'Public'에 해당되는 글 3건

  1. 2018.12.11 AWS - VPC : Part 9 [Endpoint-2]
  2. 2018.12.11 AWS - VPC : Part 8 [Endpoint-1] (2)
  3. 2015.10.02 SecureVM for the Hybrid Cloud

Today Keys : VPC, AWS, Endpoint, Gateway, Interface, services, cloud, 아마존, public


이번 포스팅은 지난 포스팅에 이어서 VPC Endpoint에 대해서 알아봅니다.

VPC Endpoint 중에서 Interface 타입의 Endpoint를 생성해서 어떻게 Endpoint를 이용해서

서비스를 접근 할 수 있는지를 알아 볼 수 있는 간단한 예제 포스팅입니다.

* 관련 포스팅 : VPC Endpoint 알아보기

                        Gateway Endpoint 만들어보기 - 포스팅 준비 중
                       
 


이번 포스팅에서는 Interface 타입의 Endpoint인 CloudFormation을 생성해 보겠습니다.

먼저 Endpoint를 생성하기 위해서 '엔드포인트 생성' 메뉴를 선택하여 Endpoint를 만드는 메뉴로 들어갑니다.

 

EndPoint를 만들 때에는 서비스 유형에 따라서 Interface로 만들지 Gateway로 만들지 다음과 같이 나옵니다.

각 서비스 별로 유형이 정해져 있는 것이며, 서비스를 Interface 혹은 Gateway 유형을 선택하는 것은 아닙니다.

 

Endpoint 생성의 전체 메뉴는 다음과 같습니다.

서비스를 고르고, 어느 VPC에 적용할지를 선택하면 해당 VPC의 AZ 정보가 나오고

각 AZ 별로 어떤 Subnet에 생성할지 나옵니다.

그리고 'Private DNS 이름 활성화' 라는 메뉴가 기본적으로 체크되어 있습니다.

이 부분은 아래에서 다시 설명합니다.

보안 그룹은 우선 기본으로 설정합니다.

 

여기까지하면, 손쉽게 Endpoint를 만들 수 있습니다.

 

생성이후, '사용가능' 상태로는 약 1~2분정도 소요 될 수 있습니다.

정상적으로 생성되면 다음과 같이 생성된 Endpoint 정보를 확인 할 수 있습니다.

 

하단의 서브넷 탭을 보면 실제 생성 시에 선택한 AZ 별로 서브넷에 속하는 IP 주소를 갖고 있는 것을 확인 할 수 있습니다.

 

Endpoint를 생성하기 전에는 해당 VPC 내에서 CloudFormation 서비스에 대한 URL을 확인하면

AWS의 리전 내의 공인 IP 주소를 받아오는 것을 확인 할 수 있습니다.

 

하지만, Endpoint 생성 이후에 동일한 URL에 대한 질의를 하면 Endpoint가 갖고 있는 IP 주소를

도메인에 질의에 대한 결과로 받게 되는 것을 확인 할 수 있습니다.

앞에서  'Private DNS 이름 활성화' 을 뒤에서 알아보겠다고 하였는 데, Endpoint 생성 시에

'Private DNS 이름 활성화' 옵션을 활성화하면(default 값이 활성화) 서비스 별 기본 도메인 값을 VPC 내의 Private DNS에

자동으로 등록이 되어서 해당 값을 응답 받을 수 있게 됩니다.

일반 URL이 아닌 별도 URL을 사용하여 접근하고자 할 경우에는 해당 옵션에 대한 체크를 해제하고

별도 도메인으로 Endpoint IP 주소를 관리 할 수도 있습니다.

 

 

Posted by 네떡지기

Today Keys : VPC, AWS, Endpoint, Gateway, Interface, Private, links, services, cloud, 아마존, public


 

 이번 포스팅은 VPC 네트워크에서 AWS 서비스를 AWS 네트워크를 통해서 직접 접근하기 위한 Endpoint에 대해서 알아보는 포스팅입니다. Endpoint는 접근하는 서비스에 따라서 Gateway와 Interface 타입으로 나뉩니다. 이번 포스팅에서는 Endpoint에 대한 간략한 소개를 하고, 다음 포스팅에서는 Endpoint를 생성해서 접근하는 방법에 대해서 알아 볼 예정입니다.

