인터넷 환경에서 가장 많이 사용되는 전송 중 암호화 기술인 SSL/TLS 에 대한 설명입니다. TLS 는 2022년 현재 1.3 버전이 가장 최신버전이며 주요 기업 및 기관에서는 보안 강화 및 사용자 경험 개선을 위해 1.3 버전을 권고하고 있습니다. TLS 의 각 버전별 Handshake 방식과 적용되는 기술들이 어떻게 다른지 살펴보세요.
This document discusses Amazon Web Services (AWS) Virtual Private Clouds (VPCs), subnets, and security groups. It begins with an overview of AWS VPCs and global infrastructure and then discusses how to set up subnets and configure routing and security groups within a VPC. Best practices for VPC configuration are also provided. The document concludes with information on using AWS CloudFormation to automate infrastructure deployment and management.
Amazon EKS를 위한 AWS CDK와 CDK8s 활용법 - 염지원, 김광영 AWS 솔루션즈 아키텍트 :: AWS Summit Seou...Amazon Web Services Korea
Amazon Elastic Kubernetes Service (Amazon EKS)를 통하여 오픈소스 컨테이너 오케이스트레이션 도구인 Kubernetes를 신규 도입하고자 하는 고객들이 폭발적으로 늘어나고 있습니다. AWS Cloud Development Kit (AWS CDK) 그리고 CDK8s 를 활용하여 개발자에게 친숙한 프로그래밍 언어로 Amazon EKS를 정의하고 Kubernetes 어플리케이션을 정의하는 데에 활용하는 방법을 소개하여, 새롭게 Amazon EKS를 사용해보고자 하는 고객들이 도입을 가속화할 수 있는 방법을 제시합니다.
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴 - 강동환 솔루션즈 아키텍트, AWS :: AWS Summit ...Amazon Web Services Korea
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴
강동환 솔루션즈 아키텍트, AWS
고객의 조직, 서비스 구조에 따라 함께 늘어나는 VPC를 효과적으로 통합, 관리, 운영하기 위한 서비스와 아키텍처 패턴을 소개합니다. Peering의 한계를 넘어 VPC간 자유로운 연동을 제공하는 Transit Gateway(TGW), 조직내 다양한 Account간의 VPC 공유를 위한 Multi-Account VPC(MAVPC), 그리고 AWS 자원의 안전한 공유를 제공하기 위한 Resource Access Manager(RAM)를 활용하는 다양한 아키텍처 패턴을 살펴봅니다.
AWS Fargate와 Amazon ECS를 사용한 CI/CD 베스트 프랙티스 - 유재석, AWS 솔루션즈 아키텍트 :: AWS Build...Amazon Web Services Korea
발표영상 다시보기: https://youtu.be/il8wpd7gxe8
CI/CD 기술을 통해 팀은 민첩성을 높이고 고품질 제품을 신속하게 출시 할 수 있습니다. 이 강의에서는 컨테이너화 된 응용 프로그램을 관리 할 수 있도록 CI/CD 워크 플로우 작성을위한 모범 사례를 안내합니다. AWS Cloud Development Kit를 사용하여 코드 애플리케이션 모델로 인프라를 다루고 AWS CodePipeline 및 AWS CodeBuild를 사용하여 CI/CD 릴리스 파이프 라인을 설정하는 방법을 보여줍니다. 마지막으로 AWS CodeDeploy를 사용한 안전한 배포 자동화에 대해 설명합니다.
This document provides an overview of Kubernetes including:
1) Kubernetes is an open-source platform for automating deployment, scaling, and operations of containerized applications. It provides container-centric infrastructure and allows for quickly deploying and scaling applications.
2) The main components of Kubernetes include Pods (groups of containers), Services (abstract access to pods), ReplicationControllers (maintain pod replicas), and a master node running key components like etcd, API server, scheduler, and controller manager.
3) The document demonstrates getting started with Kubernetes by enabling the master on one node and a worker on another node, then deploying and exposing a sample nginx application across the cluster.
Amazon Cognito와 함께 서버리스를..! - 이재일 (강남비기너모임) :: AWS Community Day 2017AWSKRUG - AWS한국사용자모임
AWS 자원을 효율적으로 이용하기 위해 Cognito를 사용하게 되었습니다. Cognito의 기능과 Cognito를 사용하면 좋은 점, 서비스를 개발하면서 생겼던 이슈 등을 발표합니다. 시연으로 Cognito + S3 + Lambda 를 이용한 서버리스 아키텍처 기반의 포토 갤러리 웹 서비스를 소개합니다.
