이 책의 소스 코드를 에이콘출판사 공식 깃허브에서 제공하고 있습니다.
아래 링크에서 다운로드하실 수 있습니다.
https://github.com/AcornPublishing/9791161757186

AWS, Azure, Google Cloud에서의 서버리스 보안 실무 가이드

보안 침해 사고가 연일 보도되면서 애플리케이션 보안은 그 어느 때보다 중요해졌다. 클라우드 서비스 제공자가 컴퓨팅 플랫폼을 관리해 준다고 해서 보안 걱정을 전적으로 덜 수 있는 것은 아니다. 사이버 보안은 프로젝트에 참여하는 모든 구성원의 책임이기 때문이다.

이 책은 서버리스 보안의 기본 원칙을 신규 및 기존 프로젝트에 적용하는 방법을 다룬다. 코드 보안 강화, 애플리케이션 보호, 인프라 보안 등 서버리스 컴퓨팅 전 영역에 걸쳐 핵심 원리를 실무 예제와 함께 학습하고 적용하는 능력을 기른다. 이를 통해 담당 프로젝트에 보안을 직접 구현할 수 있는 실무 지식을 습득하고, 보안 담당자와 기술적인 대화를 나눌 수 있다.

기존 보안 지식을 서버리스 환경으로 확장하려는 개발자와 보안 엔지니어에게 특히 유용하며, 서버리스와 보안을 처음 접하는 입문자 역시 배운 내용을 자신의 프로젝트에 바로 활용할 수 있다.

이 책에서 다루는 내용

• 서버리스 보안을 심층적으로 이해한다.
• NPM, ESLint, VSCode 등의 무료 오픈소스 도구를 활용해 애플리케이션 코드의 취약점을 줄이는 방법을 익힌다.
• 서버리스 함수의 이벤트 트리거로 인한 잠재적 위협을 평가한다.
• 서버리스 보안의 모범 사례를 익힌다.
• 특정 클라우드에 대한 종속성을 최소화하고 클라우드 중립적인 보안 아키텍처를 구축한다.

미겔 A. 카예스^{Miguel A. Calles}

클라우드 컴퓨팅 프로젝트를 수행하며 사이버 보안에 관한 글도 쓰는 공인 사이버 보안 엔지니어다. 개발자 및 보안 엔지니어로서 여러 가지 서버리스 프로젝트에 참여했고, 오픈 소스 프로젝트에도 기여했으며, 대규모 국방 시스템에서도 다양한 엔지니어링 역할을 맡았다. 2016년 미국 정부 계약을 통해 사이버 보안 분야에서 일하기 시작했고, 2007년부터 기술문서를 작성해 왔으며, 2004년부터 여러 가지 엔지니어링 업무를 수행하고 있다. 중학생 시절부터 웹사이트를 리버스 엔지니어링하며 사이버 보안에 흥미를 느꼈다.

현재 베리톨 유한책임회사(VeriToll, LLC)의 수석 솔루션 및 보안 엔지니어다. 매사추세츠 공과대학교(MIT, Massachusetts Institute of Technology)에서 재료 과학 및 공학 학사 학위를 받고, 플로리다 대학교(University of Florida)에서 경영학 석사 학위를 받았으며, CSA(Cloud Security Alliance)의 클라우드 보안 지식 인증(CCSK, Certificate of Cloud Security Knowledge) 및 CompTIA A+ 자격을 갖고 있다.

한정원

여러 보안 분야를 거쳐 현재는 개인 정보 보호 담당자로 일하고 있다. 클라우드 환경에서의 보안을 계속해서 고민하고 있으며, 실무에서 마주하는 다양한 문제를 더 잘 이해하고 풀어가기 위해 꾸준히 배우고 있다. 천천히 성실하게 한 걸음씩 나아가는 중이다.

이 책은 서버리스 환경에서 어떻게 보안을 진단하고, 대응하고, 구현할 수 있는지를 단계적으로 안내하는 실용 중심의 기술서다. AWS, Microsoft Azure, Google Cloud와 같은 주요 클라우드 플랫폼을 기반으로, 서비스형 함수(FaaS) 구조에서 발생할 수 있는 보안 과제를 다룬다. 단순히 개념을 설명하는 데 그치지 않고 Serverless Framework와 Node.js를 활용해 직접 코드와 설정을 개선하고 리스크를 줄이는 구체적인 실습 방법까지 제공한다.

이 책은 서버리스 환경의 보안을 체계적으로 다루기 위해 13개의 장으로 구성돼 있으며, 각 장은 실무에 바로 적용할 수 있는 흐름에 따라 정리돼 있다.

1장에서는 서버리스 아키텍처의 개요와 함께 기존 보안 모델의 한계를 살펴보고 서버리스 환경에서 새롭게 고려해야 할 위협 요소들을 설명한다.

2장에서는 위협 모델링, 공격 표면 분석, 신뢰 경계 설정 등 서버리스 애플리케이션에 대한 위협 평가 기법을 실습 중심으로 다룬다.

3장부터 5장까지는 소스 코드 보안, 오픈소스 종속성 관리, Serverless Framework 구성 파일의 안전한 구성 방법 등 개발 단계에서 마주할 수 있는 보안 과제를 중심으로 설명한다.

6장과 7장에서는 최소 권한 원칙을 중심으로 권한을 안전하게 제한하는 방법과 계정 분리 등 서버리스 환경에서의 계정 관리에 대한 보안을 다룬다.

8장부터 10장까지는 서버리스 환경에서 시크릿을 안전하게 관리하는 방법, 인증 및 인가 체계를 구현하는 방법, 그리고 민감한 데이터를 암호화하고 보호하는 전략을 중심으로 실무에 필요한 데이터 보안 전반을 다룬다.

11장부터 13장까지는 서버리스 보안의 운영과 위험 평가의 마무리 단계에 초점을 맞춘다. 모니터링과 감사, 경고 설정을 통해 이상 징후를 탐지하고 대응하는 방법을 설명하고, 소스 관리 같은 보안을 위한 추가적인 고려 사항과 함께 전반적인 위험 평가를 정리해 최종 보고서를 작성하는 과정을 다룬다.

각 장에는 요약과 실습 가이드가 포함돼 있어 실무 적용을 위한 참고서로도 유용하다. 이 책이 서버리스 애플리케이션을 개발하거나 운영하는 개발자, 클라우드 보안을 담당하는 실무자에게 실질적인 도움이 되기를 바란다.

마지막으로, 이 번역 작업을 응원해 준 부모님과 가족, 그리고 좋은 책을 맡겨 주고 출판해 주신 에이콘출판사 관계자분들께 깊이 감사드린다.