book

컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지

by 류광, 리즈 라이스

February 2021

Beginner to intermediate

252 pages

5h 36m

Korean

Hanbit Media, Inc.

Read now

Unlock full access

1.4 다중 입주
1.4.1 공유 컴퓨터
1.4.2 가상화
1.4.3 컨테이너 다중 입주
1.4.4 컨테이너 인스턴스
1.5 보안 원칙들
1.5.1 최소 권한
1.5.2 심층 방어
1.5.3 공격 표면 축소1.5.4 폭발 반경 제한1.5.5 직무 분리
1.5.6 컨테이너에 보안 원칙들을 적용
1.6 요약
제2장 리눅스 시스템 호출, 접근 권한, 능력
2.1 시스템 호출
2.2 파일 접근 권한
2.2.1 setuid와 setgid
2.3 리눅스 능력
2.4 권한 확대
2.5 요약
제3장 cgroups와 제어 그룹
3.1 제어 그룹 위계구조
3.2 제어 그룹 생성
3.3 자원 한계 설정
3.4 프로세스를 제어 그룹에 배정
3.5 도커와 cgroups
3.6 cgroups 버전 2
3.7 요약
제4장 컨테이너 격리
4.1 리눅스 이름공간
4.2 호스트 이름 격리
4.3 프로세스 ID 격리
4.4 루트 디렉터리 변경
4.5 이름공간과 루트 변경의 조합
4.6 마운트 이름공간
4.7 네트워크 이름공간
4.8 사용자 이름공간
4.8.1 도커의 사용자 이름공간 제약
4.9 IPC 이름공간
4.10 제어 그룹 이름공간
4.11 호스트의 관점에서 본 컨테이너 프로세스
4.12 컨테이너 전용 호스트
4.13 요약
제5장 VM과 컨테이너
5.1 컴퓨터 부팅 과정
5.2 VMM의 등장
5.2.1 제1형 VMM(하이퍼바이저)
5.2.2 제2형 VMM
5.2.3 커널 기반 VM(KVM)
5.3 “가두고 흉내 낸다” 접근 방식
5.4 가상화 불가 명령의 처리
5.5 프로세스 격리와 보안
5.6 VM의 단점
5.7 컨테이너 격리와 VM 격리의 비교
5.8 요약
제6장 컨테이너 이미지
6.1 루트 파일 시스템과 이미지 설정
6.2 실행 시점에서 매개변수를 명시적으로 설정
6.3 OCI 표준
6.4 이미지 설정 정보
6.5 이미지 구축
6.5.1 docker build의 위험
6.5.2 데몬 없는 이미지 구축
6.5.3 이미지 계층
6.6 이미지 저장
6.7 이미지 식별
6.8 이미지 보안
6.9 구축 시점 보안
6.9.1 Dockerfile의 출처
6.9.2 보안을 위한 Dockerfile 모범 관행
6.9.3 구축용 컴퓨터에 대한 공격
6.10 이미지 저장 보안
6.10.1 사설 레지스트리 운영
6.10.2 이미지 서명
6.11 이미지 배치 과정의 보안
6.11.1 적절한 이미지의 배치
6.11.2 악성 배치 정의
6.11.3 승인 제어
6.12 GitOps와 배치 보안
6.13 요약
제7장 컨테이너 이미지의 소프트웨어 취약점
7.1 취약점 연구
7.2 취약점, 패치, 배포판
7.3 응용 프로그램 수준 취약점
7.4 취약점 위험 관리
7.5 취약점 스캐닝
7.6 설치된 패키지 찾기
7.7 컨테이너 이미지 스캐닝
7.7.1 불변 컨테이너
7.7.2 정기적인 스캐닝
7.8 스캐닝 도구들
7.8.1 정보의 출처
7.8.2 오래된 출처
7.8.3 수정 없는 취약점7.8.4 하위 패키지 취약점
7.8.5 패키지 이름 차이
7.8.6 추가적인 스캐닝 기능7.8.7 스캐너 오류
7.9 스캐닝 과정을 CI/CD 파이프라인에 도입
7.10 취약한 이미지가 실행되지 않게 하는 방법
7.11 제로데이 취약점
7.12 요약
제8장 컨테이너 격리의 강화
8.1 seccomp
8.2 AppArmor
8.3 SELinux
8.4 gVisor
8.5 카타 컨테이너
8.6 파이어크래커
8.7 유니커널
8.8 요약
제9장 컨테이너 격리 깨기
9.1 루트로 컨테이너 실행
9.1.1 비루트 사용자 ID 지정
9.1.2 컨테이너 안의 루트 권한 요구
9.1.3 루트 없는 컨테이너
9.2 --privileged 플래그와 리눅스 능력
9.3 민감한 디렉터리의 마운팅
9.4 도커 소켓 마운팅
9.5 컨테이너와 호스트의 이름공간 공유
9.6 사이드카 컨테이너
9.7 요약
제10장 컨테이너 네트워크 보안
10.1 컨테이너 방화벽
10.2 OSI 네트워크 모형
10.3 IP 패킷이 전송되는 과정
10.4 컨테이너의 IP 주소
10.5 네트워크 격리
10.6 계층 3, 4의 라우팅과 규칙들
10.6.1 iptables
10.6.2 IPVS
10.7 네트워크 정책
10.7.1 여러 가지 네트워크 정책 솔루션
10.7.2 네트워크 정책 모범 관행
10.8 서비스 메시
10.9 요약
제11장 TLS를 이용한 구성 요소 간 보안 연결
11.1 보안 연결
11.2 X.509 인증서
11.2.1 공개 키/개인 키 쌍
11.2.2 인증 기관
11.2.3 인증서 서명 요청(CSR)
11.3 TLS 연결
11.4 컨테이너들 사이의 보안 연결
11.5 인증서 폐기
11.6 요약
제12장 비밀 정보를 컨테이너에 전달
12.1 비밀 값의 속성들
12.2 컨테이너에 정보를 전달하는 방법
12.2.1 비밀 값을 컨테이너 이미지 자체에 저장
12.2.2 네트워크로 비밀 값 전달
12.2.3 환경 변수로 비밀 값 전달
12.2.4 볼륨 마운트를 통한 비밀 값 전달
12.3 쿠버네티스의 비밀 값
12.4 루트의 비밀 값 접근
12.5 요약
제13장 실행 시점 컨테이너 보호
13.1 컨테이너 이미지 프로파일
13.1.1 네트워크 트래픽 프로파일
13.1.2 실행 파일 프로파일
13.1.3 파일 접근 프로파일
13.1.4 사용자 ID 프로파일
13.1.5 그 밖의 실행 시점 프로파일
13.1.6 컨테이너 보안 도구
13.2 표류 방지
13.3 요약
제14장 컨테이너와 OWASP 10대 위험
14.1 주입
14.2 취약한 인증
14.3 민감한 데이터 노출
14.4 XML 외부 개체
14.5 취약한 접근 제어
14.6 잘못된 보안 설정
14.7 교차 사이트 스크립팅(XSS)
14.8 안전하지 않은 역직렬화
14.10 불충분한 로그 기록과 감시
14.9 알려진 취약점을 가진 구성요소 사용
14.11 요약
마지막으로
부록: 보안 점검 목록
찾아보기 (1/3)
찾아보기 (2/3)
찾아보기 (3/3)

