https://awssecworkshops.com/

 

Security Workshops

 

awssecworkshops.com

 

https://docs.aws.amazon.com/ko_kr/security/

 

https://docs.aws.amazon.com/ko_kr/security/

 

docs.aws.amazon.com

https://reinforce.awsevents.com/

 

AWS re:Inforce

Cloud security, identity, and compliance learning

reinforce.awsevents.com

 

https://aws.amazon.com/ko/security/

 

클라우드 보안 – Amazon Web Services(AWS)

AWS는 금융, 소매, 의료, 정부 등의 보안 및 규정 준수 표준을 충족하기 위해 지속적으로 모니터링하는 수천 가지의 글로벌 규정 준수 요구 사항에 대해 타사 검증을 정기적으로 수행하여 고객의

aws.amazon.com

 

  SSM 파라미터 스토어  Secret Manager
같은 AWS KMS를 통해 암호화 가능 Y Y
값 4096자 Y Y
비용없음 Y Y
교차 계정 엑세스   Y
보안암호 교체 자동화   Y
내장암호생성기   Y

ASM KSM

ASM CloudHSM

ASM Secrets Manager

 

CMK : Customer Master kay

 

 

서비스  
KSM 관리형 키 서비스 및 관리와 데이터 암호화
봉투 암호화 ( 봉투안에 암호화된 데이터와 암호화된 키를 같이 동봉후 암호화 )
마스터 키 자동으로 교체
키 활성화 또는 삭제
마스터 키로 데이터 키 만듦
CloudTrail 통해 키 사용 감사
리전 레벨 서비스
CloudHSM 변조 방지 하드웨어 디바이스에서 키를 안전하게 생성 및 저장
고객만이 키 관리
실제 하드웨어는 AWS에 있음, 하드웨어 소유권 인정

Secret Manager parameter store와 유사
credential rotation등은 parameter store에 업슴

secret manager 추가 비용 없음

암호교체는 lambda함수

 

 

 

S3 암호화

client 암호화 key 로 암호화

서버 side key encryption : S3가 저장중 암호화 지원 : S3의 기본 암호화 key : 크로스 리전 서비스

S3 - 다른 리전 : 키가 없어 복호화 안됨

 

https://docs.aws.amazon.com/ko_kr/kms/latest/developerguide/concepts.html

 

AWS KMS 개념 - AWS Key Management Service

AWS KMS에서는 고객 마스터 키(CMK)라는 용어가 AWS KMS key와 KMS 키로 바뀌었습니다. 단, 개념은 바뀌지 않았습니다. 호환성에 영향을 미치는 변경 사항이 발생하지 않도록 AWS KMS에서는 이 용어의 일

docs.aws.amazon.com

 

 

https://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/introduction.html

 

AWS CloudHSM란 무엇입니까? - AWS CloudHSM

이 페이지에 작업이 필요하다는 점을 알려 주셔서 감사합니다. 실망시켜 드려 죄송합니다. 잠깐 시간을 내어 설명서를 향상시킬 수 있는 방법에 대해 말씀해 주십시오.

docs.aws.amazon.com

 

https://docs.aws.amazon.com/kms/latest/developerguide/custom-key-store-overview.html

 

Custom key stores - AWS Key Management Service

Thanks for letting us know this page needs work. We're sorry we let you down. If you've got a moment, please tell us how we can make the documentation better.

docs.aws.amazon.com

 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=epicman1&logNo=10179700150 

 

HSM - 하드웨어 시큐티리 모듈 이해하기

일상 생활 속 HSM의 쓰임 하드웨어 시큐리티 모듈(HSM: Hardware Security Module)이란 무엇일까...

blog.naver.com

 

 

Cloudfront의 필드 레벨 암호화 

 

고객 > TLS로 민감정보 전송 > cloudfront endpoint > public key로 암호화 > S3 버킷 > lambda로 DynamoDB로 저장

 

