| 000 | 00000cam c2200205 c 4500 | |
| 001 | 000046138249 | |
| 005 | 20260113143529 | |
| 007 | ta | |
| 008 | 230105s2022 ulka 001c kor | |
| 020 | ▼a 9791161756615 ▼g 93000 | |
| 035 | ▼a (KERIS)BIB000016376050 | |
| 040 | ▼a 011001 ▼c 011001 ▼d 211009 | |
| 041 | 1 | ▼a kor ▼h eng |
| 082 | 0 4 | ▼a 005.8 ▼2 23 |
| 085 | ▼a 005.8 ▼2 DDCK | |
| 090 | ▼a 005.8 ▼b 2022z13 | |
| 100 | 1 | ▼a Gilman, Evan ▼0 AUTH(211009)179788 |
| 245 | 1 0 | ▼a 제로 트러스트 네트워크 : ▼b 안전한 네트워크를 만드는 보안 모델 / ▼d 에반 길먼, ▼e 더그 바르트 지음 ; ▼e Evilqcom 옮김 |
| 246 | 1 9 | ▼a Zero trust networks : ▼b building secure systems in untrusted networks |
| 260 | ▼a 서울 : ▼b 에이콘, ▼c 2022 | |
| 300 | ▼a 302 p. : ▼b 삽화 ; ▼c 24 cm | |
| 490 | 1 0 | ▼a 에이콘 해킹·보안 시리즈 |
| 500 | ▼a 색인수록 | |
| 650 | 0 | ▼a Computer security |
| 650 | 0 | ▼a Computer networks ▼x Security measures |
| 650 | 0 | ▼a Data encryption (Computer science) |
| 650 | 0 | ▼a Trust |
| 700 | 1 | ▼a Barth, Doug, ▼e 저 ▼0 AUTH(211009)179789 |
| 700 | 0 | ▼a Evilqcom, ▼e 역 |
| 830 | 0 | ▼a 에이콘 해킹·보안 시리즈 |
| 900 | 1 0 | ▼a 길먼, 에반, ▼e 저 |
| 900 | 1 0 | ▼a 바르트, 더그, ▼e 저 |
| 945 | ▼a ITMT |
소장정보
| No. | 소장처 | 청구기호 | 등록번호 | 도서상태 | 반납예정일 | 예약 | 서비스 |
|---|---|---|---|---|---|---|---|
| No. 1 | 소장처 과학도서관/Sci-Info(1층서고)/ | 청구기호 005.8 2022z13 | 등록번호 121261594 (2회 대출) | 도서상태 대출가능 | 반납예정일 | 예약 | 서비스 |
컨텐츠정보
책소개
내부 네트워크가 안전하다는 가정은 틀렸다는 사실은 오래전에 입증됐다. 모든 디바이스가 인터넷에 접속 가능한 시대에 내부 네트워크에 해커가 침입하지 못할 것이라는 가정은 헛된 희망일 뿐이다. 제로 트러스트 네트워크는 이미 해커가 네트워크에 숨어 있다는 가정에서 시작하는 네트워크 보안 모델이다. 이 책은 통신의 주체와 트래픽을 신뢰하지 못하는 환경에서 시스템을 운영하고 보호한다는 어려운 문제를 저자의 실전 경험을 바탕으로 풀어나간다.
◈ 이 책에서 다루는 내용 ◈
◆ 보안 기능을 기본적으로 탑재한 제로 트러스트 모델 이해하기
◆ 네트워크 에이전트와 트러스트 엔진을 비롯한 제로 트러스트 네트워크의 핵심 개념
◆ 네트워크 주체 간 신뢰 구축에 기술 활용하기
◆ 경계형 모델을 채택한 네트워크를 제로 트러스트 모델로 변경하는 방법
◆ 구글(Google)과 페이지듀티(PagerDuty) 사례로 알아보는 제로 트러스트 모델 구축 방법
◈ 이 책의 대상 독자 ◈
중앙 집중식 방화벽 구축에 어려움을 겪었던 사람, 방화벽이 제대로 동작하지 않아 애먹은 적이 있는 엔지니어, 다양한 애플리케이션과 언어 때문에 VPN 구축과 TLS 설정에 골치가 아팠던 엔지니어, 보안 감사나 보안사항 준수에 어려움을 느꼈던 보안 엔지니어. 모두 이 책을 읽으면 도움을 받을 수 있을 것이다. 사실 방금 나열한 목록은 제로 트러스트 모델이 해결할 수 있는 많은 문제 중 일부분에 지나지 않는다. 더 나은 방법이 있지 않을까 한번이라도 고민해 본 적이 있는 독자라면 이 책을 읽을 것을 권한다.
네트워크 엔지니어와 보안 엔지니어부터 CTO에 이르기까지 제로 트러스트 개념을 익히면 많은 도움이 될 것이다. 이 책을 읽는데 특별한 기술을 요하는 것도 아니다. 이 책이 소개하는 다양한 원칙들은 모두 쉽게 이해할 수 있을 것으로 생각한다. 이 책을 읽은 후에는 독자 스스로 시스템의 보안을 업그레이드하는 것은 물론이고, 다른 사람들에게 제로 트러스트 모델을 가르칠 수도 있을 것이라 생각한다.
