Amazon VPC 네트워킹 원리와 보안 : AWS 토폴로지로 이해하는

Amazon VPC 네트워킹 원리와 보안 : AWS 토폴로지로 이해하는

$32.26
Ask a Question
Vendor: 에이콘출판 - 차정도
Type: 네트워크 구축/보안/해킹
SKU: 9791161756080
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: AmazonVPC네트워킹원리와보안AWS토폴로지로이해하는 컴퓨터/인터넷_OS/Networking
Description
2022년 세종도서 학술부문 선정도서
기업 클라우드 보안 정책을 수립하고 적합성 평가를 직접 수행하며 겪은 저자의 노하우가 담긴 VPC 네트워킹 책이다. VPC 공간과 컴퓨팅, 네트워킹 연결 서비스의 구조와 원리를 AWS 토폴로지로 친절히 설명해 초보자도 쉽게 이해할 수 있다. AWS 클라우드 서비스 설계부터 구축, 운영, 보안까지 실무 활용 중심으로 상세하게 구성했다.

◈ 이 책에서 다루는 내용 ◈

◆ VPC 네트워킹 서비스 구조를 AWS 토폴로지와 그림으로 쉽게 설명
◆ 챕터별 단계적인 서비스 생성 실습 예제
◆ 온프레미스와 클라우드 환경 비교 설명
◆ AWS 서비스의 네트워킹 콘셉트와 VPC 네트워킹의 요건
◆ AWS 계정 생성과 보안 가이드
◆ VPC 네트워크와 서비스의 CIDR 전략
◆ VPC 주 보호 대상인 네트워크 인터페이스 유형별 특징
◆ 인스턴스에 연결된 네트워크 인터페이스의 변화 패턴
◆ 보안 그룹, 네트워크 ACL, 라우팅 테이블의 보안 최적 운영 방법
◆ 게이트웨이 유형별 특징과 활용 방법
◆ 로드밸런서 유형(ALB, NLB, CLB, GWLB)별 특징
◆ 피어링, VPN, Direct Connect, Transit Gateway 연결 서비스의 세부 형태
◆ 하이브리드 네트워킹 아키텍처
◆ AWS PrivateLink 기술, VPC 엔드포인트 액세스 유형과 서비스 보호

저자

차정도

저자:차정도
경북대학교에서컴퓨터공학,전자전기공학을복수전공하고삼성네트웍스에입사했다.2012년삼성물산8세컨즈공식몰인프라구축을리딩했다.현재삼성SDS에서인프라보안기준을수립하고보안수준평가와클라우드아키텍처보안성검토를맡고있다.정보유출과악성코드감염피해예방을위한방화벽정책분석시스템,클라우드보안취약점분석시스템개발을이끌고관련특허를다수출원했다.번역서로는『컴퓨터포렌식수사기법』(에이콘,2016)이있다.

목차

1부.AWS네트워킹개요
1장AWS네트워킹콘셉트
1.1.VPC개념을도입하다
1.2.VPC네트워킹의개념
1.2.1네트워킹서비스의분류
1.2.2.네트워크인터페이스?그럼VPC!

2장.VPC네트워킹구성요소의역할분류
2.1.우리동네와닮은VPC
2.2.VPC네트워킹의3요소:공간,연결,컴퓨팅

3장.VPC네트워킹구성요소의포함관계
3.1.수학의집합
3.2.공간의포함관계
3.2.1.계정과리전의관계
3.2.2.리전과VPC의관계
3.2.3.리전과가용영역의관계
3.2.4.VPC와가용영역의관계
3.2.5.서브넷과VPC,서브넷과가용영역의관계
3.2.6.공간의포함관계정리
3.3.공간과다른요소(연결,컴퓨팅)간포함관계
3.3.1.패런트와연결(AttachorAssociate)
3.3.2.VPC포함관계의이해:패런트와연결예제

2부.네트워크공간과그경계

4장.나의AWS전용공간:계정
4.1.[실습]AWS계정생성하기
4.2.AWS계정의이해와올바른사용법
4.2.1.AWS계정≒루트사용자
4.2.2.[실습]루트사용자MFA적용하기
4.3.IAM
4.3.1.IAM작동방식의이해
4.3.2.루트의권한대행:IAM사용자
4.3.3.IAM보안관리방안

