Share
Sign In
Other Services
1.
Health Dashboard
2.
Trusted Advisor
3.
GuardDuty
4.
Macie
5.
Secrets Manager
6.
License Manager
7.
Cost Allocation Tags
8.
Data Protection
9.
Network Protection
1. Health Dashboard
Service Health Dashboard
모든 리전의 모든 리소스가 어떤 상태인지 확인
RSS로 알림을 받을 수 있다.
Personal Health Dashboard (PHD)
내가 사용하고 있는 서비스의 이슈를 보여준다.
예) 너 EC2 하드웨어가 맛이 갔어 :)
CW Events, Slack 등과 연동할 수 있다.
IAM Key 노출 사고
IAM Key가 Github에 올라갔을 때 대처할 수 있는 파이프라인이다.
1.
PHD : 자동으로 Github을 조사해서 노출된 IAM key를 찾는다.
2.
IAM : IAM Key를 삭제한다.
3.
CloudTrail : 해당 IAM Key의 모든 활동을 추적한다.
4.
SNS : 관련자들에게 모두 보고 메일을 발송한다.
2. Trusted Advisor
AWS가 Well-Architecture Framework에 따라 잘 구성되었는지를 확인하는 서비스이다.
예시 공부 :
자동으로 check 갱신하기
제공해주는 API를 사용해, 하루 이상 지난 check를 갱신한다.
refresh-trusted-advisor-check
describle-trusted-advisor-check-result
3. GuardDuty
머신 러닝으로 CloudTrail Logs, VPC Flow Logs, DNS Logs 자료들을 분석해 위협을 찾아낸다. 찾아내면 CloudWatch Event로 알릴 수 있다. 암호화폐 공격을 막을 수 있다. 30일까지 무료
4. Macie
머신 러닝을 통해 S3가 PII (개인식별정보) 같은 민감한 정보를 가지고 있는지 찾는 서비스이다.
5. Secrets Manager
SSM Parameter와 달리 값을 무조건 KMS 키로 암호화해서 저장하는 서비스이다.
매 X일 마다 키 교체를 강제한다.
Amazon RDS, Redshift, DocumentDB와 통합할 수 있다.
6. License Manager
윈도우 라이센스 같은 라이센스를 저장하고 어디에 적용했는지 추적해주는 서비스이다.
7. Cost Allocation Tags
그냥 태그지만, 요금 계산할 때만 표시되는 태그이다. 원하는 태그를 활성화하고, 해당 태그를 리소스에 붙이면, 태그별로 요금을 볼 수 있다.
AWS Generated : aws:로 시작한다.
User tags : user:로 시작한다.
8. Data Protection
모든 서비스는 HTTPS endpoint를 제공한다.
Load Balancer에서 SSL 인증서를 붙일 수 있다.
S3 암호화
SSE-S3: Amazon S3가 제공하는 key로 암호화한다.
SSE-KMS: 키 관리 서비스에서 관리하는 key로 암호화한다.
SSE-C: 고객에 제공하는 키로 암호화한다. S3는 키를 저장하지 않고 고객이 HTTPS로 계속 제공해야 한다.
Client Side Encryption - 클라이언트에서 암호화해서 S3로 보낸다.
9. Network Protection
AWS 외부
Direct Connect : 온프레미스 서버와 AWS를 직접 연결
Site-to-Site VPN : IPsec VPN 연결로 퍼블릭 인터넷을 통과하지만 안전하게 통신
AWS 내부
stateful이란 한 요청을 허용하면, 해당 요청의 응답은 무조건 허용하는 것을 말한다.
Network ACL : VPC 레벨에서 stateless 방화벽 제공
WAF : 웹 보안 규칙 정함
Security Group : 인스턴스에 stateful 방화벽 제공
System Firewall : 인스턴스에 설치하는 내부 방화벽