1. VPC 엔드포인트 및 PrivateLink 보안을 위해 Internet Gateway를 달고 싶지 않은 경우, AWS 서비스나 외부 API는 꼭 사용해야할 때 활용하는 기술이다. 1.1. 인터페이스 VPC Endpoint Private Subnet 안에서 Public Internet을 거치지 않고, AWS 내부망을 통해 SQS, Kine...

1. 네트워크 격리를 위한 멀티 VPC 사용 1.1. 멀티 VPC를 사용하는 이유: 논리적 분리 단일 계정이나 단일 VPC 안에서 IAM 정책과 Security Group만으로 모든 접근을 완벽하게 통...

1. 라우팅 테이블 (Route table) 라우팅 테이블은 VPC 전체에서 ‘전송된 IP 주소’를 기반으로 트래픽이 전달되어야 하는 목적지를 정의하는 규칙 집합이다. 1.1. 라우팅 테이블의 구성 요소 라우팅 규칙은 크게 두 부분으로 나뉜다. 목적지 (Destination) : 트래픽이 최종적으로 가려고 하는 도착지로, IP 주소 범위(CID...

1. 개요 1.1. VPC와 서브넷 VPC (Virtual Private Cloud) : AWS 네트워킹의 가장 높은 수준에 위치하는 ‘격리된 가상 네트워크’ 공간이다. 서브넷 (Subnet) : VPC 내부에 존재하는 개별 ‘하위 네트워크’이다. EC2 인스턴스와 같은 대부분의 네트워크 리소스는 이 서브넷 안에 배치(연결)된다. 퍼블릭 ...

1. IAM과 VPC의 유사점과 차이점 IAM 규칙 (정책) : 특정 사용자나 그룹이 API 또는 AWS Console에서 “어떤 작업을 수행할 수 있을지”를 제어한다. VPC 규칙 : 인증된 사용자가 아닌, ‘트래픽 소스(출발지)’를 기반으로 네트워크에 “어떤 종류의 트래픽이 허용되는지”를 제어한다. 2. 네트워크 보안이 중요한 이유 추...

1. IAM 권한 검토 수동 검토의 필요성 : 조직에서 모범 사례(규칙)를 만들었다면 이를 적용해야 하지만, 패스워드 정책 등을 제외한 대부분의 모범 사례는 자동으로 시스템에 강제하기 어렵다. 해결책 : IAM 구성이 우리가 정한 규칙(모범 사례)을 잘 따르고 있는지 확인하는 가장 확실한 방법은 수동으로 직접 검토하는 것이다. 2. IA...

1. 자격증명의 종류와 수명 IAM 사용자 (장기) : 일반적으로 며칠, 몇 달, 몇 년 단위로 만료되거나 아예 만료되지 않는 수명이 긴 자격 증명(패스워드, 액세스 키) IAM 역할 (단기) : 몇 분에서 몇 시간(최대 12시간) 안에 만료되는 수명이 짧은 자격증명 2. 수명이 긴 자격증명의 위험 ‘최소 권한 원칙’이 공격자가 얻는...

1. 개요 1.1. 최소 권한의 원칙 개념 : 작업을 수행하는 데 필요한 최소한의 권한만 부여해야 한다는 강력한 보안 원칙이다. 은행 금고 비유 : 고객이 은행에서 금고 상자 10개를 구매하면, 그 10개의 상자만 열 수 있는 열쇠 10개를 받는 것이 정상적이고 안전한 방식이다. 최소 권한이 깨지는 상황 : 만약 고객이 열쇠 10개를 관리...

1. 모범 사례 시나리오 IAM을 설정할 때 동일한 목표를 달성할 수 있는 방법은 여러 가지가 있다. 각 방법은 난이도와 보안 수준이 모두 다르다. 특정 단일 사용자에게 DynamoDB 테이블에서 쿼리하고 S3 버킷의 객체를 읽어야 하는 권한을 줘야 하는 상황을 가정한다. 관리자 정책 (Administrator Policy) 연결 :...

1. 개요 모든 보안 기능에는 장단점이 있으므로, 맹목적으로 적용하기 보다는 조직의 상황에 맞게 아래 사항들이 반드시 고려되어야 한다. 최소 권한 접근 제어 적용 보안과 편의성의 균형 주기적인 보안 검토 2. 위협 모델링 공식적인 위협 모델링 프로세스가 있든 없든, 위협 모델은 가장 가능성이 높은 공격 벡터와 가장 취약한 자산으로...