▷ 책소개

이전에 수립한 많은 레거시 보안 정책이 클라우드 컴퓨팅과 마이크로서비스가 제공하는 이점을 감안하지 못하고 있다. 이를 개선하고자 마이크로서비스 아키텍처와 AWS 클라우드의 특성을 모두 고려해, AWS 기반 마이크로서비스에서 발생 가능한 위험을 완화할 수 있는 보안 통제 방법을 AWS가 제공하는 서비스와 도구를 활용해 설명한다.

▷ 목차

1장. 클라우드 기반 마이크로서비스 소개
__클라우드 정보 보안의 기초
____위험과 보안 통제
____조직의 보안 정책
____보안 사고와 보안의 3요소
____AWS 공동 책임 모델
__클라우드 아키텍처와 보안
____모듈화를 통한 보안
____단순화를 통한 보안
____AWS의 완전 관리형 서비스를 통한 보안
____폭발 반경과 격리
____심층 방어와 보안
____경계 보호를 통한 보안
____제로 트러스트 아키텍처를 통한 보안
__소프트웨어 아키텍처에 대한 간략한 소개
____계층형 아키텍처
____도메인 주도 설계
__마이크로서비스
__AWS에서 마이크로서비스 구현
____컨테이너 기반 마이크로서비스 아키텍처
____쿠버네티스의 매우 간략한 소개
____서비스형 함수: AWS 람다를 사용한 FaaS
__클라우드 마이크로서비스 구현 개요
____아마존 EKS
____아마존 EKS Fargate 모드
____AWS 람다를 사용한 서비스형 함수
____마이크로서비스 구현 요약
__마이크로서비스 통신 패턴 예
____예제 1: 콘텍스트 간 단순 메시지 전달
____예제 2: 메시지 큐
____예제 3: 이벤트 기반 마이크로서비스
__요약

2장. 인가와 인증 기초
__AWS IAM의 기초
____AWS의 권한 주체
____IAM 정책
____최소 권한의 원칙
____최소 권한의 원칙과 폭발 반경
____AWS IAM 정책의 구조
____권한 주체 기반 정책
____리소스 기반 정책
____신뢰 영역
____정책 평가
__AWS IAM 정책의 고급 개념
____IAM 정책 조건
____AWS 태그와 속성 기반 접근 통제
____Not 정책 요소: NotPrincipal 및 NotResource
____IAM 정책 마무리
__역할 기반 접근 통제
____역할 기반 접근 통제 모델링
____역할 보호
____역할 수임
____AWS CLI를 사용한 역할 수임
____AWS 관리 콘솔을 사용한 역할 전환
____서비스 연결 역할
__인증 및 신원 관리
____인증의 기초
____AWS의 자격증명 연동
____SAML 2.0과 OpenID Connect를 사용한 자격증명 연동
__역할 기반 접근 통제와 마이크로서비스
____실행 역할
____AWS 람다를 사용한 역할 기반 접근 통제
____EC2와 인스턴스 메타데이터 서비스로 역할 기반 접근 통제
____서비스 계정이 필요로 하는 IAM 역할을 사용하는 아마존 EKS로 역할 기반 접근 통제
__요약

3장. 암호화의 기초
__암호화의 간략한 개요
____AWS에서 암호화의 중요성
____마이크로서비스 아키텍처에서 암호화의 중요성
____AWS에서의 암호화
____키 기반 암호화의 보안 문제
____비즈니스 문제
__AWS KMS
____CMK를 사용한 기본 암호화
____봉투 암호화
____봉투 암호화 부연 설명
__보안과 AWS KMS
____KMS 콘텍스트 및 추가 인증 데이터
____키 정책
____Grants와 ViaService
____CMK와 CMK의 구성 요소 및 지원되는 작업
____리전과 KMS
____비용, 복잡성, 규제 고려
__비대칭 암호화와 KMS
____암호화와 복호화
____디지털 서명(서명과 검증)
__도메인 주도 설계와 AWS KMS
____콘텍스트 경계와 암호화
____계정과 CMK 공유
____KMS와 네트워크 고려 사항
____KMS grant 재논의
__KMS 계정과 토폴로지: 통합
____옵션 1: 경계 콘텍스트 내에 CMK 포함
____옵션 2: 전용 계정을 생성해 CMK 보유
__AWS 시크릿 매니저
____시크릿 매니저의 작동 방식
____AWS 시크릿 매니저의 비밀 값 보호
__요약

4장. 저장된 데이터 보안
__데이터 분류 기초
__KMS를 사용한 봉투 암호화 요약
__AWS S3
____AWS S3의 데이터 암호화
____버킷 정책을 사용한 S3 접근 통제
____아마존 GuardDuty
____Glacier 저장소 잠금을 사용한 부인 방지
__컴퓨팅 서비스에 저장된 데이터 보안
____AWS CodeGuru를 사용한 정적 코드 분석
____AWS ECR
____AWS 람다
____AWS EBS
____AWS에서 제공하는 도구 요약
__마이크로서비스 데이터베이스 시스템
____AWS DynamoDB
____아마존 오로라 관계형 데이터 서비스
__미디어와 데이터 삭제
__요약

