클라우드 환경에서의 데브옵스 보안 (안전한 클라우드 서비스를 위한 보안 기법과 데브옵스 실천법)

줄리엔비앙트

줄리엔비앙트는모질라의파이어폭스운영보안(FirefoxOperationsSecurity)팀을이끌고있다.그는수백만파이어폭스사용자가매일상호작용하는웹서비스의보안을정의하고구현및운영하는일을담당하고있다.줄리엔은2000년대초반부터웹에서의서비스보안에중점을두었으며,리눅스시스템관리자로시작해2007년정보보안석사학위를받았다.

[1부]사례연구:기본데브옵스파이프라인에보안계층적용하기

▣1장:데브옵스보안
1.1데브옵스접근법
___1.1.1지속적인통합(Continuousintegration)
___1.1.2지속적인전달(Continuousdelivery)
___1.1.3서비스형인프라(Infrastructureasaservice)
___1.1.4문화와신뢰
1.2데브옵스에서의보안(SecurityinDevOps)
1.3지속적인보안(Continuoussecurity)
___1.3.1테스트주도보안(Test-drivensecurity)
___1.3.2공격모니터링및대응
___1.3.3위험평가및보안성숙

▣2장:기본데브옵스파이프라인구축하기
2.1로드맵구현
2.2코드저장소:깃허브
2.3CI플랫폼:CircleCI
2.4컨테이너저장소:도커허브
2.5운영인프라:아마존웹서비스
___2.5.13티어아키텍처
___2.5.2AWS에대한접근구성
___2.5.3VirtualPrivateCloud
___2.5.4데이터베이스티어생성
___2.5.5ElasticBeanstalk을사용해처음두개의티어생성
___2.5.6시스템에컨테이너배포
2.6신속한보안감사

▣3장:보안계층1-웹애플리케이션보호하기
3.1웹앱의보안과테스트
3.2웹사이트공격및콘텐츠보안
___3.2.1교차사이트스크립팅과콘텐츠보안정책
___3.2.2교차사이트요청위조
___3.2.3클릭재킹(Clickjacking)및IFrames보호
3.3사용자인증방식
___3.3.1HTTP기본인증
___3.3.2암호관리
___3.3.3ID제공자
___3.3.4세션및쿠키보안
___3.3.5인증테스트
3.4종속성관리
___3.4.1Golang벤더링
___3.4.2Node.js패키지관리
___3.4.3파이썬요구사항

▣4장:보안계층2-클라우드인프라보호하기
4.1클라우드인프라보안및테스트:deployer
___4.1.1deployer설정
___4.1.2도커허브와deployer간에구성알림
___4.1.3인프라에대한테스트실행
___4.1.4invoicer환경업데이트
4.2네트워크접근제한
___4.2.1보안그룹테스트
___4.2.2보안그룹간의접근열기
4.3보안진입지점구축
___4.3.1SSH키생성
___4.3.2EC2에베스천호스트생성
___4.3.3SSH로이중인증활성화
___4.3.4접근시알림전송
___4.3.5일반보안고려사항
___4.3.6보안그룹간의접근열기
4.4데이터베이스에대한접근제어
___4.4.1데이터베이스구조분석
___4.4.2PostgreSQL에서의역할과권한
___4.4.3invoicer애플리케이션에대한세분된권한정의
___4.4.4deployer에있는권한표시

▣5장:보안계층3-통신보안
5.1통신보안이란무엇을의미하는가?
___5.1.1초기대칭암호화
___5.1.2Diffie-Hellman과RSA
___5.1.3공개키인프라
___5.1.4SSL과TLS
5.2SSL/TLS이해
___5.2.1인증서사슬(Thecertificatechain)
___5.2.2TLS핸드셰이크
___5.2.3완전순방향비밀성
5.3HTTPS를사용하는애플리케이션가져오기
___5.3.1AWS에서인증서받기
___5.3.2Let’sEncrypt에서인증서얻기
___5.3.3AWSELB에서HTTPS활성화
5.4HTTPS현대화
___5.4.1TLS테스트
___5.4.2모질라의최신지침구현
___5.4.3HSTS:StrictTransportSecurity
___5.4.4HPKP:PublicKeyPinning

