Devsecops로 발전하는 엔지니어

Aws cloud trail -> Management console, SDK ,CLI 를 통하여 이루어진 API 호출을 포함하여 계정에 대한 AWS호출 내용을 저장하는 것.-> Cloud trail을 지원하는 서비스에 대해 Aws api를 호출하는 사용자와 계정을 조회가 가능하다.(호출이 발생하는 소스 IP 주소 / 호출 발생 현황)-> 계정 생성시 활성화 되고, 90일동안의 계정활동에 대한 이벤트 기록 제공, S3 Log에 저장된다.(장기적 관점에서 보안 침해 검토, 사전 모니터링 규정 준수 및 준수 표준을 충족하기 위해 요청) 모든 Aws계정 및 지역에서 Cloud trail구성이 된다.-> global service event(ex> IAM ,Route53 등) 포함되고 기록된다. 모드 리전에 적용..

Aws CloudFormation Template 구성 요소 : Aws 인프라를 생성 및 설명하는 JSON 또는 yaml 형식의 텍스트 파일. -> Template : 포맷 버전, Description, Metadata, Parameters, Mappings, Conditions, Transform, Resource, outputs 같은 섹션 으로 구별 (제일 중요한 섹션은 Resource이다.) Parameters 섹션 : Stack 생성 시 리소스와 outputs 세션에서 참조 할 수 있는 값들을 지정하는 섹션으로 parameter를 전달 하기 위해 사용자가 직접 타이핑 하거나, 선택 옵션을 통하여 선택 할 수 있도록 설정 필요하다.(Resource수량, 크기 설정) Resource 섹션 : ec2 ..

Aws cloudFormation이란 -> 추가요금 없이 애플리케이션 실행에 필요한 Aws 리소스를 스크립트로 작성하여 생성 할 수 있는 IAC툴 CloudFormation의 장점 1. 인프라 관리가 간소해진다(web,db,LB,Auto scaling etc.. 구성하는데 시간이 오래 걸린다) -> 템플릿 사용하여 stack 생성 하면 web, DB, LB, Auto Scaling 등이 자동으로 프로비저닝이 된다. 2. 신속하게 인프라 복제가 가능(기존 템플릿을 재사용하여 여러 리전에서 동일한 리소스를 반복적으로 프로비저닝 가능) 3. 인프라 변경사항을 쉽게 제어 및 추적이 가능(인프라의 프로비저닝을 위한 리소스와 해당 설정이 템플릿에 저장 되기 때문) Cloud Formation 작동 방식 1. yam..

기본적으로 Aws Cloud서비스에 액세스 하는 3가지 방법이 있다. 1. Aws Console 2.Aws CLI 3. Aws SDK 이 중 CLI 와 SDK는 Accesskey를 이용하여 액세스 하는 방법이다. Aws CLI란 무엇인가? - Aws 서비스의 공용 API로 직접 액세스 가능 하며, 스크립트 작성을 하여 자동화 가능 하다. Aws SDK란 무엇인가? -소프틀웨어 개발 키트이며, 특정 언어로 작성된 라이브러리(언어별로 개별 SDK가 존재), 코딩을 통하여 애플리케이션에 작성 하여 사용 Iam 보안도구 - IAM 자격증명 보고서 생성가능(계정수준) : 계정에 있는 사용자와 다양한 자격증명의 상태를 포함 - IAM 액세스 관리자(사용자 수준) : 최소 권한의 원칙일 경우 매우 좋음 -> 해당 도..

Aws Console 을 이용하여 여러가지 서비스들을 사용 할 수 있다.(IAM, DNS Service, CDN, WAF, ECS, EC2, EKS, Database.. etc) 그 중 IAM에 대하여 정리를 해보려고 한다. IAM(Identiy Access Managemnet) - > Global Service이다. -Aws 가입시 Root 계정이 생성 되는데 해당 계정이 기본 계정으로 생성이 된다. (Root 계정은 생성할때만 사용 하고 그 이후 사용 및 공유를 금지한다.!!) -Root 계정 대신 User를 생성 하여 사용하는 것을 원칙으로 한다. 그룹에는 사용자만 할당 가능하며, 한명의 user가 다수의 Group에 속할 수 있다. 예시 그림을 보면, A/B는 Dev그룹으로 속해 있고, C/D는 ..