Content preview from 컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지

13.2 표류 방지

227

격의 대상이 될까? 컨테이너 인스턴스가 실행되고, 비정상 행동이 검출되고, 보안 도구가

그 컨테이너를 죽이고, 오케스트레이터가 컨테이너를 다시 생성하는 과정이 무한히 반복

될 수도 있다(예를 들어 쿠버네티스가 바람직한 복제본 개수를 유지하기 위해 파드들을

생성하고 파괴하는 방식을 생각해 보기 바란다 ).

●

경고가 발동된 컨테이너가 새로운 버전이면, 이전 버전으로 되돌릴 수 있는가?

●

그냥 사람이 비정상 행동을 조사해서 대응 방안을 결정하게 해도 되는가? 그러려면 공격

에 대응하기까지 시간이 꽤 걸릴 수 있으며, 그 사이에 공격자가 데이터를 탈취하거나 자

신의 의도 대로 시스템에 피해를 입힐 수 있다.

보안 경고를 자동으로 처리하도록 설정하는 방법에 관해서 어떤 하나의 정답 같은 것은 없다.

아무리 빠르게 대응한다고 해도, 공격자가

이미 피해를 입힌 후

일 수 있다. 그런 면에서 보면 사

후 대응보다 예방이 훨씬 낫다.

보안 도구가 컨테이너 안의 비정상 행동을 실제로 미리 차단할 수 있다면, 마치 아무 일 없

었다는 듯이 컨테이너를 계속 실행해도 될 가능성이 있다. 예를 들어 공격자가 제품 검색 컨테

이너를 침해서 암호화폐 채굴 프로그램을 돌리려 한다고 하자. 그 프로그램은 실행 파일 프로

파일의 일부가 아닌 ‘나쁜’ 프로그램이므로 실행 시점 보안 도구는 애초에 그 프로그램의 실행

을 금지한다. 결과적으로, ‘착한(정상적인 )’ 프로세스들은 그냥 평소대로 계속 실행되고, 암호

화폐 채굴 공격만 차단된다.

최고의 ...

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

Read now

Unlock full access

More than 5,000 organizations count on O’Reilly

O’Reilly covers everything we've got, with content to help us build a world-class technology community, upgrade the capabilities and competencies of our teams, and improve overall team performance as well as their engagement.

Julian F.

Head of Cybersecurity

I wanted to learn C and C++, but it didn't click for me until I picked up an O'Reilly book. When I went on the O’Reilly platform, I was astonished to find all the books there, plus live events and sandboxes so you could play around with the technology.

Addison B.

Field Engineer

I’ve been on the O’Reilly platform for more than eight years. I use a couple of learning platforms, but I'm on O'Reilly more than anybody else. When you're there, you start learning. I'm never disappointed.

Amir M.

Data Platform Tech Lead

I'm always learning. So when I got on to O'Reilly, I was like a kid in a candy store. There are playlists. There are answers. There's on-demand training. It's worth its weight in gold, in terms of what it allows me to do.

Mark W.

Embedded Software Engineer

Publisher Resources

ISBN: 9791162243923

Cloud Computing

Data Engineering

Data Science

AI & ML

Programming Languages

Software Architecture

IT/Ops

Security

Design

Business

Soft Skills

컨테이너 보안: 컨테이너화된 응용 프로그램의 보안을 위한 개념, 이론, 대응법과 모범 관행까지

by 류광, 리즈 라이스

Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.

More than 5,000 organizations count on O’Reilly

Julian F.

Addison B.

Amir M.

Mark W.

You might also like

안드로이드 멀티스레딩: 비동기 메커니즘으로 날렵하고 안정적인 앱 만들기

파이썬 라이브러리를 활용한 머신러닝(번역개정판): 사이킷런 핵심 개발자가 쓴 머신러닝과 데이터 과학 실무서

코드로 인프라 관리하기: 효율적인 인프라 관리를 위한 자동화 방법

머신러닝을 위한 실전 데이터셋: 개인 정보를 보호하고 머신러닝 학습에 사용할 합성 데이터 만들기

Publisher Resources