* 관련 포스팅 : Gateway Endpoint 만들어보기 - 포스팅 준비 중
                       
 Interface Endpoint 만들어보기


 VPC Endpoints

Endpoints

  ▪ VPC 네트워크 내에서 VPC 외부에 위치한 Public한 서비스를 IGW를 거치지 않고 VPC내부에서 직접 접근하도록 지원
  ▪ VPC의 내부의 인스턴스가 AWS 서비스와 통신하기 위해 공인 IP를 가지지 않아도 됨.
  ▪ Endpoint는 Gateway 타입 Interface 타입 으로 구분
  ▪ Endpoint는 VPC에서 접근하고자 하는 AWS Public 서비스 별로 개별 생성하며, Gateway타입 지원하는 서비스와
    인터페이스 타입을 지원하는 서비스가 나누어져 있음. 
       - 타입 별 지원 서비시는 아래에 참고
  ▪ VPC와 AWS 서비스 사이의 트래픽이 AWS 네트워크에서 처리하며, IAM 정책을 사용하여 액세스 제어 가능.


Gateway Endpoint 
  ▪ Endpoint가 Gateway 타입으로 지원하여 AWS 서비스 접근 시, 라우팅으로 접근
  ▪ 라우팅 테이블에서 S3나 DynamoDB의 목적지 네트워크에 대한 Target(Next Hop)으로 Gateway Endpoint를 지정
  ▪ S3와 DynamoDB 접근을 지원


Interface Endpoint
  ▪ Endpoint가 AZ 내의 Elastic Network Interface(ENI)로 생성하고, 해당 서비스에 대한 도메인 Lookup을 해당 ENI 응답
  ▪ Kinesis, Service Catalog, Amazon EC2, EC2 Systems Manager(SSM), Elastic Load Balancing(ELB) API 등을 지원
  ▪ Interface Endpoint 생성 시에는 어느 VPC의 어떤 AZ의 어떤 Subnet을 사용할지 선택
  ▪ Interface Endpoint 는 생성 시에 지정한
 각 서브넷의 IP를 각각 할당 받음.
  ▪ Interface Endpoint 를 이용해서 서비스를 호출하는 경우에는, AWS에서 기본으로 사용하는 도메인을 사용하거나, 
    별도의 서비스 도메인을 지정하여 VPC 내에서 서비스 도메인 Lookup 시에  Interface Endpoint 의  IP로 응답하여
    접근하도록 할 수 있음.
  ▪ 기존에 AWS Public 서비스를 사용하도록 어플리케이션이 만들어진 경우에 기본 도메인으로 Interface Endpoint 
   사용하게 되면  어플리케이션에서 AWS 서비스 호출 시에 별도의 변경 과정없이 Endpoint를 이용한 서비시 호출이 가능.

  

Endpoint 타입별 지원 서비스
  ▪ Gateway
    - Amazon S3
    - DynamoDB
 
  ▪ Interface
    - Amazon API Gateway
    - AWS CloudFormation
    - Amazon CloudWatch
    - Amazon CloudWatch Events
    - Amazon CloudWatch Logs
    - AWS CodeBuild
    - AWS Config
    - Amazon EC2 API
    - Elastic Load Balancing API
    - AWS Key Management Service
    - Amazon Kinesis Data Streams
    - Amazon SageMaker and Amazon SageMaker Runtime
    - Amazon SageMaker Notebook Instance
    - AWS Secrets Manager
    - AWS Security Token Service
    - AWS Service Catalog
    - Amazon SNS
    - AWS Systems Manager
    - Endpoint services hosted by other AWS accounts
    - Supported AWS Marketplace partner services

 

 

 

 

 

Posted by 네떡지기
분류없음2015.10.02 17:52

 

Cloud, Security,Hypervisor, Private, Public,Hybrid, Computing, CloudLink, SecureVM, Virtual, Machine    : Today Key

오랜만에 포스팅 해 봅니다.  

오늘은 클라우드 환경에서의 VM에 대한 보안을 위한 SecureVM이라는 솔루션에 대해서 간략하게 소개해보는 포스팅입니다. 

기존의 VM간의 통신 보안을 위한 가상 방화벽과는 조금은 다른 측면에서의 보안 솔루션입니다.

