일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- l3 스위치
- network
- 인터페이스
- 10866
- 유선LAN
- 계층화
- 1764
- 논리구성도
- TCP/IP
- 테슬라폰
- java
- 데이터 송수신
- 자바
- 파이썬 1712
- 다형성
- 백준 1712
- 자바의 정석
- 물리구성도
- 파이썬
- 개발바닥
- aws 자격증
- 네트워크
- 인프콘
- modifiers
- 남궁성
- 백준 2775
- 상속
- 역캡슐화
- AWS CLF
- 프로토콜
- Today
- Total
병훈's Blog
[AWS KRUG] #security 소모임 24.02.15 본문
https://www.meetup.com/ko-KR/awskrug/
■ 진행 내역 및 연사 소개
- Opening
KRUG Security Meetup Icebreaking Talk(KRUG Security Meetup Organizer)
[ Session 1 ] 역할 부여 삼총사 IMDS, IRSA, Pod Identity 톺아보기
Contents: 워크로드에 역할을 부여하는 삼총사 IMDS, IRSA, Pod Identity에 대해 깊이 알아보고 어떻게 보안을 적용하면 좋을지 살펴봅니다.
오늘은 워크로드에 역할을 부여하는 기능들이 주제였다.
시간이 지나면 아래 깃헙에 자료가 올라올 것이다.
https://github.com/awskrug/security-group
본가인 용인에서 서울의 센터필드로 처음 가봤다.
센터필드 18층이 모임 장소였다. 보안이 있기에 모임 전에 QR코드를 받았다.
'뭐하는 곳이지...' 하고 18층에 올라갔는데 aws가 있었다.
aws를 로고를 보니
굉장히 두근거렸다.
오늘의 주제는 IMDS, IRSA, Pod Identity 였고,
시스템 접근 권한을 통제하는 느낌이었다.
들으면서 정리한 내용을 공유해보면 다음과 같다.
IMDS
IMDSv2를 사용하게 되면, v1을 사용할 수 없다.
HTTP PUT 메소드를 통해 세션토큰을 받고, 해당 세션 토큰을 GET에 실어서 보낸다.
IMDSv1은 왜 취약하다고 하는 걸까?
특정 상황에서 취약해질 수 있기 때문이다.
요즘 웹훅은 GET은 거의 없고, POST만 사용한다.
안전한 IMDS 환경 구성하기
IRSA
Pod: 쿠버네티스에서 배포의 최소 단위
EC2 안에 있는 pod들의 정책이 EC2의 role에 종속되어있었다.
그러나 IRSA를 사용하면서 Pod 별로 Role을 구분하여 사용할 수 있게 되었다.
홉을 1로 제한한다면?
- SCP를 통한 가장 간단하고 효율적인 래결 방법
- 호스트 네트워크를 사용중인 Pod를 제외하고 IMDS 접근 불가
Network Policy 사용
- 장점) calico를 활용하여 네트워크 정책 추가 가능
- 장점) 조금 더 유연하게 정책을 적용할 수 있는 장점 존재
- 단점) 네트워크 정책으로 인한 클러스터 부담
- 단점) 클러스터 생성 시에 항상 챙겨야 함
Pod Identity 는 정리하지 못했다.
이후에 카페테리아를 이용하며 차를 마셨다.
aws의 카페테리아가 잘 되어있어서 좋았다.
'IT 콘텐츠' 카테고리의 다른 글
[AWS KRUG] #architecture 소모임 24.02.29 (1) | 2024.03.01 |
---|---|
[AWS KRUG] #cert 소모임 24.02.27 (0) | 2024.03.01 |
[AWS KRUG] #frontend 소모임 24.02.14 (1) | 2024.02.15 |
2023 AWS Summit 에서 얻은 것들 (0) | 2023.05.08 |
어느 날 고민 많은 주니어 개발자가 찾아왔다 - 성장과 취업, 이직 이야기 (0) | 2023.04.22 |