aws

AWS Global Accelerator 인터넷 프로토콜 버전 6(IPv6) 지원 시작 지난 몇 년 동안 IPv6 도입은 특히 모바일 네트워크에서 지속적으로 증가했습니다. IPv6로 전환해야 하는 주요 이유는 다음과 같습니다. IPv4 주소의 제한된 가용성으로 인해 공용 웹 및 애플리케이션 서버를 스케일 업하는 능력이 제한될 수 있습니다. 모바일 네트워크의 IPv6 사용자는 네트워크 트래픽이 IPv6에서 IPv4로의 변환을 관리할 필요가 없을 때 더 나은 성능을 경험할 수 있습니다. IPv6를 통해 특정 인터넷 트래픽을 실행하려면 규제 규칙(예:미국 연방 취득 규정)을 준수해야 할 수 있습니다. 이를 바탕으로 AWS Global Accelerator에 IPv6 지원을 추가하여 고객이 애플리케이션에 접속하는 데 사용하는 네트워크 경로를 개선하는 데 도움이 될 수 있음을 확인했습니다. Global Accelerator는 AWS 글로벌 네트워크를 사용하여 네트워크 트래픽을 라우팅하고 패킷 손실, 지터 및 대기 시간을 일관적으로 낮게 유지합니다. Atlassian, New Relic 및 SkyScanner와 같은 고객은 이미 Global Accelerator를 사용하여 애플리케이션의 글로벌 가용성과 성능을 개선하고 있습니다. Global Accelerator는 애플리케이션의 고정된 진입점 역할을 [ more… ]

Amazon GuardDuty 신규 기능 – Amazon EBS 볼륨에 대한 맬웨어 탐지 제공 Amazon GuardDuty를 사용하면 AWS 계정과 워크로드를 모니터링하여 악의적인 활동을 탐지할 수 있습니다. 오늘은 GuardDuty에 맬웨어를 탐지하는 기능을 추가합니다. 맬웨어는 워크로드를 위협하거나 리소스를 다른 용도로 사용하거나 데이터에 무단으로 액세스하는 데 사용되는 악성 소프트웨어입니다. GuardDuty 맬웨어 보호를 활성화하는 경우 EC2에서 실행 중인 EC2 인스턴스 또는 컨테이너 워크로드 중 하나가 의심스러운 활동을 수행하고 있음을 GuardDuty에서 탐지하면 맬웨어 스캔이 시작됩니다. 예를 들어, EC2 인스턴스가 다른 EC2 인스턴스에 대해 서비스 거부(DoS) 또는 무차별 대입 공격을 수행하거나 악의적으로 알려진 명령 및 통제 서버와 통신하는 경우 맬웨어 스캔이 트리거됩니다. GuardDuty는 많은 파일 시스템 유형을 지원하고, Windows 및 Linux 실행 파일, PDF 파일, 아카이브, 2진, 스크립트, 설치 프로그램, 이메일 데이터베이스 및 일반 이메일이 있는 맬웨어를 포함하거나 확산시키는 데 사용되는 것으로 알려진 파일 형식을 스캔합니다. 잠재적 맬웨어가 식별되면 위협 및 파일 이름, 파일 경로, EC2 인스턴스 ID, [ more… ]

