도서 소개

서버리스 보안의 기본 원칙을 신규 및 기존 프로젝트에 적용하는 방법을 다룬다. 코드 보안 강화, 애플리케이션 보호, 인프라 보안 등 서버리스 컴퓨팅 전 영역에 걸쳐 핵심 원리를 실무 예제와 함께 학습하고 적용하는 능력을 기른다. 이를 통해 담당 프로젝트에 보안을 직접 구현할 수 있는 실무 지식을 습득하고, 보안 담당자와 기술적인 대화를 나눌 수 있다. 기존 보안 지식을 서버리스 환경으로 확장하려는 개발자와 보안 엔지니어에게 특히 유용하며, 서버리스와 보안을 처음 접하는 입문자 역시 배운 내용을 자신의 프로젝트에 바로 활용할 수 있다.

  출판사 리뷰

AWS, Azure, Google Cloud에서의 서버리스 보안 실무 가이드

보안 침해 사고가 연일 보도되면서 애플리케이션 보안은 그 어느 때보다 중요해졌다. 클라우드 서비스 제공자가 컴퓨팅 플랫폼을 관리해 준다고 해서 보안 걱정을 전적으로 덜 수 있는 것은 아니다. 사이버 보안은 프로젝트에 참여하는 모든 구성원의 책임이기 때문이다.

이 책은 서버리스 보안의 기본 원칙을 신규 및 기존 프로젝트에 적용하는 방법을 다룬다. 코드 보안 강화, 애플리케이션 보호, 인프라 보안 등 서버리스 컴퓨팅 전 영역에 걸쳐 핵심 원리를 실무 예제와 함께 학습하고 적용하는 능력을 기른다. 이를 통해 담당 프로젝트에 보안을 직접 구현할 수 있는 실무 지식을 습득하고, 보안 담당자와 기술적인 대화를 나눌 수 있다.

기존 보안 지식을 서버리스 환경으로 확장하려는 개발자와 보안 엔지니어에게 특히 유용하며, 서버리스와 보안을 처음 접하는 입문자 역시 배운 내용을 자신의 프로젝트에 바로 활용할 수 있다.

서버리스 보안, 이제 막연한 고민은 끝

서버리스 아키텍처는 비즈니스의 민첩성을 높여주지만, 동시에 기존과는 다른 보안 과제를 안겨줍니다. 함수 단위의 세밀한 권한 관리, 이벤트 기반 아키텍처의 취약점, 서드파티 의존성 등 새로운 위협에 체계적으로 대응해야 할 때입니다.

이 책은 개념 설명에 그치지 않고 실제 코드를 통해 위협을 진단하고 리스크를 줄이는 방법을 제시합니다. 위험 평가부터 계정 및 권한 관리, 시크릿 관리, 민감 데이터 보호, 모니터링까지 서버리스 보안의 전 영역을 13개 장에 걸쳐 단계별로 안내하는 실용적인 가이드입니다. AWS, Azure, Google Cloud Platform 등 주요 클라우드 플랫폼에서 Serverless Framework와 Node.js를 활용해 코드를 개선하고 인프라를 보호하는 구체적인 실습 방법을 담았습니다.

이 책에서 다루는 내용

체계적인 위험 평가: 위협 모델링부터 공격 표면 분석, 신뢰 경계 설정까지 서버리스 애플리케이션의 잠재적 위험을 평가하는 방법을 배웁니다.
안전한 개발 프로세스 구축: 소스 코드 보안 강화, 오픈소스 종속성 관리, Serverless Framework 보안 설정 등 개발 초기부터 보안을 적용하는 방법을 익힙니다.
IAM과 데이터 보안: 최소 권한 원칙에 따른 권한 관리, 시크릿과 환경 변수의 안전한 관리, 데이터 암호화 전략을 실습합니다.
운영 모니터링 체계: 이상 징후를 탐지하고 대응하기 위한 로깅, 감사, 경고 설정 방법을 구현합니다.
실무 도구 활용법: Node.js, NPM, ESLint, VSCode 등 현업에서 널리 쓰이는 무료 오픈소스 도구로 보안을 강화하는 실전 기법을 다룹니다.

대상 독자
서버리스 애플리케이션을 개발하고 운영하는 개발자
클라우드 환경의 보안을 담당하는 보안 엔지니어
서버리스 도입을 검토 중인 솔루션 아키텍트
전통적인 보안 지식을 서버리스로 확장하려는 데브옵스 엔지니어

각 장마다 제공되는 요약과 실습 가이드를 통해 필요한 부분을 빠르게 찾아 적용할 수 있습니다. 서버리스 애플리케이션의 보안을 체계적으로 구축하고자 하는 모든 분께 실질적인 도움이 될 것입니다.

