Devsecops로 발전하는 엔지니어

내용 정리 목적WordPress와 MySQL을 ECS에 Multi-container 구조로 배포하면서 겪은 다양한 시행착오를 정리합니다. 처음 도전하는 사람이라면 반드시 한 번쯤 마주칠 수 있는 이슈들이고, 반복하지 않기 위해 기록으로 남겨둡니다.🔥 삽질 포인트와 해결 과정GitLab CI/CD Variables 실종 사건문제 상황.gitlab-ci.yml 파일을 이용하여 아래의 명령어가 실행이 되었으나,aws ecs update-service --cluster $ECS_CLUSTER --service $ECS_SERVICEServiceNotFoundException:-> 에러 발생원인GitLab의 CI/CD Variables인 ECS_CLUSTER, ECS_SERVICE가 누군가에 의해 삭제됨GitL..

📁 GitLab 프로젝트 구조 1. Multi-container TaskDefinition→ ecs 한개당 mysql, wordpress두개를 컨테이너로 업데이트 하기 위한 과정WordPress 컨테이너 (공식 이미지)MySQL 8.0 컨테이너Bridge 네트워크 모드 with links볼륨 마운트로 MySQL 데이터 영속성{ "family": "devops-test-task", "networkMode": "bridge", "containerDefinitions": [ { "name": "devops-test-container", "image": "wordpress:latest", "links": ["mysql"], "environment": [ ..

📁 GitLab 프로젝트 구조1. Terraform 인프라 구성주요 리소스VPC 및 네트워킹 (Public/Private Subnets)ECS Cluster (EC2 Launch Type)Application Load BalancerAuto Scaling Group (t3.medium × 2)IAM Roles 및 Security Groups# ─────────────────────────────────────────────────────────────# DevOps 이름지정 Environment - AWS Seoul Region (ap-northeast-2)# ─────────────────────────────────────────────────────────────terraform { requir..

1. 보안 암호 생성 (Secret 생성) [AWS Console] AWS 콘솔 → Secrets Manager → "보안 암호 생성" 클릭보안 암호 유형 선택 (예: 기타 유형 또는 RDS 선택)사용자 이름 / 암호 / 키-값 쌍 입력암호 이름 입력암호화 키(KMS 키)는 기본값인 aws/secretsmanager 또는 사용자 정의 키 선택"보안 암호 생성" 클릭 → 완료 [CLI]aws secretsmanager create-secret --name my-database-secret --description " IAM pw change test" --secret-string '{"username":"admin","password":"MySecurePass123"}'2. 보안 암호 값 업데이트[AWS ..

✅ IAM 정책과 최소 권한 원칙Secrets Manager는 보안 인증 정보를 저장하는 서비스인 만큼, 접근 권한 설정이 매우 중요합니다.다음과 같은 원칙을 적용해야 합니다최소 권한 원칙: 오직 필요한 Secret만 접근할 수 있도록 IAM 정책을 구성속성 기반 제어 (ABAC): 태그 기반 접근 제어 사용 가능리소스 기반 정책: Secret 단위로 리소스 정책을 붙여 접근 제어 가능IP 기반 제한: IAM 정책 또는 리소스 정책에 IP 조건 포함 가능 (aws:SourceIp)예시로, 다음 정책은 퍼블릭 접근을 막고 특정 IP에서만 접근을 허용하는 조건✅ BlockPublicPolicy로 퍼블릭 액세스 차단Secrets Manager는 퍼블릭 접근을 차단하기 위해 blockPublicPolicy 기능..

🌐Client VPN이란?AWS Client VPN은 온프레미스 네트워크 또는 외부 사용자가 AWS 리소스에 안전하게 접근할 수 있도록 돕는 완전관리형 VPN 서비스입니다. OpenVPN 기반으로 작동하며, 자체적으로 VPN 서버를 구축하지 않고도 보안성, 확장성, 편의성을 갖춘 VPN 환경을 구성할 수 있습니다. 🧰 주요 기능기능 설명보안 연결OpenVPN 클라이언트를 통해 TLS 기반 보안 연결 제공관리형 서비스타사 VPN 솔루션 관리 필요 없음고가용성/탄력성연결 사용자 수에 따라 자동 확장인증 방식AD 인증, SAML, 인증서 기반 등 다양한 클라이언트 인증 지원세분화된 접근 제어네트워크 기반 접근 제어(AD 그룹, 보안 그룹 등) 설정 가능전이중 연결단일 터널로 AWS와 온프레미스 자원 모두 ..

