제로 트러스트 네트워크 (안전한 네트워크를 만드는 보안 모델)

제로 트러스트 네트워크 (안전한 네트워크를 만드는 보안 모델)

$30.75
Ask a Question
Vendor: 에이콘출판 - 에반 길먼
Type: 네트워크일반
SKU: 9791161756615
Categories: ALL BOOKS 컴퓨터/인터넷 컴퓨터/인터넷_OS/Networking
Tags: 제로트러스트네트워크안전한네트워크를만드는보안모델 컴퓨터/IT_네트워크
Description
내부 네트워크가 안전하다는 가정은 틀렸다는 사실은 오래전에 입증됐다. 모든 디바이스가 인터넷에 접속 가능한 시대에 내부 네트워크에 해커가 침입하지 못할 것이라는 가정은 헛된 희망일 뿐이다. 제로 트러스트 네트워크는 이미 해커가 네트워크에 숨어 있다는 가정에서 시작하는 네트워크 보안 모델이다. 이 책은 통신의 주체와 트래픽을 신뢰하지 못하는 환경에서 시스템을 운영하고 보호한다는 어려운 문제를 저자의 실전 경험을 바탕으로 풀어나간다.
저자

에반길먼

EvanGilman
컴퓨터네트워크를전공한엔지니어다.오랫동안학계에있었으며,현재인터넷보안과관련된일을하고있다.안전하지못한환경에서동작하는시스템을만들고운영하는일을하고있다.오픈소스프로젝트참여,콘퍼런스연설,저술등다양한방법으로네트워크시스템을디자인하는데참여하고있다.

목차

1장.제로트러스트기초

__제로트러스트네트워크란무엇인가?
____제로트러스트컨트롤플레인
__네트워크경계보안모델의진화
____전세계IP주소관리
____사설IP주소영역의탄생
____사설네트워크와공용네트워크의연결
____NAT의등장
____현대의경계모델
__공격의진화
__경계보안의단점
__네트워크신뢰의붕괴
__제로트러스트의감초,자동화
__경계모델vs.제로트러스트모델
__클라우드와제로트러스트네트워크
__요약

2장.신뢰도

__위험모델
____자주사용하는위험모델
____제로트러스트의위험모델
__견고한인증
__인증에대한신뢰
____인증기관
____제로트러스트에있어서PKI의중요성
____사설PKI와공개PKI
____아무것도없는것보다는공개PKI
__최소권한의원칙
__동적신뢰도
__컨트롤플레인vs.데이터플레인
__요약

3장.네트워크에이전트

__에이전트의정의
____에이전트의변동성
____에이전트에포함되는데이터
__에이전트활용
____인증이아니라허가
__에이전트노출
__표준화
____견고하면서도유연하게
____표준화의가능성
____표준화전까지
__요약

4장.네트워크접근허가

__허가시스템의구조
__보안정책적용지점
__보안정책엔진
____보안정책저장소
____좋은보안정책의조건
____보안정책정의의주체
__트러스트엔진
____수치화의대상
____신뢰도점수노출의위험성
__데이터저장소
__요약

5장.디바이스에대한신뢰

__신뢰의시작
____디바이스ID생성과보안
____정적인시스템과동적인시스템에서의디바이스ID보안
__컨트롤플레인상에서디바이스인증
____X.509
____TPM
__기존디바이스를위한TPM대체재
__디바이스목록관리
____트래픽의예상가능성
____시큐어인트로덕션
__디바이스신뢰갱신
____로컬보안성능평가
____원격보안성능평가
__소프트웨어형상관리
____형상관리를활용한디바이스목록
____생략디바이스정보의신뢰도
____디바이스데이터에기반한사용자접근허가
__신뢰지표
____이미지설치시점
____네트워크접근히스토리
____위치
____네트워크통신패턴
__요약

6장.사용자에대한신뢰

__비공식ID와공식ID
__최초ID발급
____정부발급ID
____실세계우선주의
____사용자에대한예상
__ID저장
____사용자목록
____사용자목록관리
__ID인증시점
____인증으로얻을수있는신뢰도
____신뢰도를활용한인증
____다양한채널의활용
____ID과신뢰도캐시
__사용자ID인증
____사용자가아는것:암호
____사용자가소유한것:TOTP
____사용자가소유한것:인증서
____사용자가소유한것:보안토큰
____사용자자신:생체인식
____아웃오브밴드채널을사용한인증
____통합인증
____로컬인증
__그룹인증과허가
____샤미르의비밀공유
____붉은10월
__사용자의신고의식
__신뢰지표
__요약