어플리케이션 > DynamoDB 연결 > 민감 데이터 조회 >  lambda로 privatekey로 복호화 > 고객에게 조회 제공

 

필드 레벨 암호화는 HTTPS 양식 POST로 데이터를 암호화 하므로 오리진 인프라 내 특정 구성 요소와 서비스만 정보를 볼 수 있음

 

https://aws.amazon.com/ko/about-aws/whats-new/2017/12/introducing-field-level-encryption-on-amazon-cloudfront/

 

Amazon CloudFront에서 필드 레벨 암호화 소개

오늘부터 필드 레벨 암호화라고 불리는 새 Amazon CloudFront를 사용하여 주민등록번호와 같은 신용 카드 번호 또는 개인 식별 정보(PII) 등의 중요한 보안 데이터를 강화할 수 있습니다. CloudFront의 필

aws.amazon.com

 

https://docs.datadoghq.com/security_platform/default_rules/aws-cloudfront-field-level-encyption/

 

Cloudfront distribution is field-level encrypted

Datadog, the leading service for cloud-scale monitoring.

docs.datadoghq.com

 

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS Secrets Manager와 Parameter Store 비교  (0) 2022.03.17
AWS key 관리 암호 관리  (0) 2022.03.17
AWS VPC Endpoint  (0) 2022.03.17
AWS Config Recoder  (0) 2022.03.16
AWS Security Engineering Playback  (0) 2022.03.16

 

 

인터페이스 형 엔드포인트

Elastic Network Interface : 별도의 네트워크 인터페이스를 하나 더 attach해서 연결

S3로 인터페이스형 엔드 포인트 제공

 

게이트웨이 형 엔드포인트

라우팅 테이블 변경 필요

S3, Dynamo DB만 제공

 

security group에 다른 security group 및 앞의 인터페이스로 붙일 수 있음

 

 

 

https://docs.aws.amazon.com/ko_kr/vpc/latest/privatelink/vpc-endpoints.html

 

VPC 엔드포인트 - Amazon Virtual Private Cloud

VPC 엔드포인트 VPC 엔드포인트를 통해 인터넷 게이트웨이, NAT 디바이스, VPN 연결 또는 AWS Direct Connect 연결이 필요 없이 Virtual Private Cloud(VPC)와 지원 서비스 간에 연결을 설정할 수 있습니다. 따라

docs.aws.amazon.com

https://sweetysnail1011.tistory.com/60

 

[AWS VPC] 39. VPC EndPoint

ㅇ VPC Endpoint란? > AWS 내부에서 트래픽을 주고 받기 쉽도록 설정하는 것   > S3에 접속하기 위해서는 Public망을 통해서 접근을 수행(Public: Instance > IGW > S3 / Private: Instance > NAT > S3)  Endpo..

sweetysnail1011.tistory.com

 

리소스 구성사항의 변경을 탐지하고 이러한 변경사항을 구성 사항으로 캡처하는데 용이

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS Cloudfront + Parameter Store + Lambda 민감정보 필드레벨 암호화  (0) 2022.03.17
AWS VPC Endpoint  (0) 2022.03.17
AWS Security Engineering Playback  (0) 2022.03.16
보안 영향도  (0) 2022.03.16
AWS 에서의 Log 처리  (0) 2022.03.16

http://bit.ly/seceng-labs

 

Security Engineering on AWS

LAB 3 Web Server Log Analysis Using Amazon EC2, Kinesis Data Firehose, Amazon S3, and Athena Play video

dfr20cpm485ln.cloudfront.net

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS VPC Endpoint  (0) 2022.03.17
AWS Config Recoder  (0) 2022.03.16
보안 영향도  (0) 2022.03.16
AWS 에서의 Log 처리  (0) 2022.03.16
AWS Macie  (0) 2022.03.16

적용 하는 쪽과 감시하는쪽이 다른 곳이면 double check 됨

즉 로직 적용하는 쪽과 전체 데이터 리포팅이 분리되어 같은 도메인 지식을 sync 하려고 해야함. 