This document discusses Amazon Web Services (AWS) Virtual Private Clouds (VPCs), subnets, and security groups. It begins with an overview of AWS VPCs and global infrastructure and then discusses how to set up subnets and configure routing and security groups within a VPC. Best practices for VPC configuration are also provided. The document concludes with information on using AWS CloudFormation to automate infrastructure deployment and management.
Amazon EKS를 위한 AWS CDK와 CDK8s 활용법 - 염지원, 김광영 AWS 솔루션즈 아키텍트 :: AWS Summit Seou...Amazon Web Services Korea
Amazon Elastic Kubernetes Service (Amazon EKS)를 통하여 오픈소스 컨테이너 오케이스트레이션 도구인 Kubernetes를 신규 도입하고자 하는 고객들이 폭발적으로 늘어나고 있습니다. AWS Cloud Development Kit (AWS CDK) 그리고 CDK8s 를 활용하여 개발자에게 친숙한 프로그래밍 언어로 Amazon EKS를 정의하고 Kubernetes 어플리케이션을 정의하는 데에 활용하는 방법을 소개하여, 새롭게 Amazon EKS를 사용해보고자 하는 고객들이 도입을 가속화할 수 있는 방법을 제시합니다.
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴 - 강동환 솔루션즈 아키텍트, AWS :: AWS Summit ...Amazon Web Services Korea
AWS Transit Gateway를 통한 Multi-VPC 아키텍처 패턴
강동환 솔루션즈 아키텍트, AWS
고객의 조직, 서비스 구조에 따라 함께 늘어나는 VPC를 효과적으로 통합, 관리, 운영하기 위한 서비스와 아키텍처 패턴을 소개합니다. Peering의 한계를 넘어 VPC간 자유로운 연동을 제공하는 Transit Gateway(TGW), 조직내 다양한 Account간의 VPC 공유를 위한 Multi-Account VPC(MAVPC), 그리고 AWS 자원의 안전한 공유를 제공하기 위한 Resource Access Manager(RAM)를 활용하는 다양한 아키텍처 패턴을 살펴봅니다.
AWS Fargate와 Amazon ECS를 사용한 CI/CD 베스트 프랙티스 - 유재석, AWS 솔루션즈 아키텍트 :: AWS Build...Amazon Web Services Korea
발표영상 다시보기: https://youtu.be/il8wpd7gxe8
CI/CD 기술을 통해 팀은 민첩성을 높이고 고품질 제품을 신속하게 출시 할 수 있습니다. 이 강의에서는 컨테이너화 된 응용 프로그램을 관리 할 수 있도록 CI/CD 워크 플로우 작성을위한 모범 사례를 안내합니다. AWS Cloud Development Kit를 사용하여 코드 애플리케이션 모델로 인프라를 다루고 AWS CodePipeline 및 AWS CodeBuild를 사용하여 CI/CD 릴리스 파이프 라인을 설정하는 방법을 보여줍니다. 마지막으로 AWS CodeDeploy를 사용한 안전한 배포 자동화에 대해 설명합니다.
This document provides an overview of Kubernetes including:
1) Kubernetes is an open-source platform for automating deployment, scaling, and operations of containerized applications. It provides container-centric infrastructure and allows for quickly deploying and scaling applications.
2) The main components of Kubernetes include Pods (groups of containers), Services (abstract access to pods), ReplicationControllers (maintain pod replicas), and a master node running key components like etcd, API server, scheduler, and controller manager.
3) The document demonstrates getting started with Kubernetes by enabling the master on one node and a worker on another node, then deploying and exposing a sample nginx application across the cluster.
Amazon Cognito와 함께 서버리스를..! - 이재일 (강남비기너모임) :: AWS Community Day 2017AWSKRUG - AWS한국사용자모임
AWS 자원을 효율적으로 이용하기 위해 Cognito를 사용하게 되었습니다. Cognito의 기능과 Cognito를 사용하면 좋은 점, 서비스를 개발하면서 생겼던 이슈 등을 발표합니다. 시연으로 Cognito + S3 + Lambda 를 이용한 서버리스 아키텍처 기반의 포토 갤러리 웹 서비스를 소개합니다.
Este documento presenta una introducción a Amazon EKS. Explica los conceptos clave de Kubernetes y cómo EKS administra el plano de control de Kubernetes de manera segura y confiable. También cubre temas como redes, seguridad, monitoreo y opciones de nodos de trabajo como instancias EC2 administradas, grupos de nodos administrados y AWS Fargate.
