DevSecOps/AWS Security (16) 썸네일형 리스트형 AWS IAM 정책의 Resource vs NotResource AWS IAM 정책의 Resource vs NotResource: 보안 설계 관점에서 완전 정리AWS IAM 정책을 설계할 때 보통은 어떤 리소스에 어떤 작업을 허용할지를 정의합니다. 이때 주로 사용하는 키가 Resource입니다. 그러나 그 반대 개념인 NotResource 역시 존재하며, 특정 리소스를 제외한 모든 리소스에 대한 제어가 필요한 경우 사용됩니다.문제는 NotResource를 잘못 사용하면 의도하지 않은 리소스 전체 허용 또는 거부로 이어질 수 있다는 점입니다. 이 글에서는 두 키워드의 차이, 용도, 보안상 유의점, 실전 설계 전략을 정리합니다.1. 기본 개념 비교 항목 Resource NotResource 제어 대상 .. AWS IAM 정책의 Action vs NotAction AWS IAM 정책을 설계할 때 자주 마주치는 키워드 중 하나가 Action입니다. 하지만 이와 짝을 이루는 개념인 NotAction은 의외로 많은 사람들이 잘 이해하지 못하거나, 오해한 채 사용하는 경우가 많습니다. 이 글에서는 Action과 NotAction의 개념적 차이부터 실무 설계 시 주의할 점, 보안 사고로 이어질 수 있는 잘못된 사용 사례까지 정리합니다.1. 기본 개념의미허용 또는 거부할 특정 작업을 명시허용 또는 거부에서 제외할 작업을 명시작동 방식이 작업들을 허용/거부한다이 작업들을 제외한 나머지를 허용/거부한다주 사용 위치Effect: Allow 또는 Deny주로 Effect: Deny에서 사용전형적 목적명시적 권한 부여 또는 제한범용 거부 정책에서 특정 예외 허용 시 사용 2. 예제 .. AWS IAM 정책: 리소스 기반 정책 vs ID 기반 정책 비교 정리 AWS의 보안 정책을 설계하다 보면 반드시 마주치는 두 가지 개념이 있습니다. 바로 리소스 기반 정책(Resource-based policy) 과 ID 기반 정책(Identity-based policy) 입니다. 표면적으로는 비슷한 JSON 포맷을 사용하지만, 정책의 적용 대상, 제어 방향, 보안상 고려사항은 완전히 다릅니다. 이 글에서는 두 정책의 차이점을 실무 관점에서 정리하고, 어떤 상황에서 어떤 정책을 사용해야 하는지 전략적으로 정리해보겠습니다.1. 정책의 적용 대상 적용 대상IAM 사용자, 그룹, 역할AWS 리소스(S3, Lambda, KMS 등)주체(Principal) 명시필요 없음 (정책을 부착한 엔터티가 주체)필요함 (누가 접근 가능한지를 명시해야 함)접근 제어 방향"이 사용자가 어떤 리소.. AWS IAM 정책에서 Principal과 NotPrincipal의 차이 AWS IAM 정책을 설계할 때 종종 마주치는 두 키워드가 있습니다. 바로 Principal과 NotPrincipal입니다. 얼핏 보면 반대 개념처럼 보이지만, 실제 의미와 작동 방식은 그보다 훨씬 더 복잡하고 보안상 중요한 차이를 내포하고 있습니다. 이 글에서는 두 키워드의 기능적 차이뿐만 아니라 보안상 오용 시 발생할 수 있는 리스크까지 짚어보겠습니다.1. Principal: 접근을 명시적으로 허용/거부할 대상 지정Principal은 정책의 대상 주체(subject) 를 지정합니다.주로 리소스 기반 정책(Resource-based policy) 에서 사용됩니다.이 필드는 누가 이 리소스에 접근 가능한가를 정의합니다.예시{ "Effect": "Allow", "Principal": { "A.. [AWS Workshop] AWS Network Firewall의 세션 상태 복제 기능으로 고가용성 확보하기 AWS Network Firewall의 세션 상태 복제 기능으로 고가용성 확보하기1. 개요: 왜 세션 상태 복제가 중요한가?AWS Network Firewall은 VPC 경계에서 트래픽을 제어하는 관리형 Stateful 방화벽 서비스입니다. 주로 다음과 같은 위치에서 트래픽 필터링을 수행합니다Internet Gateway (IGW)NAT GatewaySite-to-Site VPNAWS Direct ConnectStateful inspection을 수행하는 Network Firewall은 연결 상태를 메모리에 저장하고 패킷을 흐름 단위로 판단합니다. 하지만 문제는 여기서 발생합니다:"만약 방화벽 백엔드 호스트가 교체되면, 기존 연결의 상태 정보는 어떻게 될까?"기존에는 호스트가 교체되면 연결 상태가 유실되.. [AWS Workshop] AWS Network Firewall 트래픽 분석 모드와 자동 도메인 보고서: 도메인 기반 제어를 자동화하는 방법 🔍 무엇을 위한 기능인가요?AWS Network Firewall은 기본적으로 IP/포트/프로토콜 기반의 정책 제어를 지원합니다. 