Aws

aws bucket ls | xargs -L1 % aws s3api put-bucket-encryption \ –bucket % \ –server-side-encryption-configuration ‘{“Rules”: [{“ApplyServerSideEncryptionByDefault”: {“SSEAlgorithm”: “AES256”}}]}’ s3 api 이용한 모든버킷 AES-256 암호화.

요즘 ANS 공부를 하고 있다. 그러던 와중에 알게된 부분이다. AWS에선 VPC 를 생성할때 RFC1918을 권장한다. 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) 이 대역이다. 그러던중 IPv4 블록 연결제한 부분을 보게되었다. https://docs.aws.amazon.com/ko_kr/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing IPv4 CIDR 블록 연결 제한 기본 VPC CIDR 블록이 상주하는 IP 주소 범위 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 198.19.0.0/16 공개적으로 라우팅이 가능한 CIDR 블록(비-RFC 1918) 또는 100.64.0.0/10 범위의 CIDR 블록. 간단히 정리하면 해당 RFC1918중 하나의 대역을 사용하면 다른 대역을 사용할수 없는것이다. ...

기본 VPC의 경우에는 EC2를 생성할때 자동으로 인스턴스에 Public IP가 자동으로 붙는다. 이퍼블릭 IP는 생성되면 뗄수도없고 인스턴스를 종료후 재생성 해야지만 된다. Private subnet 에서도 Public IP가 생성되는것이므로 보안상의 취약점을 초래한다. 따라서 인스턴스를 생성할때는 이렇게 퍼블릭 IP가 비활성화로 생성해야하는데 매번 일일이 신경써서 하기엔 불편하다. VPC-서브넷 에서 자동 할당 IP 설정 수정 옵션을 해제해주면 된다. 해제하고 저장후 인스턴스를 생성해보면 아래와 같이 확인된다. 스샷에서 보이듯 서브넷의 기본설정을 수정하여 자동으로 비활성화 할수있다. ...

VPC를 생성하는 경우, 다음과 같이 /16RFC 1918:규격에 따라 프라이빗(비공개적으로 라우팅 가능) IPv4 주소 범위에 속하는 CIDR 블록( 또는 이하)을 지정하는 것이 좋습니다. -_-;공인IP를 쓸수있는건 아니지만 걍 아무대역 가져다 써도 VPC는 생성 가능하다. 갑자기 궁금해져서 퍼블릭클라우드는 비RFC1918을 지원하는지 모두 테스트 해보았고 모두 지원한다~ DOCS에서 명확하게 적혀있는것은 AWS 뿐이었다. Azure VNet 내에서 사용할 수 있는 주소 범위는 무엇입니까? RFC 1918에 정의되어 있는 모든 IP 주소 범위를 사용할 수 있습니다. 예를 들어 10.0.0.0/16을 사용할 수 있습니다. 다음 주소 범위는 추가할 수 없습니다. ...

지금까지는 대량의 IP를 컨트롤 할땐..CLI를 이용하거나.. 한줄씩 넣었다. 그도 그럴게.. (구)인터페이스 를 보면 한번에 하나의 IP만 넣을수 있게 되어있어 보이는 것이다. 그래서 지금까지의 나는 여러개의 IP에 동일한 프로토콜일 경우 여러개의 규칙을 추가했었다. 그런데 오늘 대량의 IP를 추가하려고 보니 CLI를 쓰기 너무 귀찮았다. 그래서..설마 구분자가 먹는거아냐? 싶어서 콤마를 써봤다. ex) 192.168.1.1/32,192.168.2.1/32,192.168.3.1/32,192.168.4.1/32,192.168.5.1/32 다섯개의 32bit IP를 ,로 구분하고 이건 소스 IP에 넣는다 이런식으로..그리고 저장 한꺼번에 추가가 된게 보인다. 그럼 새로운 인터페이스에선? ...

5월6일 SCS 시험을 봤다. 결과는 합격이다. 5월4일 연습시험을 봤는데… AWS Certified Security Specialty - Practice 시험에 응시해 주셔서 감사합니다. 다음 정보를 살펴보고 준비가 더 필요한 주제를 확인하십시오. 총점: 65% 주제별 채점: 1.0 Incident Response: 66% 2.0 Logging and Monitoring: 75% 3.0 Infrastructure Security: 83% 4.0 Identity and Access Management: 50% 5.0 Data Protection: 33% 65% 나와서 정말 많이 당황했다. 그래서 공부를 더 많이했다. 시험을 보게된 계기는 master.seo 님의 URL 공유로 부터 시작되었다. udemy 강의가 무료로 풀려서..그걸 한번 봤는데 반타작이 가능했다. ...

