Quest 11.보안의 기초
Topics
- VPC - 프라이빗 클라우드를 만들 때 사용되는 리소스이다. 독립적이고 논리적인 네트워크를 구성할 수 있게 된다. IP의 범위를 지정하는 IPv4 CIDR 블록을 필수적으로 가지게 된다. 그렇게 생성된 프라이빗 클라우드는 CIDR 범위 안의 적절한 IP를 가지게 된다. CIDR는 16을 최대로 한다.
<CIDR 계산>
192.168.0.0/32 => 192.168.0.0
192.168.0.0/24 => 192.168.0.0-192.168.0.255
192.168.0.0/16 => 192.168.0.0-192.168.255.255 -
Subnet - Subnet은 실제로 리소스가 생성될 수 있는 물리적인 공간인 가용존과 연결된다. 즉, Subnet은 VPC 안에서 실제로 리소스가 생성될 수 있는 물리적인 네트워크 인 것이다. 재해 대응을 위해 가용존을 2개 이상 만들어 두는 것이 일반적이다.
-
방화벽 - 서로 다른 네트워크를 지나는 데이터를 허용 및 거부, 검열하는 소프트웨어 혹은 하드웨어를 말한다. 소프트웨어에서는 보안그룹(Security Group)을 생각하면 되는 것이다. 실제 방화벽의 원칙은 모두 막고 필요 서비스만 allow해주는 보안그룹과 유사하다.
종류로는 패킷 필터링(네트워크 계층), proxy, NAT, NetworkACL(물리적 인프라 방화벽 - 보안그룹과의 차이=>모든 것을 열고 특정 IP만 막음)등이 있다. -
IAM(Identity and Access Management) - 적합한 사용자와 디바이스만이 필요할 때 원하는 애플리케이션과 리소스 및 시스템에 인증(로그인) 및 권한 부여된 대상에 액세스할 수 있도록 허용하는 프레임워크이다.
<액세스 관리>
사용자에 대한 신뢰 여부 인증 -> 액세스 수준에 따른 권한을 인증
- Secrets Manager - DB의 보안 암호를 검색하도록 하는 API 호출 구조로 변경해 보안에 도움을 주는 보안 도구이다.
기존 방식은 코드에 암호를 하드코딩 하는 방식으로 DB 접근 시 자격증명을 진행했다. 시간이 지나면 자격증명을 교체해주었어야 하는데 교체과정이 새 자격증명 생성 방법보다 까다로워 새 작업증명을 위해 업데이트를 하거나 아예 자격증명을 교체하지않는 문제점이 있었다.
이러한 문제점을 Secret Manager가 자격증명을 프로그래밍하는 방법으로 해결해주었다. 프로그래밍을 통해 보안 암호 코드 자체가 사라져 암호가 손상될 일이 없고 일정에 따라 자동 보안 암호를 교체해줄 수 있었기 때문이다.
