Devsecops로 발전하는 엔지니어

1. 보안 암호 생성 (Secret 생성) [AWS Console] AWS 콘솔 → Secrets Manager → "보안 암호 생성" 클릭보안 암호 유형 선택 (예: 기타 유형 또는 RDS 선택)사용자 이름 / 암호 / 키-값 쌍 입력암호 이름 입력암호화 키(KMS 키)는 기본값인 aws/secretsmanager 또는 사용자 정의 키 선택"보안 암호 생성" 클릭 → 완료 [CLI]aws secretsmanager create-secret --name my-database-secret --description " IAM pw change test" --secret-string '{"username":"admin","password":"MySecurePass123"}'2. 보안 암호 값 업데이트[AWS ..

✅ IAM 정책과 최소 권한 원칙Secrets Manager는 보안 인증 정보를 저장하는 서비스인 만큼, 접근 권한 설정이 매우 중요합니다.다음과 같은 원칙을 적용해야 합니다최소 권한 원칙: 오직 필요한 Secret만 접근할 수 있도록 IAM 정책을 구성속성 기반 제어 (ABAC): 태그 기반 접근 제어 사용 가능리소스 기반 정책: Secret 단위로 리소스 정책을 붙여 접근 제어 가능IP 기반 제한: IAM 정책 또는 리소스 정책에 IP 조건 포함 가능 (aws:SourceIp)예시로, 다음 정책은 퍼블릭 접근을 막고 특정 IP에서만 접근을 허용하는 조건✅ BlockPublicPolicy로 퍼블릭 액세스 차단Secrets Manager는 퍼블릭 접근을 차단하기 위해 blockPublicPolicy 기능..

✅ Secrets Manager란?AWS Secrets Manager는 데이터베이스 자격 증명, 애플리케이션 인증 정보, OAuth 토큰, API 키 및 기타 민감한 보안 정보를 안전하게 저장하고 주기적으로 교체할 수 있도록 도와주는 서비스입니다. 이를 통해 애플리케이션 코드에 하드코딩된 인증 정보 없이 , 런타임 시 동적으로 자격증명을 검색할 수 있어 보안 사고 위험을 크게 줄일 수 있습니다. 🔐 하드코딩 제거와 동적 조회Secrets Manager를 사용하면 보안 자격 증명을 코드에 하드코딩할 필요 없이, 런타임 중 API 호출을 통해 필요한 시점에 자격증명을 가져올 수 있습니다. 이를 통해 코드 누출로 인한 자격 증명 유출 위험을 방지하고, 자격 증명을 주기적으로 교체하며, IAM 역할을 통해 최..

🌐Client VPN이란?AWS Client VPN은 온프레미스 네트워크 또는 외부 사용자가 AWS 리소스에 안전하게 접근할 수 있도록 돕는 완전관리형 VPN 서비스입니다. OpenVPN 기반으로 작동하며, 자체적으로 VPN 서버를 구축하지 않고도 보안성, 확장성, 편의성을 갖춘 VPN 환경을 구성할 수 있습니다. 🧰 주요 기능기능 설명보안 연결OpenVPN 클라이언트를 통해 TLS 기반 보안 연결 제공관리형 서비스타사 VPN 솔루션 관리 필요 없음고가용성/탄력성연결 사용자 수에 따라 자동 확장인증 방식AD 인증, SAML, 인증서 기반 등 다양한 클라이언트 인증 지원세분화된 접근 제어네트워크 기반 접근 제어(AD 그룹, 보안 그룹 등) 설정 가능전이중 연결단일 터널로 AWS와 온프레미스 자원 모두 ..

🌐 AWS Transit Gateway개념 정리AWS Transit Gateway는 VPC와 온프레미스 네트워크 간의 연결을 중앙에서 관리할 수 있도록 돕는 전송 허브(Hub) 역할을 합니다. 특히 Site-to-Site VPN을 활용하여 온프레미스 네트워크와 AWS 간 안전하고 신뢰성 있는 통신을 구성할 수 있습니다. 🔐Site-to-Site VPN 개념 및 구성 요소Transit Gateway : VPC 및 온프레미스 네트워크를 연결하는 허브 역활을 수행Site-to-Site VPN연결 : VPN터널을 통해 IPv4 및 IPv6 트래픽을 전송할 수 있으며, 고객 게이트웨이 디바이스를 통해 IKE협상이 시작된다.Customer Gateway Device : 고객측에 위치한 물리적 또는 가상디바이스 ..