5장.AWS가만들어놓은네트워크공간
5.1.클라우드의이점
5.1.1.데이터센터는오늘도전쟁중
5.2.글로벌영역
5.3.리전과가용영역
5.3.1.리전
5.3.2.가용영역

6장.우리가만들어나갈네트워크공간
6.1.VPC
6.1.1.VPC와VPC네트워킹
6.1.2.VPC와온프레미스의비교
6.1.3.CIDR블록
6.1.4.퍼블릭CIDR전략
6.1.5.VPC네트워킹리소스할당량조정
6.1.6.기본VPC란?
6.1.7.기본(Default)의위험성
6.1.8.[실습]VPC생성예제
6.2.서브넷
6.2.1.서브넷=가용영역∩VPC
6.2.2.서브넷의역할
6.2.3.서브넷우회경로의근원
6.2.4.[실습]서브넷생성예제

3부.컴퓨팅서비스

7장.컴퓨팅서비스의네트워킹요건
7.1.트래픽의시작:IP주소
7.1.1.IP유형=[정적/동적]+[퍼블릭/프라이빗]
7.1.2.퍼블릭IP와인터넷라우팅
7.1.3.프라이빗IP와VPCCIDR선정
7.1.4.AWS의IP분류
7.1.5.[실습]탄력적IP할당예제
7.2.트래픽전달의주체:탄력적네트워크인터페이스(ENI)
7.2.1.VPC서비스의전용배송원:ENI
7.2.2.ENI의2가지유형
7.2.3.ENI유형비교(1):소스/대상확인
7.2.4.요청자관리형ENI
7.2.5.ENI유형비교(2):보안그룹(SG)강제적용
7.2.6.SG와서브넷에의존하는ENI
7.2.7.ENI보호=VPC보호
7.2.8.[실습]ENI생성예제
7.3.트래픽생성의주체:EC2인스턴스
7.3.1.트래픽공장의대표이사:인스턴스
7.3.2.인스턴스로위장한AWS서비스들
7.3.3.인스턴스의위상
7.3.4.인스턴스는바람둥이?2개서브넷에양다리걸치기
7.3.5.[실습]인스턴스생성예제

8장.컴퓨팅서비스활용
8.1.인스턴스의네트워킹패턴
8.1.1.인스턴스기본통신요건
8.1.2.컴퓨팅기본3요소의독립형태
8.1.3.인스턴스유형별ENI와프라이빗IP최대개수
8.1.4.퍼블릭IP자동할당
8.1.5.ENI연결과탄력적IP할당
8.1.6.결코뗄수없는꼬리표:동적퍼블릭IP
8.1.7.보조프라이빗IP에탄력적IP할당
8.1.8.[실습]인스턴스에ENI연결/분리,신규퍼블릭IP확인
8.2.컴퓨팅서비스응용:RDS
8.2.1.VPC를사용하는데이터베이스의종류
8.2.2.RDS서브넷그룹의특징
8.2.3.RDS서브넷그룹의역할
8.2.4.VPC경계를넘나드는RDS:서브넷그룹변경
8.2.5.다중AZ배포
8.2.6.AuroraRDS의다중AZ
8.2.7.Aurora이외RDS의다중AZ

