[갑티슈시리즈] 2018년 5장
안녕하세요. GS네오텍 최지훈입니다.
이번에는 알고 넘어가면 좋을 만한 내용들입니다.
그럼 5장 시작입니다.
여기서 다루는 내용
· Linux에서 EBS 볼륨의 크기, IOPS 또는 유형 수정
· VPC peering
· AWS WAF 관리형 규칙 판매자
Linux에서 EBS 볼륨의 크기, IOPS 또는 유형 수정
현재의 Amazon EBS 볼륨을 현재 세대의 EC2 인스턴스 유형에 연결하면 크기를 늘리거나 볼륨 유형을 변경하거나 io1볼륨의 경우 IOPS 성능을 분리하지 않고 볼륨을 조정 가능(분리 된 볼륨에도 적용 가능)
다음과 같은 이전 생성 인스턴스 유형은 분리 없이 EBS볼륨의 수정을 지원
- C1, C3, CC2, CR1, G2, I2, M1, M3, R3
- 이러한 인스턴스 유형에서 발생하는 모든 경고는 무시
일반적 볼륨 수정 단계
- 수정 명령을 실행
- 수정 진행 상황을 모니터링
- 볼륨 크기가 수정 된 경우 증가 된 저장 용량을 활용하려면 볼륨의 파일 시스템을 확장
볼륨의 구성을 수정하는 것은 무료(수정이 시작된 후 새 볼륨 구성 가격으로 청구)
중요한 데이터가 들어있는 볼륨을 수정하기 전에 변경 사항을 롤백해야 할 경우에 대비하여 볼륨의 스냅 샷을 만드는 것을 추천
※ 링크 : https://docs.aws.amazon.com/ko_kr/AWSEC2/latest/UserGuide/ebs-modify-volume.html
VPC peering
VPC 피어링 연결은 프라이빗 IPv4 주소 또는 IPv6 주소를 사용하여 두 VPC 간에 트래픽을 라우팅할 수 있도록 하기 위한 두 VPC 사이의 네트워킹 연결
동일한 네트워크에 속하는 경우와 같이 VPC의 인스턴스가 서로 통신 가능
사용자의 자체 VPC 또는 다른 AWS 계정의 VPC와 VPC 피어링 연결을 생성 가능
리전 간 VPC 피어링 연결도 가능
- N. Virginia (us-east-1), Ohio (us-east-2), N. California (us-west-1), Oregon (us-west-2)
- Mumbai (ap-south-1), Singapore (ap-southeast-1), Sydney (ap-southeast-2), Tokyo (ap-northeast-1)
- Canada – Central (ca-central-1)
- Ireland (eu-west-1), London (eu-west-2), Paris (eu-west-3), São Paulo (sa-east-1), Frankfurt (eu-central-1)
AWS는 VPC의 기존 인프라를 사용하여 VPC 피어링 연결을 생성
- 이는 게이트웨이도, VPN 연결도 아니며 물리적 하드웨어 각각에 의존하지 않으므로 통신 또는 대역폭 병목에 대한 단일 지점 장애가 없음
VPC 피어링 연결은 원활한 데이터 전송에 유용
- AWS 계정이 두 개 이상인 경우 이들 계정을 대상으로 VPC를 피어링하여 파일 공유 네트워크를 생성 가능
- VPC 피어링 연결을 사용하여 다른 VPC가 사용자의 VPC 중 하나에 있는 리소스에 액세스하도록 허용 가능
※ 링크 : https://docs.aws.amazon.com/ko_kr/AmazonVPC/latest/PeeringGuide/Welcome.html
AWS WAF 관리형 규칙 판매자
AWS Web Application Firewall(WAF)용 관리형 규칙은 AWS Application Load Balancer 또는 Amazon CloudFront에서 실행 중인 웹 애플리케이션 앞에 쉽게 배포할 수 있으며 AWS Marketplace 판매자가 작성, 큐레이션 및 관리하는 일련의 규칙
- Alert Logic’s Managed Rules for AWS WAF Virtual Patches for WordPress
- 애플리케이션 성능 및 가용성에 대한 위험을 최소화하여 최근 6개월의 악용 가능한 WordPress 공격으로부터 효율적이고 선별적으로 보호
- F5 Rules for AWS WAF – 봇 보호 규칙
- 취약성 스캐너, 웹 스크래퍼, DDoS 도구, 포럼 스팸 도구와 같은 다양한 악의적인 봇 활동을 차단
