반응형
DDoS(Distributed Denial Of Service Attack)
- 분산 서비스 거부 공격, DoS 공격과는 달리 다수의 메커니즘에 의해 실행됨
- Amplification/Reflection 공격 : 공격자가 다수의 NTP, SSDP, DNS, SNMP 서버에 요청을 보내 트래픽을 증폭시킨 후 공격대상에 이를 보내는 공격법(Source IP Spoofing)
- Application 공격 : GET Flooding 공격, 다수의 커넥션을 생성한 뒤 최대한 오래 유지하여 지연시킴
- AWS Shield : ELB, Cloudfront, Route 53, WAF, Autoscaling, Cloudwatch 등을 DDoS 공격으로부터 방어하는 서비스
- Standard와 Advanced로 나뉨
- Standard는 추가 비용없이 사용가능하며 굳이 활성화하지 않아도 이미 활성화되어 있음
- SYN/UDP Floods, Reflection attacks, 각종 Layer 3/4 공격을 막아냄
- AWS Shield Advanced : Shield의 강화 버전으로 EC2, ELB, Cloudfront, Route 53 등에 추가적인 보호를 제공하지만 비용을 추가로 내야 함
- 보안 백서를 읽어보는 것이 중요
STS(AWS Security Token Service)
- AWS Resource에 접근할 임시 권한을 유저에게 부여하는 서비스
- IAM 사용자가 사용할 수 있는 장기 액세스 키 자격 증명과 거의 동일한 효력을 지님
- 임시 자격 증명이라는 이름답게 단기적으로 자격을 증명하는 서비스
- 장점
- 사용자에 대한 AWS 자격 증명을 정의하지 않아도, 특정 리소스에 대한 액세스 권한을 사용자에게 제공할 수 있음
- 더 이상 필요하지 않을 때 교체하거나 직접 취소시킬 필요 없음
- STS Scenario 예시
1. username과 password를 입력
2. 앱이 Identity Broker를 호출하면 Broker가 username과 password를 캡쳐
3. Broker가 LDAP 디렉토리를 이용하여 사용자의 자격을 유효화함
4. Broker가 다시 IAM Credentail을 이용하여 새로운 GetFederationToken 기능을 호출
(이 호출에는 반드시 IAM Policy와 유효 시간, 임시 자격을 부여할 권한이 담긴 정책을 포함해야함)
5. STS가 앱에게 4가지 값(Access Key, Secret access key, token, duration)을 반환하고 새 토큰을 발행하기 위해 IAM 정책을 확인함
6. Broker가 임시 보안 증명을 앱에 반환
7. 앱이 S3에 요청을 보내기 위해 임시 보안 증명 사용
8. S3는 IAM을 이용하여 증명을 확인하고 S3 버킷에 요청을 보내는 것을 허용
Logging in AWS
- AWS의 로깅 서비스
- CloudTrail, Config, CloudWatch Logs, VPC Flow Logs 등이 존재함
- CloudTrail와 Config의 차이점에 대해 알아보는 것이 좋음
- CloudTrail은 '누가' 해당 서비스를 접근하였고, 사용하였고, 변경했는가를 중점적으로 봄
- Config는 '어떤' 서비스가 접근되었고, 사용되었고, 변경되었는가를 중점적으로 봄
반응형
'Amazon Web Serivce 자격증 쉽게 공부하기 > [C01]AWS Sysops Administrator Associate' 카테고리의 다른 글
| SOA #14, Compliance - 2 ( 완결 ) (0) | 2020.09.08 |
|---|---|
| SOA #12, Networking & DNS (0) | 2020.08.15 |
| SOA #11, Storage & Data Management - 3 (0) | 2020.08.06 |
| SOA #10, Storage & Data Management - 2 (0) | 2020.07.25 |
| SOA #9, Storage & Data Management - 1 (0) | 2020.07.15 |
댓글