 


 

 

CloudLink SecureVM

  CloudLInk SecureVM 클라우드 환경에서 VM 암호화하여 관리할 있는 솔루션

  Multi-tenant 인프라환경에서 VM 암호화를 통한 보안 강화

  Windows, Linux 지원

  Private Public Cloud 지원

 

 

 

SecureVM 보안 영역

  Data 볼륨 암호화

  Boot 볼륨 암호화

  VM Pre-Boot 인증

 

기존 Native OS 암호화 방식 사용

  Windows에서는 BitLocker, Linux에서는 eCryptfs 사용

  장점

       -  배포가 빠름

       -  Application 수정이 필요가 없음

       -  데이터 암호화 성능에 대한 오버헤드가 없음

 

eCryptfs

       - Linux File system 암호화 기술

       - User Login 시에 복호화 데이터로 Mount 되고, Log-out시에 자동으로 UnMount되면서 데이터는 암호화

       - 정상적인 접근 이외에는 암호화된 데이터에서 복호화 되지 않았기 때문에 데이터를 없음.

 

BitLocker

       -  Windows 데이터 보호 기술

       -  TPM 사용한 시스템 무결성 확인

        TPM 버전 1.2 또는 2.0  / TPM이 BitLocker를 사용하는 데 필요하지는 않지만,

             TPM은 설치된 컴퓨터에서만 추가 보안 기능인 시작 전 시스템 무결성 확인 및 다단계 인증을 제공할 수 있습니다.

            (TPM 변경되면 운영체제 무결성 검사에 실패)

           * CloudLink Center Software TPM 방식

BitLocker 참조 : https://technet.microsoft.com/ko-kr/library/cc732774.aspx

TPM 참조 :  https://technet.microsoft.com/ko-kr/library/hh831507.aspx

 

            

 

 

 

 

 SecureVM 컴포넌트

  1. CloudLInk Center Virtual appliance

        - VM Deploly, Key management,Security policy 정의,  Security monitoring,

  2. SercureVM agent

        - CloudLink Center 통신하여 Native OS 암호화를 사용하기 위한 Key 요청하고, 수신.

        - Guest OS Level에서 동작하기 때문에 Cloud Platform 적함. 이미 다양한 클라우드 플랫폼에서 테스트 완료

 

Key 관리

  Agent와의 인증을 위한 Key 관리를 Cloudlink Center 자체적으로 하거나 혹은 외부 관리(Windows AD, RSA ) 가능.

  Key 관리를 하는 Cloudlink Center 혹은 외부 관리를 경우에 해당 시스템은 Private Cloud 있는 것이 보안상 유리

 

SecureVM Agent 배포

  배포 대상

      1. 신규 생성되는 VM

      2. 현재 운영 중인 VM

 

  배포절차

    1. 필요한 Components 설치

     2. 인증서 생성

     3. Pre-Boot 인증 추가

     4. CloudLink Appliance 등록

     5. Disk 암호화

 

  배포 방법

    1. VM 관리자에 의한 Manual 배포

    2. 자동화 배포

           - Active Directory Group Policy

           - Configuration Management Tools (Chef, Puppet, etc..)

 

SecureVM Boot Process

   1. VM에서 OS Load되고, 암호화된 데이터에 접근하기 시작할 ,

          SecureVM 동작하면서 IP/Cloud platform/무결성 값을 확인하여, Cloudlink Center 전송하여, 해당 값을 확인 요청.

   2. CloudLink Center에서는 값과 VM Identity 확인

   3. 확인된 사항을 통해 Cloudlink에서는 지정된 정책을 선택한 후에, Agent 요청을 허가하면서 Decryption key 전송

   4. 암호화된 VM 해제되고, 동작하기 시작

   5. Physical Storage Data  암호화 상태

 

 

 

 

 

기타

CloudLink Center 이중화하여 High Availability 구성 가능

Windows Linux에서의 지원되는 보안 범위가 다름. (기존 Native OS 보안 이용 때문)

Boot 과정에 대한 제어 ,  해당 VM Hypervisor에서 전원을 On하더라도 Cloudlink Center에서 인가를 해줘야

  정상적으로 해당 VM 가동 .

     - Access-List 사용하여 사전 인가 List 정의하여 자동으로 인가되도록 수도 있음.

         사전 인가 List 항목 : IP , CIDR, IP Range(Start/End)

           CIDR : IP주소/서브넷Bit 형식     ex) 192.168.0.0/24  

  CloudLink에는 VM 암호화 솔루션인, SecureVM이외에 File Storage 암호화인 SecureFILE, SucureVSA 있음.

 

Posted by 네떡지기

티스토리 툴바