형상 관리 시스템을 사용하는 독자라면 이 책이 소개하는 개념들을 이용해 현재 네트워크 시스템의 보안을 향상시킬 수 있을 것이다. 보안이 더이상 네트워크의 추가 기능이 아닌 기본 기능으로 자리잡을 것이다. 형상 관리 시스템을 이용해 네트워크 설정을 자동으로 설정할 수 있는 상태라면, 관리 시스템에서 어떻게 네트워크 보안을 설정할 것인가하는 관점에서 책을 읽어도 좋다.
이미 제로 트러스트의 기본 개념을 알고 있는 독자에게는 보안 시스템을 향상시킬 수 있는 심화 학습의 기회를 제공할 것이다.
◈ 이 책의 구성 ◈
1장 '제로 트러스트 기초'와 2장 '신뢰도'는 제로 트러스트 네트워크의 기본 개념을 다룬다.
3장 '네트워크 에이전트'와 4장 '네트워크 접근 허가'는 잘 구현된 제로 트러스트 네트워크가 갖춘 네트워크 에이전트와 트러스트 엔진이라는 새로운 개념을 설명한다.
5장 '디바이스에 대한 신뢰'부터 8장 '네트워크 트래픽에 대한 신뢰'까지는 네트워크 구성요소가 서로를 어떻게 신뢰할 수 있는지를 다룬다. 여기서 다루는 내용은 대부분 현존 기술을 바탕으로 한다. 기존 네트워크에도 적용할 수 있는 내용들이다.
9장 '제로 트러스트 네트워크 구축'은 앞에서 다뤘던 내용을 바탕으로 어떻게 제로 트러스트 네트워크를 구축할 수 있는지 알려준다. 두 가지 실제 사례도 함께 소개한다.
10장 '공격자의 시각'에서는 공격자의 입장에서 제로 트러스트 모델을 분석한다. 잠재적 위험을 설명하고 어떻게 방어할 것인지도 함께 알려준다.
정보제공 :
저자소개
에반 길먼(지은이)
컴퓨터 네트워크를 전공한 엔지니어다. 오랫동안 학계에 있었으며, 현재 인터넷 보안과 관련된 일을 하고 있다. 안전하지 못한 환경에서 동작하는 시스템을 만들고 운영하는 일을 하고 있다. 오픈소스 프로젝트 참여, 콘퍼런스 연설, 저술 등 다양한 방법으로 네트워크 시스템을 디자인하는 데 참여하고 있다.
더그 바르트(지은이)
지식을 공유하는 것을 좋아하는 소프트웨어 엔지니어다. 오비츠(Orbitz), 페이저듀티(PagerDuty)같은 다양한 규모의 시스템에서 일한 경험이 있다. 모니터링 시스템, 메시 네트워크, 오류 테스트 등의 전문가다.
evilqcom(옮긴이)
국내에서 CS 학사 및 석사 과정을 마치고 미국에서 CS 박사 학위를 받았다. 지금은 구글에서 시큐리티 엔지니어로 일하고 있다. 다양한 시스템을 접하고 싶어 소프트웨어 엔지니어가 아닌 시큐리티 엔지니어로서의 길을 선택했으며, 매일 마주하는 도전과 배움 속에서 바쁘게 살고 있다.
목차
1장. 제로 트러스트 기초 __제로 트러스트 네트워크란 무엇인가? ____제로 트러스트 컨트롤 플레인 __네트워크 경계 보안 모델의 진화 ____전세계 IP 주소 관리 ____사설 IP 주소 영역의 탄생 ____사설 네트워크와 공용 네트워크의 연결 ____NAT의 등장 ____현대의 경계 모델 __공격의 진화 __경계 보안의 단점 __네트워크 신뢰의 붕괴 __제로 트러스트의 감초, 자동화 __경계 모델 vs. 제로 트러스트 모델 __클라우드와 제로 트러스트 네트워크 __요약 2장. 신뢰도 __위험 모델 ____자주 사용하는 위험 모델 ____제로 트러스트의 위험 모델 __견고한 인증 __인증에 대한 신뢰 ____인증 기관 ____제로 트러스트에 있어서 PKI의 중요성 ____사설 PKI와 공개 PKI ____아무 것도 없는 것 보다는 공개 PKI __최소 권한의 원칙 __동적 신뢰도 __컨트롤 플레인 vs. 데이터 플레인 __요약 3장. 네트워크 에이전트 __에이전트의 정의 ____에이전트의 변동성 ____에이전트에 포함되는 데이터 __에이전트 활용 ____인증이 아니라 허가 __에이전트 노출 __표준화 ____견고하면서도 유연하게 ____표준화의 가능성 ____표준화 전까지 __요약 4장. 네트워크 접근 허가 __허가 시스템의 구조 __보안 정책 적용 지점 __보안 정책 엔진 ____보안 정책 저장소 ____좋은 보안 정책의 조건 ____보안 정책 정의의 주체 __트러스트 엔진 ____수치화의 대상 ____신뢰도 점수 노출의 위험성 __데이터 저장소 __요약 5장. 