롯데이커머스의 마이크로 서비스 아키텍처 진화와 비용 관점의 운영 노하우-나현길, 롯데이커머스 클라우드플랫폼 팀장::AWS 마이그레이션 A ...Amazon Web Services Korea
2015 년부터 진행한 실험적 퍼블릭클라우드 운영에 대한 최근 결과를 공유하며 그간 경험한 MSA Architecture 환경, Cost optimization, Operation 관련 내용을 공유합니다. 특히 대규모 운영 환경에서 경험한 다양한 관점의 경험과 비용절감에 대해 인사이트를 제공 예정입니다.
Cloud Migration 과 Modernization 을 위한 30가지 아이디어-박기흥, AWS Migrations Specialist...Amazon Web Services Korea
규모의 경제에서 속도의 경제로 이동하고 있는 요즘, 기업의 경쟁우위를 위하여 클라우드 마이그레이션과 애플리케이션 및 프로세스 현대화는 생존을 위한 필수조건이 되었습니다. 본 세션에서는 마이그레이션과 현대화를 위한 30여 가지 아이디어를 살펴보고자 합니다. 제약 이론, 도요타 생산방식과 같이 개선을 위한 기반 사상에서 DevOps, FinOps, SRE 등의 프랙티스와 그를 구성하는 SLA, Loosely Couple Architecture, CI/CD 등의 메카니즘, 그리고 마이그레이션을 위한 Transitional Architecture, Data Migration Architecture 등 30여 가지 아이디어를 공유합니다.
토스증권은 Blitzscaling을 꿈꾸며 여정을 준비하고 있습니다.
효율적인 서비스 제공과 안정적인 운영을 위해 선택했던 경험들을 공유하고, 빠른 변화에 민첩하게 대응하는 증권팀의 비전과 높은 생산성을 만들기 위해서 선택했던 AWS 클라우드 사용 경험 중 멀티캐스트 기능을 활용한 주식 실시간 시세 제공 서비스에 대해서 구축 사례를 중심으로 소개하겠습니다.
Vault is a tool for securely accessing secrets like API keys and passwords. It allows for [1] generating short-term credentials to access services like AWS, [2] easy revocation of credentials, and [3] auditing of secret access. Vault uses a seal/unseal process where secrets are encrypted at rest requiring threshold of keys to unseal. The document discusses best practices like using tokens for authentication, safeguarding storage backends, and setting up high availability.
The document discusses various Azure networking patterns and concepts. It begins with an overview of networking patterns like island mode, hybrid connections, and using a network virtual appliance with a northbound and southbound configuration. It then covers routing basics in Azure like longest prefix matching and custom routes. Other sections discuss routing beyond the basics with service endpoints and injections. It also discusses outbound connections, load balancers, network virtual appliances, and cost drivers. The document provides explanations and examples throughout to illustrate Azure networking concepts.
PerconaLive 2016 Santa Clara presentation on Hashicorp Vault with CTO Armon Dadger
https://www.percona.com/live/data-performance-conference-2016/sessions/using-vault-decouple-secrets-applications
Las tecnologías como los contenedores y kubernetes pueden hacer que sus procesos de entrega de software sean más fáciles y más rápidos. En este webinar, hablaremos sobre cómo usar el Amazon Kubernetes Service (EKS) para construir aplicaciones modernas con grupos Kubernetes totalmente administrados.
스폰서 발표 세션 | KINX와 함께 하는 AWS Direct Connect 도입
남시우 매니저, KINX
AWS Direct Connect는 AWS와 온프레미스 사이에 프라이빗 연결을 설정해 일관된 네트워크 성능, 비용 절감, 대역폭 처리량 증대 등의 이점을 제공하는 서비스입니다. 2016년 AWS 서울 리전 오픈부터 함께해 온 인터넷 인프라 전문기업 (주)케이아이엔엑스(KINX)는 AWS Direct Connect를 도입하고자 하는 기업을 위한 핵심 노하우를 공유하고자 합니다. 본 세션에서는 AWS Direct Connect에 손쉽게 연결하는 방법과 함께 AWS Direct Connect의 네트워크 구성을 기반으로 한 실제 활용사례, AWS Direct Connect를 바탕으로 한 제조업 분야의 중국지사 연결 방안을 소개합니다.
데이터 분석가를 위한 신규 분석 서비스 - 김기영, AWS 분석 솔루션즈 아키텍트 / 변규현, 당근마켓 소프트웨어 엔지니어 :: AWS r...Amazon Web Services Korea
AWS re:Invent에서는 다양한 고객들의 요구에 맞추어 새로운 분석 및 서버리스 서비스가 대거 출시되었습니다. 본 강연에서는 새롭게 출시된 핵심 분석 기능들과 함께, 누구나 손쉽게 사용할 수 있는 AWS의 분석 서버리스와 On-demand 기능들에 대한 심층적인 정보를 확인하실 수 있습니다.