드디어!!드디어!!드디어!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! AWS에도 웹모니터링 기능이 생겼다. 진짜 너무 기다려왔던 기능이다. 사용법도 간단하고 지표도 바로나오고..이거 완전 물건이다. 바로 셋팅해봤다. 블루 프린트를 사용해서 테스트를 했다. 4가지의 블루프린트를 제공하고 스크립트를 수정할수도 있으나 귀찮다. 일정은 뭐….알아서 나는 5분으로 만들고 나중에 1분으로 수정했다. 일단 나머지 파라메터를 다 기본으로 설정하고 진행했다. 생성하면 진짜 간단하게 보여준다. 핵심은 이거다. 그냥 사이트 모니터링을 해주고 지연된 URL을 체크해준다. 나같은경우엔 사이트 모니터링을 1분마다 하고 5분 평균 임계값을 1로 설정하여 상당히 예민한 모니터링 설정을 하였다. 사이트 URL 체크가 1번만 실패해도 SNS로 경보가 동작한다. ...

Hostcenter 의 Acunetix 취약점 점검툴을 사용하였습니다. https://www.hostcenter.co.kr/Security/security01.aspx aws waf.ver2 관리형룰의 성능을 테스트 하고 싶었다. 마침 회사에 web 취약점 점검툴이 있었다. 그래서 테스트를 진행했다. 먼저 COUNT 모드로 점검을 진행했다. 총 점검시간 4시간 15000번의 리퀘스트가 있었다. 첫번째 테스트는 1월10일 두번째 테스트는 1월 30일 이었다. 빨리 진행하고 싶었는데 좀 바빳다. 1월10일 모니터링 모드 스캔 결과 1월 30일 차단모드 스캔결과 간략한 결과로만 봐도 high단계의 취약점이 사라리고 medium 단계의 취약점이 하나 사라졌다. 그럼 어떻게 막혔는지 리뷰를 해야하는데… ...

오늘의 주제는 인스턴스에서 발생하는 로그를 cloudwatch 로 전송하여 사용하는 법을 포스팅 할거다. 먼저 역할에 정책부터 생성해 보자. 사용하는 정책은 아래와 같다. { “Version”: “2012-10-17”, “Statement”: [ { “Effect”: “Allow”, “Action”: [ “logs:CreateLogGroup”, “logs:CreateLogStream”, “logs:PutLogEvents”, “logs:DescribeLogStreams” ], “Resource”: [ “arn:aws:logs:*:*:*” ] } ] } 역할을 인스턴스에 부여하고 인스턴스 내부에서 패키지를 설치해야 한다. 나는 이미 이전에 테스트로 설치해 뒀다. 설치로그이다. Nov 18 17:17:19 Installed: aws-cli-plugin-cloudwatch-logs-1.4.4-1.amzn2.0.1.noarch Nov 18 17:17:20 Installed: awslogs-1.1.4-3.amzn2.noarch 실제 설치방법은 yum install 이나 wget 으로 받아 실행하는 방법이 있다. ...

페이스북 AKUG에서 다음과 같은 포스팅을 봤다. https://aws.amazon.com/ko/about-aws/whats-new/2019/10/aws-global-accelerator-supports-ec2-instance-endpoints/?fbclid=IwAR2spSZzdtmHMDVqYwEpZS8W5pEs86t7SMNArZ2fyT81M55QDoDA1dqKuy4 처음엔 아무생각이 없었으나 급 아이디어가 떠올랐다. EC2 엔드포인트를 지원하면 리전간의 레이턴시를 줄일수 있지 않을까? 그러니까..궁금증은 오픈카톡에서 시작된거였다. 한국과 도쿄리전 간의 레이턴시를 20ms 로 줄일수 있는지가 관건이었다. AWS Global Accelerator는 TCP/UDP를 지원한다. 그렇다면 OPENVPN을 TCP로 셋팅해서 인스턴스의 앞단에 AWS Global Accelerator 둔다면 과연 빨라질까? 그런 궁금증이었다. 엣지로케이션을 이용하여 라우팅 최적화라고 생각하면 가장 간단하다. 테스트 방식은 총4가지였다 openvpn-도쿄리전(인스턴스) -프라이빗 IP 22 port tcping ...