Aws Saa-c03 시험 준비를 위하여 기존에 알고 있던 내용들을 다시 정리하는 내용의 중점이며, Aws기초를 다지기에 좋을것 같다. Aws 사용유형 - Aws를 통하여 복잡하고 확장용이한 애플리케이션을 만들 수 있다. - 다양한 산업군에 적용이 가능하다. Aws Global : Aws 가용 영억, 리전 , 데이터센터, 엣지로케이션, 전송지점 - Aws Region : 전세계에 걸쳐있으며 Region=DataCenter를 의미한다. 시험 문제 중 다음과 같은 문제가 나왔을때 정답은? Q > Aws Region을 선택할때 어떤 Region을 선택해야할까요? A > 상황마다 다르다.(Aws 서비스중 Region에 따라 지원이 안되는 곳이 있기 때문이다.) Aws Region 선택시 고려사항!! 1. 법률 ..

1. 네트워크 구성 : 퍼블릭 서브넷 및 인터넷 게이트웨이 구성 인터넷 게이트웨이로 향하는 라우팅이 있는 퍼블릭 서브넷을 사용하면 컨테이너식 애플리케이션을 퍼블릭 서브넷의 vpc 내부의 호스트에 실행 할 수 있다.공용 ip (3.221.88.186) 주소는 인터넷에 라우팅 할 수 있다. 이 네트워크 아키텍처는 응용 프로그램을 실행하는 호스트와 다른 호스트 간의 직접 통신을 용이 하게 한다.따라서, 보안그룹 및 방화벽 규칙에 세심하게 신경 써야 한다. 인터넷의 다른 호스트가 연결을 열 수 없도록 하기 위한 것 이다. EX) app이 ec2에서 실행 중인 경우 ssh 포트가 열려 있지 않은지 확인 한다. 봇으로 부터 지속적으로 ssh 연결 시도를 수신할 수 있다. 이러한 봇은 공용 ip 주소를 탐색 한다. ..

-퍼블릭 서브넷이 있는 vpc(NAT) -> 웹서버는 퍼블릭 서브넷에 위치 시키고, 데이터베이스는 프라이빗 서브넷에 두는 다중 계층 웹사이트. 퍼블릭 서브넷 인스턴스의 경우 인터넷(외부 네트워크)에 바로 아웃바운드 트래픽을 전송 할 수 있는 반면, 프라이빗 서브넷의 인스턴스 경우 퍼블릭 서브넷에 있는 nat 게이트 웨이를 사용하여 외부네트워크에 액세스 할 수 있다, vpc 서브넷 기본사항 -> vpc는 aws클라우드에서 다른 가상 네트워크와 논리적으로 분리되어 있다. amazone ec2 인스턴스 같은 aws 리소스를 vpc에서 실행 할 수 있다. vpc생성시 ip4 주소 범위를 cidr 블록 형태로 지정해야한다, Amazon vpc는Ipv4 , ipv6주소 지정을 지원하고 각각에 대해 다양한 cidr ..

aws vpc -vpc 사용자의 aws 계정 전용 가상 네트워크. vpc 범위를 설정 하고 서브넷을추가하고 보안 그룹을 연결한 다음 라우팅 테이블을 구성하는 순서이다. 각 서브넷에서 aws리소스를 보호하기 위해 보안 그룹 및 네트워크 액세스 제어 목록을 포함한 다중 보안 계층을 사용 할 수 있음. vpc에서 시작한 인스턴스가 vpc 외부의 리소스를 어떻게 액세스 할 것인지를 제어 할 수있다. 기본 vpc에는 인터넷 게이트 웨에가 포함, 각각의 기본 서브넷은 퍼블릭 서브넷 이다. 기본 서브넷에서 시작한 각 인스턴스에는 프라이빗 ip4 주소와 퍼블릭 ip4 주소가 있다. 이러한 인스턴스는 게이트웨이를 통하여 인터넷 통신이 가능하다. 기본적으로 기본서브넷이 아닌 서브넷의 경우 각 인스턴스 마다 프라이빗 ip4..