AWS 마이크로서비스 보안
도서명:AWS 마이크로서비스 보안
저자/출판사:고라브 라제/에이콘출판
쪽수:536쪽
출판일:2024-03-08
ISBN:9791161758237
목차
1장. 클라우드 기반 마이크로서비스 소개
__클라우드 정보 보안의 기초
____위험과 보****통제
____조직의 보****정책
____보****사고와 보안의 3요소
____AWS 공동 책임 모델
__클라우드 아키텍처와 보안
____모듈화를 통한 보안
____단순화를 통한 보안
____AWS의 완전 관리형 서비스를 통한 보안
____폭발 반경과 격리
____심층 방어와 보안
____경계 보호를 통한 보안
____제로 트러스트 아키텍처를 통한 보안
__소프트웨어 아키텍처에 대한 간략한 소개
____계층형 아키텍처
____도메인 주도 설계
__마이크로서비스
__AWS에서 마이크로서비스 구현
____컨테이너 기반 마이크로서비스 아키텍처
____쿠버네티스의 매우 간략한 소개
____서비스형 함수: AWS 람다를 사용한 FaaS
__클라우드 마이크로서비스 구현 개요
____아마존 EKS
____아마존 EKS Fargate 모드
____AWS 람다를 사용한 서비스형 함수
____마이크로서비스 구현 요약
__마이크로서비스 통신 패턴 예
____예제 1: 콘텍스트 간 단순 메시지 전달
____예제 2: 메시지 큐
____예제 3: 이벤트 기반 마이크로서비스
__요약
2장. 인가와 인증 기초
__AWS IAM의 기초
____AWS의 권한 주체
____IAM 정책
____최소 권한의 원칙
____최소 권한의 원칙과 폭발 반경
____AWS IAM 정책의 구조
____권한 주체 기반 정책
____리소스 기반 정책
____신뢰 영역
____정책 평가
__AWS IAM 정책의 고급 개념
____IAM 정책 조건
____AWS 태그와 속성 기반 접근 통제
____Not 정책 요소: NotPrincipal 및 NotResource
____IAM 정책 마무리
__역할 기반 접근 통제
____역할 기반 접근 통제 모델링
____역할 보호
____역할 수임
____AWS CLI를 사용한 역할 수임
____AWS 관리 콘솔을 사용한 역할 전환
____서비스 연결 역할
__인증 및 신원 관리
____인증의 기초
____AWS의 자격증명 연동
____SAML 2.0과 OpenID Connect를 사용한 자격증명 연동
__역할 기반 접근 통제와 마이크로서비스
____실행 역할
____AWS 람다를 사용한 역할 기반 접근 통제
____EC2와 인스턴스 메타데이터 서비스로 역할 기반 접근 통제
____서비스 계정이 필요로 하는 IAM 역할을 사용하는 아마존 EKS로 역할 기반 접근 통제
__요약
3장. 암호화의 기초
__암호화의 간략한 개요
____AWS에서 암호화의 중요성
____마이크로서비스 아키텍처에서 암호화의 중요성
____AWS에서의 암호화
____키 기반 암호화의 보****문제
____비즈니스 문제
__AWS KMS
____CMK를 사용한 기본 암호화
____봉투 암호화
____봉투 암호화 부연 설명
__보안과 AWS KMS
____KMS 콘텍스트 및 추가 인증 데이터
____키 정책
____Grants와 ViaService
____CMK와 CMK의 구성 요소 및 지원되는 작업
____리전과 KMS
____비용, 복잡성, 규제 고려
__비대칭 암호화와 KMS
____암호화와 복호화
____디지털 서명(서명과 검증)
__도메인 주도 설계와 AWS KMS
____콘텍스트 경계와 암호화
____계정과 CMK 공유
____KMS와 네트워크 고려 사항
____KMS grant 재논의
__KMS 계정과 토폴로지: 통합
____옵션 1: 경계 콘텍스트 내에 CMK 포함
____옵션 2: 전용 계정을 생성해 CMK 보유
__AWS 시크릿 매니저
____시크릿 매니저의 작동 방식
____AWS 시크릿 매니저의 비밀 값 보호
__요약
4장. 저장된 데이터 보안
__데이터 분류 기초
__KMS를 사용한 봉투 암호화 요약
__AWS S3
____AWS S3의 데이터 암호화
____버킷 정책을 사용한 S3 접근 통제
____아마존 GuardDuty
____Glacier 저장소 잠금을 사용한 부인 방지
__컴퓨팅 서비스에 저장된 데이터 보안
____AWS CodeGuru를 사용한 정적 코드 분석
____AWS ECR
____AWS 람다
____AWS EBS
____AWS에서 제공하는 도구 요약
__마이크로서비스 데이터베이스 시스템
____AWS DynamoDB
____아마존 오로라 관계형 데이터 서비스
__미디어와 데이터 삭제
__요약
5장. 네트워크 보안