▣6장:보안계층4-전달파이프라인보안
6.1코드관리인프라에대한접근제어
___6.1.1깃허브조직(organization)에서권한관리
___6.1.2깃허브와CircleCI간의권한관리
___6.1.3깃으로커밋과태그에서명하기
6.2컨테이너저장소에대한접근제어
___6.2.1도커허브와CircleCI간의권한관리
___6.2.2도커컨텐트트러스트로컨테이너에서명하기
6.3인프라관리를위한접근제어
___6.3.1AWS역할및정책을사용해권한관리
___6.3.2운영시스템에기밀정보배포

[2부]이상징후발견과공격으로부터의서비스보호

▣7장:로그수집및저장하기
7.1시스템및애플리케이션에서의로그수집
___7.1.1시스템으로부터로그수집하기
___7.1.2애플리케이션로그수집하기
___7.1.3인프라로깅
___7.1.4깃허브에서로그수집
7.2메시지브로커로로그이벤트스트리밍
7.3로그소비자의이벤트처리
7.4로그저장및보관
7.5로그에접근하기

▣8장:부정행위와공격에대한로그분석
8.1로그분석계층의아키텍처
8.2문자열패턴을사용해공격탐지
8.3부정행위탐지를위한통계모델
___8.3.1슬라이딩윈도와원형버퍼
___8.3.2이동평균(MovingAverages)
8.4지리데이터를사용해악용사례찾기
___8.4.1사용자지오프로파일링(Geoprofiling)
___8.4.2거리계산하기
___8.4.3사용자의정상연결영역구하기
8.5이상징후탐지를위한알려진패턴들
___8.5.1사용자에이전트시그니처
___8.5.2비정상적인브라우저
___8.5.3상호작용패턴
8.6운영자와최종사용자에게경보전달
___8.6.1운영자에게보안이벤트전달하기
___8.6.2최종사용자에게언제어떻게통지해야할까?

▣9장:침입탐지
9.1침입의7단계:킬체인
9.2침해지표란무엇인가?
9.3엔드포인트에서IOC스캔
9.4Suricata를이용한네트워크트래픽검사.
___9.4.1Suricata설정하기
___9.4.2네트워크모니터링
___9.4.3규칙작성하기
___9.4.4사전정의된규칙세트사용
9.5시스템호출감사로그를통한침입탐지
___9.5.1실행취약점
___9.5.2부정행위실행포착
___9.5.3파일시스템모니터링
___9.5.4불가능한것을모니터링하기
9.6이상징후를감지하기위해사람신뢰하기

▣10장:캐리비안침해사고:침해사고대응사례연구
10.1캐리비안침해사고
10.2식별
10.3격리
10.4근절
___10.4.1AWS에서디지털포렌식아티팩트수집
___10.4.2아웃바운드IDS필터링
___10.4.3MIG로IOC제거하기
10.5복구
10.6교훈및사고대비의이점

[3부]데브옵스보안을성숙하게만들기

▣11장:위험평가
11.1위험관리란무엇인가?
11.2CIA
___11.2.1기밀성
___11.2.2무결성
___11.2.3가용성
11.3조직에대한주요위협요소설정
11.4위험의영향평가
___11.4.1재정
___11.4.2평판
___11.4.3생산성
11.5위협식별및취약성측정
___11.5.1STRIDE위협모델링프레임워크
___11.5.2DREAD위협모델링프레임워크
11.6신속한위험평가
___11.6.1정보수집
___11.6.2데이터사전설정
___11.6.3위험식별및측정
___11.6.4권고안작성하기
11.7위험기록및추적
___11.7.1위험수락,거부,위임
___11.7.2정기적으로위험재검토

▣12장:보안테스트
12.1보안가시성유지
12.2내부애플리케이션및서비스감사
___12.2.1웹애플리케이션스캐너
___12.2.2퍼징(Fuzzing)
___12.2.3정적코드분석
___12.2.4클라우드인프라감사
12.3레드팀과외부침투테스트
12.4버그현상금프로그램

▣13장:지속적인보안
13.1연습과반복:10,000시간의보안
13.21년차:데브옵스에보안통합
___13.2.1너무일찍판단하지않기
___13.2.2모든것을테스트하고대시보드를만든다
13.32년차:최악의상황에대비
___13.3.1인프라중복방지
___13.3.2구축vs.구매
___13.3.3침해당하기
13.43년차:변화추진
___13.4.1보안우선순위재검토
___13.4.2반복적으로진행하기