컨테이너 도입을 위한 방법으로는 Docker, Kubernetes 등 다양한 접근이 있습니다. 하지만 이번에는 처음 컨테이너 기반 서비스 배포를 시작하는 단계로,AWS EC2 + Bastion + GitHub Actions + Docker를 활용하여 Private EC2에 안전하게 WordPress를 배포하는 흐름을 구축했습니다. 🧩 [1편] CI/CD 환경 구축 준비 및 인프라 구성🧱주요 내용1. 프로젝트 목표GitHub Actions → Bastion → Private EC2에 WordPress 자동 배포Docker + ECR을 활용한 컨테이너 기반 구성보안상 privaet EC2는 직접 접근 금지, Bastion 경유 하여 접근제어2. 네트워크 아키텍처VPC 및 서브넷 구성Public Subne..

🌐 AWS Transit Gateway개념 정리AWS Transit Gateway는 VPC와 온프레미스 네트워크 간의 연결을 중앙에서 관리할 수 있도록 돕는 전송 허브(Hub) 역할을 합니다. 특히 Site-to-Site VPN을 활용하여 온프레미스 네트워크와 AWS 간 안전하고 신뢰성 있는 통신을 구성할 수 있습니다. 🔐Site-to-Site VPN 개념 및 구성 요소Transit Gateway : VPC 및 온프레미스 네트워크를 연결하는 허브 역활을 수행Site-to-Site VPN연결 : VPN터널을 통해 IPv4 및 IPv6 트래픽을 전송할 수 있으며, 고객 게이트웨이 디바이스를 통해 IKE협상이 시작된다.Customer Gateway Device : 고객측에 위치한 물리적 또는 가상디바이스 ..

🌐 AWS Site-to-Site VPN 개념 정리클라우드와 온프레미스 환경을 연결할 때 보안 연결을 제공하는 AWS의 대표적인 네트워크 서비스가 바로 Site-to-Site VPN입니다. 이 글에서는 AWS Site-to-Site VPN의 구성 요소, 핵심 개념, 기능, 제약 사항 등을 정리합니다. .🔐 Site-to-Site VPN이란?Site-to-Site VPN은 고객의 온프레미스 네트워크와 AWS VPC 간에 안전한 암호화된 연결을 제공하는 서비스입니다. 이를 통해 AWS 리소스에 내부망처럼 안전하게 접근할 수 있습니다. 🧱 주요 구성 요소구성 요소 설명VPN 연결온프레미스와 AWS VPC 간 보안 연결을 의미합니다.VPN 터널암호화된 링크로, VPN 연결에는 이중 터널이 생성되어 고가용성..

Cloud 또는 IDC에서 서비스를 운영 하다보면 private 네트워크에서 서비스를 운영 하는 경우가 많다. 이러한 경우에 private망에 작업같은 이유로 접근을 하기 위해서는 VPN (Virtual Private Network)이 필요한 경우가 있다. 대부분의 회사가 IDC보다는 Cloud로 서비스를 운영하고 있기에 AWS에서 사용하는 VPN 서비스에 대하여 정리해 보려고한다. 1.vpn(Virtual Private Network)은 인터넷 연결을 암호화하여 가상 터널을 만드는 것을 말한다. 1-1. 주요기능 인터넷 트래픽을 암호화하여 제3자가 데이터를 엿보지 못하게 한다.실제 사용IP를 숨기고 VPN서버의 IP로 통신이 된다.IP에 따라서 제공 되는 서비스를 우회 접근 가능하다.(ex>넷플릭스, ..