5장. 네트워크 보안
__AWS 네트워킹
____통제
____모놀리식과 마이크로서비스 모델에 대한 이해
____세분화와 마이크로서비스
____소프트웨어 정의 네트워크 파티션
__서브넷팅
____서브넷 내에서의 라우팅
____게이트웨이와 서브넷
____퍼블릭 서브넷
____프라이빗 서브넷
____서브넷과 가용 영역
____서브넷에서 인터넷 접근
__VPC
____VPC 내에서의 라우팅
____네트워크 계층에서 마이크로세분화
__VPC 간 통신
____VPC 피어링
____AWS Transit Gateway
____VPC 엔드포인트
____VPC 간 통신 요약
__클라우드 환경의 방화벽
____보안 그룹
____보안 그룹 참조(체인) 및 설계
____보안 그룹의 속성
____네트워크 ACL
____보안 그룹과 네트워크 ACL 비교
__컨테이너와 네트워크 보안
____인스턴스 메타데이터 서비스 접근 차단
____파드를 프라이빗 서브넷에서 실행
____파드의 인터넷 접근 차단
____파드 간에 암호화된 네트워킹 사용
__람다와 네트워크 보안
__요약

6장. 대외 공개 서비스
__API 우선 설계와 API Gateway
__AWS API Gateway
____API Gateway 엔드포인트 유형
__API Gateway 보안
____API Gateway 통합
____API Gateway 접근 제어
____API Gateway 인프라 보안
__AWS API Gateway 사용 시 비용 고려 사항
__배스천 호스트
____해결책
__정적 자산 배포(콘텐츠 전송 네트워크)
____AWS CloudFront
____서명된 URL과 쿠키
____AWS Lambda@Edge
__엣지 네트워크를 알려진 공격으로부터 보호
____AWS WAF
____AWS Shield와 AWS Shield Advanced
____마이크로서비스와 AWS Shield Advanced
____엣지 보호를 위한 비용 고려 사항
__요약

7장. 전송 보안
__TLS 기초
____디지털 서명
____인증서, 인증기관, 신원 검증
____TLS 암호화
__마이크로서비스 환경의 TLS 종료와 종료 지점별 장단점
____TLS 오프로딩과 종료
__전송 암호화 적용 시 발생 비용과 복잡성
__마이크로서비스에 TLS 적용
____메시지 큐(AWS SQS) 사용 시 전송 암호화 적용
____gRPC와 애플리케이션 로드밸런서
____mTLS
__서비스 메시에 대한 보안 관점의 간략한 소개
____프록시와 사이드카
____App Mesh 구성 요소와 용어
____TLS와 App Mesh
____mTLS 재논의
____AWS App Mesh 요약
__서버리스 마이크로서비스와 전송 암호화
____AWS API 게이트웨이와 AWS 람다
____캐싱, API 게이트웨이, 전송 암호화
__필드 수준 암호화
__요약

8장. 조직의 복잡성을 고려한 보안 설계
__조직 구조와 마이크로서비스
____콘웨이의 법칙
____단일 팀 지향 서비스 아키텍처
____역할 기반 접근 통제
____권한 상승
____권한 경계
____책임을 위임하기 위한 권한 경계
__대규모 조직을 위한 AWS 계정 구조
____AWS 계정과 팀
____AWS Organizations
____조직 단위와 서비스 제어 정책
____목적 기반 계정
__조직 관리를 위한 AWS 도구
____AWS Organizations 모범 사례
____AWS Resource Access Manager
____AWS RAM을 사용한 공유 서비스
____IAM Identity Center를 사용한 AWS SSO
____계정에 멀티팩터 인증 적용
__역할 기반 접근 통제, SSO, AWS Organizations를 사용한 복잡한 도메인 기반 조직 단순화
__요약

9장. 모니터링과 사고 대응
__미국 국립 표준 기술원 사고 대응 프레임워크
____단계 1: 설계 및 준비
____단계 2: 탐지 및 분석
____단계 3: 억제 및 격리
____단계 4: 포렌식 분석
____단계 5: 재발 방지
____단계 6: 사후 활동
__보안 인프라 보호
____CloudTrail 보안
____목적 기반 계정
__요약

부록 A. 테라폼 클라우드에 대한 짧은 소개
부록 B. AWS와의 연동을 지원하는 SAML 자격증명 공급자의 예
부록 C. AWS KMS를 사용한 암호화 실습
부록 D. 최소 권한의 원칙 적용 실습

▷ 저자소개

고라브 라제

(Gaurav Raje)소프트웨어 아키텍트로 10년 이상 근무했으며, 민감한 데이터를 호스팅하고 높은 가용성을 요구하는 애플리케이션을 구축하고 확장하는 데 빼어난 경험을 보유하고 있다. 또한 보안 모범 사례를 적용해 모든 이용자의 정보를 보호하는 데 특별히 주의를 기울여왔다. 그 외에도 AWS Certified Database Specialty 시험의 전문가로서 공식 시험에 다양한 문제를 출제하고 조정하는 일을 해왔고 자이썬(Jython) 프로그래밍 언어 SHA-224 패키지의 저자이기도 하다. 뿐만 아니라 뉴욕대학교 스턴 경영 대학(NYU Stern School of Business)에서 금융 MBA를, 로체스터 공과대학(Rochester Institute of Technology)에서 컴퓨터 과학 석사 학위를 받았다.