CLOUD_IN_DOVI

최근 AWS Summit 2025에서 가장 눈에 띄는 주제 중 하나는 단연 Amazon Bedrock이었습니다.다양한 생성형 AI 모델을 통합 제공하는 서버리스 플랫폼으로, 이제는 단순한 테스트를 넘어 **실무에 적용할 수 있는 조건**들이 갖춰졌습니다.이번 글에서는 AWS Bedrock의 구조, 보안 메커니즘, 실무 활용 시나리오까지 실제 클라우드 보안 담당자가 알아야 할 핵심 내용을 정리합니다.Bedrock이란 무엇인가?Amazon Bedrock은 여러 생성형 AI 모델을 API 형태로 제공하는 플랫폼입니다. 대표적으로는 다음과 같은 모델을 지원합니다.● Anthropic Claude● Amazon Titan● Mistral● Meta Llama 2 (선택적)사용자는 별도의 인프라 구성 없이 API ..

AWS 보안 그룹을 구성할 때 가장 많은 질문은 다음과 같습니다:"포트는 뭘 열어야 하지?", "DB 접근은 어떻게 제한하지?", "내부 서비스 간 통신은 어떻게 연결하지?"이번 글에서는 실제 현업에서 자주 사용되는 보안 그룹 구성 예시를 상황별로 정리하고,IaC 도구를 활용한 관리 방법까지 포함해 설명합니다.🧱 예시 1 – 웹서버 (EC2 + ALB)기본적인 웹 애플리케이션 구성입니다. 웹 트래픽은 ALB에서 수신 후 EC2로 전달됩니다.# ALB 보안 그룹인바운드: TCP 80, 443 → 0.0.0.0/0아웃바운드: TCP 80, 443 → EC2 보안 그룹# EC2 보안 그룹인바운드: TCP 80, 443 → ALB 보안 그룹아웃바운드: ALL → 0.0.0.0/0 (필요에 따라 제한)🔍 포인..

AWS에서 보안 설정의 첫걸음은 바로 '보안 그룹(Security Group)'입니다.방화벽처럼 동작하면서 인스턴스의 입·출력을 제어하는 보안 그룹은, 잘만 설정하면 공격 노출을 크게 줄일 수 있습니다.이번 글에서는 실무에서 자주 마주치는 보안 그룹 구성 방식과 실수, 그리고 설정 예시까지 자세히 다뤄보겠습니다.🔐 보안 그룹이란?AWS 보안 그룹(Security Group)은 EC2 인스턴스를 보호하는 가상 방화벽입니다.인바운드(수신) 트래픽과 아웃바운드(송신) 트래픽을 제어하며, 인스턴스 단위로 적용됩니다.상태 기반(Stateful): 허용된 인바운드 요청에 대한 응답은 자동 허용기본은 "차단"이며, 명시적으로 허용된 트래픽만 통과EC2, RDS, Lambda VPC ENI 등 다양한 AWS 리소스에..

AWS KMS는 다양한 암호화 요구사항을 충족할 수 있는 범용 도구입니다.이번 글에서는 실무에서 자주 마주치는 암호화 시나리오 4가지를 정리하고, 각각에 어떤 방식으로 KMS를 활용하면 좋은지 구체적으로 살펴봅니다.🔐 S3 객체 암호화 – 기본 중의 기본가장 대표적인 시나리오입니다.S3에 저장하는 파일(Object)을 서버 측에서 암호화(SSE: Server-Side Encryption)하는 방식이며, 크게 세 가지 유형으로 나뉩니다: SSE-S3: AWS가 관리하는 키(AES-256) SSE-KMS: 고객이 KMS에서 생성한 CMK(Key ID 또는 Alias) SSE-C: 고객이 직접 제공한 키(비추천)SSE-KMS는 로깅 및 키 접근 제어(Policy, Grants)가 가능하다는 장점이 있어..

AWS에서의 데이터 보안은 결국 '키 관리'에 달려 있습니다. 이번 글에서는 KMS의 핵심 기능 중 하나인 고객 키 관리 전략에 대해 실무 관점에서 깊이 있게 다뤄보겠습니다.✨ CMK (Customer Master Key)의 구조와 유형CMK는 AWS KMS의 중심이 되는 키 단위입니다. 아래는 주요 분류입니다:AWS 관리형 CMK: AWS 서비스가 자동으로 관리하는 키 (예: S3, EBS 암호화용)사용자 관리형 CMK: 직접 생성하고, 정책을 설정하며 로테이션 여부를 제어대칭 키 vs 비대칭 키: 일반적인 암호화에는 대칭 키, 서명/검증에는 비대칭 키실무에서는 '사용자 관리형 대칭 CMK'를 사용하는 경우가 가장 많습니다. 이유는 다양한 AWS 서비스에서 일관되게 적용할 수 있고, 접근 통제 및 로깅..