  작가 소개

지은이 : 미겔 A. 카예스
클라우드 컴퓨팅 프로젝트를 수행하며 사이버 보안에 관한 글도 쓰는 공인 사이버 보안 엔지니어다. 개발자 및 보안 엔지니어로서 여러 가지 서버리스 프로젝트에 참여했고, 오픈 소스 프로젝트에도 기여했으며, 대규모 국방 시스템에서도 다양한 엔지니어링 역할을 맡았다. 2016년 미국 정부 계약을 통해 사이버 보안 분야에서 일하기 시작했고, 2007년부터 기술문서를 작성해 왔으며, 2004년부터 여러 가지 엔지니어링 업무를 수행하고 있다. 중학생 시절부터 웹사이트를 리버스 엔지니어링하며 사이버 보안에 흥미를 느꼈다.현재 베리톨 유한책임회사(VeriToll, LLC)의 수석 솔루션 및 보안 엔지니어다. 매사추세츠 공과대학교(MIT, Massachusetts Institute of Technology)에서 재료 과학 및 공학 학사 학위를 받고, 플로리다 대학교(University of Florida)에서 경영학 석사 학위를 받았으며, CSA(Cloud Security Alliance)의 클라우드 보안 지식 인증(CCSK, Certificate of Cloud Security Knowledge) 및 CompTIA A+ 자격을 갖고 있다.

  목차

Chapter 1. 클라우드 컴퓨팅 보안
클라우드 컴퓨팅 서비스 모델
____IaaS
____CaaS
____PaaS
____FaaS
____SaaS
클라우드 컴퓨팅 배치 모델
____프라이빗 클라우드
____퍼블릭 클라우드
____하이브리드 클라우드
____FaaS의 클라우드 배치 모델 적용
사이버 보안 개요
____기밀성
____무결성
____가용성
클라우드 보안의 필요성
____위협의 예
____위협 식별
주요 내용

Chapter 2. 위험 평가
규약
____서버리스 애플리케이션 예제
____서버리스 프레임워크
____프로그래밍 언어
____용어 정의
애플리케이션의 이해
____문서 검토
____소스 코드 검토
____계정 검토
____애플리케이션 사용
보안 평가의 범위 정의
위협 동향의 이해
____위협 행위자
____공격 표면
위협 모델 생성
위험 평가 준비
주요 내용

Chapter 3. 코드 보안
애플리케이션 코드 보호의 중요성
런타임 엔진 및 버전 선택
라이브러리 및 의존성 평가
____의존성 트리 평가
____취약점 검사
____기타 고려 사항
정적 코드 분석 도구 사용
단위 테스트 및 회귀 테스트
입력 값 검증
____이벤트 소스
____이벤트 유형별 정리
주요 내용
참고

Chapter 4. 인터페이스 보안
인터페이스 보안의 중요성
인터페이스 및 사용 사례 이해
____AWS
____Azure
____Google Cloud
____외부 인터페이스와 사용 사례
인터페이스 식별
____Serverless 구성 파일
____함수 코드
공격 표면 평가 및 축소
주요 내용

Chapter 5. 애플리케이션 스택 구성
애플리케이션 스택 구성의 중요성
Serverless 구성의 이해
Serverless 구성 참고 사례
____다양한 서비스 정의
____서비스 제공자 구성
____함수 구성 및 정의
____프레임워크 버전 고정
____플러그인 사용
____사용자 지정 섹션 사용
____AWS 특수 구성 설정
주요 내용

Chapter 6. 권한 제한
권한 제한의 중요성
권한의 이해
____일반적인 원칙
____AWS
____Azure
____Google Cloud
권한 구현
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 7. 계정 관리
계정 관리의 중요성
서비스 제공자 계정의 이해
____일반적인 원칙
____AWS
____Azure
____Google Cloud
계정 보호
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 8. 시크릿 관리
시크릿 관리의 중요성
시크릿 보호
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 9. 인증 및 권한 부여
인증 및 권한 부여
인증 및 권한 부여의 중요성
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 10. 민감 데이터 보호
중요 데이터 보호의 중요성
민감 데이터 보호
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 11. 모니터링, 감사, 경고
모니터링, 감사, 경고의 중요성
모니터링
____일반적인 원칙
____AWS
____Azure
____Google Cloud
감사
____일반적인 원칙
____AWS
____Azure
____Google Cloud
경고
____일반적인 원칙
____AWS
____Azure
____Google Cloud
주요 내용

Chapter 12. 추가 고려 사항
보안과 기타 요구 사항의 균형
CI/CD
소스 관리
Serverless Framework 플러그인
Serverless 구성 크기
함수 최적화
결함 트리
주요 내용

Chapter 13. 위험 평가 마무리
모든 결과 수집
조사 결과 스코어링
비즈니스 영향 평가
주요 내용

APPENDIX A. 축약어 목록
APPENDIX B. 설정 가이드
APPENDIX C. 연습 문제 검토

  회원리뷰