AWS (5) 썸네일형 리스트형 IAM의 이중성: 중복 권한이 만드는 보안 착시 본 포스팅은 fwd:cloudsec(2025.7) " The Duplicitous Nature of AWS Identity and Access Management (IAM)" 주제로 발표된 내용에 대한 포스팅입니다. 발표 영상은 https://youtu.be/gQw586n5W9s?si=2JCi_0GdiKI405o8를 통해서 확인하실 수 있습니다.AWS IAM 중복 권한 - 우리가 반드시 이해해야 할 보안의 숨겨진 리스크AWS 환경에서 보안의 중심에는 항상 IAM이 존재합니다. IAM은 단일 서비스가 아니라, 클라우드 운영 전반의 권한 부여와 접근 제어를 담당합니다. 2020년 약 7,000개 수준이던 IAM 권한은 2024년 기준 18,000개를 넘어 폭발적으로 증가했고, 권한 설계·관리·감사의 복잡성 .. 공격자가 숨기려는 흔적, GuardDuty는 어디까지 잡을까? Offensive Cloud Security에 대한 공부를 진행하며 CloudGoat를 처음 접하게 되었고, 단순 문제풀이만 진행하던 중 더 의미있는 공부 방법에 대한 고민을 하게 되었습니다.공격자가 공격을 할 때 보안 담당자의 눈을 피하는 것이 목적일테고, 그렇다면 '공격이 탐지되는 환경을 직접 공격해보며 우회 및 대응을 해보자' 라는 생각을 갖게 되었습니다.그렇게 발견한 서비스는 AWS에서 제공하는 위협 탐지 서비스 GuardDuty 입니다.GuardDuty는 공격자의 동작을 모두 탐지할 수 있을까요?GuardDuty란?GuardDuty는 AWS 환경의 데이터 소스 및 로그를 지속적으로 모니터링, 분석 및 처리하는 위협 탐지 서비스입니다.기본적으로 AWS CloudTrail Management Eve.. ECS Shawshank Redemption : 컨테이너의 벽을 넘어서 본 포스팅은 BlackHat2025 "ECS-cape – Hijacking IAM Privileges in Amazon ECS" 주제로 발표된 내용에 대한 포스팅입니다. 발표 영상은 링크를 통해서도 확인하실 수 있습니다. AWS ECS는 수많은 Production 환경의 Workload를 띄우는 오케스트레이터로서 활용됩니다. Task, Service, Task Definition을 통해 배포를 자동화하고, IAM Role 및 MetaData를 이용해 애플리케이션이 안전하게 AWS 리소스에 접근된다고 믿습니다.하지만 누군가 AWS 리소스에서 정상 접근인냥 위장하여 인증을 수행하고, 컨테이너의 메타데이터를 조회할 수 있다면 어떨까요?본 포스팅에서는 ECS Agent의 동작 원리를 분석하고, ACS, TMDS.. 템플릿 속에 숨어든 스파이: Bedrock 프롬프트 인젝션 안녕하세요!fwd:cloudsec 2025 컨퍼런스 세션 중 AWS Bedrock과 관련된 재미있는 세션을 발견해 정리 및 연구해 보았습니다.아래 목차와 같은 순서로 정리하였습니다.AgendaAWS Bedrock 이란? AI Agent 란?Bedrock Agent 란?공격 시나리오 a. 정찰b. 악용c. 지속성 확보대응방안참고문헌1. AWS Bedrock 이란?AWS Bedrock을 한 줄로 설명하면 다양한 파운데이션 모델을 단일 API 로 제공하는 AWS 서비스 입니다.쉽게 말하면, Claude나 llama 같은 여러 AI 모델을 Bedrock이라는 서비스 한 곳에서 쉽게 선택하고 사용할 수 있게 해주는 서비스입니다.Bedrock에서는 여러 파운데이션 모델을 테스트 해볼 수 있는 플레이그라운드, RAG.. Bucket monopoly : 간단한 S3 이름의 함정 AWS S3 버킷 이름을 그저 파일을 저장할 공간의 식별자일 뿐이라고 생각하기 쉽습니다. 많은 개발자들이 자신이 생성한 버킷의 이름 자체에 문제가 있을 것이라고 생각하지 않습니다. 그러나 AWS 전역에서 유일하다는 S3 이름의 특성상, 예측 가능한 이름이 공격자에게 기회를 제공합니다. 서비스 코드명과 환경명이 합쳐진 단순한 버킷 이름은 공격자에게도 충분히 추측 가능한 패턴입니다. 공용 권한이 열려 있거나, 미래에 생성될 리소스 이름이 미리 점유된다면? 높은 확률은 아니지만 경우에 따라 단지 이름만으로도 심각한 보안 사고로 이어질 수 있으므로 예방이 필요합니다. 이 글에서는 "S3 환경에서의 예측 가능한 이름(Predictable Resource Name) 문제"가 어떻게 치명적으로 작용할 수 있는지를 .. 이전 1 다음