🌐 AWS Site-to-Site VPN 개념 정리클라우드와 온프레미스 환경을 연결할 때 보안 연결을 제공하는 AWS의 대표적인 네트워크 서비스가 바로 Site-to-Site VPN입니다. 이 글에서는 AWS Site-to-Site VPN의 구성 요소, 핵심 개념, 기능, 제약 사항 등을 정리합니다. .🔐 Site-to-Site VPN이란?Site-to-Site VPN은 고객의 온프레미스 네트워크와 AWS VPC 간에 안전한 암호화된 연결을 제공하는 서비스입니다. 이를 통해 AWS 리소스에 내부망처럼 안전하게 접근할 수 있습니다. 🧱 주요 구성 요소구성 요소 설명VPN 연결온프레미스와 AWS VPC 간 보안 연결을 의미합니다.VPN 터널암호화된 링크로, VPN 연결에는 이중 터널이 생성되어 고가용성..

Cloud 또는 IDC에서 서비스를 운영 하다보면 private 네트워크에서 서비스를 운영 하는 경우가 많다. 이러한 경우에 private망에 작업같은 이유로 접근을 하기 위해서는 VPN (Virtual Private Network)이 필요한 경우가 있다. 대부분의 회사가 IDC보다는 Cloud로 서비스를 운영하고 있기에 AWS에서 사용하는 VPN 서비스에 대하여 정리해 보려고한다. 1.vpn(Virtual Private Network)은 인터넷 연결을 암호화하여 가상 터널을 만드는 것을 말한다. 1-1. 주요기능 인터넷 트래픽을 암호화하여 제3자가 데이터를 엿보지 못하게 한다.실제 사용IP를 숨기고 VPN서버의 IP로 통신이 된다.IP에 따라서 제공 되는 서비스를 우회 접근 가능하다.(ex>넷플릭스, ..

Aws cloud trail -> Management console, SDK ,CLI 를 통하여 이루어진 API 호출을 포함하여 계정에 대한 AWS호출 내용을 저장하는 것.-> Cloud trail을 지원하는 서비스에 대해 Aws api를 호출하는 사용자와 계정을 조회가 가능하다.(호출이 발생하는 소스 IP 주소 / 호출 발생 현황)-> 계정 생성시 활성화 되고, 90일동안의 계정활동에 대한 이벤트 기록 제공, S3 Log에 저장된다.(장기적 관점에서 보안 침해 검토, 사전 모니터링 규정 준수 및 준수 표준을 충족하기 위해 요청) 모든 Aws계정 및 지역에서 Cloud trail구성이 된다.-> global service event(ex> IAM ,Route53 등) 포함되고 기록된다. 모드 리전에 적용..

Aws step functions : 상태머신 기반 workflow 관리하는 서비스(Lambda 함수간의 프로세스 흐름을 조정하고, 조건부 실행 및 분리 로직을 적용할 수 있다)사용 이유 - 조건부트리거 : Lambad 함수의 실행결과에 따라 다음 단계(MSA 혹은 Lambda)로 분리가 가능하다.- 비즈니스로직오케스트레이션 : 여러 Lambda 함수를 체계적으로 연결하여 workflow 자동화가 가능하다.- 시각적 결함 : Aws console에서 상태 머신을 시각적으로 확인이 가능하다.- 내결함 : 실패한 작업을 자동으로 재시작 할 수 있는 기능을 제공한다.- 비용 효율 : 이벤트 기반 실행 로직으로 불필요한 리소스 소비 제한 가능하다.표준 , Express 워크 플로 유형 (Step Function..

기본적으로 Aws Cloud서비스에 액세스 하는 3가지 방법이 있다. 1. Aws Console 2.Aws CLI 3. Aws SDK 이 중 CLI 와 SDK는 Accesskey를 이용하여 액세스 하는 방법이다. Aws CLI란 무엇인가? - Aws 서비스의 공용 API로 직접 액세스 가능 하며, 스크립트 작성을 하여 자동화 가능 하다. Aws SDK란 무엇인가? -소프틀웨어 개발 키트이며, 특정 언어로 작성된 라이브러리(언어별로 개별 SDK가 존재), 코딩을 통하여 애플리케이션에 작성 하여 사용 Iam 보안도구 - IAM 자격증명 보고서 생성가능(계정수준) : 계정에 있는 사용자와 다양한 자격증명의 상태를 포함 - IAM 액세스 관리자(사용자 수준) : 최소 권한의 원칙일 경우 매우 좋음 -> 해당 도..