4부.연결193

9장.연결제어I:VPC통제3요소
9.1.접근제어:보안그룹과네트워크ACL
9.1.1.접근제어방식비교(1):Whitelistvs.Blacklist
9.1.2.[SG]표면적특징과다중연결성(1:N,N:1)
9.1.3.[SG]규칙의형태
9.1.4.[SG]소스/대상에SG허용
9.1.5.[NACL]표면적특징과다중연결성(1:N)
9.1.6.[NACL]규칙의형태
9.1.7.접근제어방식비교(2):Statefulvs.Stateless
9.1.8.SGvs.NACL비교
9.1.9.SG와NACL바르게사용하기
9.1.10.[실습]SG생성예제
9.1.11.[실습]NACL생성예제
9.2.경로제어:라우팅테이블
9.2.1.라우팅이란?
9.2.2.반환트래픽의라우팅
9.2.3.서비스의아지트:On-link(로컬)라우팅
9.2.4.VPC의라우팅
9.2.5.새로운세상을여는문:게이트웨이(GW)
9.2.6.인터넷게이트웨이(IGW)와NAT테이블
9.2.7.퍼블릭과프라이빗서브넷의경계:IGW
9.2.8.NAT게이트웨이
9.2.9.라우팅의솔로몬:LongestPrefixMatch
9.2.10.VPC라우팅구체화:East-West트래픽검사
9.2.11.엣지연결과IngressRouting:North-South트래픽검사
9.2.12.기본게이트웨이와그위험성
9.2.13.라우팅테이블의표면적특징과다중연결성(1:N)
9.2.14.[실습1]라우팅테이블생성및서브넷연결
9.2.15.[실습2]라우팅추가및Blackhole상태확인
9.2.16.[실습3]엣지연결
9.2.17.Destination:라우팅전파→Target:11장

10장.연결제어II:분산제어
10.1.서버로드밸런싱(SLB)개요
10.1.1.온프레미스의SLB제어:L4스위치
10.1.2.L4스위치의특징
10.1.3.L4스위치Config예시:Alteon
10.2.AWS의SLB제어:로드밸런서(ELB)
10.2.1.L4스위치vs.로드밸런서(ELB)
10.2.2.ELB학습순서
10.2.3.ELB유형비교:ALB,NLB,CLB,GWLB
10.3.로드밸런싱처리부
10.3.1.ELB가용영역과노드
10.3.2.ELB중복구현:교차영역로드밸런싱
10.3.3.대상그룹과대상
10.3.4.가변노드를장착한ELB:ALB,CLB
10.3.5.NLB대상그룹에ALB연결하기
10.4.요청수신부
10.4.1.ELB체계와DNS이름
10.4.2.리스너
10.5.요청수신부터로드밸런싱처리까지
10.5.1.리스너와대상그룹
10.5.2.상태검사결과가ELB에미치는영향
10.5.3.컴퓨팅노드와라우팅노드비교:ALBvs.NLB
10.6.게이트웨이로드밸런서(GWLB)
10.7.[실습]ALB생성과제

11장.연결서비스I:공간과공간연결(양방향)
11.1.연결서비스개요
11.1.1.기본(Implicit)연결서비스:로컬라우팅,IGW
11.1.2.명시적(Explicit)연결서비스:PCX,VPN,DX,TGW
11.2.VPC와VPC의연결:PCX
11.2.1.[실습]PCX생성예제
11.2.2.CIDR이겹치는VPC간피어링-불가
11.2.3.전이적VPC피어링-불가
11.2.4.Full-mesh피어링
11.2.5.PCX특징정리
11.3.VPC와온프레미스의연결(하이브리드네트워킹):VPN,DX
11.3.1.VPN연결개요
11.3.2.[실습]Site-to-Site(사이트간)VPN연결생성과제
11.3.3.DirectConnect(DX)연결개요
11.3.4.가상인터페이스(VIF)의특징과유형
11.3.5.글로벌DX게이트웨이(DXGW)
11.3.6.다른계정에게VIF만들어주기
11.3.7.DXGW에다른계정의게이트웨이(VGW/TGW)연결하기
11.3.8.퍼블릭VIF를활용한VPNOverDX
11.3.9.DX리소스할당량
11.4.VPC와온프레미스의중앙라우터:TGW
11.4.1.전송게이트웨이(TGW)개요
11.4.2.연결(Attachment)과연결(Association)
11.4.3.TGW라우팅테이블작동원리
11.4.4.TGW공유
11.4.5.[실습]TGW생성과제
11.4.6.TGW와통합된하이브리드네트워킹

