3일차는
- 클라우드 컴퓨팅
- 암호학
- 가상화
- 네트워크(OSI 7계층 중, 3계층까지)를 학습하였다.
1. 클라우드 컴퓨팅
- 서비스 모델에 따라 IaaS, PaaS, SaaS로 구분
- 배포 모델에 따라 Private, Public, Hybrid로 구분
배포 모델
- Private : IaaS로 주로 구성됨 (대표적으로 한국의 G Cloud)
- Public : 일반적인 CSP업체에서 제공하는 것들 / 개발자들이 집중됨
- Hybrid : 레거시 온프렘 환경 + 클라우드 환경
한국의 대표적인 데이터 센터 업체 : KT, NHN
- 이러한 업체가 공공기관을 위해 별도로 빼놓은 클라우드 공간 → 예) G클라우드
- 인증, 식별, 인가 등의 보안적인 요소를 통제하는 것이 클라우드 환경에서 유리
용어정리
- CSP - Colud Service Provider (AWS등의 업체)
- ISP - Internet Service Provider (KT, SK등의 업체)
- IDC - Internet Data Center (데이터 센터 - 국내에서는 KT, NHN이 대표적임)
참고
- OpenStack 프로젝트 : 기업들이 오픈소스를 사용해서 자신들만의 제품을 만들기 위해 IaaS를 채택.
- 과거에는 데이터센터 > 호스팅업체로 서비스 배포/사용
- 현재는 클라우드로 전환하는 추세 (참고자료)
2. 암호학
암호학은 무조건 필요한 영역.
- 비밀키(대칭키) - 대칭형 암호 - 사전에 협의해서 상호가 알고 있는 것
- 키 배송 문제 - 네트워크 상에서 private key를 주고받으면서 문제 발생
- 비대칭형 암호 알고리즘 (공개키 암호화 방식) : Public Key, Private Key 간의 수학적 역함수 관계 → 대표적인 서비스 : SSH. HTTPS(80번 포트를 443으로 변경해서 서버에 요청)
- 비대칭형은 암호화 할 때 데이터가 커짐
- 기밀성 / D.H 알고리즘 → R.S.A 암호화 (1등) (비대칭형 암호 알고리즘) - 기밀성을 보장
- 공개 키 기반 구조 (PKI_Public Key Infrastructure) (참고자료) - 기밀성 + 개인식별(전자서명)
- 디지털 전자 서명 : 요청한 상대방의 public 키를 제공. 그 요청이 왜곡된 것이 아닌지 체크. (공인인증서는 개인 키) / 개인식별 하는 것
- 단방향 암호 알고리즘(One Way Function) / hash 알고리즘→ 무결성을 유지하기 위함
- 데이터의 값이 바뀌면 → 무결성이 깨짐
- 예시) sha256 암호화 방식 → 다운로드가 정상이라면 키가 똑같아야함 →무결성 확인
접근 통제 정책
- 강제적 접근 통제 (MAC / Mandatory Access Control) : Ring구조 - Protection Ring 접근 통제
- 임의적 접근 통제 (DAC / Discretionary Access Control): user에 권한 부여
- 역할기반 접근 통제 (RBAC / Role Based Access Control) : 위의 두 정책을 보완함
- 참고자료
3. 가상화
하이퍼바이저 (hypervisor)
하이퍼바이저는 단일 물리적 머신에서 여러 가상 머신을 실행하는 데 사용할 수 있는 소프트웨어입니다. 모든 가상 머신에는 고유한 운영 체제와 애플리케이션이 있습니다. 하이퍼바이저는 필요에 따라 CPU 및 메모리와 같은 기본 물리적 컴퓨팅 리소스를 개별 가상 머신에 할당합니다. 따라서 물리적 IT 인프라의 최적 사용을 지원합니다.(출처:AWS)
- 클라우드의 근간이 되는 기술
- Type 1과 Type 2로 구분됨
- 참고자료
Vagrant - 가상화 Automation Tool
- 베이그란트 파일을 가상화 환경에서 실행하면 OS, 네트워크 등의 환경을 자동으로 구축 할 수 있다. (코드 기반 인프라 컨트롤러 IaC(코드형 인프라) - 인프라 매니징)
- CI/CD pipeline (devops) 의 일부 프로세스를 담당
- automation을 활용하는데 필수 (요즘 트렌드 - 코드를 공부해야함)
4. 네트워크
네트워크 자체를 왜 이런 구조로 만들었는지 아는 것이 먼저...
