본문 바로가기

분류 전체보기

 (202)
[AHSS 3주차] 웹 취약점 및 보안 cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 3주차 정리입니다. AWS WAF Configuration A to Z workshop을 참고 했습니다. 먼저 AWS WAF에 대한 학습 및 실습을 진행하기 전에, 웹 취약점이란 무엇이며? 어떤 공격들이 있을까에 대한 질문으로 부터 포스팅을 시작하겠습니다. 현업에서 제가 WAF에 대한 경험을 한적은 없지만, 개발 SI에서 일할때 보안성 심의를 받은적이 있습니다. 그때 sql injection이나, XSS (크로스 사이트 스크립팅 ) 기법에 대한 제가 개발한 어플리케이션의 심의를 받은적이 있기 때문에 이때는 해당 보안성 심의에 대한 지엽적인 보완을 위해 코드 변경을 통해 보안성 심의를 통과했었는데, WAF를 쓰면 이런 부분들을 전체적으로 보완..
[AWS] IAM 정책 (자격증명 기반 정책, 리소스 기반 정책) CloudNet@가시다님이 진행하는 "AWS Hacking & Security Study" 1기 스터디입니다. # 그중에서도 Sson 님의 블로그 글을 많이 참고 했습니다. ✅ 개요 AWS의 IAM docs를 보면 다음과 같은 내용을 확인할수 있습니다. IAM 정책 유형에는 총 6가지의 정책으로 분류한것을 알수 있습니다. 위에서 부터 가장 자주 사용하는 정책 유형을 나열 했습니다. 그중에서 이번 포스팅에서는 위에 3가지에 대해 먼저 알아 보겠습니다. 자격 증명 기반 정책 (identity- based 정책 ) 리소스 기반 정책 권한 경계 정책 Organizations SCP 액세스 제어 목록 세션 정책 ✅ Ssoon님의 그림을 퍼왔습니다. ✅ 그렇다면 IAM은 무엇일까요? Identity and Acce..
[AHSS 2주차] AWS IAM 보안 (2) cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 2주차 정리입니다. [ AWS 보안 ] - IAM 는 어떻게 관리해야 할까요? 암호는 어떻게 사용해야 될지 다시 한번 더 고민해보시기 바랍니다! ✅ 실습 목표 : EC2 2대를 배포 암호 관련 정보 습득 방법 소개 hydra - 링크 , Crunch - 링크 , rockyou - 링크 , Cupp - 링크 패스워드를 해킹하는 방법들에 대해서 학습 해 보자. [자신의 PC] IAM 자격증명 설정 되어 있는 상태에서 AWS CLI로 CloudFormation 스택 배포 (4분 정도 소요) # 변수 지정 KEYNAME= KEYNAME=kp-koo # YAML 파일 다운로드 curl -O https://s3.ap-northeast-2.amazona..
[AHSS 2주차] AWS IAM 보안 (1) cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 2주차 정리입니다. [ AWS 보안 ] - IAM 는 어떻게 관리해야 할까요? 이번 시간에는 2가지 실습을 진행해 보겠습니다. 첫번째는, EC2의 IAM 사용 방법인데 이부분은 간단하게 EC2에서 Role을 Assume 하는 과정을 보여주며 두번째는, User와 IAM 사용 방법인데 user 1, 2 를 생성하여 user 2 가 makebucket을 하지 못하는 상황을 해결하는 방법에 대해 보여줍니다. ✅ 실습 목표 : 아래 그림과 같이 Role을 생성 합니다. 해당 Role에는 S3ReadOnly라는 미리 만들어진 Policy를 할당 하고 EC2에서는 해당 Role을 Assume합니다. EC2 인스턴스에 대한 IAM 역할 생성 S3 버킷에..
