On the journey of

[하나 디지털파워온] AWS 101 기초 강의 본문

Experiences & Study/하나 디지털파워온 1기

[하나 디지털파워온] AWS 101 기초 강의

dlrpskdi 2023. 8. 1. 08:52

* 이 포스팅은 하나금융그룹 디지털파워온 1기 집중교육기간(2023.01.31~02) 동안 진행된 교육의 기록입니다.

 💡 aws overview, network 

  • 물리적 서버 → 클라우드
  • 콘솔-cmd 창 작업을 하는 사람들이 70% 이상, 현재는 쉽게 서버에 접속해서 클릭으로 작업 가능
  • web1990 (서버, 스토리지) → media2000(인터넷뱅킹) → it2010(페이스북, 구글)

하나의 서비스가 망가졌을 때 다 연결되어 있으면 걍 망하는데, 넷플릭스나 쿠팡, 토스의 경우 ms로 하나의 서비스가 망가지더라도 살아남을 수 있음

  • 클라우드에서 중요한 세가지: 컴퓨팅가상화, 네트워크가상화, 스토리지가상화(서버가상화?)
  • 200개 이상의 서비스 보유로 클라우드 세상을 이끈다 고객사로 초반에 삼성전자부터 스타트업으로 당근마켓, 무신사, 배민 등
  • 농협 4.11 사태 이후 보안 중요
  • Traditional datacenter shorcomings - long lead times, limited ability to scale up assets , capacity limits : 클라우드 썼으면 그런 shortcomings 없었을 것이다 ( ex. 청년희망적금 때 )

NETWORKING IN AWS

  • VPC 개념 중요 ! /0 ; 내가 쓸수있는 사설 ip의 개수 /24 -> 내가 쓸수 있는 ip는 64개 가정에서 사용하는 공유기는 대부분 24bit
  • Routing Tables : Each subnet has associated routing table, Routing tables can be associated with multiple subnetsip → 공유기끼리 통신 가능하게 해줌 (서로 다른 서브넷마스크끼리 통신) (IP에 대한 계산법, 이진수, 라우팅테이블 등은 짚고 넘어갈 것)
  • 사설 ip와 공인ip 구분 인터넷 사용 위해서는 반드시 공인 ip 한 개는 있어야함
  • 사설ip와 공인ip를 연결해줌 : NAT
  • CISCO ; 주요네트워크 장비로 많이 사용, 산업 주요 시스템
  • Trainsit Gateway : connecting multiple VPCs (통신방식)
    • 모든 vpc를 효과적으로 연결
    • 온프레임에서만 가능했는데 AWS에서 클라우드에서도 서비스 가능하게 만듦
    • 신한투자증권에서 최초로 클라우드 사용해서 모바일 서비스 구현 -> 얘네만 살아남음

 💡 aws computing, storage, DB

  • Unix -> X86 ; 리눅스 기반 뱅킹서비스
  • → (UNIX 보다 X86 많이쓰게됨 -> 자유도가 높아지고 사람한테 편한 방향으로 바뀌어가고있음)
  • X86 -> cloud ; public cloud 로 옮기는 작업 실행중
  • EC2 ; Aws computing sevice

 💡 AWS Security

  • 보안이란?
  • 글로벌 보안 준수를 위한 표준(규제/표준 준수) : 보안을 최우선으로 생각하고 있기 때문 (AWS Artifact 서비스) 무료래요~
  • 보안 파트너 솔루션 (Marketplace)
  • 보안 프레임워크의 단계 Identity -> protect -> detect -> automate / investigate -> respond -> recover
  • Agenda
    • Aws 보안 개요 및 책임 공유 모델
    • 네트워크 보호
      • 네트워크 보호를 위한 5개 레이어 DDos 방어 -> AWS shield 애플리케이션 위협 보호 -> AWS WAF 네트워크 방화벽 -> AWS Network 네트워크 접근 제어 -> Security Group & NACL 네트워크 격리 -> Amazon VPC
    • 데이터 보호
    • 접근 관리
    • → api, iam 인증과 인가를 관리
    • 탐지 관리
  • Stateless: 상태를 저장을 안 하는 것 vs Stateful: 상태를 저장함. Stateful는 상태를 저장하기 때문에 inbound 허용만 되어 있으면 그 방화벽은 나가는 트래픽도 허용해 줌. 반면 Stateless는 들어오는 트래픽은 허용이지만 나가는 걸 허용하지 않으면 들어오는 것만 가능.
  • → 따라서 stateless가 더 관리하기 어려움
  • Aws Network firewall (차세대 방화벽)
    • 높은 가용성과 자동 확장성
    • stateless & stateful 규칙 둘다 존재
    • 웹 도메인 필터링 기능
  • AWS Web application firewall (L7 대역에 특화된 공격 방화벽)
  • Aws KMS ( Key management service ) ->암호화 키를 안전하게 생성/보관/관리 하는 관리형 서비스

‘봉투 암호화' : 그림 참조

  • 암호화 할 때 제일 중요한 것 : 키 관리를 안전하게 해야함 !
  • IAM = Identity and Access Manager
  • VPC Flow Logs : 각 EC2에 발생하는 network log
  • AWS Trusted Advisor : (보안 자동화 제공) 보안 모범 사례 기반으로 지속적으로 분석
  • AWS Inspector : 취약 소프트웨어 사용할 수 있을 때 알려준다(취약점 평가)
  • AWS Config : trail log가 있으면 변경 관리 가능/전체 리소스에 대한 가시성 확보, 의도하지 않은 리소스가 있다면 잡아낼 수 있다
  • AWS 보안탐지 자동화 : Amazon GuardDuty → 가상 화폐 마이닝하는 포트 탐지 가능, 다른 나라 탐지 가능

복호화한다고 생각했을 때 : 6번 Data Key : 키만 뽑아다가 서버 측에 복호화해달라고 하면 됨

  • strategy : 한정된 자원
  • 94년 창업, 95년 닷컴, 2006년 아마존 웹사이트(7-8년 단독 선점)
  • Amazon Flywheel

 

  • Digital Transformation = 4차 산업혁명
  • 사용하면서 느껴지는 만족감 (상품보다는 경험)
  • 반복하다보면 혁신을 할 수 있다 (Innovation ≒ lteration)
  • 차세대 프로젝트 시스템.
    • 누가 우리의 주 고객인가? -> 이 ui/ux가 최선인가? -> 진짜 필요한 기능? -> 시장에 출시
  • DevOps = miscrosoft architecture = agile
  • 에자일 방식 : 출시의 텀을 짧게 가져가기 위함

* MSA : MicroService Architecture

  • 추상적인 단어 금지 : very, successful 금지
  • document-oriented
    • 내러티브 기반 문서 : 1 or 6 pages
    • 독특한 문서 리뷰 : 30 mins reading

 💡 아마존을 통해 배우는 일잘러의 길

  • NMS : network management System (kt는 아오지탄광)
  • Are Right, a Lot

* Earn Trust

  • 강점에 집중하라

단점은 평균까지는 올려야 합니다,,,

하나은행 분석과 내 장점의 공통점 찾기 (= 코어 이미지)