클라우드 취약점 진단을 위한 기본 배경지식 (AWS기준)

AWS 주요 서비스

1. 스토리지 서비스
 - Amazon simple Storage Service (Amazon S3) 
  >> 여러가지 용도로 사용 가능한 범용 스토리지 서비스
  >> 키-값이 연결된 객체 형태로 구성
  >> 보통 보안적 점검에서는 공개설정에서 발생하는 취약점 점검이 있음
  
2. 데이터베이스 서비스
 - Amazon Relational Database Service(Amazon RDS)
  >> 관계형 데이터 베이스
  >> 사용자가 직접관리하지 않고 이용할수 있음
 - Amazon DynamoDB
  >> NoSQL용 서비스로 대량의 데이터를 저장, 추가 분석 서비스와 연계 가능하도록 서비스 제공
  
3. 서버리스 서비스
 - Lambda
  >> 코드를 소유하지 않아도 실행할 수 있도록 런타임 환경을 제공하는 서비스
  >> 코드를 업로드하고 트리거하거나 직접 호출하여 사용
 - API Gateway
  >> REST 및 API를 생성, 게시, 유지 모니터링
  >> 실습, 프론트 웹에서 백엔드로 데이터 전송시 lambda와 함께 사용
 - Cognito
  >> 웹 및 앱에 대한 인증, 권한 부여 사용자 관리
  >> OAuth 및 타사 인증을 통해 로그인 가능
  

사용자 관리

1. root 사용자(AWS에서 가장 높은 권한)
- AWS 계정을 처음 생성할 때 해당 계정의 모든 리소스에 엑세스 권한이 있음
- 과금 및 결제 권한도 있어서 일반적으로 사용하는 것을 권고하지 않음
- 이메일 주소화 암호를 이용하여 인증

2. IAM(Identity and Access management) 사용자 (식별과 접근을 관리하는 사용자)
- 서비스와 리소스에 대한 액세스 통제
- 사용자 및 그룹을 만들과 관리하며 리소스에 대한 액세스 허용 및 거부 가능
- 관리를 위한 그룹, 사용자 역할 생성 가능

 > IAM(사용자)
  >> 개체 서비스 및 리소스와 상호작용하기 위해 개체를 사용하는 사람 또는 서비스
  >> 각 사용자는 자신의 고유 콘솔 액세스 암호를 가짐
  >> 계정의 리소스를 사용하기 위한 개별 액세스 키 생성
 
 > IAM 역할
  >> 사용자 또는 서비스가 필요한 리소스에 액세스하기 위한 권한 집합 설정
  >> 권한을 IAM 사용자 또는 그룹에 연결하지 않음
  >> 권한을 역할에 연결하고 역할을 사용자, 서비스에 위임
  >> "유효기간"을 가지는 자격증명 발급, 자격증명 노출에 대한 위협을 최소화할 수 있음
  
 > IAM 정책(Policy)
  >> IAM 정책은 AWS 서비스에 대한 액세스만. 제어 / DB나 애플리케이션에 대한 접근 제어가 아님
  >> 권한 분석을 통해 자원에 허가/거부된 작업 권한 부여
  

* ARN(Amazon Resource Name)
 - AWS 리소스를 고유하게 식별하는 식별자
 - RDS  태그 및 API 호출과 같은 모든 AWS에서 리소스를 명시해야할 경우 사용
 - Format
  >> partition : 리소스가 존재하는 파티션 >> aws, aws-cn
  >> service : 서비스 네임 스페이스 >> iam, s3
  >> region : 리전 >> us-west-1 
  >> account-id : 리소스를 소유하는 aws 계정의 id >> 12345556456
  >> resource-id : 리소스 식별자 >> user/Bob
 

> IAM 인증정보
  >> API Key, SSH pubkey, AWS CLI&SDK 등 서비스 키를 포함
  >> IAM 사용자는 고유한 액세스 키를 자신의 권한에 한하여 교체 가능 (ROOT는 다됨)
  >> 환경변수, ~/.aws/credentials에 저장하여 프로파일 등록 후 사용
  >> 유출에 주의 해야함. 코드 내 하드코딩되는 경우 서버나 HTML 등
  >> 공격자는 키 획득 이후 추가 공격 수행 - 인스턴스 조작 - 타 사용자 생성, 권한부여, 로그 삭제

 

=========================== =========================== ===========================

- 정보보안 및 취약점 점검에 도움되는 서적 추천 리스트- 

상세한 설명은 아래 게시글을 참고해주세요.

https://itinformation.tistory.com/617

정보보안관련 추천 서적 (입문부터 고급, 학생부터 실무자 까지)

 

1. 버프스위트 활용과 웹 모의해킹

- 구매 링크 - 
https://link.coupang.com/a/bCG630

버프스위트 활용과 웹 모의해킹

 

2. 웹 해킹을 위한 칼리 리눅스:공격부터 방어 보고서 작성까지 웹 모의해킹 가이드

- 구매 링크 - 

https://link.coupang.com/a/bCG8ju

웹 해킹을 위한 칼리 리눅스:공격부터 방어 보고서 작성까지 웹 모의해킹 가이드

 

3. 해킹 패턴과 시스템 취약점 진단

- 구매 링크 - 

https://link.coupang.com/a/bCHNaM

해킹 패턴과 시스템 취약점 진단

 

4. 보안 입문 웹 해킹과 침해사고 분석

- 구매 링크 - 

https://link.coupang.com/a/bCIKaP

보안 입문 웹 해킹과 침해사고 분석:윈도우즈편

 

5. 안드로이드 모바일 앱 모의해킹

- 구매 링크 -

https://link.coupang.com/a/bCIOhT

안드로이드 모바일 앱 모의해킹:가상 뱅킹 앱 인시큐어뱅크를 활용한 모바일 취약점 진단과 대

 

6. 보안컨설팅과 보안실무:차세대 보안 컨설팅 및 실무 필독서

- 구매 링크 -

https://link.coupang.com/a/bCIRcX

보안컨설팅과 보안실무:차세대 보안 컨설팅 및 실무 필독서

 

7. iOS 해킹과 보안 가이드

- 구매 링크 -

https://link.coupang.com/a/bCIUGb

웹 해킹 & 보안 완벽 가이드:웹 애플리케이션 보안 취약점을 겨냥한 공격과 방어

 

8. 리버싱 핵심 원리

- 구매 링크 -

https://link.coupang.com/a/bCI5yn

리버싱 핵심 원리:악성 코드 분석가의 리버싱 이야기

 

9. 보이지 않는 위협

- 구매 링크 -

https://link.coupang.com/a/bCI8kx

보이지 않는 위협:66가지 이야기로 풀어낸 사이버 보안의 전장

 

10. 클라우드X보안 실무 가이드

- 구매 링크 -

https://link.coupang.com/a/bCI9Vc

클라우드X보안 실무 가이드:DevSecOps와 보안 거버넌스 수립을 위한 맞춤 안내서