OpenSearch는 배포형 오픈 소스 검색과 분석 제품군으로 실시간 애플리케이션 모니터링, 로그 분석 및 웹 사이트 검색과 같이 다양한 사용 사례에 사용됩니다. OpenSearch는 데이터 탐색을 쉽게 도와주는 통합 시각화 도구 OpenSearch와 함께 뛰어난 확장성을 지닌 시스템을 제공하여 대량 데이터 볼륨에 빠르게 액세스 및 응답합니다. 이 세션에서는 실제 동작 구조에 대한 설명을 바탕으로 최적화를 하기 위한 방법과 운영상에 발생할 수 있는 이슈에 대해서 알아봅니다.
Azure Key Vault is a cloud service that securely stores keys, secrets, and certificates. It allows storing cryptographic keys and secrets that applications and services use while keeping them safe from unauthorized access. Key Vault uses hardware security modules to encrypt keys and secrets. Typical applications would store secrets like connection strings in Key Vault rather than configuration files for improved security and management. Key Vault integrates with Azure Active Directory for authentication so applications can access secrets securely.
발표자: 이정훈 솔루션즈 아키텍트, AWS / 이상규 솔루션즈 아키텍트, AWS / 현륜식 솔루션즈 아키텍트, AWS / 강동환 솔루션즈 아키텍트, AWS
Part 1 : Cloud 로의 전환
Cloud로 전환하는 과정에서 검토되는 Windows 서버 운영 및 Cloud Endure에 대한 기본 개념 등을 소개합니다.
Part 2 : SAP 에 대한 고민
본 세션에서는 기업들이 가지고 있는 SAP 가치를 극대화하고 비용절감 및 업무자동화를 실천하는 방법에 대해 소개합니다
Part 3 : 백업 및 복구
기업들이 가지고 있는 데이터 통합관리 및 재해복구 방안, 그리고 데이터 내구성을 확보하고 비용절감하는 방안에 대해 소개합니다.
Part 4 : 하이브리드 클라우드 아키텍처
하이브리드 클라우드 아키텍처를 제시하고, VMware Cloud on AWS, Outposts와 같은 고객의 On-Premise 환경과 밀접한 관련이 있는 제품 및 서비스를 알아봅니다.
금융권 최신 AWS 도입 사례 총정리 – 신한 제주 은행, KB손해보험 사례를 중심으로 - 지성국 사업 개발 담당 이사, AWS / 정을용...Amazon Web Services Korea
금융권 최신 AWS 도입 사례 총정리 – 신한 제주 은행, KB손해보험 사례를 중심으로
지성국 사업 개발 담당 이사, AWS
정을용 수석, 신한 DS
노용헌 이사, 메가존
금융권 클라우드 규제 환경에서도 많은 고객들이 AWS를 사용하여 업무를 혁신하여 왔습니다. 크게 보면 새로운 사업에 AWS를 활용하여 혁신할 수 있는지와 기존 업무를 AWS로 신속하게 안전하게 이전하는 것으로 누누어 볼 수 있습니다. 첫 번째 사례로 신한 제주 은행 지니앱 개발 사례를 통하여 신한 DS가 비금융 앱인 "제주 지니" 프로젝트에 AWS기반 데브옵스 체계를 금융권 최초로 구축한 사례를 소개합니다. 단순히, Infra form factor만 클라우드를 활용하던 관행에서 벗어나 개발, 테스트, 스테이징, 배포 등 CI/CD 전 과정을 AWS상에서 자동으로 구현하는 과정을 통하여 기존 On premise 대비 AWS 클라우드의 장점 및 이를 통해 배운 점 등을 공유합니다. 다음으로는 해외 북미 법인 DC 전체를 AWS 로 All-in 마이그레이션을 통하여 운영중인 K 손해보험 사례를 공유합니다. K 손해보험의 미주법인은 새롭게 시행된 미국의 강력한 사이버 보안 정책이 23 NYCRR500을 준수하면서 On premise 환경보다 우월한 보안 요건을 준수하기 위하여 AWS 클라우드 검토하게 되었으며 AWS의 금융전문파트너인 메가존과 함께 뉴저지와 캘리포니아에 위치한 2개의 데이터센터를 모두 AWS 클라우드로 이관하는데 성공하였습니다. 약 6개월간 진행된 해당 프로젝트에 대한 사례소개 및 이를 통한 비용 절감의 효과를 공유해 드리며 현재도 계속 지원하고 있는 메가존의 AWS 클라우드 매니지드 서비스의 효과도 함께 전달 드립니다.
