제로 트러스트 네트워크
안전한 네트워크를 만드는 보안 모델
$34.02
SKU
9791161756615
[Free shipping over $100]
Standard Shipping estimated by Fri 05/31 - Thu 06/6 (주문일로부 10-14 영업일)
Express Shipping estimated by Tue 05/28 - Thu 05/30 (주문일로부 7-9 영업일)
* 안내되는 배송 완료 예상일은 유통사/배송사의 상황에 따라 예고 없이 변동될 수 있습니다.
| Publication Date | 2022/07/29 |
| Pages/Weight/Size | 188*235*17mm |
| ISBN | 9791161756615 |
| Categories | IT 모바일 > 네트워크/해킹/보안 |
Description
내부 네트워크가 안전하다는 가정은 틀렸다는 사실은 오래전에 입증됐다. 모든 디바이스가 인터넷에 접속 가능한 시대에 내부 네트워크에 해커가 침입하지 못할 것이라는 가정은 헛된 희망일 뿐이다. 제로 트러스트 네트워크는 이미 해커가 네트워크에 숨어 있다는 가정에서 시작하는 네트워크 보안 모델이다. 이 책은 통신의 주체와 트래픽을 신뢰하지 못하는 환경에서 시스템을 운영하고 보호한다는 어려운 문제를 저자의 실전 경험을 바탕으로 풀어나간다.
