하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOps
•
0 likes•92 views
해당 PPT에 대한 웨비나를 시청해보세요: https://youtu.be/Coty0etlGHU 지난 10월 6일 하시코프와 알리바바 클라우드의 조인트 웨비나 E01에서는 하시코프와 알리바바 클라우드의 인프라 보안에 대한 논의가 진행되었습니다. 하시코프에서는 Packer Image, Terraform Provisioning, Vault SSH를 알리바바 클라우드에서는 Alibaba Cloud의 인프라 보안, WAF, Anti-DDoS, Cloud Firewall, Security Center - Infra 를 다룹니다.
Recommended
More Related Content
What's hot
What's hot (20)
Similar to 하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOps
Similar to 하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOps (20)
More from Alibaba Cloud Korea
More from Alibaba Cloud Korea (12)
하시코프와 함께하는 알리바바 클라우드 DevSecOps 뽀개기 E01 SecOps
- 1. 1 임종진 DevSecOps 이규석 2021. 10. 6. (수) E p i s o d e
- 2. 2 Alibaba Cloud 서비스 맵 Cloud Monitor Anti-DDoS Cloud Shield WAF Web Application Firewall HSM Hardware Secure Module Security Block Storage OSS Object Storage Service Archive Storage NAS Network Attached Storage Message Service Storage ECS Elastic Compute Service Auto Scaling SLB Server Load Balancer Container Service HPC High Performance Compute BatchCompute Compute Global IDC Regions Available Zones MaxCompute Big Data RAM Resource Access Management CLI API DevOps Media Transcoding OpenSearch Mobile Analytics Log Service EDAS Enterprise Distributed Application Service Distributed RDS ROS Resource Orchestration Service ONS Open Notification Service Middleware Infrastructure Technical Support Professional Services Training & Certification Cloud Architects Pricing Report Support Solutions O2O Storage Healthcare Security Government E-commerce IoT Telco Web Fintech Digital Marketing VPC Virtual Private Cloud ExpressConnect Elastic IP Network CDN HA-IP High Availability IP RDS Relational Database Service Oceanbase Memcache Table Store Redis MongoDB DMS Database Management Analytic DB DTS Data Transmission Service Database PetaData KMS Key Management Service Performance Testing Platform of A.I. (PAI)
- 3. 3 Alibaba Cloud Security 서비스 Cloud Security Center ( Threat Detection Service) Risk Management WAF Server Guard Host & Application Network Security Emergency Response Service (MSS) SSL Certificate Data KMS Anti-DDoS BGP Anti-DDoS Basic Game Shield Anti-DDoS Premium Website Threat Inspection Penetration Testing Data Shield Cloud Firewall Business Security Content Moderation Real Authentication N factor Authentication HSM Anti-Bot Bastion Hosts
- 4. 4 HashiCorp 솔루션 맵 Infrastructure Networking Security Application Packer Vagrant Terraform Consul Boundary Vault Nomad Waypoint 다양한 플랫폼에 대한 VM, 컨테이너 이미지 생성 자동화 로컬 개발환경을 위 한 VM 프로비저닝 자동화와 관리 온프레미스와 클라우드 전반의 인프라 프로비저닝과 자동화 서비스 디스커버리와 서비스 메시로 네트워크 자동화 인증/인가 기반으로 서버와 서비스에 대한 접근관리 민감 정보의 관리와 접근에 중앙화된 관리 서비스 애플리케이션 배포와 실행을 위한 오케스트레이터 단일 구성으로 컨테이너 환경에 애플리케이션 빌드 및 배포
- 5. 5 HashiCorp 솔루션 맵 Infrastructure Networking Security Application Packer Vagrant Terraform Consul Boundary Vault Nomad Waypoint 다양한 플랫폼에 대한 VM, 컨테이너 이미지 생성 자동화 로컬 개발환경을 위 한 VM 프로비저닝 자동화와 관리 온프레미스와 클라우드 전반의 인프라 프로비저닝과 자동화 서비스 디스커버리와 서비스 메시로 네트워크 자동화 인증/인가 기반으로 서버와 서비스에 대한 접근관리 민감 정보의 관리와 접근에 중앙화된 관리 서비스 애플리케이션 배포와 실행을 위한 오케스트레이터 단일 구성으로 컨테이너 환경에 애플리케이션 빌드 및 배포
- 7. 7 DevOps • 데브옵스(DevOps)는 소프트웨어의 개발(Development)과 운영(Operations)의 합성어 • 애플리케이션 개발자와 인프라 전문가 간의 소통, 협업, 통합을 강조하는 개발 환경이나 문화를 의미 • DevOps는 소프트웨어 개발조직과 운영조직간의 상호 의존적 • 조직이 애플리케이션 서비스를 반복적이고 자동화된 환경에서도 안전하고 빠르게 배포함을 목표
- 8. 8 DevSecOps • 모든 IT 개발과 운영이 적용되는 플랫폼부터 배포, 운영, 관리에 이르기 까지 보안을 고려 • 보안 영역을 추후 적용 시 재설계에 따른 추가 부담 발생 • DevOps 과정 중에 지속적이며 통합된 구조를 만드는 것에 집중
- 9. 9 SecOps
- 10. 10 Cloud Firewall EIP, DNAT, SNAT (NAT 게이트웨이) 유저 VPC Web Group 1 Web Group 2 DB Group 1 DB Group 2 Cloud Firewall로 East West 트래픽 제어 Internet Cloud Firewall로 North South 트래픽 제어 North-south traffic : 인터넷과 응용 프로그램 간의 트래픽 East-West traffic : 내부 서비스 간의 트래픽 • North-south access control : 아웃바운드 트래픽에 대한 DNS 기반 액세스 제어 • 풀 스택 침입 방지 : Layer-4 이상 침입 방지 시스템 • VPCs 내부의 격리 : Security Group 및 East-west 트래픽 모니터링 • Operations audit : 감사 보안 정책 모니터링
