상세정보
미리보기
컨테이너 보안
- 저자
- 리즈 라이스 저/류광 역
- 출판사
- 한빛미디어
- 출판일
- 2021-01-18
- 등록일
- 2021-05-17
- 파일포맷
- PDF
- 파일크기
- 3MB
- 공급사
- YES24
- 지원기기
-
PC
PHONE
TABLET
웹뷰어
프로그램 수동설치
뷰어프로그램 설치 안내
책소개
공격과 사고에 대비하는 컨테이너 보안의 기술 컨테이너 환경에 특화된 보안 문제를 다루는 실무 지침서다. 컨테이너를 배치하고 실행하는 단계마다 어떤 일이 일어나며, 발생할 수 있는 위협은 무엇인지 상세히 설명한다. 컨테이너의 작동 및 통신 원리를 파헤친 뒤 컨테이너를 격리하는 다양한 방법을 안내하고, 리눅스가 제공하는 기능을 활용하여 컨테이너별로 보안을 강화하는 방법을 익힌다. 컨테이너 이미지를 안전하게 구축하는 모범 관행도 소개한다. 이 책으로 컨테이너의 원리와 보안 문제의 본질을 이해하고 나면, 각 환경에 최적화된 방식으로 잠재 위험을 발견하고 해결해나가는 자신만의 방법을 구축하게 될 것이다.
저자소개
컨테이너 오픈소스 보안 전문 회사 Aqua Security의 오픈소스 공학 부사장(Vice President of Open Source Engineering)으로서 Trivy, Tracee, kubehunter, kube-bench 같은 프로젝트를 관리한다. CNCF의 기술 감독 위원회(Technical Oversight Committee)의 의장이며 코펜하겐, 상하이, 시애틀에서 열린 ‘KubeCon + CloudNativeCon 2018’ 행사들의 공동 의장을 역임했다.
네트워크 프로토콜 및 분산 시스템에 대한 소프트웨어 개발 관리와 개발팀 관리, 제품 관리에 풍부한 경험을 가지고 있으며, VOD나 음악, VoID 같은 디지털 기술 분야에 대한 경험도 풍부하다. 코드를 작성하거나 강연을 하지 않을 때는 고향인 런던보다 날씨가 좋은 곳에서 자전거 타기를 즐기며, 비디오게임 에서 펼쳐지는 가상의 자전거 경주에도 열중한다.
목차
제1장 컨테이너 보안 위협__1.1 위험, 위협, 완화__1.2 컨테이너 위협 모형__1.3 보안 경계__1.4 다중 입주__1.5 보안 원칙들__1.6 요약제2장 리눅스 시스템 호출, 접근 권한, 능력__2.1 시스템 호출__2.2 파일 접근 권한__2.3 리눅스 능력__2.4 권한 확대__2.5 요약제3장 cgroups와 제어 그룹__3.1 제어 그룹 위계구조__3.2 제어 그룹 생성__3.3 자원 한계 설정__3.4 프로세스를 제어 그룹에 배정__3.5 도커와 cgroups__3.6 cgroups 버전 2__3.7 요약제4장 컨테이너 격리__4.1 리눅스 이름공간__4.2 호스트 이름 격리__4.3 프로세스 ID 격리__4.4 루트 디렉터리 변경__4.5 이름공간과 루트 변경의 조합__4.6 마운트 이름공간__4.7 네트워크 이름공간__4.8 사용자 이름공간__4.9 IPC 이름공간__4.10 제어 그룹 이름공간__4.11 호스트의 관점에서 본 컨테이너 프로세스__4.12 컨테이너 전용 호스트__4.13 요약제5장 VM과 컨테이너__5.1 컴퓨터 부팅 과정__5.2 VMM의 등장__5.3 “가두고 흉내 낸다” 접근 방식__5.4 가상화 불가 명령의 처리__5.5 프로세스 격리와 보안__5.6 VM의 단점__5.7 컨테이너 격리와 VM 격리의 비교__5.8 요약제6장 컨테이너 이미지__6.1 루트 파일 시스템과 이미지 설정__6.2 실행 시점에서 매개변수를 명시적으로 설정__6.3 OCI 표준__6.4 이미지 설정 정보__6.5 이미지 구축__6.6 이미지 저장__6.7 이미지 식별__6.8 이미지 보안__6.9 구축 시점 보안__6.10 이미지 저장 보안__6.11 이미지 배치 과정의 보안__6.12 GitOps와 배치 보안__6.13 요약제7장 컨테이너 이미지의 소프트웨어 취약점__7.1 취약점 연구__7.2 취약점, 패치, 배포판__7.3 응용 프로그램 수준 취약점__7.4 취약점 위험 관리__7.5 취약점 스캐닝__7.6 설치된 패키지 찾기__7.7 컨테이너 이미지 스캐닝__7.8 스캐닝 도구들__7.9 스캐닝 과정을 CI/CD 파이프라인에 도입__7.10 취약한 이미지가 실행되지 않게 하는 방법__7.11 제로데이 취약점__7.12 요약제8장 컨테이너 격리의 강화__8.1 seccomp__8.2 AppArmor __8.3 SELinux __8.4 gVisor __8.5 카타 컨테이너__8.6 파이어크래커__8.7 유니커널__8.8 요약제9장 컨테이너 격리 깨기__9.1 루트로 컨테이너 실행__9.2 --privileged 플래그와 리눅스 능력__9.3 민감한 디렉터리의 마운팅__9.4 도커 소켓 마운팅__9.5 컨테이너와 호스트의 이름공간 공유__9.6 사이드카 컨테이너__9.7 요약제10장 컨테이너 네트워크 보안__10.1 컨테이너 방화벽__10.2 OSI 네트워크 모형__10.3 IP 패킷이 전송되는 과정__10.4 컨테이너의 IP 주소__10.5 네트워크 격리__10.6 계층 3, 4의 라우팅과 규칙들__10.7 네트워크 정책__10.8 서비스 메시__10.9 요약제11장 TLS를 이용한 구성요소 간 보안 연결__11.1 보안 연결__11.2 X.509 인증서__11.3 TLS 연결__11.4 컨테이너들 사이의 보안 연결__11.5 인증서 폐기__11.6 요약제12장 비밀 정보를 컨테이너에 전달__12.1 비밀 값의 속성들__12.2 컨테이너에 정보를 전달하는 방법__12.3 쿠버네티스의 비밀 값__12.4 루트의 비밀 값 접근__12.5 요약제13장 실행 시점 컨테이너 보호__13.1 컨테이너 이미지 프로파일__13.2 표류 방지__13.3 요약제14장 컨테이너와 OWASP 10대 위험__14.1 주입__14.2 취약한 인증__14.3 민감한 데이터 노출__14.4 XML 외부 개체__14.5 취약한 접근 제어__14.6 잘못된 보안 설정__14.7 교차 사이트 스크립팅(XSS)__14.8 안전하지 않은 역직렬화__14.9 알려진 취약점을 가진 구성요소 사용__14.10 불충분한 로그 기록과 감시__14.11 요약부록: 보안 점검 목록