Contents
1장. 제로 트러스트 기초
__제로 트러스트 네트워크란 무엇인가?
____제로 트러스트 컨트롤 플레인
__네트워크 경계 보안 모델의 진화
____전세계 IP 주소 관리
____사설 IP 주소 영역의 탄생
____사설 네트워크와 공용 네트워크의 연결
____NAT의 등장
____현대의 경계 모델
__공격의 진화
__경계 보안의 단점
__네트워크 신뢰의 붕괴
__제로 트러스트의 감초, 자동화
__경계 모델 vs. 제로 트러스트 모델
__클라우드와 제로 트러스트 네트워크
__요약
2장. 신뢰도
__위험 모델
____자주 사용하는 위험 모델
____제로 트러스트의 위험 모델
__견고한 인증
__인증에 대한 신뢰
____인증 기관
____제로 트러스트에 있어서 PKI의 중요성
____사설 PKI와 공개 PKI
____아무 것도 없는 것 보다는 공개 PKI
__최소 권한의 원칙
__동적 신뢰도
__컨트롤 플레인 vs. 데이터 플레인
__요약
3장. 네트워크 에이전트
__에이전트의 정의
____에이전트의 변동성
____에이전트에 포함되는 데이터
__에이전트 활용
____인증이 아니라 허가
__에이전트 노출
__표준화
____견고하면서도 유연하게
____표준화의 가능성
____표준화 전까지
__요약
4장. 네트워크 접근 허가
__허가 시스템의 구조
__보안 정책 적용 지점
__보안 정책 엔진
____보안 정책 저장소
____좋은 보안 정책의 조건
____보안 정책 정의의 주체
__트러스트 엔진
____수치화의 대상
____신뢰도 점수 노출의 위험성
__데이터 저장소
__요약
5장. 디바이스에 대한 신뢰
__신뢰의 시작
____디바이스 ID 생성과 보안
____정적인 시스템과 동적인 시스템에서의 디바이스 ID 보안
__컨트롤 플레인 상에서 디바이스 인증
____X.509
____TPM
__기존 디바이스를 위한 TPM 대체재
__디바이스 목록 관리
____트래픽의 예상 가능성
____시큐어 인트로덕션
__디바이스 신뢰 갱신
____로컬 보안 성능 평가
____원격 보안 성능 평가
__소프트웨어 형상 관리
____형상 관리를 활용한 디바이스 목록
____생략 디바이스 정보의 신뢰도
____디바이스 데이터에 기반한 사용자 접근 허가
__신뢰 지표
____이미지 설치 시점
____네트워크 접근 히스토리
____위치
____네트워크 통신 패턴
__요약
6장. 사용자에 대한 신뢰
__비공식 ID와 공식 ID
__최초 ID 발급
____정부 발급 ID
____실세계 우선주의
____사용자에 대한 예상
__ID 저장
____사용자 목록
____사용자 목록 관리
__ID 인증 시점
____인증으로 얻을 수 있는 신뢰도
____신뢰도를 활용한 인증
____다양한 채널의 활용
____ID과 신뢰도 캐시
__사용자 ID 인증
____사용자가 아는 것: 암호
____사용자가 소유한 것: TOTP
____사용자가 소유한 것: 인증서
____사용자가 소유한 것: 보안 토큰
____사용자 자신: 생체 인식
____아웃오브밴드 채널을 사용한 인증
____통합 인증
____로컬 인증
__그룹 인증과 허가
____샤미르의 비밀 공유
____붉은 10월
__사용자의 신고의식
__신뢰 지표
__요약
7장. 애플리케이션에 대한 신뢰
__애플리케이션 파이프라인
__소스 코드에 대한 신뢰
____코드 저장소 보안
____진짜 코드와 모니터링
____코드 리뷰
__빌드에 대한 신뢰
____위험
____빌드 시스템의 입출력 보안
____재생산 가능한 빌드
____릴리즈와 버전의 분리
__배포에 대한 신뢰
____결과물 프로모션
____배포 과정의 보안
____무결성과 정품 인증
____배포망에 대한 신뢰
__인간의 개입
__실행 중인 소프트웨어에 대한 신뢰
____업그레이드만 허용하는 보안 정책
____소프트웨어의 접근 허용
__실행 환경 보안
____보안 코딩 실무
____애플리케이션 분리
____능동적인 모니터링
__요약
8장. 네트워크 트래픽에 대한 신뢰
__암호화 vs. 인증
____암호화 없는 메시지 보호
__신뢰의 시작: 첫 번째 패킷
____fwknop
__네트워크 모델
____그림으로 보는 네트워크 계층
____OSI 네트워크 모델
____TCP/IP 네트워크 모델
__제로 트러스트에 어울리는 네트워크 모델
____클라이언트와 서버의 분리
__프로토콜
____IKE/IPsec
____상호 인증 TLS
__필터링
____호스트 필터링
____북엔드 필터링
____중간 필터링
__요약
9장. 제로 트러스트 네트워크 구축
__범위 결정
____필수 디자인 요소
__시스템 다이어그램
__네트워크 흐름에 대한 이해
__컨트롤러가 없는 구조
____형상 관리 시스템 “남용”
____애플리케이션 인증과 접근 허가
____로드 밸런서 인증과 프록시 인증
____관계지향 보안 정책
____보안 정책 배포
__보안 정책 정의와 설치
__제로 트러스트 프록시
__클라이언트 마이그레이션과 서버 마이그레이션
__케이스 스터디
__케이스 스터디: 구글 BeyondCorp
____BeyondCorp의 구성 요소
____GFE 활용과 확장
____멀티 플랫폼 환경에서 인증의 어려움
____BeyondCorp으로 전환
____교훈
____결론
__케이스 스터디: 페이저듀티의 클라우드 독립형 네트워크
____형상 관리를 통한 자동화 플랫폼
____로컬 방화벽 동적 설정
____분산된 트래픽 암호화
____사용자 관리의 분산화
____제로 트러스트 네트워크로의 진화
____클라우드 독립형 시스템의 중요성
__요약
10장. 공격자의 시각