- F5 Rules for AWS WAF – 웹 공격 OWASP 규칙
- SQLi, XSS, 명령어 주입, No-SQLi 주입, 경로 조작 및 예측 가능한 리소스 등 10대 OWASP의 일부인 웹 공격에 대한 보호를 제공
- F5 Rules for AWS WAF – CVE(Common Vulnerabilities and Exposures)
- Apache, Apache Struts, Bash, Elasticsearch, IIS, JBoss, JSP, Java, Joomla, MySQL, Node.js, PHP, PHPMyAdmin, Perl, Ruby On Rails 및 WordPress를 목표로 하는 요즘 가장 논란이 되는 CVE에 대한 보호를 제공
- Fortinet Managed Rules for AWS WAF – 전체 OWASP 10대 규칙 그룹
- 전체 OWASP 10대 규칙 그룹은 Fortinet의 다른 AWS WAF 규칙 그룹을 하나의 포괄적인 패키지로 통합하며, SQLi/XSS, 일반적인 공격 및 알려진 공격, 악성 봇 규칙 그룹 등이 이에 포함
- Fortinet Managed Rules for AWS WAF – 악성 봇
- 악성 봇 규칙 그룹은 요청을 분석하고 알려진 콘텐츠 스크레이퍼, 취약성을 찾는 스파이더, 그리고 그 외에 OWASP에서 웹 애플리케이션에 대한 위험으로 식별한 원치 않는 자동화 클라이언트를 차단
- Fortinet Managed Rules for AWS WAF – 일반적 및 알려진 공격 규칙 그룹
- 일반적 및 알려진 공격 규칙 그룹은 수많은 주입 공격, URL 리디렉션, HTTP 응답 분할, 데이터베이스 노출 취약성, 기타 CVE(Common Vulnerabilities and Exposures)를 비롯하여 일반 및 지능형 OWASP 10대 위협을 탐지
- Fortinet Managed Rules for AWS WAF – SQLi/XSS
- SQLi/XSS 규칙 그룹은 OWASP 10대, SQL 명령어 주입 및 교차 사이트 스크립팅에서 식별된 2가지 기본 웹 애플리케이션 공격 유형에 대한 보호를 제공
- Imperva – Managed Rules for WordPress Protection on AWS WAF
- WordPress 고유의 취약성을 보호하는 독창적인 솔루션으로서, 복잡한 규칙을 제공하며 새로 출현한 위협에 대응하여 정기적으로 업데이트되고 모니터링
- Imperva – Managed Rules for IP Reputation on AWS WAF
- 포괄적인 IP 화이트리스트/블랙리스트를 제공하므로 고객은 보안에 대한 사전 예방적인 접근 방식을 적용(집계된 공격 데이터의 크라우드 소싱을 활용하여 새롭게 탐지된 악성 소스로 리스트를 업데이트)
- Trend Micro Managed Rules for AWS WAF – 웹서버(Apache, Nginx)
- 알려진 취약성으로부터 Apache 제품군(Apache Httpd, Apache Struts, Apache Tomcat) 및 Nginx를 보호하고 PCI DSS 요구사항을 충족
- Trend Micro Managed Rules for AWS WAF – CMS(콘텐츠 관리 시스템)
- 알려진 취약성으로부터 WordPress, Joomla, Drupal을 비롯한 일반적인 CMS 및 EMS를 보호하고 PCI DSS 요구 사항을 충족
- Trustwave Managed Rules for AWS WAF – ModSecurity 가상 패치
- BigTree CMS, couponPHP CMS 및 DotCMS와 같은 기술을 보호하는 수백 개의 가상 패치가 포함
- Trustwave Managed Rules for AWS WAF – CMS 가상 패치
- CMS(콘텐츠 관리 시스템) 가상 패치 패키지에서는 여러분의 고객과 평판을 보호할 수 있는 매우 중요한 패치를 제공
- Drupal, Joomla 및 WordPress와 같은 CMS 플랫폼을 보호하는 수백 개의 가상 패치가 포함
※ 링크 : https://aws.amazon.com/ko/mp/security/WAFManagedRules
최신 댓글