12장.연결서비스II:공간과서비스연결(단방향)
12.1.VPC네트워킹의꽃,VPC엔드포인트
12.1.1.VPC엔드포인트개요:트래픽순간이동
12.1.2.AWSPrivateLink기술과엔드포인트유형분류
12.1.3.서비스범주별엔드포인트유형매칭
12.1.4.기본DNS이름과프라이빗DNS이름
12.2.게이트웨이엔드포인트:퍼블릭액세스
12.2.1.엔드포인트라우팅=접두사목록+엔드포인트(GW)
12.2.2.접두사목록접근제어
12.2.3.인터넷vs.엔드포인트접속비교:비용과보안측면
12.2.4.[실습]게이트웨이엔드포인트생성예제
12.3.AWSPrivateLink엔드포인트:프라이빗액세스
12.3.1.AWSPrivateLink엔드포인트의4가지유형
12.3.2.[실습1]엔드포인트서비스생성예제
12.3.3.[실습2]엔드포인트생성예제
12.3.4.엔드포인트ENI와NLB노드의관계(feat.교차영역로드밸런싱)
12.3.5.리전DNS이름과가용영역DNS이름
12.3.6.공급자서비스접근제어
12.3.7.엔드포인트ENI접근제어:아웃바운드프리패스
12.3.8.엔드포인트-엔드포인트서비스-NLB의관계
12.3.9.[실습3]타계정엔드포인트허용
12.3.10.공급자와소비자의CIDR일치
12.3.11.엔드포인트서비스보호
12.3.12.리전외부공간에서엔드포인트액세스

출판사 서평

◈이책의대상독자◈

◆VPC네트워크구조와동작원리를이해하고싶은독자
◆AWS클라우드입문자
◆AWS네트워크관리자와보안관리자
◆VPC라우팅이해가필요한독자
◆AWS아키텍처디자이너
◆AWS서비스운영자
◆클라우드보안정책수립담당자
◆클라우드인프라보안성평가담당자
◆AWSSDK를활용한자동화솔루션개발자

○작가의말

신입사원입문교육이끝나갈무렵,각자의꿈과10년후의모습을그려보는시간이있었다.나눠준종이에“보안전문가가되고싶습니다”라고적었다.보안전문가라면진단대상시스템과그주변환경을포괄적으로이해하고취약점과해결책을제시하는실력을갖춰야한다고생각했기때문이다.이점이참매력적이었고멋져보였다.그러고는IDC인프라운영팀에지원해서서버,네트워크,보안등다양한장비를경험했다.데이터센터는IT최전방이자현장이며,내꿈을실현하기위한첫단추라고믿었다.
10년도훌쩍넘은지금,그당시기준으로비춰볼때나는‘보안전문가’가아닌‘보안담당자’로일하고있다.이렇게많고다양한분야가있을줄은몰랐으니말이다.비록전문가는아니지만,보안업무를하고있다는것으로목표의반은이룬셈이다.오히려더욱연구하고고민하는겸손한자세를갖게돼기쁘다.언젠가‘전문가’가될수있을것이라는믿음은설레게한다.
‘보안’이주는매력은신입때와변함없다.보안취약점과관련한해결책을제시하려면상황에따라변하는시스템의여러모습에정통해야하는데,비록그과정은고되지만다른분야의IT전문가들과소통하는기반이되기때문이다.이과정에서보다현실적인보안대책을고민해볼수도있다.
서비스운영자는시스템성능과비즈니스연속성을최우선으로생각한다.정상으로작동하는데필요한운영방법을잘알면된다.그러나보안은좀다르다.보안성평가대상서비스의종류나비즈니스모델에따라시스템을이용하는형태와패턴이제각기다르기때문이다.‘무엇무엇을하는방법’에초점을둔것이운영이라면,보안은‘무엇을하면어떤모습으로변화하는가?’를A부터Z까지관찰하고정리해야한다.그리고잘못된(해킹)방향으로이끄는문제점을찾아조치해야한다.그렇다면어떤시스템이든최초설계자가해킹방어력이가장높다고할수있지않을까?시스템의변화양상을가장잘알고있을테니말이다.
그러한관점에서이책은VPC설계자의기조를해부하겠다는마음가짐으로써내려갔다.VPC네트워킹구성요소를역할에따라3가지(공간,연결(네트워크),컴퓨팅서비스)로분류하고,상호구조와관계,각네트워킹요소들이띠는패턴을최대한담으려노력했다.
클라우드는쉽고빠르며합리적이다.의사결정을신속하고유연하게한다.따라서클라우드도입과전환은기업비즈니스성공의핵심이자필수가됐다.이는해커의놀이터가온프레미스에서클라우드로옮겨갔다는방증이다.사업추진력앞에서보안은대개등한시되며,확장과변경이용이한클라우드는해커가활동하기에더할나위없는환경이다.
클라우드가급속도로발전하고변화를거듭하지만그기본바탕은온프레미스다.VPC는기업엔터프라이즈(온프레미스)환경과유사한가상네트워크공간이다.그런의미에서VPC로클라우드를시작해보는것도좋은방법일것같다.
앞으로도VPC는서비스확장과개선등많은변화를겪겠지만,Amazon의최초VPC설계기조까지는쉽게바꾸지못할것이다.기회가된다면서비스개선에발맞춰책내용도조금씩보완해나가고싶다.이책이최적화된클라우드서비스운영에도움이되고,평소잘보이지않던보안취약점을찾아해결책을제시하는계기가됐으면좋겠다.