Este documento presenta una introducción a Amazon EKS. Explica los conceptos clave de Kubernetes y cómo EKS administra el plano de control de Kubernetes de manera segura y confiable. También cubre temas como redes, seguridad, monitoreo y opciones de nodos de trabajo como instancias EC2 administradas, grupos de nodos administrados y AWS Fargate.
롯데이커머스의 마이크로 서비스 아키텍처 진화와 비용 관점의 운영 노하우-나현길, 롯데이커머스 클라우드플랫폼 팀장::AWS 마이그레이션 A ...Amazon Web Services Korea
2015 년부터 진행한 실험적 퍼블릭클라우드 운영에 대한 최근 결과를 공유하며 그간 경험한 MSA Architecture 환경, Cost optimization, Operation 관련 내용을 공유합니다. 특히 대규모 운영 환경에서 경험한 다양한 관점의 경험과 비용절감에 대해 인사이트를 제공 예정입니다.
Cloud Migration 과 Modernization 을 위한 30가지 아이디어-박기흥, AWS Migrations Specialist...Amazon Web Services Korea
규모의 경제에서 속도의 경제로 이동하고 있는 요즘, 기업의 경쟁우위를 위하여 클라우드 마이그레이션과 애플리케이션 및 프로세스 현대화는 생존을 위한 필수조건이 되었습니다. 본 세션에서는 마이그레이션과 현대화를 위한 30여 가지 아이디어를 살펴보고자 합니다. 제약 이론, 도요타 생산방식과 같이 개선을 위한 기반 사상에서 DevOps, FinOps, SRE 등의 프랙티스와 그를 구성하는 SLA, Loosely Couple Architecture, CI/CD 등의 메카니즘, 그리고 마이그레이션을 위한 Transitional Architecture, Data Migration Architecture 등 30여 가지 아이디어를 공유합니다.
토스증권은 Blitzscaling을 꿈꾸며 여정을 준비하고 있습니다.
효율적인 서비스 제공과 안정적인 운영을 위해 선택했던 경험들을 공유하고, 빠른 변화에 민첩하게 대응하는 증권팀의 비전과 높은 생산성을 만들기 위해서 선택했던 AWS 클라우드 사용 경험 중 멀티캐스트 기능을 활용한 주식 실시간 시세 제공 서비스에 대해서 구축 사례를 중심으로 소개하겠습니다.
Vault is a tool for securely accessing secrets like API keys and passwords. It allows for [1] generating short-term credentials to access services like AWS, [2] easy revocation of credentials, and [3] auditing of secret access. Vault uses a seal/unseal process where secrets are encrypted at rest requiring threshold of keys to unseal. The document discusses best practices like using tokens for authentication, safeguarding storage backends, and setting up high availability.
The document discusses various Azure networking patterns and concepts. It begins with an overview of networking patterns like island mode, hybrid connections, and using a network virtual appliance with a northbound and southbound configuration. It then covers routing basics in Azure like longest prefix matching and custom routes. Other sections discuss routing beyond the basics with service endpoints and injections. It also discusses outbound connections, load balancers, network virtual appliances, and cost drivers. The document provides explanations and examples throughout to illustrate Azure networking concepts.
PerconaLive 2016 Santa Clara presentation on Hashicorp Vault with CTO Armon Dadger
https://www.percona.com/live/data-performance-conference-2016/sessions/using-vault-decouple-secrets-applications
Las tecnologías como los contenedores y kubernetes pueden hacer que sus procesos de entrega de software sean más fáciles y más rápidos. En este webinar, hablaremos sobre cómo usar el Amazon Kubernetes Service (EKS) para construir aplicaciones modernas con grupos Kubernetes totalmente administrados.
스폰서 발표 세션 | KINX와 함께 하는 AWS Direct Connect 도입
남시우 매니저, KINX
AWS Direct Connect는 AWS와 온프레미스 사이에 프라이빗 연결을 설정해 일관된 네트워크 성능, 비용 절감, 대역폭 처리량 증대 등의 이점을 제공하는 서비스입니다. 2016년 AWS 서울 리전 오픈부터 함께해 온 인터넷 인프라 전문기업 (주)케이아이엔엑스(KINX)는 AWS Direct Connect를 도입하고자 하는 기업을 위한 핵심 노하우를 공유하고자 합니다. 본 세션에서는 AWS Direct Connect에 손쉽게 연결하는 방법과 함께 AWS Direct Connect의 네트워크 구성을 기반으로 한 실제 활용사례, AWS Direct Connect를 바탕으로 한 제조업 분야의 중국지사 연결 방안을 소개합니다.