하지만 실제 운영 환경에서는 ‘도메인(예: google.com)’ 단위로 제어가 필요한 경우가 많습니다.예를 들어:특정 SaaS 도메인만 허용의심스러운 외부 도메인 접근 탐지비인가 서비스 접근 차단이때 AWS는 ‘트래픽 분석 모드(Traffic Analysis Mode)’를 활용하여 도메인 기반 보고서를 생성하고, 이를 기반으로 정책을 자동으로 구성할 수 있게 도와줍니다.🧠 핵심 개념 요약 트래픽 분석 모드HTTP/HTTPS 트래픽에서 도메인 정보를 수집하는 기능도메인 보고서 (Domain Report)최대 30일 동안 관찰된 도메인 접속 정보 요약도메인 리스트 룰 그룹관찰.. [AWS Workshop]AWS Network Firewall Flow Capture & Flow Flush 완전 정복 – 실시간 트래픽 제어의 핵심 기능 🔎 들어가며AWS Network Firewall은 VPC 내부 트래픽을 정밀하게 제어할 수 있는 Stateful Firewall 서비스입니다. 최근 AWS는 이 서비스에 다음과 같은 두 가지 강력한 기능을 추가했습니다:Flow Capture: 현재 활성화된 네트워크 연결(Flow)을 실시간으로 확인Flow Flush: 특정 조건에 맞는 네트워크 연결을 실시간으로 강제 종료이 기능들은 기존에는 어렵거나 불가능했던 작업, 예를 들어 방화벽 정책 변경 후 기존 세션 반영, 의심 트래픽 격리, 장기 세션 종료 등을 가능하게 만들어줍니다.이번 포스팅에서는 이 두 기능이 무엇인지, 왜 중요한지, 그리고 어떻게 사용하는지를 쉽게 설명드리겠습니다.🧠 기본 개념부터 정리하기1. Flow란 무엇인가요?AWS Netwo.. [AWS Workshop] AWS SFTP 파일 업로드 시 GuardDuty를 활용한 악성코드 자동 스캔 아키텍처 배경기업은 외부 사용자와 파일을 안전하게 공유할 수 있어야 합니다. 그러나 파일 전송 서버(SFTP)를 외부에 공개하면 악성코드 감염 파일이 업로드될 수 있는 보안 위협에 노출됩니다. 이 문제를 해결하기 위해 AWS에서는 Transfer Family + GuardDuty를 활용한 악성코드 자동 스캔 워크플로우를 구성할 수 있습니다. 이 글에서는 컴퓨팅 리소스 배포 없이 완전관리형으로 파일 업로드 후 GuardDuty를 통해 악성코드를 검사하고, 결과에 따라 적절한 조치를 취하는 전체 흐름을 설명합니다.사전 조건AWS 계정AWS CLI, Git, Terraform 설치 및 설정GitHub 예제 코드: aws-samples솔루션 구성 개요사용 서비스AWS Transfer Family (SFTP): 보안 파일.. [AWS Workshop] Amazon Route 53 Resolver DNS Firewall Advanced를 활용한 DNS 보안 대응 전략 개요AWS 환경에서 DNS 요청은 인터넷의 주소록 역할을 하며, 사용자와 서비스 간의 연결을 중개합니다. Amazon VPC 내에서는 DNS 트래픽이 인터넷 게이트웨이를 거치지 않고 Route 53 Resolver를 통해 처리되기 때문에, 기존 네트워크 보안 통제에서 벗어난 경로로 동작하게 됩니다. 이를 악용하는 위협을 차단하기 위해 AWS는 Route 53 Resolver DNS Firewall 및 DNS Firewall Advanced 기능을 제공합니다. 본 포스트에서는 이 두 기능의 차이점, 구성 방법, 탐지 예시, CloudFormation 템플릿을 통한 자동 배포, Security Hub 통합까지 실제 사례 중심으로 설명합니다.1. DNS 기반 위협 유형 이해DNS 터널링 (DNS Tunneli.. [AWS Security] Global Accelerator란? Anycast IP 원리와 실전 활용법 완전 정리 AWS Global Accelerator는 어떻게 글로벌 사용자에게 빠르고 안전한 네트워크 연결을 제공할까?이 글에서는 Global Accelerator의 개념, Anycast IP의 원리, 그리고 실무 적용 아키텍처까지 전부 정리해드립니다.🔍 Global Accelerator란?AWS Global Accelerator는 전 세계에서 들어오는 TCP/UDP 트래픽을 AWS 글로벌 백본 네트워크를 통해가장 가까운 리전의 정상적인 리소스(ALB/NLB/EC2)로 라우팅해주는 네트워크 전송 최적화 서비스입니다.쉽게 말하면:"전 세계에서 단 하나의 IP로 접속하면, AWS가 알아서 가장 빠르고 살아있는 서버로 연결시켜주는 서비스" 🧭 핵심 개념 요약Anycast IP 제공전 세계 어디에서나 동일한 IP 주소.. 이전 1 2 다음