OSI 7계층 중점 Point
1. 각 계층의 특징
2. PDU값 (각 계층에서 사용하는 데이터 단위)
3. 각 계층에서 사용하는 장비 및 프로토콜
1 계층 - 물리 계층(Physical Layer)
- 물리 계층은 전기적, 기계적, 기능적인 특성을 이용해서 통신 장비로 데이터를 전송하게 된다.
- 물리 계층에서 사용되는 통신 단위는 Bit로 1과 0으로 나타낸다. 즉 전기적으로 On, Off 상태라고 생각하면 된다.
- 물리 계층에서는 단지 데이터를 전달만 한다. 전송할 때(또는 받을 때) 데이터가 무엇인지, 어떤 에러가 있는지 등에는 전혀 신경 쓰지 않는다. 정말 단순하게 데이터를 전기적인 신호로 변환해서 주고받는 기능만 할 뿐이다.
- 결국 물리 계층은 어떤 에러가 있는지 전혀 관여하지 않는다.
*프로토콜 데이터 단위(PDU, Protocol Data Unit)는 데이터 통신에서 상위 계층이 전달한 데이터에 붙이는 제어정보를 뜻한다.
- PDU : 비트(Bit)
- 프로토콜 : Modem, Cable, Fiber, RS-232C
- 대표장비 : 허브, 리피터
2 계층 - 링크 계층(Link Layer)
- 링크 계층은 네트워크 기기들 사이의 데이터를 전송하는 역할을 한다. 물리 계층을 통해 송수신되는 정보의 오류와 흐름을 관리하여 안전한 정보의 전달을 수행할 수 있도록 도와주는 역할을 한다.
- 링크 계층에서는 프레임에 주소값을 물리적으로 할당받는데 이는 맥(MAC; Media Access Control) 주소라고 불린다.
- 결국 링크 계층은 에러검출 / 재전송 / 흐름제어 역할을 한다.
- PDU : 프레임(Frame)
- 프로토콜 : 이더넷, MAC, PPP, ATM, LAN, Wifi
- 대표장비 : 브릿지, 스위치
3 계층 - 네트워크 계층(Network Layer)
- 네트워크 계층은 네트워크에서 아주 중요하다.
- 중요한 기능 중 하나는 라우팅이다. 이는 데이터를 목적지까지 안전하고 빠르게 전달하는 기능을 말한다. 경로를 선택하고 주소를 정하고 경로에 따라 패킷을 전달해주는 것이 네트워크 계층의 역할이다.
- 네트워크 계층은 사용되는 프로토콜 종류도 다양하고 라우팅하는 기술도 다양하다. 또한 어느 컴퓨터에게 데이터를 전송할지 주소를 가지고 있어서 이를 바탕으로 통신한다. 우리가 아는 IP 주소가 바로 네트워크 계층의 헤더에 있다.
- 결국 네트워크 계층은 주소 부여(IP) / 경로 설정(Route) 역할을 한다.
- PDU : 패킷(Packet)
- 프로토콜 : IP, ICMP 등
- 대표장비 : 라우터, L3 스위치
whiteshark - 네트워크 패킷을 보여줄 수 있는 도구
1. sudo wireshark & 로 실행 (& : background로 실행시킬때 쓰는 키워드) - 네트워크의 디테일한 정보들까지 보기 위해 sudo 권한으로 ...
2. display filter → arp || icmp 로 필터
- IP로 접근하면 (브로드캐스트) MAC 주소를 보내준다 (유니캐스트)
- arp : IP주소와 Mac 주소를 연결시키기 위한 기능 (브로드캐스트) / ip를 이용해서 mac주소 학습
- 학습이 되어있으면 브로드캐스트 없이 바로 호출 할 수 있음
- 대역폭(band width) - 브로드캐스트에 많이 사용되면 네트워크에 안좋음
- 낭비를 줄이기 위해서 arp table에 학습시키고 있으면 브로드캐스트 안함.
- DHCP : 동적 IP 할당
- 정리 : Ip끼리 통신하는게 아니라 IP와 MAC주소를 연결시켜서 통신. 스위치 장비에 arp기능을 사용 (OSI의 2계층과 3계층 사이)
용어 정리
- topology : 우리 회사의 네트워크 장비를 어떤 모양으로 만들어 놓았는지에 관한 관용어
- LLC(Logical Link Control) : 논리적으로 어떤 네트워크 망을 붙여줄 것인가 (물리적은 전기전 신호로…)에 관한 정보 (군 부대에서 인트라넷에서 이더넷으로 나가지 못하게 하는 …)
- MAC : 랜카드의 고유 정보 (예시- 앞의 세자리 d8:12:65 검색 / oui search 로 검색) 앞의 세자리는(네자리) Vendor, 뒤에 세자리는 Serial No - 이론적으로는 절대 겹치지 않음
