JW의 IT 블로그

1. SSH- EC2 인스턴스에 원격접속할 때 쓰는 프로토콜(Secure Shell Protocol) - 공개키 암호화를 사용하여 종단간 데이터 전송 암호화 - 로그인 정보를 암복호화 한다.- 공개키: 데이터 암호화, EC2 인스턴스에 보관 (~/.ssh/authorized_keys) //개인키: 복호화에 사용, EC2에 로그인할 관리자 PC에 보관 - 해당 키페어로 인스턴스에 로그인을 하게 한다. 1) 키페어 생성 - SSH 키 생성 도구(ssh-keygen가 수학적으로 연결된 두 개의 키를 새엇ㅇ - 개인키 : 2048비트 이상의 길고 복잡한 숫자로 구성 - 공개키 : 개인키에서 수학적으로 계산되어 도출됨 - 개인키/공개키로 암호화된 데이터는 공개키/개인로만 복호화 가능 - 공개키로 개인키를 역산..

1. Patch Manager- EC2, 온프레미스 인스턴스를 대상으로 패치 작업을 자동화- 인스턴스, 인스턴스 그룹을 대상으로 EC2 인스턴스 tags를 활용하여 패치가 되지 않는 인스턴스를 스캔한다. - 패치 여부에 대해 관리자가 확인하기 위한 보고서를 제공한다. 1) 패치 베이스라인 : 승인되거나 거절된 패치들에 대한 리스트를 바탕으로 자동으로 패치 여부들을 파악하는 규칙- 어떤 패치들이 설치 되어야 하는지를 베이스라인을 통해 파악할 수 있다. - custom 패치 베이스라인 설정 가능 2) 패치 그룹 : 패치 그룹은 패치를 위한 관리하고 있는 인스턴스를 그룹화하는 기능 - 패치 그룹마다 다른 패치 적용- EC2 tags로 구현 가능 3) Maintenance Window - 인스턴스가 중요한 작업..

1. Amazon Inspector : 1) 기능: 보안 취약점을 미리 파악하여 보안 사고를 방지. 관리 조직으로 하여금 쉽게 잠재적 위협을 파악하도록 한다. AWS Security Hub와 EventBridge와 연동하여 대처를 자동화한다. - 자동화된 위협 감지 : 지속적으로 workload를 스캔하여, 취약점과 잘못 설정된 부분을 탐지한다. - 실시간 모니터링: 심각도(Critical, High, Medium, Low, Informational)에 따라 보안 이슈를 나누고 이에 맞게 경보를 울린다. - EventBridge와 연동하여 자동화된 조치: 발견된 즉시, 자동화된 작업을 촉발하여, 패치 취약점, 감염된 자원등에 대한 보안 조치를 취한다. - Compliance, 감사 지원 : 기존 comp..

1. AWS Personal Health Dashboard 1) 정의: 관리자 및 AWS 사용자의 AWS 자원에 영향을 줄 만한 서비스 이벤트에 대해 개인화된 View를 제공하는 서비스 2) 이벤트 카테고리 - Open issues : 운영적인 차원에서 문제들을 주로 다룸. 특정 API를 호출하는데 지연율이 상승하거나, 특정 서비스에서 비정상적인 오류 발생률, 데이터 센터 전원 장애 등이 있다. - Scheduled changes : 주기적, 혹은 다가올 유지보수 활동 중 자원에 영향이 갈만한 유지보수를 공지 - Notifications : 요금 알림, 인증서 교체, 내부적인 변화와 같이 그 이외의 기타 이벤트들을 공지 3) Trusted Advisor와의 차이 - 모니터링 자원 소유자: Trus..