7장.애플리케이션에대한신뢰

__애플리케이션파이프라인
__소스코드에대한신뢰
____코드저장소보안
____진짜코드와모니터링
____코드리뷰
__빌드에대한신뢰
____위험
____빌드시스템의입출력보안
____재생산가능한빌드
____릴리즈와버전의분리
__배포에대한신뢰
____결과물프로모션
____배포과정의보안
____무결성과정품인증
____배포망에대한신뢰
__인간의개입
__실행중인소프트웨어에대한신뢰
____업그레이드만허용하는보안정책
____소프트웨어의접근허용
__실행환경보안
____보안코딩실무
____애플리케이션분리
____능동적인모니터링
__요약

8장.네트워크트래픽에대한신뢰

__암호화vs.인증
____암호화없는메시지보호
__신뢰의시작:첫번째패킷
____fwknop
__네트워크모델
____그림으로보는네트워크계층
____OSI네트워크모델
____TCP/IP네트워크모델
__제로트러스트에어울리는네트워크모델
____클라이언트와서버의분리
__프로토콜
____IKE/IPsec
____상호인증TLS
__필터링
____호스트필터링
____북엔드필터링
____중간필터링
__요약

9장.제로트러스트네트워크구축

__범위결정
____필수디자인요소
__시스템다이어그램
__네트워크흐름에대한이해
__컨트롤러가없는구조
____형상관리시스템“남용”
____애플리케이션인증과접근허가
____로드밸런서인증과프록시인증
____관계지향보안정책
____보안정책배포
__보안정책정의와설치
__제로트러스트프록시
__클라이언트마이그레이션과서버마이그레이션
__케이스스터디
__케이스스터디:구글BeyondCorp
____BeyondCorp의구성요소
____GFE활용과확장
____멀티플랫폼환경에서인증의어려움
____BeyondCorp으로전환
____교훈
____결론
__케이스스터디:페이저듀티의클라우드독립형네트워크
____형상관리를통한자동화플랫폼
____로컬방화벽동적설정
____분산된트래픽암호화
____사용자관리의분산화
____제로트러스트네트워크로의진화
____클라우드독립형시스템의중요성
__요약

10장.공격자의시각

__ID훔치기
__분산서비스거부공격
__서비스지도
__신뢰하지않는컴퓨팅플랫폼
__사회공학
__물리적공격
__무효화
__컨트롤플레인보안

출판사 서평

◈이책에서다루는내용◈

◆보안기능을기본적으로탑재한제로트러스트모델이해하기
◆네트워크에이전트와트러스트엔진을비롯한제로트러스트네트워크의핵심개념
◆네트워크주체간신뢰구축에기술활용하기
◆경계형모델을채택한네트워크를제로트러스트모델로변경하는방법
◆구글(Google)과페이지듀티(PagerDuty)사례로알아보는제로트러스트모델구축방법

◈이책의대상독자◈

중앙집중식방화벽구축에어려움을겪었던사람,방화벽이제대로동작하지않아애먹은적이있는엔지니어,다양한애플리케이션과언어때문에VPN구축과TLS설정에골치가아팠던엔지니어,보안감사나보안사항준수에어려움을느꼈던보안엔지니어.모두이책을읽으면도움을받을수있을것이다.사실방금나열한목록은제로트러스트모델이해결할수있는많은문제중일부분에지나지않는다.더나은방법이있지않을까한번이라도고민해본적이있는독자라면이책을읽을것을권한다.
네트워크엔지니어와보안엔지니어부터CTO에이르기까지제로트러스트개념을익히면많은도움이될것이다.이책을읽는데특별한기술을요하는것도아니다.이책이소개하는다양한원칙들은모두쉽게이해할수있을것으로생각한다.이책을읽은후에는독자스스로시스템의보안을업그레이드하는것은물론이고,다른사람들에게제로트러스트모델을가르칠수도있을것이라생각한다.
형상관리시스템을사용하는독자라면이책이소개하는개념들을이용해현재네트워크시스템의보안을향상시킬수있을것이다.보안이더이상네트워크의추가기능이아닌기본기능으로자리잡을것이다.형상관리시스템을이용해네트워크설정을자동으로설정할수있는상태라면,관리시스템에서어떻게네트워크보안을설정할것인가하는관점에서책을읽어도좋다.
이미제로트러스트의기본개념을알고있는독자에게는보안시스템을향상시킬수있는심화학습의기회를제공할것이다.