테스트 코드를 짜는 것과 같다.

테스트 코드가 결국 Rule Engine의 다른 형태일수도

이 조건과 이조건일 때 이런 input이면 이런 결과가 나와야되

 

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS Config Recoder  (0) 2022.03.16
AWS Security Engineering Playback  (0) 2022.03.16
AWS 에서의 Log 처리  (0) 2022.03.16
AWS Macie  (0) 2022.03.16
저장중인 데이터 암호화와 엑세스  (0) 2022.03.16

AWS VPC Flow Logs 

 

   
VPC Flow Logs 패킷의 요약정보를 S3 혹은 cloudwatch log에 게시
S3 Server Access Log  
ELB Access Log  
CloudWatch Logs  
   

 

키네시스, 아테나

 

Amazon Kinesis Data Streams

Amazon Kinesis Data Firehorse

Amazon Kinesis 

 

Athema : S3에 쿼리

Schema : Hive

Zeplin : query

 

AWS Glue로 데이터 수집 분석 가공

크롤러, 스키마 추론하고 S3의 로그 데이터의 테이블을 생성

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS Security Engineering Playback  (0) 2022.03.16
보안 영향도  (0) 2022.03.16
AWS Macie  (0) 2022.03.16
저장중인 데이터 암호화와 엑세스  (0) 2022.03.16
AWS 파라미터 스토어 Parameter Store  (0) 2022.03.16

 

 

 

 

https://aws.amazon.com/ko/macie/

 

Amazon Macie – Amazon Web Services

규정 준수 팀은 민감한 데이터가 어디에 상주하는지 모니터링하고, 적절하게 보호하며, 규제 준수 요구 사항에 맞춰 데이터 보안 및 프라이버시를 적용하고 있다는 증거를 제공해야 합니다. Amaz

aws.amazon.com

 

https://aws.amazon.com/ko/macie/features/

 

Amazon Macie 기능 - Amazon Web Services

Amazon Macie는 Amazon S3 환경을 지속적으로 평가하고 계정 전반에 걸쳐 S3 리소스 요약을 제공합니다. 메타데이터 변수(예: 버킷 이름), 태그, 그리고 보안 제어(예: 암호화 상태 또는 공개적 접근성)

aws.amazon.com

 

데이터 접근

 

데이터에 엑세스 할 수 있는 사용자 수를 제한하고, 

리소스에 대한 엑세스를 관리하는 정책

 

IAM/리소스 기반 정책

암호화

 

키 : 대칭키/비대칭키

 

해시 사용하면 : 단방향

 

미국 의료 정보 보호법(HIPAA) 및 일반 데이터 보호 규정(GDPR)

 

 

 

 

https://st-lab.tistory.com/100

 

패스워드의 암호화와 저장 - Hash(해시)와 Salt(솔트)

'보안은 그 어느 시스템의 정보보다 가장 중요하며 가장 안전해야 하는 것이다' 필자가 "프로그래머로써 가장 중요하게 생각해야 할 것 하나만 뽑는다면?" 이라는 질문이 들어온다면 위와 같이

st-lab.tistory.com

 

https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/(%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EC%9C%84%EC%9B%90%ED%9A%8C)%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EC%9D%98%EC%95%88%EC%A0%84%EC%84%B1%ED%99%95%EB%B3%B4%EC%A1%B0%EC%B9%98%EA%B8%B0%EC%A4%80/(2020-2,20200811) 

 

(개인정보보호위원회)개인정보의안전성확보조치기준

 

www.law.go.kr

 

 

미국 기준일세

https://www.dol.gov/general/ppii#:~:text=DOL%20internal%20policy%20specifies%20the,Plans%2C%20DOL%20and%20agency%20guidance.

