site VPN 개념 정리클라우드와 온프레미스 환경을 연결할 때 보안 연결을 제공하는 AWS의 대표적인 네트워크 서비스가 바로 Site-to-Site VPN입니다. 이 글에서는 AWS Site-to-Site VPN의 구성 요소, 핵심 개념, 기능, 제약 사항 등을 정리합니다. .🔐 Site-to-Site VPN이란?Site-to-Site VPN은 고객의 온프레미스 네트워크와 AWS VPC 간에 안전한 암호화된 연결을 제공하는 서비스입니다. 이를 통해 AWS 리소스에 내부망처럼 안전하게 접근할 수 있습니다. 🧱 주요 구성 요소구성 요소 설명VPN 연결온프레미스와 AWS VPC 간 보안 연결을 의미합니다.VPN 터널암호화된 링크로, VPN 연결에는 이중 터널이 생성되어 고가용성..

1️⃣ 제로트러스트 성숙도 모델의 의미와 역할제로트러스트 성숙도 모델은 조직이 **“신뢰하지 말고 항상 검증하라(never trust, always verify)”**는 보안 철학에 따라 보안 체계를 얼마나 성숙하게 갖추고 있는지 평가하는 도구입니다.조직의 현재 보안 수준을 파악 해야한다.필요한 기술적/조직적/절차적 변화를 제시하여야 한다.장기적인 보안 전략 수립과 개선의 기준이 되어야한다.✅ 목적: 제로트러스트 보안 전략을 조직 맞춤형으로 단계적 도입·운영하고, 성과를 측정하며 지속적으로 최적화하기 위한 프레임워크2️⃣ 제로트러스트 도입 절차 & 성숙도 모델 활용 방안제로트러스트 아키텍처 도입 절차는 아래와 같은 5단계로 구성되며, 각 단계에서 성숙도 모델을 기준으로 개선 방향을 수립할 수 있습니다. ..

Cloud 또는 IDC에서 서비스를 운영 하다보면 private 네트워크에서 서비스를 운영 하는 경우가 많다. 이러한 경우에 private망에 작업같은 이유로 접근을 하기 위해서는 VPN (Virtual Private Network)이 필요한 경우가 있다. 대부분의 회사가 IDC보다는 Cloud로 서비스를 운영하고 있기에 AWS에서 사용하는 VPN 서비스에 대하여 정리해 보려고한다. 1.vpn(Virtual Private Network)은 인터넷 연결을 암호화하여 가상 터널을 만드는 것을 말한다. 1-1. 주요기능 인터넷 트래픽을 암호화하여 제3자가 데이터를 엿보지 못하게 한다.실제 사용IP를 숨기고 VPN서버의 IP로 통신이 된다.IP에 따라서 제공 되는 서비스를 우회 접근 가능하다.(ex>넷플릭스, ..

1. Docker Compose를 활용한 배포-> Docker Compose의 경우 https://devopsrecording.tistory.com/11 Docker 사항 4에서 먼저 소개를 하였기에 docker 와의 차이에 대해서는 제외하고 바로 진행 할 예정이다.docker-compose.yml 생성 # docker-compose.yml version: '3.8' services: web: image: apache:latest ports: - "80:3000" environment: - DB_HOST=documentdb.cluster-xxx.docdb.amazonaws.com - DB_PORT=27017 - DB_USER=myuser..

1. 구성 시나리오 -> Vpc(10.0.0.0/16) Public Subnet A (10.0.1.0/24) Public Subnet B (10.0.2.0/24) Private Subnet A (10.0.11.0/24) Private Subnet B (10.0.12.0/24) Database Subnet A (10.0.21.0/24) Database Subnet B (10.0.22.0/24) 각 대역 사용 IP 갯수의 경우 251개 로 사용 예정이다. 또한, Bastion host를 사용하여 Ec2 내부 접근을 불가능하게 설계 예정이다. 2. 구성도(구성도 상세 설명은 3번에서 진행 예정) 3. 구성도 설명 Ec2 인스턴스는 각각 1개의 IP를 사용 할 것.Docker container는 호스트 네트워..

제로 트러스트 아키텍처 보안 모델-> 논리 구성 요소는 정책결정지점, 정책시행지점, 정책정보지점이 존재한다.왜 기업에서 제로트러스트 도입 해야하나요?제로트러스트와 비즈니스 목표의 관계-> 기업이 새로운 비즈니스 모델을 지속적으로 발굴 하는것은 기업의 생존과 직결되는 문제이다. 지속적으로 바뀌는 IT환경, 즉 원격 재택 근무의 증가, 클라우드로의 전환, 협력사와의 협업 환경변화, 비인간개채의 증가 등의 상황에서 제로트러스트는 안전한 환경을 제공하면서 비즈니스의 연속성을 보장 할 수 있다는 점을 강조 할 수 있다.비용 절감 효과 및 ROI기업망에 제로트러스트 아키텍처 도입시 초기 투자비용이 발생함. 장기적으로 보면 보안 아키텍처를 운용하는 관점에서 기존보다 효율적인 자원 활용이 가능하다. 제로트러스트를 통해..

제로트러스트(Zero Trust)-> 현대 사이버 보안의 핵심 개념으로 "아무것도 신뢰하지 말고 모든 것을 검증하라"는 원칙에 착안한 보안 모델을 말한다.제로트러스트 아키텍처 기본 원리기본 원칙 : 모든 종류의 접근에 대해 신뢰하지 않을 것(명시적 신뢰 확인 후 리소스 접근 허용)-> 모든 종류의 접근에 대해 기본적으로 접근을 거부함을 의미-> 일정 수준의 인증 과정을 거친 접근 주체에게만 최소한의 리소스 접근 허용일관 되고 중앙집중적인 정책 관리 및 접근제어 결정 , 실행 필요-> 정책을 실행하는 지점은 분산되어 있을 수 있으나, 가급적이면, 중앙집중적인 정책 관리에 의한 접근 여부 결정이 필요사용자, 기기에 대한 관리 및 강력한 인증->등록된 기기가 아니면 기업망 혹은 특정 리소스 접근을 원천 봉쇄하..

Pod란 무엇인가- Pod는 하나 이상의 container를 감싸는 논리적 단위로, 동일한 network와 volume을 공유하며 Kubernetes에서 배포되고 관리되는 최소 단위이다. 1. Pod 특징Pod의 IP는 Pod가 생성 될때 자동으로 할당되고, Pod가 삭제 될 경우 자동으로 Ip가 변경 된다.Pod의 Ip는 Cluster 내부에서만 연결이 가능하며, 외부에 통신을 하려고 하면 Service를 통하여 연결하여 통신이 가능하다.Pod 내부에 여러개의 container가 생성 가능하며 하나의 container별로 App이 실행 되며 pod내부의 container 끼리 통신은 내부 port를 지정해서 가능하다.2. Pod 구성요소컨테이너실제 애플리케이션이 실행되는 단위 (보통 Docker)네트워..