◈이책의구성◈

1장‘제로트러스트기초’와2장‘신뢰도’는제로트러스트네트워크의기본개념을다룬다.
3장‘네트워크에이전트’와4장‘네트워크접근허가’는잘구현된제로트러스트네트워크가갖춘네트워크에이전트와트러스트엔진이라는새로운개념을설명한다.
5장‘디바이스에대한신뢰’부터8장‘네트워크트래픽에대한신뢰’까지는네트워크구성요소가서로를어떻게신뢰할수있는지를다룬다.여기서다루는내용은대부분현존기술을바탕으로한다.기존네트워크에도적용할수있는내용들이다.
9장‘제로트러스트네트워크구축’은앞에서다뤘던내용을바탕으로어떻게제로트러스트네트워크를구축할수있는지알려준다.두가지실제사례도함께소개한다.
10장‘공격자의시각’에서는공격자의입장에서제로트러스트모델을분석한다.잠재적위험을설명하고어떻게방어할것인지도함께알려준다.

◈옮긴이의말◈

네트워크보안은힘든분야다.기본적으로네트워크와보안에대한이론과현실적으로사용할수있는도구를알아야하며해당도구의한계는물론,이상과현실의차이도명확히알아야한다.그렇지않으면네트워크를잘보호하고있다는착각에빠지기쉽다.다양한운영체제와다양한접근경로,다양한서비스가공존하는네트워크는어느한곳에문제가발생하면이를찾는것이힘들다.다른서비스에미치는영향을최소화하면서수정하는것또한어렵다.이런복잡도때문에네트워크의경계만집중적으로보호하는경계형보안모델이많이사용되는지도모르겠다.
시스템의복잡도가늘고해킹기술이많이발달했지만네트워크보안을포기할수는없다.다행히그동안자동화기술에많은발전이있었고많은교훈을얻었다.완전한시스템보안은불가능하다.각종보안장치를적용해안전하다고믿는호스트도이미해커의손에넘어가있을수도있다.이책은이런현실을받아들이고불안전한네트워크환경에서시스템을어떻게보호할것인지를알려주는책이다.
이책은하드웨어부터애플리케이션까지네트워크와관련된모든계층을다룬다.네트워크에접속하는모든개체를다루고각개체가만들어내는네트워크트래픽을파헤친다.원격에서네트워크에접속하는보이지않는디바이스를어떻게인증할수있을까?인증을마친디바이스에서동작하는애플리케이션이적법한빌드시스템을통해안전하게빌드됐는지어떻게확인할수있을까?
2020년을전후로기업의네트워크환경이많이변했다.코로나바이러스가유행하면서많은사람들이재택근무를시작했고이를당연하게받아들이기시작했다.사내네트워크에접속할때사무실과집,커피숍모두동일한보안수준을제공하겠다는것은큰목표다.내부네트워크는신뢰한다는가정에서내부네트워크도외부네트워크와동일하게취급하겠다는위험모델의변화는네트워크엔지니어링의기반을흔들었다.그리고이변화를가능하게한네트워크모델이바로제로트러스트네트워크다.
이책은특정도구를소개하거나특정기술을소개하지않는다.공격자가이미네트워크에침입했을수있다는가정에서네트워크시스템을어떻게보호할것인지에대한네트워크보안의원칙또는철학을다룬다.이때문에네트워크실무경험이풍부하지않은상황에서이책을접하면당연한소리를길게썼다고생각할수도있다.하지만시간이지나경험을쌓은후다시읽는다면한줄한줄을음미할수있을것이다.나는운이좋게세계최고의네트워크시스템을가까이에서지켜보는기회를갖게됐다.또한번역을시작할때와퇴고를할때깨달음에큰변화가있었다.독자여러분도이책을곁에두고여러번읽으면서변화를느끼기바란다.