데이터 분석가를 위한 신규 분석 서비스 - 김기영, AWS 분석 솔루션즈 아키텍트 / 변규현, 당근마켓 소프트웨어 엔지니어 :: AWS r...Amazon Web Services Korea
AWS re:Invent에서는 다양한 고객들의 요구에 맞추어 새로운 분석 및 서버리스 서비스가 대거 출시되었습니다. 본 강연에서는 새롭게 출시된 핵심 분석 기능들과 함께, 누구나 손쉽게 사용할 수 있는 AWS의 분석 서버리스와 On-demand 기능들에 대한 심층적인 정보를 확인하실 수 있습니다.
OpenSearch는 배포형 오픈 소스 검색과 분석 제품군으로 실시간 애플리케이션 모니터링, 로그 분석 및 웹 사이트 검색과 같이 다양한 사용 사례에 사용됩니다. OpenSearch는 데이터 탐색을 쉽게 도와주는 통합 시각화 도구 OpenSearch와 함께 뛰어난 확장성을 지닌 시스템을 제공하여 대량 데이터 볼륨에 빠르게 액세스 및 응답합니다. 이 세션에서는 실제 동작 구조에 대한 설명을 바탕으로 최적화를 하기 위한 방법과 운영상에 발생할 수 있는 이슈에 대해서 알아봅니다.
Azure Key Vault is a cloud service that securely stores keys, secrets, and certificates. It allows storing cryptographic keys and secrets that applications and services use while keeping them safe from unauthorized access. Key Vault uses hardware security modules to encrypt keys and secrets. Typical applications would store secrets like connection strings in Key Vault rather than configuration files for improved security and management. Key Vault integrates with Azure Active Directory for authentication so applications can access secrets securely.
발표자: 이정훈 솔루션즈 아키텍트, AWS / 이상규 솔루션즈 아키텍트, AWS / 현륜식 솔루션즈 아키텍트, AWS / 강동환 솔루션즈 아키텍트, AWS
Part 1 : Cloud 로의 전환
Cloud로 전환하는 과정에서 검토되는 Windows 서버 운영 및 Cloud Endure에 대한 기본 개념 등을 소개합니다.
Part 2 : SAP 에 대한 고민
본 세션에서는 기업들이 가지고 있는 SAP 가치를 극대화하고 비용절감 및 업무자동화를 실천하는 방법에 대해 소개합니다
Part 3 : 백업 및 복구
기업들이 가지고 있는 데이터 통합관리 및 재해복구 방안, 그리고 데이터 내구성을 확보하고 비용절감하는 방안에 대해 소개합니다.
Part 4 : 하이브리드 클라우드 아키텍처
하이브리드 클라우드 아키텍처를 제시하고, VMware Cloud on AWS, Outposts와 같은 고객의 On-Premise 환경과 밀접한 관련이 있는 제품 및 서비스를 알아봅니다.
금융권 최신 AWS 도입 사례 총정리 – 신한 제주 은행, KB손해보험 사례를 중심으로 - 지성국 사업 개발 담당 이사, AWS / 정을용...Amazon Web Services Korea
금융권 최신 AWS 도입 사례 총정리 – 신한 제주 은행, KB손해보험 사례를 중심으로
지성국 사업 개발 담당 이사, AWS
정을용 수석, 신한 DS
노용헌 이사, 메가존
금융권 클라우드 규제 환경에서도 많은 고객들이 AWS를 사용하여 업무를 혁신하여 왔습니다. 크게 보면 새로운 사업에 AWS를 활용하여 혁신할 수 있는지와 기존 업무를 AWS로 신속하게 안전하게 이전하는 것으로 누누어 볼 수 있습니다. 첫 번째 사례로 신한 제주 은행 지니앱 개발 사례를 통하여 신한 DS가 비금융 앱인 "제주 지니" 프로젝트에 AWS기반 데브옵스 체계를 금융권 최초로 구축한 사례를 소개합니다. 단순히, Infra form factor만 클라우드를 활용하던 관행에서 벗어나 개발, 테스트, 스테이징, 배포 등 CI/CD 전 과정을 AWS상에서 자동으로 구현하는 과정을 통하여 기존 On premise 대비 AWS 클라우드의 장점 및 이를 통해 배운 점 등을 공유합니다. 다음으로는 해외 북미 법인 DC 전체를 AWS 로 All-in 마이그레이션을 통하여 운영중인 K 손해보험 사례를 공유합니다. K 손해보험의 미주법인은 새롭게 시행된 미국의 강력한 사이버 보안 정책이 23 NYCRR500을 준수하면서 On premise 환경보다 우월한 보안 요건을 준수하기 위하여 AWS 클라우드 검토하게 되었으며 AWS의 금융전문파트너인 메가존과 함께 뉴저지와 캘리포니아에 위치한 2개의 데이터센터를 모두 AWS 클라우드로 이관하는데 성공하였습니다. 약 6개월간 진행된 해당 프로젝트에 대한 사례소개 및 이를 통한 비용 절감의 효과를 공유해 드리며 현재도 계속 지원하고 있는 메가존의 AWS 클라우드 매니지드 서비스의 효과도 함께 전달 드립니다.
