개요
여러분은 AnyCompany의 보안 엔지니어입니다. 여러분은 모든 회사 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 인스턴스에 저장된 데이터(저장 데이터) 및 인스턴스 간에 이동하는 데이터(전송 데이터)의 보안을 맡고 있습니다.
AnyCompany의 애플리케이션 개발자는 프런트 엔드 웹 서버와 백엔드 데이터베이스 서버에 EC2 인스턴스를 자주 사용합니다. 여러분은 배포되는 새로운 각 인스턴스에 보안 관련 조정을 적용하는 대신, 모든 회사 인스턴스에 사용할 수 있도록 미리 구성된 기본 이미지를 제공하려 합니다.
이 실습에서는 다양한 구성 변경 내용이 포함된 사용자 지정 Amazon Machine Image(AMI)를 만듭니다. 그리고 사용자 지정 AMI에서 새 인스턴스를 배포하고 인스턴스에 사용자 데이터 스크립트를 사용하여 인스턴스 기능과 관련된 새 사용자를 추가합니다. 그 후에는 AWS Systems Manager를 사용하여 인스턴스를 지속적으로 패치하는 방법을 배웁니다. 마지막으로, Amazon Elastic Block Store(Amazon EBS) 암호화 및 보안 그룹 규칙을 사용하여 회사의 저장 데이터와 전송 데이터를 보호합니다.
목표
본 실습을 마치면 다음을 할 수 있습니다.
- 사용자 지정 AMI을 생성합니다.
- 사용자 지정 AMI에서 새 EC2 인스턴스를 배포합니다.
- AWS Systems Manager를 사용하여 EC2 인스턴스를 패치합니다.
- EBS 볼륨을 암호화합니다.
- EBS 암호화의 작동 방식과 EBS 암호화가 스냅샷 같은 다른 작업에 미치는 영향을 이해합니다.
- 보안 그룹을 사용하여 EC2 인스턴스 간 트래픽을 암호화된 트래픽만으로 제한합니다.
필수 기술 지식
이 실습을 성공적으로 마치려면 기본적인 AWS 관리 콘솔 탐색 방법과 Linux Command Line Interface(CLI)에서 명령을 실행하는 방법에 익숙해야 합니다.
소요 시간
본 실습은 완료하는 데 45분 정도가 소요됩니다.
아이콘 설명
이 실습에서는 다양한 유형의 지침 및 참고 사항에 대한 주의를 환기하기 위해 다양한 아이콘이 사용됩니다. 각 아이콘의 목적은 다음과 같습니다.
- 명령: 실행해야 하는 명령입니다.
- 예상 출력: 명령 또는 편집된 파일의 출력을 확인하는 데 사용할 수 있는 샘플 출력입니다.
- 참고: 힌트, 팁 또는 중요한 가이드입니다.
- 추가 정보: 자세한 정보를 찾을 수 있는 위치입니다.
- 주의: 특별한 관심이 필요한 중요한 정보입니다(놓쳤다고 해도 장치 또는 데이터에 문제가 발생할 정도로 중요하지는 않지만 특정 단계를 반복해야 할 수 있음).
- 고려 사항: 자신의 환경에 개념을 적용하는 방법을 고려하거나 당면한 주제에 대한 대화를 시작하기 위해 일시 중지할 시점입니다.
- 새로 고침: 웹 브라우저 페이지 또는 목록을 새로 고쳐 새 정보를 표시해야 하는 경우입니다.
환경 개요
아래 다이어그램에 실습 환경의 기본 아키텍처가 나와 있습니다.
아래 목록에 다이어그램의 주요 리소스 관련 세부 정보가 나와 있습니다.
- 퍼블릭 서브넷 1개와 프라이빗 서브넷 2개가 있는 첫 번째 가용 영역의 VPC와 퍼블릭 서브넷 1개가 있는 두 번째 가용 영역의 VPC
- 퍼블릭 서브넷마다 하나씩 총 2개의 노드가 있는 Network Load Balancer
- 첫 번째 프라이빗 서브넷의 웹 서버 역할을 하는 EC2 인스턴스
- 두 번째 서브넷의 데이터베이스 서버 역할을 하는 EC2 인스턴스
- 목적에 따라 인스턴스마다 하나씩 총 2개의 보안 그룹
네트워크 트래픽은 외부 사용자, 인터넷 게이트웨이, 두 Network Load Balancer 노드 중 하나, 웹 서버로 이동합니다. 웹 서버에서 실행되는 워드프레스 블로그 사이트의 URL이 요청되면 데이터베이스 서버로도 트래픽이 이동합니다.