 

Guidance on the Protection of Personal Identifiable Information | U.S. Department of Labor

Breadcrumb Guidance on the Protection of Personal Identifiable Information Personal Identifiable Information (PII) is defined as: Any representation of information that permits the identity of an individual to whom the information applies to be reasonably

www.dol.gov

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS 에서의 Log 처리  (0) 2022.03.16
AWS Macie  (0) 2022.03.16
AWS 파라미터 스토어 Parameter Store  (0) 2022.03.16
AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16

vault 와 유사한 제품

 

 

https://www.vaultproject.io/

 

Vault by HashiCorp

Vault secures, stores, and tightly controls access to tokens, passwords, certificates, API keys, and other secrets in modern computing. Vault handles leasing, key revocation, key rolling, auditing, and provides secrets as a service through a unified API.

www.vaultproject.io

 

https://m.blog.naver.com/PostView.naver?isHttpsRedirect=true&blogId=ijoos&logNo=221571683198 

 

AWS parameter store

AWS 에서 parameter store를 이용하면 텍스트 파라미터 이름과 암호화된 파라미터 값을 값는 secure str...

blog.naver.com

 

 

https://docs.aws.amazon.com/ko_kr/systems-manager/latest/userguide/systems-manager-parameter-store.html

 

AWS Systems Manager Parameter Store - AWS Systems Manager

AWS Systems Manager Parameter Store AWS Systems Manager의 기능인 Parameter Store는 구성 데이터 관리 및 암호 관리를 위한 안전한 계층적 스토리지를 제공합니다. 암호, 데이터베이스 문자열, Amazon Machine Image(AMI

docs.aws.amazon.com

 

https://tutorialsdojo.com/aws-secrets-manager-vs-systems-manager-parameter-store

 

AWS Secrets Manager vs Systems Manager Parameter Store - Tutorials Dojo

Bookmarks AWS Systems Manager Parameter Store AWS Secrets Manager Similarities and Differences Managing the security of your applications is an integral part of any organization especially for infrastructures deployed in the cloud. One aspect of applicatio

tutorialsdojo.com

 

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS Macie  (0) 2022.03.16
저장중인 데이터 암호화와 엑세스  (0) 2022.03.16
AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16
AWS 침투 테스팅 : Penetration Tesing  (0) 2022.03.16

IMDS , Instance MetaData Service

 

 

 

https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/configuring-instance-metadata-service.html

 

IMDSv2 사용 - Amazon Elastic Compute Cloud

토큰이 유효하지 않고, 토큰을 만드는 데 오류가 발생하면 오류 메시지가 변수에 저장되고 명령이 작동하지 않습니다.

docs.aws.amazon.com

 

보호 하려는 대상이 무엇인가? 예 ? 테이터, 민감 데이터, 자산

무엇으로부터 보호해야하는 가? 공격 주체, 위협

서비스 또는 시스템에 약점이 존재하나? 취약성 식별 및 정리

적절한 보호를 위해 어느 정도의 시간,노력,비용을 지출할 것인가? 위험에 대한 수치화

 

보호하려는 대상과 무엇으로 부터 보호하는 지를 정리하며면

어떤 데이터를 누가 access하지는 지를 기록해야함, api access log, http 로그 등

 

시스템 접근 위협

인증되지 않는 엑세스 인증되지 않는 사용자, unauthenticated user
무단 엑세스 권한이 없는 사용자, unauthorized user
암호 정책 낮은 복잡도의 암호 공격
무단 SSH 엑세스 롤, 권한 받기
패치 부족 취약성 공격

 

 

DDoS 시뮬레이션

로드테스트 

등도 AWS와 사전 승인이 필요함

  • DDoS 시뮬레이션 테스트의 요청 볼륨은 초당 50,000건을 초과할 수 없습니다.