Klaytn API Service
Klaytn 플랫폼에서 BApp을 개발하기 위해서는 서비스 개발 회사들이 직접 Klaytn Node를 운영하는 것을 요구하게 됩니다. 이는 서비스 본질에 집중하고 싶은 개발사의 목적과 부합하지 않고 다소 전문적인 인력/기술이 필요하다는 문제가 발생할 수 있습니다. 이러한 문제점을 해결하기 위해 Ground X가 개발중인 Klaytn API Service에 대해 소개합니다.
4. 키 교환(비대칭키 교환)
세션을 시작할 때 암호화에 사용될 키를 교환하기 위한 방식을 정의
메시지 암호화(대칭키)
상호간의 데이터 전송 시 사용될 암호화 방식을 정의
메시지 인증
데이터의 무결성 검증을 위한 단방향 해쉬
RSA
DHE_RSA
ECDH(E)_RSA
ECDH(E)_ECDSA
AES
DES/3DES
RC4
Camellia
MD5
SHA
5. 비밀키 공개키
전자서명(부인방지) 암호화
로널드 라이베스트(Ron Rivest), 아디 샤미르(Adi Shamir), 레너드 애들먼(Leonard Adleman)
소인수분해에 기반한 대표적인 공개키 암호화 알고리즘
암호화 및 전자 서명에 사용 가능
6. 서명을 통한 인증/무결성 확인
Subnet: Owner Name
End-Entity Certificate
Owner Public Key
Issuer Name
Issuer Signature
Subject: Owner Name
Intermediate Certificate
Owner Public Key
Issuer Name
Issuer Signature
Subject: Owner Name
Root CA Certificate
Owner Public Key
Issuer Signature
발급자 확인
발급자 확인
Certificate 의 Signature 무결성 체크
Certificate 의 유효성 체크(만료 여부 확인)
Certificate 의 폐기 여부 확인(CRL, OCSP)
Certificate 의 발급자 확인(Issuer, Subject 확인)
서명을 통한 인증/무결성 확인
10. Client Hello
Client Random Number
Server Random Number
Premaster Key
Master Key(공유키)
Server Hello
Certificate
ServerKeyExchange
Server Hello Done
ClientKeyExchange
Finished
ChangeCipherSpec
ChangeCipherSpec
Finished
24. Client Hello
Server Hello
Certificate
ServerKeyExchange
Server Hello Done
ClientKeyExchange
Finished
ChangeCipherSpec
ChangeCipherSpec
Finished
DH Client Private
Client Side Key Material
Server Side Key Material
DH Client Public
DH Server Private
공유키
DH Server Public
공유키
30. RSA 키 교환 방식의 문제점
ClientKeyExchange
Finished
ChangeCipherSpec
ChangeCipherSpec
Finished
Client Hello
Server Hello
Certificate
ServerKeyExchange
Server Hello Done
o Premaster Key 를 생성
o Premaster Key 를 서버의 공개키로 암호화
공격자는 Handshake 트래픽과 Server 의 Private Key 를 탈취하면 모든 트래픽을 복호화 가능
Client Random Number Server Random Number Premaster Key
31. Public Subnet
RSA 키 교환 방식의 문제점
VPC
Instance
사용자
암호문 암호문 암호문 암호문
복호화에 동일한 비밀키 필요
Client Random Number Server Random Number Premaster Key
핸드쉐이크 트래픽과 Private Key 를 획득하면 대칭키 생성 가능
생성된 대칭키를 이용하여 기존에 생성된 모든 암호문에 대한 복호화 가능
32. Diffie Helman – 모듈러 연산
Client Server
x - Private Key y – Private Key
X = g^x mod n(Public Key) Y = g^y mod n (Public Key)
K = Y^x mod n K’ = X^y mod n
= = mod
mod
( ) ( )
공개키 비밀키 공개키 비밀키
공유키
Server Public Key Client Public Key
모듈러 연산에 기반한 공개키/비밀키 생성 및 교환 후 공유키 생성
33. Diffie Helman Ephemeral
= = mod
mod
( ) ( )
공개키 비밀키 공개키 비밀키
공유키
Forward Secrecy
Diffie Helman
Diffie Helman Ephemeral
= = mod
mod
( ) ( )
공개키 비밀키 공개키 비밀키
공유키
Forward Secrecy
43. 구성 요소의 간소화(Clean up)
지연 속도 개선(Latency)
프라이버시 개선(Privacy)
연속성 보장(Continuity)
보안(Security)
Reserved Instances
Make a 1 or 3-year commitment
and receive a
off On-Demand prices
Committed &
steady-state usage
44. 키 교환 알고리즘
RSA
암호화 알고리즘
RC4
3DES
Camellia
해쉬 알고리즘
MD5
SHA-1
Cipher Mode
AES-CBC
Compression
Renegotiation
Static RSA/DH
Custom (EC)DHE Group
Custom Curve
Vaudenay 2002
Boneh/Brumley 2003
BEAST 2011
Lucky13 2013