Amazon Detective, 보안 조사를 위해 EKS에서 Kubernetes 워크로드 지원 2020년 3월에 AWS는 잠재적인 보안 문제 또는 의심스러운 활동의 근본 원인을 쉽게 분석 및 조사하고 빠르게 식별할 수 있는 완전관리형 서비스인 Amazon Detective를 도입했습니다. Amazon Detective는 Amazon GuardDuty, AWS CloudTrail 및 Amazon Virtual Private Cloud(Amazon VPC) 흐름 로그에서 로그인 시도, API 호출 및 네트워크 트래픽과 같은 임시 이벤트를 전체 AWS 환경에서 관찰된 리소스 활동 및 상호 작용을 요약하는 그래프 모델로 계속 추출합니다. 그리고 AWS IAM 역할 세션 분석, 향상된 IP 주소 분석, Splunk 통합, Amazon S3 및 DNS 조사 결과 유형, AWS Organizations에 대한 지원과 같은 새로운 기능을 추가했습니다. 최근 AWS 고객은 Amazon Elastic Kubernetes Service(Amazon EKS)를 통해 Kubernetes 워크로드를 배포하기 위해 컨테이너로 빠르게 이전하고 있습니다. 컨테이너에서는 뛰어난 프로그래밍 기능 덕분에 수천 개의 개별 컨테이너 배포와 수백만 건의 구성 변경을 몇 초 만에 수행할 수 있습니다. EKS 워크로드를 효과적으로 보안하려면 EKS [ more… ]

Amazon EC2 Instance Connect를 통해 EC2 인스턴스에 대한 SSH 연결하기 AWS는 AWS Identity and Access Management(IAM)를 사용하여 EC2 인스턴스에 대한 SSH 액세스를 제어하는 새로운 방법인 Amazon EC2 Instance Connect를 제공합니다. Amazon EC2 Instance Connect 기능 소개 Chef, Puppet 같은 코드형 인프라(IaC) 도구가 업계에서 서버를 구성하는 데 일반적으로 사용되고 있지만, 경우에 따라 인스턴스에 액세스하여 미세 조정하거나 시스템 로그를 참조하거나 애플리케이션 문제를 디버깅해야 합니다. Linux 서버에 연결하는 가장 일반적인 도구는 SSH(Secure Shell)입니다. 이 도구는 1995년에 만들어졌으며 현재 거의 모든 Linux 배포판에 기본적으로 설치되어 있습니다. SSH를 통해 호스트에 연결할 때 SSH 키 페어를 사용하여 개별적으로 사용자를 인증하는 경우가 많습니다. 따라서 조직에서는 이러한 SSH 키를 저장, 공유, 액세스 관리 및 유지 관리해야 합니다. 일부 조직에서는 단일 점프 지점을 사용하여 호스트에 대한 네트워크 액세스를 제한하는 Bastion 호스트도 유지 관리합니다. 이러한 조직은 추가 네트워크 난독화 계층을 추가하여 로깅을 제공하고 악성 SSH 액세스를 방지합니다. 하지만 Bastion 호스트를 [ more… ]

IAM 역할과 함께 신뢰 정책을 사용하는 방법 2021년 8월 30일: 이 게시물은 현재 업데이트 중입니다. 완료되면 다른 메모가 게시됩니다. AWS Identity and Access Management(IAM) 역할은 고객이 Amazon Web Service(AWS) 에서 운영하는 방식에서 중요한 구성 요소입니다. 이 게시물에서는 클라우드 보안 아키텍트 및 계정 관리자가 신뢰 정책을 사용하여 오용으로부터 IAM 역할을 보호할 수 있는 방법을 자세히 살펴보겠습니다. 이 게시물을 통해서 IAM 역할을 사용하여 대규모로 작동하는 신뢰 정책을 구축하고 조직의 리소스에 대한 액세스를 제어하는 가드레일을 제공하는 방법을 알게 될 것입니다. 일반적으로 AWS에서 IAM 역할을 사용할 수 있는 네 가지 시나리오가 있습니다. 한 AWS 서비스가 다른 AWS 서비스에 액세스 – AWS 서비스가 다른 AWS 서비스 또는 함수에 액세스해야 하는 경우 해당 액세스 권한을 부여하는 역할을 생성할 수 있습니다. 한 AWS 계정이 다른 AWS 계정에 액세스 – 이 용례는 일반적으로 크로스 계정 역할 패턴이라고 합니다. 이렇게 하면 다른 AWS 계정의 사람 또는 머신 IAM 보안 주체가 이 역할을 [ more… ]