[AHSS 1주차] AWS S3 보안 (3) cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 1주차 정리입니다. [ AWS 보안 ] S3는 어떻게 관리해야 할까요? ✅ S3 접근 통제 방법 객체 ACL ( 권장 x ) 버킷 ACL ( 권장 x ) 버킷 정책 IAM 정책 이번 포스팅에서는 IAM 정책을 통한 S3 권한 통제 방법에 대한 실습 및 정리에 대한 내용이다. IAM 정책 실습 [자신의 PC] IAM 자격증명 설정 되어 있는 상태 : IAM User 생성 및 S3 권한 부여 ✔️ s3 test용 user을 생성한다. ✔️ s3 Full access policy를 부여한다. # s3user 사용자 생성 aws iam create-user --user-name s3user # iam 사용자 리스트 확인 aws iam list-us..
[AHSS 1주차] AWS S3 보안 (2) cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 1주차 정리입니다. [ AWS 보안 ] S3는 어떻게 관리해야 할까요? ✅ S3 접근 통제 방법 객체 ACL ( 권장 x ) 버킷 ACL ( 권장 x ) 버킷 정책 IAM 정책 이전 포스팅에서는 S3 버킷의 권한을 통제하는 4가지 방법중 먼저 시간에 잘 권장하지 않는 ACL 정책에 대해서 학습 및 정리 하였으며 객체 ACL ( 권장 x ) 버킷 ACL ( 권장 x ) 이번 포스팅에서는 S3 버킷 정책 과 관련된 여러가지 실습들을 해본다. S3 서명된 URL HTTPS 만 허용 서버사이드 암호화 (KMS) ✅ S3 Pre-signed url & 버킷 생성 서명된 URL [자신의 PC] IAM 자격 증명 설정 되어 있는 상태 서명된 URL (만..
[AHSS 1주차] AWS S3 보안 (1) cloudNet@ 팀의 가시다 님이 진행하는 AWS 보안 스터디 1주차 정리입니다. [ AWS 보안 ] S3는 어떻게 관리해야 할까요? ✅ S3 접근 통제 방법 S3 접근 통제 방법은 아래 4가지로 나뉩니다. 하지만, ACL 정책인 객체 ACL과 버킷 ACL은 권장하지 않는다고 하네요! 왜 그럴까요? 이부분을 생각해보면서 포스팅을 읽어주시면 도움이 됩니다. 객체 ACL ( 권장 x ) 버킷 ACL ( 권장 x ) 버킷 정책 IAM 정책 왜 객체 ACL / 버킷 ACL은 권장하지 않을까요? 아래 2가지 문제를 풀어보면서 그 이유에 대해서 추론 해보도록 하겠습니다. 우선 객체 ACL과 버킷 ACL은 AWS콘솔의 화면에서 권한 부분에서 확인 할수 있습니다. 유심히 보아야 할 부분은 아래 세가지인데요 왜 권장하..
클라우드란 무엇인가요? 클라우드, 가상화, 서버 , 네트워크 , 스토리지 기초에 대해서 진짜 쉽게 내 방식대로 정리해봄 비전공자로 IT를 시작한지 어느덧 4년이 되어간다. 컴퓨터 공학을 공부한적이 없었기 때문에 서버, 메모리, CPU , 네트워크 , 클라우드 등 굉장히 낯설은 개념들이 많았다. 2번째 회사로 AWS를 주로 하는 회사에 왔기 때문에 클라우드에 대해서 공부하다보니 어느정도 정리가 되었다. 그동안 공부하고 정리한 내용들을 적어 보려한다. 처음 클라우드를 접하는 여러분들에게 큰 도움이 되었으면 한다. 1. 클라우드의 이해 1-1. 클라우드 의 이해 클라우드 인터넷을 통해서 언제 어디서든지 원하는 때 원하는 만큼의 IT 리소스(컴퓨팅, 스토리지, 네트워크)를 손쉽게 사용할 수 있게 하는 서비스를 말합니다. 우리가 흔히 ..

티스토리툴바