Devsecops로 발전하는 엔지니어

목표 업무를 하다보니 자연 스럽게 보안 부분에 대하여 관심을 가지게 되었다. 앞으로 kail linux에 있는 tool들을 이용하여 보안공부를 같이 할 예정이며, 내용들을 정리할 것이다.(Kail linux의 경우 docker를 이용하여 실습 환경 만들 예정) 1. 웹 치약점 진단 및 FUZZ 테스트 FUZZ(Fuzzing)는 URL, 파라미터, 헤더 등에 다양한 입력값을 자동으로 삽입하여 비정상 동작이나 취약점을 탐지하는 기법입니다.사용 예시 sudo apt install ffuf -> ffuz설치를 실행한다.http://target.site/login?user=FUZZ -> FUZZ를 통해 존재하지 않는 계정, 디렉터리, 매개변수, 에러 메시지 등을 자동으로 확인할 수 있습니다. 2. 주요 옵션 및 ..

1. 보안 암호 생성 (Secret 생성) [AWS Console] AWS 콘솔 → Secrets Manager → "보안 암호 생성" 클릭보안 암호 유형 선택 (예: 기타 유형 또는 RDS 선택)사용자 이름 / 암호 / 키-값 쌍 입력암호 이름 입력암호화 키(KMS 키)는 기본값인 aws/secretsmanager 또는 사용자 정의 키 선택"보안 암호 생성" 클릭 → 완료 [CLI]aws secretsmanager create-secret --name my-database-secret --description " IAM pw change test" --secret-string '{"username":"admin","password":"MySecurePass123"}'2. 보안 암호 값 업데이트[AWS ..

✅ IAM 정책과 최소 권한 원칙Secrets Manager는 보안 인증 정보를 저장하는 서비스인 만큼, 접근 권한 설정이 매우 중요합니다.다음과 같은 원칙을 적용해야 합니다최소 권한 원칙: 오직 필요한 Secret만 접근할 수 있도록 IAM 정책을 구성속성 기반 제어 (ABAC): 태그 기반 접근 제어 사용 가능리소스 기반 정책: Secret 단위로 리소스 정책을 붙여 접근 제어 가능IP 기반 제한: IAM 정책 또는 리소스 정책에 IP 조건 포함 가능 (aws:SourceIp)예시로, 다음 정책은 퍼블릭 접근을 막고 특정 IP에서만 접근을 허용하는 조건✅ BlockPublicPolicy로 퍼블릭 액세스 차단Secrets Manager는 퍼블릭 접근을 차단하기 위해 blockPublicPolicy 기능..

✅ Secrets Manager란?AWS Secrets Manager는 데이터베이스 자격 증명, 애플리케이션 인증 정보, OAuth 토큰, API 키 및 기타 민감한 보안 정보를 안전하게 저장하고 주기적으로 교체할 수 있도록 도와주는 서비스입니다. 이를 통해 애플리케이션 코드에 하드코딩된 인증 정보 없이 , 런타임 시 동적으로 자격증명을 검색할 수 있어 보안 사고 위험을 크게 줄일 수 있습니다. 🔐 하드코딩 제거와 동적 조회Secrets Manager를 사용하면 보안 자격 증명을 코드에 하드코딩할 필요 없이, 런타임 중 API 호출을 통해 필요한 시점에 자격증명을 가져올 수 있습니다. 이를 통해 코드 누출로 인한 자격 증명 유출 위험을 방지하고, 자격 증명을 주기적으로 교체하며, IAM 역할을 통해 최..