1. CloudTrail1) 정의: 특정 IAM 유저, roles, access key의 이벤트 기록을 조회하고 각종 이벤트들에서 생기는 API 추적가능2) 기능- Event Detail 제공: 각 이벤트가 일어났을 때, 사용한 access key, user name, 시간, event source, region 등을 알려준다.2. Guard Duty 1) 정의: 지능형 위협 탐지에 사용되는 서비스로, region을 기준으로 제공됨 - 계정에서 일어나는 수십억개의 events들을 분석하고, 수상한 행동들을 파악하고 이에 분석할 수 있도록 한다. 2) 분석 데이터 원천 - VPC Flow logs : 클라우드의 ENI(네트워크 인터페이스)의 네트워크 트래픽을 분석. Guard duty의 경우 독립적인 st..

1. Trusted Advisor 1) 정의: 관리자의 AWS 환경을 분석하고, 5개의 Categories를 바탕으로 Best Practice에 의거한 추천 및 운영 방안을 제공 2) Five Categories :- Cost Optimization- Performance- Security- Fault Tolerance- Service Limits 3) 주의 사항 - Config와 달리 Trusted Advisor는 관리자가 직접 특정 리소스를 평가되로록 선정할 수 없다. Trusted Advisor는 자체적으로 설정된 리소스들을 알아서 평가할 뿐이다. 2. 주로 평가되는 보안사항들1) Root Account MFA - Root 계정에 MFA가 활성화되어 있는지 확인한다. 2) S3 Bucket 권한 -..

1. AWS Config1) 정의: AWS 리소스에 대한 설정 변화 기록 2) 기능: - 설정 변화 추적 및 기록- 서비스, 자원들이 기업, 조직 내 컴플라이언스 요구사항에 맞추어 설정되어있는지 확인- 환경 설정 변화를 s3 Bucket에 저장(본인이 미리 만들어놓은 버킷 지정 혹은 config가 자동으로 만듦)3) Config Rules: 특정 리소스들이 보안 요구사항을 맞추었는지 확인하는 규칙(1) AWS-Managed Rules: AWS가 정의하고 만든 규칙들 - 관리자들은 이미 만들어진 해당 AWS-Managed Rules를 활용 가능 - EX) 보안그룹이 SSH 트래픽을 제한하고 있는지? // IAM users의 비밀번호 정책이 특정 요구사항에 충족하는지// EBS 볼륨들이암호화 되어있는지(2)..

1. 스토리지 영구볼륨의 필요성 - 별도의 스토리지 설정을 하지 않으면 호스트 노드의 임시 디스크에 데이터가 보관됨 - 컨테이너를 삭제하면 임시디스크에 있는 데이터도 삭제 - 테스트용 Pod yaml 작성 apiVersion: v1kind: Podmetadata: creationTimestamp: null labels: run: pod name: podspec: containers: - image: busybox name: pod resources: {} command: - "/bin/sh" - "-c" - "while true; do date >> /home/pod-out.txt; cd /home sync; sync; sleep 30; done" dnsP..

1. Traefik 인그레스- 로드밸런서 타입 서비스는 L4까지만 지원하므로 인그레스라는 별도의 오브젝트로 L7까지 기능을 제공할 수 있다. - 외부에서 들어오는 HTTP요청에 대한 서비스 처리 규칙을 정의할 수있다.- SSl/TLS 인증서 또한 관리 가능 1) Traefik 컨트롤러 - 인그레스는 설정에 관련된 부분만 포함하고, 실제 네트워크 트레픽 처리는 인그레스 컨트롤러가 담당helm repo add traefik https://helm.traefik.io/traefikhelm repo listhelm pull traefik/traefiktar xvfz traefik-*rm -rf traefik-*cd traefik cp values.yaml my-values.yaml# 변수 수정----------..

1. MetalLB: 오픈소스형 로드밸런서1) 설치 [root@DESKTOP-ARLDN2P ~ (ubun01:nginx)]# helm repo add metallb https://metallb.github.io/metallb[root@DESKTOP-ARLDN2P ~ (ubun01:nginx)]# helm repo listNAME URLbitnami https://charts.bitnami.com/bitnamimetallb https://metallb.github.io/metallb[root@DESKTOP-ARLDN2P ~ (ubun01:nginx)]# helm pull metallb/metallb --version 0.13.7[root@DESKTOP-ARLDN2P ~ (ubun01:nginx)]# ..