의식의 흐름을 따라서

오늘 Offensive Cloud Security에 대한 주제를 다루는 Beaver Dam Comunity Day에 다녀왔다.(https://event-us.kr/beaverdam/event/112185) Beaver Dam Community Day Vol. 1 - 이벤터스Offensive Cloud Security를 주제로 학습/연구 하고 있는 Beaver Dam 팀에서 매월 다양한 주제로 발표를 진행합니다.event-us.kr화이트햇 스쿨에서뵌 멘토님이 만든 커뮤니티였는데, 내용들이 궁금해보여 다녀왔고 재밌는 내용이 많아서 한번 정리해보고자 한다. S3 Bucket Monopoly란?공격자는 예측 가능한 S3 버킷 이름을 미리 선점해(=namesquatting / bucket monopoly) 피해 ..

https://registry.terraform.io/providers/hashicorp/aws/latest/docs/resources/cloudfront_distribution Terraform Registry registry.terraform.io나는 CloudFront를 Terraform을 이용해서 실습해보고자 하였고, 위는 CloudFront에 대한 Terraform 공식문서다.한번 살펴보자# 1. 컨텐츠 버킷 생성 후 ACL 설정resource "aws_s3_bucket" "b" { bucket = "mybucket" tags = { Name = "My bucket" }}resource "aws_s3_bucket_acl" "b_acl" { bucket = aws_s3_bucket.b..

CloudFront 도입 이유프로젝트를 하면 보통 사진과 같은 파일을 S3에 담아뒀다.그리고 사진을 웹/앱에 제공할때, s3를 read public으로 하여 제공하였었다.하지만, 이러면 보통 보안 / 성능 / 비용 등에 문제가 생길 수 있다.의도치 않은 공개/유출같은 버킷에 있던 임시 파일·백업·메타데이터까지 공개될 위험.객체 키(폴더/파일명) 추측·열거(bruteforce, list 취약 정책)로 민감 정보 노출 가능.보안 통제 부재WAF, IP/국가 차단, Bot 차단을 걸기 어렵다(S3 단독으론 불가).서명 URL/쿠키 기반 제한을 강제하기 어려워 핫링크/무단 재배포에 취약.PAB/ACL 꼬임: ACL로 퍼블릭이 열려 있으면 정책으로 막아도 설정 충돌/오인 가능.성능/지연 시간S3는 단일 리전에서만..