○추천사

정도현(AWS시니어테크니컬트레이너)
이책은기존인프라나네트워크에대한지식없이클라우드를처음접하시는분들이나클라우드를사용하고있더라도좀더안전하고효율적으로사용하고자하는분들께이론과실습을함께익힐수있는매우유용한학습서가될수있을것이라생각합니다.
이책의가장뛰어난점은이론에대한설명과실습이잘버무려져있다는것입니다.단순히머리로만이해하는것이아니라매챕터마다손을움직여직접만들어보고테스트해볼수있습니다.이러한구성은AWS를처음배우는독자뿐만아니라AWS에대한경험을어느정도보유한실무자에게도높은학습효과를줄것입니다.
모쪼록많은분들이이책을통해방대한기능을지닌AWS의네트워크서비스들을보다효율적이고안전하게사용할수있기를바랍니다.

신은수(AWS시큐리티스페셜리스트솔루션즈아키텍트)
이책은온프레미스의네트워킹에익숙하거나그렇지않은엔지니어모두에게AWS클라우드네트워킹기술습득에필요한내용과과정을담고있습니다.계정생성단계부터
VPC,로드밸런서,DirectConnect,TransitGateway그리고VPCEndpoint에이르기까지쉽고효율적으로설명하고있습니다.또한우리가일상생활에서쉽게접할수있는환경을기반으로설명하거나독자들이개념을빠르게정립할수있도록네트워킹의각구성요소의상호관계를설명하는방식등은AWS네트워킹을처음접하거나어려워하는사람들에게너무나도도움이되는내용이라고생각합니다.그리고AWS에서제공하는보안기능에대해서도해당기능이어떤원리로동작하며어떻게활용될수있는지설명하고있어보안담당자에게도큰도움이될것같습니다.
마지막으로앞서설명한중요기술이론을실습내용으로담아,실제하나하나설정하며독자들의이해를돕는부분을통해저자의세심한배려와노력을엿볼수있었습니다.
이제클라우드는더이상새로운기술이아닌누구나쉽게접하고사용할수있는표준기술이됐습니다.이책은이런변화의시기에AWS네트워킹전문가를꿈꾸는엔지니어나AWS네트워킹의기본을튼튼히다지려는엔지니어모두를만족시킬수있을것이라믿어의심치않습니다.

허해녕(한국인터넷진흥원소통협력실장(前인터넷서비스팀장))
클라우드는처음접하는사람에게는한없이복잡하고어렵게보입니다.이책은초보자가길을헤매지않도록기초개념,네트워크,컴퓨터서비스,연결,연결제어까지클라우드를다루는데필요한모든도구와기능을하나씩설명하고있어,이책한권만일독해도클라우드를기초에서핵심실무까지경험해본효과를볼수있을것같습니다.
처음클라우드를접하시는분들이나이미구름(CLOUD)속에서일하고있지만클라우드를보다적극적으로실무에활용하고자하는분들모두에게일독을권해봅니다.