클라우드 컴퓨팅 환경에 보안정책과 기술을 어떻게 적용해야 하는지, 기존 온프레미스 환경에서의 보안 차이점은 무엇인지를 전반적으로 설명한다. 저자들은 대기업, 온라인 이커머스, O2O, 미디어 등 다양한 기업에서 클라우드 관련 기술과 정책을 기술 부서와 협업하면서 관리해왔다. 기존 온프레미스 환경에서 보안을 구축하고 운영한 경험이 있다면 클라우드 환경에서 보안을 적용하는 방법을 더욱 쉽게 배울 수 있다. 기본적인 보안에 대한 원칙과 개념, 데이터 자산 관리 및 보호, ID 및 접근 관리, 취약점 관리, 네트워크 보안, 침해사고 탐지 및 대응 등 여러 도메인의 실용적인 기술을 쉽게 설명하고 있어 보안에 입문할 때 읽기도 좋다.

이 책은 기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업 보안 담당자, 이제 막 클라우드 보안에 입문하는 학생들에게 적합하다. 클라우드 보안에 입문해서 공부를 시작하는 분들, 실무를 진행하는 분들에게 도움이 되기를 기원한다.

[목 차]

1장. 원칙과 개념

__최소 권한

__심층 방어

__위협 행위자, 다이어그램, 신뢰 범위

__클라우드 제공 모델

__클라우드 책임 공유 모델

__위험 관리



2장. 데이터 자산 관리와 보호

__데이터 식별과 분류

____데이터 등급 분류 수준 예

____관련 산업이나 규제 요구 사항

__클라우드 내 데이터 자산 관리

____클라우드 리소스 태깅

__클라우드 내의 데이터 보호

____토큰화

____암호화

__정리



3장. 클라우드 자산 관리와 보호

__기존 IT와의 차이점

__클라우드 자산 유형

____컴퓨터 자산

____스토리지 자산

____네트워크 자산

__자산 관리 파이프라인

____구매 누수

____처리 누수

____툴링 누수

____발견 누수

__클라우드 자산 태깅

__정리



4장. ID와 접근 관리

__기존 IT와의 차이점

__ID와 접근에 대한 생명주기

__요청

__승인

__생성, 삭제, 부여, 회수

__인증

____클라우드 IAM 자격증명

____기업과 고객 간 비즈니스 및 기업과 직원 간 비즈니스

____멀티팩트 인증

____비밀번호와 API 키

____공유 ID

____페더레이션 ID

____싱글 사인온

____인스턴스 메타데이터와 ID 문서

____시크릿 관리

__권한 부여

____중앙 집중식 권한 부여

____역할

__재검증

__종합 샘플 애플리케이션

__정리




5장. 취약점 관리

__기존 IT와 다른 점

__취약점 영역

____데이터 접근

____애플리케이션

____미들웨어

____운영체제

____네트워크

____가상화 인프라

____물리적 인프라

__취약점 발견과 수정

____네트워크 취약점 스캐너

____에이전트리스 스캐너와 구성 관리

____에이전트 기반 스캐너와 구성 관리

____클라우드 제공자 보안 관리 도구

____컨테이너 스캐너

____동적 애플리케이션 스캐너

____정적 애플리케이션 스캐너

____소프트웨어 구성 분석 스캐너

____대화형 애플리케이션 스캐너

____런타임 애플리케이션 자기 방어 스캐너

____수동 코드 리뷰

____침투 테스트

____사용자 보고서

____취약점 관리와 구성 관리용 도구

__위험 관리 프로세스

__취약점 관리 지표

____도구 범위

____평균 조치 시간

____조치 진행 중인 취약점을 가진 시스템/애플리케이션

____오탐율

____미탐율

____취약점 재현율

__변경 관리

__종합 샘플 애플리케이션

__정리



6장. 네트워크 보안

