Hack3rSoltion의 클라우드 보안 이야기
첫 포스팅에서도 언급했지만 다시 한 번 정리해야 할 것 같습니다.처음부터 방문자가 많을 거라고 생각하지 않았지만 너무 없는 것 같아서요. 1. 보안과 클라우드에 대한 저의 경험을 정형화해서 문서로 만들어 보자.2. 그리고 내가 클라우드 보안을 처음 접했을 때 느꼈던 막막함을 똑같이 느낄 많은 보안담당자들에게 공유하자.3. 이것을 계기로 많은 사람과 소통하자. 시작은 이랬습니다.그래서 클라우드 보안, AWS 두 카테고리만 만들어서 포스팅을 하게 되었죠.물론 생각나는대로 포스팅하는 거라 순서는 뒤죽박죽입니다.하지만 너무 작은 부분에서 시작하기 보다는 큰 관점에서 접근하기로 했습니다.예를 들자면 이렇습니다. 클라우드 -> 보안 -> 계정/권한관리 -> AWS -> AWS IAM -> User/Policy/Ke..
Cloud Security에 관심있는 분이라면 SECaaS라는 단어를 들어보셨을 겁니다.'SECURITY as a Service' 즉, '서비스로써의 보안'이라는 의미입니다.On-prem과 Cloud는 비슷한듯 하면서도 참으로 많이 다릅니다.특히 보안의 경우 사상은 비슷하지만 적용방식이 달라 보안담당자들을 많이 당황스럽게 하죠.최근에 Cloud로 마이그레이션이 많이 이루어지다 보니 보안에는 크게 신경을 쓰지 못하는 경우가 생깁니다.그런데 마이그레이션 이후 안정화를 하는 과정에서 보안 요구사항들이 하나둘씩 나오기 시작하죠.하지만 막연함과 당황스러움은 여전합니다.그래서 인력이나 전문성이 없는 사용자는 전문서비스를 받기 원할 겁니다.SECaaS는 이렇게 생겨납니다. Cloud Security Alliance에..
오늘은 마지막으로 보안 체크리스트 S3에 대해 알아보겠습니다. 1. 공용 액세스 S3 버킷을 만들지 마세요. a. IAM 또는 S3 버킷 정책을 사용하여 S3 버킷에 대한 액세스를 제어하세요. b. 버킷 정책을 설정할 때에는 다음과 같은 항목들을 고려해야 합니다. i. 추가 조건을 포함하여 여러 계정에 권한 부여 ii. 익명 사용자에게 읽기 전용 권한 부여 iii. 특정 IP 주소 액세스 제한 iv. 특정 HTTP 참조자에 대한 액세스 제한 v. Amazon CloudFront 오리진 자격 증명에 권한 부여 vi. MFA가 필요한 버킷 정책 추가 vii. 버킷 소유자가 완벽하게 제어할 수 있도록 보증하면서 객체에 업로드하는 교차 계정 권한 부여 viii. Amazon S3 인벤토리 및 Amazon S3 ..