427
11
장
보안
지만 보안 문제는 가장 안전하지 않은 측면만큼만 안전하다는 것이다. 비유하자면, 집을 안전
하게 보호하려 할 때 뒷문을 열어둔 채 악의적인 침입자를 막을 조명과 카메라를 설치하고 자
물쇠 따기 방지 기능이 있는 정문을 만드는 데 모든 공력을 집중하는 실수를 하는 셈이다.
따라서 알아둬야 할 수많은 문제를 조명하기 위해 간략히 살펴봐야 하는 애플리케이션 보안
의 몇 가지 기본 측면이 있다. 이러한 핵심 문제가 마이크로서비스의 맥락에서 어떻게 더 (또는
덜) 복잡하게 만들어지는지 살펴보겠지만, 일반적으로 소프트웨어 개발 영역 전반에 적용할
수 있어야 한다. 이 모든 ‘좋은 것’을 먼저 경험하고 싶은 분들은 뒷문은 열어둔 채 정문 보안에
만 너무 집중하고 있지는 않은지 확인하길 바란다.
11.1.111.1.1
최소 권한의 원칙 최소 권한의 원칙
개인, 외부 또는 내부 시스템, 심지어 자체 마이크로서비스에 애플리케이션 액세스 권한을 부
여할 때는 부여하는 액세스 권한에 주의를 기울여야 한다. 최소 권한의 원칙
principle
of
least
privilege
은 액세스 권한을 부여할 때 당사자가 필요한 기능을 수행하는 데 필요한 최소한의 액세스 권
한을 필요한 기간 동안만 부여한다는 개념을 설명한다. 이 원칙의 주요 장점은 자격 증명이 공
격자에 의해 손상된 경우 그 자격 증명은 악의적인 당사자에게 가능한 한 제한된 액세스 권한
을 부여한다는 것이다.
마이크로서비스가 데이터베이스에 대한 읽기 전용 액세스 권한만 있다면, 해당 데이터베이스 ...