____기존 IT와의 차이점

__개념과 정의

____화이트리스트와 블랙리스트

____DMZ

____프록시

____소프트웨어 정의 네트워킹

____네트워크 기능 가상화

____오버레이 네트워크와 캡슐화

____가상 사설 클라우드

____네트워크 주소 변환

____IPv6

__종합 샘플 애플리케이션

____인모션 암호화

____방화벽과 네트워크 분할

____관리용 접속 허용

____웹 애플리케이션 방화벽과 런타임 애플리케이션 자체 보호(RASP)

____안티DDoS

____침입 탐지와 예방 시스템

____이그레스 필터링

____데이터 손실 방지

__정리




7장. 보안 침해 사고 탐지, 대응, 복구

__기존 IT와의 차이

__확인해야 할 것

____특권 사용자 접근

____방어적 도구에서 생성되는 로그

____클라우드 서비스 로그와 메트릭

____운영체제 로그와 메트릭

____미들웨어 로그

____시크릿 서버

____애플리케이션

__보는 방법

____수집과 보유 기간

____파싱 로그

____검색과 상호 연결

____경고와 자동 응답

____보안 정보와 이벤트 관리자

____위협 사냥

__침해 사고 준비

____팀

____계획

____도구

__침해 사고 대응

____사이버 킬 체인

____OODA 루프

____클라우드 포렌식

____비인가 접근 차단

____데이터 유출, 명령과 제어 중단

__복구

____IT 시스템 재배포

____고지

____교훈

__예제 메트릭

__탐지, 대응, 복구용 예제 도구

__종합 샘플 애플리케이션

____보호 시스템 모니터링

____애플리케이션 모니터링

____관리자 모니터링

____감사 인프라의 이해


__정리

■ 클라우드에서의 최소 권한 및 심층 방어와 같은 표준 원칙과 개념
■ 데이터 자산 관리 및 보호에서 온프레미스와 클라우드 환경 비교
■ 데이터를 저장, 처리하거나 관리자용 통제 수단을 제공하는 클라우드 제공자 관리
■ 클라우드에서 ID 및 접근 관리(IAM)가 수행하는 역할 이해
■ 다양한 유형의 취약점 관리
■ 전술적인 침해 사고 탐지, 대응 및 복구


★ 이 책의 대상 독자 ★
기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업 보안 담당자, 이제 막 클라우드 보안에 입문하는 학생을 대상으로 한다.


★ 이 책의 구성 ★
초반에서는 클라우드와 온프레미스 환경에서 사용자의 책임이 어떻게 다른지 이해하고, 보유한 정보 자산이 무엇이며 해당 자산에서 발생할 수 있는 가장 큰 위협은 무엇인지, 어떻게 위협으로부터 자산을 보호할 수 있는지를 설명한다.

나머지 장에서는 가장 먼저 고려해야 할 중요한 보안 통제를 우선순위에 따라 적용할 수 있도록 실용적인 지침을 제공한다. 마지막 장에서는 침해 시도가 있을 때 이를 탐지하고 대응하는 방법을 다룬다. 실제로 보안 침해 사고가 발생하기 전에 마지막 장을 먼저 읽는 것이 좋다.

조직에서 PCI 인증이나 SOC 2 보고서와 같은 인증이나 증명을 확보해야 한다면 몇 가지 특정 위험을 주의해야 한다. 또한 조직에 적용돼야 하는 규정은 어떤 것이 있는지 확인해야 한다. 예를 들면 미국에서 PHI(건강 정보 보호)를 처리하거나 애플리케이션이 호스팅되는 위치에 관계없이 EU 시민의 개인정보를 처리하는 경우도 있다.



★ 지은이의 말 ★
이 책은 클라우드 환경을 보호할 수 있도록 돕는 실용적인 가이드다. 거의 모든 조직에서 보안은 시간과 비용적인 투자를 확보하기 위해 싸워야 하며, 우선순위가 많이 밀린다. 보안 측면에서 ‘가성비’에 중점을 두는 것은 중요하다.

클라우드에 처음 입문하는 보안 전문가, 보안에 책임 있는 아키텍트와 개발자에 상관없이 가장 중요한 정보 자산을 보호할 때 가장 필요한 보안 통제를 적시적소에 적용할 때 이 책이 도움될 것이다. 기본적인 보안 요소를 견고히 익히고 추가 보안 통제를 적용해 나감으로써 보안 능력을 높일 수 있다.