지금까지 총 6편에 걸쳐 AWS WAF의 실무 활용법을 다뤄왔습니다.기본 개념부터 로그 분석, 자동 대응, 고급 룰 작성법까지 이어온 이 시리즈의 마지막 글에서는 실제 운영 환경에서 무엇을 남기고, 어떻게 자동화 구조를 유지해야 하는지를 정리해보겠습니다.📌 1. 지금까지 우리가 구축한 AWS WAF 구조이번 시리즈에서 다룬 주요 요소들을 다시 짚어보면 다음과 같습니다. 기본 WebACL 구성과 Managed Rule 설정 Count 모드를 활용한 룰 사전 점검 CloudWatch Logs, Kinesis, Lambda 연계를 통한 로그 기반 대응 RegexPatternSet, Header 조건 등 고급 탐지 방식 활용 IPSet 자동 갱신 및 오탐 방지를 위한 캐싱 구조이러한 구성은 단순 필터..

AWS WAF를 적용한 뒤에도 공격 트래픽이 꾸준히 유입된다면, 룰 자체가 우회를 허용하고 있을 가능성이 큽니다.특히 URI 인코딩, Query 파라미터 변조, User-Agent 위장 등의 기법은 단순한 룰 필터링으로는 잡히지 않는 경우가 많습니다.이번 글에서는 AWS WAF에서 우회 공격 트래픽까지 탐지하고 차단할 수 있는 고급 룰 구성 전략을 실무 중심으로 정리합니다.RegexPatternSet, Header 검사, 쿠키 필터링 등 잘 알려지지 않은 기능까지 활용해, 보다 정밀한 보안 정책을 수립해보세요.🔎 1. 인코딩 우회 탐지 – URLDecode, Base64 처리많은 공격자들이 URI나 파라미터에 인코딩을 섞어 필터 우회를 시도합니다.예: /login → %2flogin, 또는 ../ → ..

조직의 보안 로그를 효과적으로 통합하고 분석하는 것은 현대 보안 운영의 핵심입니다.Microsoft Sentinel은 Azure 기반의 클라우드 네이티브 SIEM 및 SOAR 솔루션으로, 다양한 데이터 소스를 통합하여 위협을 탐지하고 대응할 수 있도록 지원합니다.이번 글에서는 Microsoft Sentinel의 개념부터 실무 적용 방법, 그리고 주의해야 할 사항까지 상세히 다뤄보겠습니다.🔍 Microsoft Sentinel이란?Microsoft Sentinel은 클라우드 기반의 SIEM(보안 정보 및 이벤트 관리) 및 SOAR(보안 오케스트레이션, 자동화 및 대응) 솔루션으로, 다음과 같은 기능을 제공합니다:다양한 데이터 소스의 보안 로그 수집 및 통합AI 및 머신 러닝 기반의 위협 탐지자동화된 대응 ..

Azure 환경에서의 보안은 단순한 방화벽을 넘어서 세분화된 네트워크 접근 제어까지 요구됩니다.그 중심에는 바로 NSG(Network Security Group)이 있습니다.이번 글에서는 NSG의 개념부터 구성 요소, 실무 적용 팁까지 함께 살펴보겠습니다.🔍 NSG란 무엇인가?NSG는 Azure Virtual Network(VNet) 내 트래픽을 필터링하는 보안 구성 요소입니다.서브넷 또는 개별 NIC(Network Interface)에 적용되어 인바운드/아웃바운드 트래픽을 제어하며, 다음 기준을 기반으로 동작합니다:소스 및 대상 IP 주소포트 번호프로토콜 (TCP, UDP 등)트래픽 방향 (Inbound/Outbound)우선순위 (숫자가 낮을수록 먼저 적용) 🛠 실무에서의 NSG 설정 핵심실제로 N..

Azure Key Vault는 조직 내 암호, 암호화 키, 인증서를 안전하게 저장하고 관리하기 위한 Azure의 기본 보안 서비스입니다.민감한 정보의 노출을 방지하고, 각종 애플리케이션에서 필요한 비밀값을 안전하게 불러오기 위한 구조를 제공합니다.특히 App Service, Azure Kubernetes Service(AKS), Function 등 다양한 서비스와의 연동이 간편하며,실제 실무에서는 Key Vault를 중심으로 '중앙 집중형 보안 자산 관리'를 구현합니다.🔐 Azure Key Vault의 주요 기능비밀(Secrets) – DB 암호, API 키 등 민감한 문자열 저장키(Keys) – RSA, EC 키 저장 및 암호화/복호화 작업 수행인증서(Certificates) – 자체 발급 또는 CA..