병훈's Blog

[AWS KRUG] #security 소모임 24.02.15 본문

IT 콘텐츠

[AWS KRUG] #security 소모임 24.02.15

thdqudgns 2024. 2. 16. 18:07

 

https://www.meetup.com/ko-KR/awskrug/

 

AWSKRUG - AWS한국사용자모임 | Meetup

본 그룹은 AWS한국사용자모임(AWSKRUG)의 정기 모임 및 소모임 운영 사이트로서 최신 활동 소식 및 행사를 올려드릴 예정입니다. 더 자세한 것은 https://facebook.com/groups/awskrug 를 참고하세요.

www.meetup.com

■ 진행 내역 및 연사 소개
- Opening
KRUG Security Meetup Icebreaking Talk(KRUG Security Meetup Organizer)

[ Session 1 ] 역할 부여 삼총사 IMDS, IRSA, Pod Identity 톺아보기
Contents: 워크로드에 역할을 부여하는 삼총사 IMDS, IRSA, Pod Identity에 대해 깊이 알아보고 어떻게 보안을 적용하면 좋을지 살펴봅니다.

 

오늘은 워크로드에 역할을 부여하는 기능들이 주제였다.

시간이 지나면 아래 깃헙에 자료가 올라올 것이다.

 

https://github.com/awskrug/security-group

 

GitHub - awskrug/security-group

Contribute to awskrug/security-group development by creating an account on GitHub.

github.com


본가인 용인에서 서울의 센터필드로 처음 가봤다.

센터필드 18층이 모임 장소였다. 보안이 있기에 모임 전에 QR코드를 받았다.

'뭐하는 곳이지...' 하고 18층에 올라갔는데 aws가 있었다.

aws를 로고를 보니

굉장히 두근거렸다.

 

오늘의 주제는 IMDS, IRSA, Pod Identity 였고,

시스템 접근 권한을 통제하는 느낌이었다.

 

들으면서 정리한 내용을 공유해보면 다음과 같다.


IMDS

IMDSv2를 사용하게 되면, v1을 사용할 수 없다.

HTTP PUT 메소드를 통해 세션토큰을 받고, 해당 세션 토큰을 GET에 실어서 보낸다.

IMDSv1은 왜 취약하다고 하는 걸까?

특정 상황에서 취약해질 수 있기 때문이다.

요즘 웹훅은 GET은 거의 없고, POST만 사용한다.

안전한 IMDS 환경 구성하기


IRSA

Pod: 쿠버네티스에서 배포의 최소 단위

EC2 안에 있는 pod들의 정책이 EC2의 role에 종속되어있었다.

그러나 IRSA를 사용하면서 Pod 별로 Role을 구분하여 사용할 수 있게 되었다.


홉을 1로 제한한다면?

  • SCP를 통한 가장 간단하고 효율적인 래결 방법
  • 호스트 네트워크를 사용중인 Pod를 제외하고 IMDS 접근 불가

Network Policy 사용

  • 장점) calico를 활용하여 네트워크 정책 추가 가능
  • 장점) 조금 더 유연하게 정책을 적용할 수 있는 장점 존재
  • 단점) 네트워크 정책으로 인한 클러스터 부담
  • 단점) 클러스터 생성 시에 항상 챙겨야 함

Pod Identity 는 정리하지 못했다.

이후에 카페테리아를 이용하며 차를 마셨다.

aws의 카페테리아가 잘 되어있어서 좋았다.

 

728x90
728x90