POODLE 2014
Lucky Microseconds 2015
Bleichenbacher 1998
Jager 2015 DROWN 2016
CRIME 2012
Marsh Ray Attack 2009
Renegotiation DoS 2011
Triple Handshake 2014
SLOTH 2016
No Forward Secrecy
No Forward Secrecy
Vulnerable
Vulnerable
45. TLS_
AEAD Cipher Mode HKDF Hash
알고리즘
Protocol Cipher
*HKDF = HMAC-based Key Derivation Function
*Authenticated Encryption with Associated Data
48. Finished
Finished
Client Hello
Server Hello
Client Key Share
Client Pre Shared Key*
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
Client Certificate*
Client Cert Verify*
Encrypted Extension
49. Client Side Key Material
Server Side Key Material
Finished
Finished
Client Hello
Server Hello
Client Key Share
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
Client Certificate*
Client Cert Verify*
o 256bit Nonce 값 생성 후 전송
o Key Share – ECDH Public 값 전송
Client Pre Shared Key*
ECDH Client Private
ECDH Client Public
50. Finished
Finished
Client Hello
Client Key Share
Client Certificate*
Client Cert Verify*
Client Pre Shared Key*
ECDH Client Private
Client Side Key Material
Server Side Key Material
o Key Share – 재전송 요청
ECDH Client Public
Hello Retry
51. Finished
Finished
Client Hello
Client Key Share
Client Certificate*
Client Cert Verify*
Client Pre Shared Key*
ECDH Client Private
Client Side Key Material
Server Side Key Material
Hello Retry
Client Hello
Client Key Share
Client Pre Shared Key*
o 256bit Nonce 값 생성 후 전송
o Key Share – ECDH Public 값 전송
ECDH Client Public
52. Finished
Finished
Client Hello
Client Key Share
Client Certificate*
Client Cert Verify*
Client Pre Shared Key*
ECDH Client Private
Client Side Key Material
Server Side Key Material
o 256bit Nonce 값 생성 후 전송
o Key Share – ECDH Public 값 전송
ECDH Client Public
ECDH Server Private
ECDH Server Public
공유키
Server Hello
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
o Client 인증서 요청(옵션)
53. Client Side Key Material
Server Side Key Material
Finished
Client Hello
Client Key Share
Client Certificate*
Client Cert Verify*
Client Pre Shared Key*
Server Hello
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
o Handshake 에 대한 HASH 값 전송
Finished
ECDH Client Private
ECDH Client Public
ECDH Server Private
ECDH Server Public
공유키
54. Finished
Client Hello
Client Key Share
Client Pre Shared Key*
Server Hello
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
ECDH Client Private
Client Side Key Material
Server Side Key Material
ECDH Server Public
공유키
o 인증서 검증
o ECDH Client Public, ECDH Server Private 을 이용 공유키 생성
o Handshake 에 대한 HASH 값 전송
Finished
Client Certificate*
Client Cert Verify*
o Client Certificate 전송
o Client Certificate Verify 전송 ECDH Client Public
ECDH Server Private
공유키
55. Finished
Finished
Client Hello
Server Hello
Client Key Share
Client Pre Shared Key*
Server Key Share
Server Pre Shared Key*
Server Certificate
Server Cert Verify
Certificate Request*
Client Certificate*
Client Cert Verify*
Encrypted Extension
First Round Trip Time