보안 통제와 원칙은 클라우드와 온프레미스 환경에서 유사하지만 몇 가지 중요한 차이점이 있다. 따라서 온프레미스에서 보안을 경험했던 사람들에게 실제 클라우드 보안에 관한 몇 가지 권장 사항은 놀랄 정도로 다르다. 대부분의 정보 보안 분야에서는 보안 전문가들 사이에 의견 차이가 있다. 이 책에서 제시하는 권장 사항은 실제 클라우드 환경에서 보안을 운영해본 경험을 녹였고 추가적으로 새롭게 개발하고 있는 기능적인 정보를 제공한다.



★ 옮긴이의 말 ★
이 책은 클라우드 컴퓨팅 환경에 보안 정책과 기술을 어떻게 적용해야 하는지, 기존 온프레미스 환경에서의 보안 차이점은 무엇인지를 전반적으로 설명한다. 기존 온프레미스 환경에서 보안을 구축하고 운영한 경험이 있다면 클라우드 환경에서 보안을 적용하는 방법을 더욱 쉽게 배울 수 있다. 이 책은 기본적인 보안에 대한 원칙과 개념, 데이터 자산 관리 및 보호, ID 및 접근 관리, 취약점 관리, 네트워크 보안, 침해사고 탐지 및 대응 등 여러 도메인의 실용적인 기술을 쉽게 설명하고 있어 처음 보안에 입문하는 독자에게도 도움이 된다.

기업에서 ISMS, ISMS-P, ISO27001, ISO27701과 같은 국내외 보안 인증을 준비하는 기업보안담당자, 이제 막 클라우드 보안에 입문하는 학생들에게도 도움을 줄 수 있는 기초 지식도 담고 있다. 클라우드 보안에 입문해서 공부를 시작하는 분들, 실무를 진행하는 분들에게 도움이 되기를 기원한다.



추천사


“심층 방어 및 침해 사고 대응과 관련된 모범 사례를 낱낱이 추려서 통합했다. 클라우드 솔루션을 구현하고자 하는 이들은 이 책에 기술된 현실적인 도전 과제에 관한 광범위한 경험을 반드시 접해봐야 한다.”

-에드가 다니엘란(Edgar Danielyan)

/ 보안 아키텍트 및 모의해킹 테스터, Danielyan 컨설팅

크리스 닷슨(Chris Dotson)

IBM 선임 기술직원이자 IBM 클라우드와 왓슨(Watson) 플랫폼 조직의 수석 보안 아키텍트다. Open Group Distinguished IT 아키텍트 자격증을 비롯해 11개의 전문 자격증을 보유했으며, IT 업계에서 20년 이상의 경력이 있다. http://www.ibm.com 홈페이지에서 클라우드 혁신가로도 여러 차례 소개됐다. 주력 분야는 클라우드 인프라 보안, 네트워킹 인프라 보안, 서버, 스토리지이며 농담을 아주 좋아한다.




옮긴이 김종준

기업 보안 및 개인정보보호 담당자로 반도체 업계, 모바일 업계에서 근무했으며, 현재는 이커머스 기업에서 보안 팀을 이끌고 있다. 특히 AWS 클라우드 환경을 활용하는 기업에서 그 시작과 확장을 직접 경험하며 온프레미스와 클라우드 환경 모두를 아우르는 보안 강화에 많은 노력을 기울여 왔다. 보안 정책, 개인정보보호, ISO27001, ISMS-P 등 보안 인증 및 내부 보안 감사, ISO31000 프레임워크 기반의 위험관리, 미국영화협회의 MPAA 그리고 다양한 기술 보안 경험 등 보안과 개인정보에 다양하고 광범위하며 높은 수준의 경험이 있다.


옮긴이 신동혁

대기업, 이커머스업계, O2O플랫폼을 거쳐, 현재 글로벌 미디어 기업의 정보보호 최고책임자(CISO) 및 개인정보보호 책임자(CPO)로 근무하고 있다. 다양한 기업에서 해외 컴플라이언스 규제, 국내외 보안 인증 ISO27001, ISO27701, ISMS-P 등 보안 체계를 구축했다. 정보보호 공학석사, 컴퓨터공학 박사 학위를 취득했으며, 이후 국립 충북대학교에서 경영정보학과 겸임교수, 고려사이버대학교 정보관리보안학과 교수로 후학 양성에도 기여하고 있다.