- 11. 11 Web Application Firewall WAF란? 주요 기능 - HTTP/HTTPS/HTTP2 트래픽에 대한 애플리케이션 필터링 및 모니터링을 수행하는 보안 시스템 - OSI 모델 중 layer 7에 해당하는 Application layer에 대한 방어 Any Vendor Alibaba cloud WAF SLB、ECS Internet Data Center OSS、API AWS、Google others Alibaba Cloud WAF Protection Model(Reverse-proxy) 인텔리전트 AI 기반의 실시간 빅데이터 분석 엔진으로 트래픽 분류 및 필터 수행 IP Warehouse 악의적 공격 IP 주소 및 IP 블랙리스트를 저장하는 글로벌 라이브러리 보유, 이를 기반으로 공격 탐지 강화된 알고리즘 최적화된 알고리즘으로 ACL 정책을 간소화하고 서비스를 지속적으로 공격으로부터 보호 High Concurrency 피크타임 시 원활한 서비스 보호를 위해 수백만 QPS까지 탄력적으로 지원
- 12. 12 Anti-DDoS Premium Anti-DDoS server Attack Normal users Threat analysis center Logs center AI Intelligent Protective engine CDN ü AI intelligent 엔진으로 보호되는 Application 관련 공격:아시아에서만 100,000개가 넘는 웹사이트 방어 ü 최대 1.02TB 트래픽의 DDoS 공격 방어 ü 세계적으로 10개가 넘는 지역에서의 Anti-DDoS 서버 구성
- 13. 13 Security Center ③ ② ① Anti virus 마이닝, 웜 등7가지 주요 바이러스 차단 Anti malware wannacry 등의 렌섬웨어 로부터 시스템 보호 Patch management OS 레벨 취약점 탐지 및 수정 ② ① Configuration Check 클라우드 서비스 구성 체크리스트 및 보안 수준 향상을 위한 조언 제공 Best Practice ID 인증, 네트워크 엑세스 제어, 데이터 보안, 로그 감사 및 기본 보안을 포함하여 알리바바 클라우드 보안 구성을 개선 ② ① 보안 운영의 자동화, 효율성 향상 많은 프로세스를 자동화함으로써 보안 운영의 효율성 향상 시각화 시각적 인터페이스를 통해 사용자가 공격의 원인을 추적하고 신속한 대응이 이루어지도록 함
- 14. 14 Security Best Practice Anti-DDOS Premium Alibaba Cloud L4 flood cleansing WAF Managed Security Service Cloud Security Center Encryption KMS/HSM SLB Web Application Protection Anti-Bot SLB Log Service VPC Cloud Firewall Cloud Security Center Host Protection Cloud Firewall Border defense Penetration Test Strength verification SDDP Data protection Bastion Host Bastion Host VPC
- 15. 15 SecOps
- 16. 16 Immutable Infrastructure (AS-IS) ECS Elastic Compute Service Image Registry APP RUNTIME SECURITY NETWORK OS USER V1 V1.1 V2.1 V2.2 V2.3 V3.0 …
- 17. 17 Immutable Infrastructure (TO-BE) ECS Elastic Compute Service Image Registry APP RUNTIME SECURITY NETWORK OS USER Standard Secure Image
- 18. 18 Provisioning Workflow Web-Shop Resources Web-Shop Resources Infrastructure as Code push/pull VCS Workspace TERRAFORM CLOUD / ENTERPRISE VCS Driven Workflow DEVELOPER MODULE:Services SIZE: large TAG: finance REGION: ap-singapol Workspace OPS PLAN APPLY POLICY CODIFICATION WORKLOAD/LIFECYCLE MANAGEMENT RUN STAGES CLOUD RESOURCES CI/CD PRIVATE MODULE REGISTRY ... Prod Resources Dev Resources
- 19. 19 Provisioning Workflow | Sensitives Web-Shop Resources Web-Shop Resources Infrastructure as Code push/pull VCS Workspace TERRAFORM CLOUD / ENTERPRISE VCS Driven Workflow DEVELOPER MODULE:Services SIZE: large TAG: finance REGION: ap-singapol Workspace OPS PLAN APPLY POLICY CODIFICATION WORKLOAD/LIFECYCLE MANAGEMENT RUN STAGES CLOUD RESOURCES CI/CD PRIVATE MODULE REGISTRY ... Prod Resources Dev Resources
- 20. 20 Provisioning Workflow | Policy Web-Shop Resources Web-Shop Resources Infrastructure as Code push/pull VCS Workspace TERRAFORM CLOUD / ENTERPRISE VCS Driven Workflow DEVELOPER MODULE:Services SIZE: large TAG: finance REGION: ap-singapol Workspace OPS PLAN APPLY POLICY CODIFICATION WORKLOAD/LIFECYCLE MANAGEMENT RUN STAGES CLOUD RESOURCES CI/CD PRIVATE MODULE REGISTRY ... Prod Resources Dev Resources
- 21. 21 Secret Management - SSH (AS-IS) Admin User Servers • Email • Messenger • SMS 접근 통제 SSH
- 22. 22 Secret Management - SSH (TO-BE) User SSH Check Auth One Time Password Servers
- 23. 23 Demo
- 24. 24 Demo - HashiCorp Vault SSH helper PAM config SSH config Custom Image ECS IaC Sentinel Policy Apply/Destroy PAM Server Auth Policy Check
- 25. 25 Demo Alibaba Cloud
- 26. 26 2021. 10. 13. (수) DevSecOps Episode 임종진 이규석 NEXT