 

 

 

https://aws.amazon.com/ko/security/penetration-testing/

 

침투 테스트 – Amazon Web Services (AWS)

보안 평가 도구 및 서비스 사용과 관련하여 AWS의 정책은 AWS 자산의 보안 평가를 수행하는데 상당한 유연성을 제공하며 다른 AWS 고객을 보호하고 AWS에서 서비스 품질을 보장합니다. AWS는 AWS 자산

aws.amazon.com

 

https://aws.amazon.com/ko/security/ddos-simulation-testing/

 

퍼블릭 DDoS 테스트 정책 - Amazon Web Services(AWS)

범죄자가 여러 소스에서 대량의 트래픽을 이용해서 표적으로 삼은 애플리케이션의 가용성에 영향을 미치려고 시도하는 것을 분산형 서비스 거부(DDoS) 공격이라고 합니다. DDoS 시뮬레이션 테스

aws.amazon.com

https://aws.amazon.com/ko/ec2/testing/

 

Amazon EC2 Testing Policy

 

aws.amazon.com

https://aws.amazon.com/ko/premiumsupport/knowledge-center/report-aws-abuse/

 

AWS 리소스 침해 보고

악의적이거나 불법적인 용도로 AWS 리소스가 사용되고 있다고 의심됩니다. AWS에 알리려면 어떻게 해야 하나요?

aws.amazon.com

https://aws.amazon.com/ko/premiumsupport/knowledge-center/aws-abuse-report/

 

AWS 침해 사례 보고서 검토 및 대응

AWS에서 내 계정의 리소스가 침해 활동으로 보고되었음을 알려왔습니다. 이것이 무슨 의미이며, 어떻게 해야 하나요?

aws.amazon.com

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16
AWS 엑세스 권한 부여 로직  (0) 2022.03.16
AWS Systems Manager  (0) 2022.03.15
AWS Inspector  (0) 2022.03.15

명시적 거부가 있으면 우선적으로 block

이후는 허용 찾는거

명시적 거부도 없고 명시적 허용도 없으면 묵시적 거부가 일어남

 

 

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

 

Policy evaluation logic - AWS Identity and Access Management

Policy evaluation logic When a principal tries to use the AWS Management Console, the AWS API, or the AWS CLI, that principal sends a request to AWS. When an AWS service receives the request, AWS completes several steps to determine whether to allow or den

docs.aws.amazon.com

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16
AWS 침투 테스팅 : Penetration Tesing  (0) 2022.03.16
AWS Systems Manager  (0) 2022.03.15
AWS Inspector  (0) 2022.03.15

- 구성정보 확인

- 어플리케이션 및 OS 정보의 시스템 인벤토리 조사

- 읽기 뿐만 아니라 패치 등의 적용도 가능

- 반복적인 자동화 가능 - cloudformation 이랑 차이? 아님 이거 기반?

- ASM ( Aws Systems Manager) agent 설치가 EC2에 되어 있어야함.

- 시스템간 통신 EC2 <> ASM : role로 열어줘야함.

- run command로 대규모 원격 실행

- AWS Systems Manager를 통해 Amazon Inspector 에이전트 설치 > 실행 > 보안 평가 > 리포팅 > 취약점 분석 > 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16
AWS 침투 테스팅 : Penetration Tesing  (0) 2022.03.16
AWS 엑세스 권한 부여 로직  (0) 2022.03.16
AWS Inspector  (0) 2022.03.15

- rule package 기반으로 아래의 내용 검토 > 리포팅

  보안 보범 사례, 일반 취약성, 네트워크 취약성

- inspector가 agent 기반으로 설치되어 checking함

- checking은 템플릿 기반

- 보안 평가 자동화 > 검사 > 지침 제공

- role에 대한 정의를 하여 tag를 EC2에 지정하여, 수행

 

'AWS > AWS Security Engineering' 카테고리의 다른 글

AWS 인스턴스 메타데이터 서비스 IMDS  (0) 2022.03.16
보안 위험 평가  (0) 2022.03.16
AWS 침투 테스팅 : Penetration Tesing  (0) 2022.03.16
AWS 엑세스 권한 부여 로직  (0) 2022.03.16
AWS Systems Manager  (0) 2022.03.15

+ Recent posts