디바이스에 대한 신뢰 __신뢰의 시작 ____디바이스 ID 생성과 보안 ____정적인 시스템과 동적인 시스템에서의 디바이스 ID 보안 __컨트롤 플레인 상에서 디바이스 인증 ____X.509 ____TPM __기존 디바이스를 위한 TPM 대체재 __디바이스 목록 관리 ____트래픽의 예상 가능성 ____시큐어 인트로덕션 __디바이스 신뢰 갱신 ____로컬 보안 성능 평가 ____원격 보안 성능 평가 __소프트웨어 형상 관리 ____형상 관리를 활용한 디바이스 목록 ____생략 디바이스 정보의 신뢰도 ____디바이스 데이터에 기반한 사용자 접근 허가 __신뢰 지표 ____이미지 설치 시점 ____네트워크 접근 히스토리 ____위치 ____네트워크 통신 패턴 __요약 6장. 사용자에 대한 신뢰 __비공식 ID와 공식 ID __최초 ID 발급 ____정부 발급 ID ____실세계 우선주의 ____사용자에 대한 예상 __ID 저장 ____사용자 목록 ____사용자 목록 관리 __ID 인증 시점 ____인증으로 얻을 수 있는 신뢰도 ____신뢰도를 활용한 인증 ____다양한 채널의 활용 ____ID과 신뢰도 캐시 __사용자 ID 인증 ____사용자가 아는 것: 암호 ____사용자가 소유한 것: TOTP ____사용자가 소유한 것: 인증서 ____사용자가 소유한 것: 보안 토큰 ____사용자 자신: 생체 인식 ____아웃오브밴드 채널을 사용한 인증 ____통합 인증 ____로컬 인증 __그룹 인증과 허가 ____샤미르의 비밀 공유 ____붉은 10월 __사용자의 신고의식 __신뢰 지표 __요약 7장. 애플리케이션에 대한 신뢰 __애플리케이션 파이프라인 __소스 코드에 대한 신뢰 ____코드 저장소 보안 ____진짜 코드와 모니터링 ____코드 리뷰 __빌드에 대한 신뢰 ____위험 ____빌드 시스템의 입출력 보안 ____재생산 가능한 빌드 ____릴리즈와 버전의 분리 __배포에 대한 신뢰 ____결과물 프로모션 ____배포 과정의 보안 ____무결성과 정품 인증 ____배포망에 대한 신뢰 __인간의 개입 __실행 중인 소프트웨어에 대한 신뢰 ____업그레이드만 허용하는 보안 정책 ____소프트웨어의 접근 허용 __실행 환경 보안 ____보안 코딩 실무 ____애플리케이션 분리 ____능동적인 모니터링 __요약 8장. 네트워크 트래픽에 대한 신뢰 __암호화 vs. 인증 ____암호화 없는 메시지 보호 __신뢰의 시작: 첫 번째 패킷 ____fwknop __네트워크 모델 ____그림으로 보는 네트워크 계층 ____OSI 네트워크 모델 ____TCP/IP 네트워크 모델 __제로 트러스트에 어울리는 네트워크 모델 ____클라이언트와 서버의 분리 __프로토콜 ____IKE/IPsec ____상호 인증 TLS __필터링 ____호스트 필터링 ____북엔드 필터링 ____중간 필터링 __요약 9장. 제로 트러스트 네트워크 구축 __범위 결정 ____필수 디자인 요소 __시스템 다이어그램 __네트워크 흐름에 대한 이해 __컨트롤러가 없는 구조 ____형상 관리 시스템 “남용” ____애플리케이션 인증과 접근 허가 ____로드 밸런서 인증과 프록시 인증 ____관계지향 보안 정책 ____보안 정책 배포 __보안 정책 정의와 설치 __제로 트러스트 프록시 __클라이언트 마이그레이션과 서버 마이그레이션 __케이스 스터디 __케이스 스터디: 구글 BeyondCorp ____BeyondCorp의 구성 요소 ____GFE 활용과 확장 ____멀티 플랫폼 환경에서 인증의 어려움 ____BeyondCorp으로 전환 ____교훈 ____결론 __케이스 스터디: 페이저듀티의 클라우드 독립형 네트워크 ____형상 관리를 통한 자동화 플랫폼 ____로컬 방화벽 동적 설정 ____분산된 트래픽 암호화 ____사용자 관리의 분산화 ____제로 트러스트 네트워크로의 진화 ____클라우드 독립형 시스템의 중요성 __요약 10장. 공격자의 시각 __ID 훔치기 __분산 서비스 거부 공격 __서비스 지도 __신뢰하지 않는 컴퓨팅 플랫폼 __사회 공학 __물리적 공격 __무효화 __컨트롤 플레인 보안