__AWS 네트워킹
____통제
____모놀리식과 마이크로서비스 모델에 대한 이해
____세분화와 마이크로서비스
____소프트웨어 정의 네트워크 파티션
__서브넷팅
____서브넷 내에서의 라우팅
____게이트웨이와 서브넷
____퍼블릭 서브넷
____프라이빗 서브넷
____서브넷과 가용 영역
____서브넷에서 인터넷 접근
__VPC
____VPC 내에서의 라우팅
____네트워크 계층에서 마이크로세분화
__VPC 간 통신
____VPC 피어링
____AWS Transit Gateway
____VPC 엔드포인트
____VPC 간 통신 요약
__클라우드 환경의 방화벽
____보****그룹
____보****그룹 참조(체인) 및 설계
____보****그룹의 속성
____네트워크 ACL
____보****그룹과 네트워크 ACL 비교
__컨테이너와 네트워크 보안
____인스턴스 메타데이터 서비스 접근 차단
____파드를 프라이빗 서브넷에서 실행
____파드의 인터넷 접근 차단
____파드 간에 암호화된 네트워킹 사용
__람다와 네트워크 보안
__요약
6장. 대외 공개 서비스
__API 우선 설계와 API Gateway
__AWS API Gateway
____API Gateway 엔드포인트 유형
__API Gateway 보안
____API Gateway 통합
____API Gateway 접근 제어
____API Gateway 인프라 보안
__AWS API Gateway 사용 시 비용 고려 사항
__배스천 호스트
____해결책
__정적 자산 배포(콘텐츠 전송 네트워크)
____AWS CloudFront
____서명된 URL과 쿠키
____AWS Lambda@Edge
__엣지 네트워크를 알려진 공격으로부터 보호
____AWS WAF
____AWS Shield와 AWS Shield Advanced
____마이크로서비스와 AWS Shield Advanced
____엣지 보호를 위한 비용 고려 사항
__요약
7장. 전송 보안
__TLS 기초
____디지털 서명
____인증서, 인증기관, 신원 검증
____TLS 암호화
__마이크로서비스 환경의 TLS 종료와 종료 지점별 장단점
____TLS 오프로딩과 종료
__전송 암호화 적용 시 발생 비용과 복잡성
__마이크로서비스에 TLS 적용
____메시지 큐(AWS SQS) 사용 시 전송 암호화 적용
____gRPC와 애플리케이션 로드밸런서
____mTLS
__서비스 메시에 대한 보****관점의 간략한 소개
____프록시와 사이드카
____App Mesh 구성 요소와 용어
____TLS와 App Mesh
____mTLS 재논의
____AWS App Mesh 요약
__서버리스 마이크로서비스와 전송 암호화
____AWS API 게이트웨이와 AWS 람다
____캐싱, API 게이트웨이, 전송 암호화
__필드 수준 암호화
__요약
8장. 조직의 복잡성을 고려한 보****설계
__조직 구조와 마이크로서비스
____콘웨이의 법칙
____단일 팀 지향 서비스 아키텍처
____역할 기반 접근 통제
____권한 상승
____권한 경계
____책임을 위임하기 위한 권한 경계
__대규모 조직을 위한 AWS 계정 구조
____AWS 계정과 팀
____AWS Organizations
____조직 단위와 서비스 제어 정책
____목적 기반 계정
__조직 관리를 위한 AWS 도구
____AWS Organizations 모범 사례
____AWS Resource Access Manager
____AWS RAM을 사용한 공유 서비스
____IAM Identity Center를 사용한 AWS SSO
____계정에 멀티팩터 인증 적용
__역할 기반 접근 통제, SSO, AWS Organizations를 사용한 복잡한 도메인 기반 조직 단순화
__요약
9장. 모니터링과 사고 대응
__미국 국립 표준 기술원 사고 대응 프레임워크
____단계 1: 설계 및 준비
____단계 2: 탐지 및 분석
____단계 3: 억제 및 격리
____단계 4: 포렌식 분석
____단계 5: 재발 방지
____단계 6: 사후 활동
__보****인프라 보호
____CloudTrail 보안
____목적 기반 계정
__요약
부록 A. 테라폼 클라우드에 대한 짧은 소개
부록 B. AWS와의 연동을 지원하는 SAML 자격증명 공급자의 예
부록 C. AWS KMS를 사용한 암호화 실습
부록 D. 최소 권한의 원칙 적용 실습