__ID 훔치기
__분산 서비스 거부 공격
__서비스 지도
__신뢰하지 않는 컴퓨팅 플랫폼
__사회 공학
__물리적 공격
__무효화
__컨트롤 플레인 보안
__제로 트러스트 네트워크란 무엇인가?
____제로 트러스트 컨트롤 플레인
__네트워크 경계 보안 모델의 진화
____전세계 IP 주소 관리
____사설 IP 주소 영역의 탄생
____사설 네트워크와 공용 네트워크의 연결
____NAT의 등장
____현대의 경계 모델
__공격의 진화
__경계 보안의 단점
__네트워크 신뢰의 붕괴
__제로 트러스트의 감초, 자동화
__경계 모델 vs. 제로 트러스트 모델
__클라우드와 제로 트러스트 네트워크
__요약
2장. 신뢰도
__위험 모델
____자주 사용하는 위험 모델
____제로 트러스트의 위험 모델
__견고한 인증
__인증에 대한 신뢰
____인증 기관
____제로 트러스트에 있어서 PKI의 중요성
____사설 PKI와 공개 PKI
____아무 것도 없는 것 보다는 공개 PKI
__최소 권한의 원칙
__동적 신뢰도
__컨트롤 플레인 vs. 데이터 플레인
__요약
3장. 네트워크 에이전트
__에이전트의 정의
____에이전트의 변동성
____에이전트에 포함되는 데이터
__에이전트 활용
____인증이 아니라 허가
__에이전트 노출
__표준화
____견고하면서도 유연하게
____표준화의 가능성
____표준화 전까지
__요약
4장. 네트워크 접근 허가
__허가 시스템의 구조
__보안 정책 적용 지점
__보안 정책 엔진
____보안 정책 저장소
____좋은 보안 정책의 조건
____보안 정책 정의의 주체
__트러스트 엔진
____수치화의 대상
____신뢰도 점수 노출의 위험성
__데이터 저장소
__요약
5장. 디바이스에 대한 신뢰
__신뢰의 시작
____디바이스 ID 생성과 보안
____정적인 시스템과 동적인 시스템에서의 디바이스 ID 보안
__컨트롤 플레인 상에서 디바이스 인증
____X.509
____TPM
__기존 디바이스를 위한 TPM 대체재
__디바이스 목록 관리
____트래픽의 예상 가능성
____시큐어 인트로덕션
__디바이스 신뢰 갱신
____로컬 보안 성능 평가
____원격 보안 성능 평가
__소프트웨어 형상 관리
____형상 관리를 활용한 디바이스 목록
____생략 디바이스 정보의 신뢰도
____디바이스 데이터에 기반한 사용자 접근 허가
__신뢰 지표
____이미지 설치 시점
____네트워크 접근 히스토리
____위치
____네트워크 통신 패턴
__요약
6장. 사용자에 대한 신뢰
__비공식 ID와 공식 ID
__최초 ID 발급
____정부 발급 ID
____실세계 우선주의
____사용자에 대한 예상
__ID 저장
____사용자 목록
____사용자 목록 관리
__ID 인증 시점
____인증으로 얻을 수 있는 신뢰도
____신뢰도를 활용한 인증
____다양한 채널의 활용
____ID과 신뢰도 캐시
__사용자 ID 인증
____사용자가 아는 것: 암호
____사용자가 소유한 것: TOTP
____사용자가 소유한 것: 인증서
____사용자가 소유한 것: 보안 토큰
____사용자 자신: 생체 인식
____아웃오브밴드 채널을 사용한 인증
____통합 인증
____로컬 인증
__그룹 인증과 허가
____샤미르의 비밀 공유
____붉은 10월
__사용자의 신고의식
__신뢰 지표
__요약
7장. 애플리케이션에 대한 신뢰
__애플리케이션 파이프라인
__소스 코드에 대한 신뢰
____코드 저장소 보안
____진짜 코드와 모니터링
____코드 리뷰
__빌드에 대한 신뢰
____위험
____빌드 시스템의 입출력 보안
____재생산 가능한 빌드
____릴리즈와 버전의 분리
__배포에 대한 신뢰
____결과물 프로모션
____배포 과정의 보안
____무결성과 정품 인증
____배포망에 대한 신뢰
__인간의 개입
__실행 중인 소프트웨어에 대한 신뢰
____업그레이드만 허용하는 보안 정책
____소프트웨어의 접근 허용
__실행 환경 보안
____보안 코딩 실무
____애플리케이션 분리
____능동적인 모니터링
__요약
8장. 네트워크 트래픽에 대한 신뢰
__암호화 vs. 인증
____암호화 없는 메시지 보호
__신뢰의 시작: 첫 번째 패킷
____fwknop
__네트워크 모델
____그림으로 보는 네트워크 계층
____OSI 네트워크 모델
____TCP/IP 네트워크 모델
__제로 트러스트에 어울리는 네트워크 모델
____클라이언트와 서버의 분리
__프로토콜
____IKE/IPsec
____상호 인증 TLS
__필터링
____호스트 필터링
____북엔드 필터링
____중간 필터링
__요약
9장. 제로 트러스트 네트워크 구축
__범위 결정
____필수 디자인 요소
__시스템 다이어그램
__네트워크 흐름에 대한 이해
__컨트롤러가 없는 구조
____형상 관리 시스템 “남용”
____애플리케이션 인증과 접근 허가
____로드 밸런서 인증과 프록시 인증
____관계지향 보안 정책
____보안 정책 배포
__보안 정책 정의와 설치
__제로 트러스트 프록시
__클라이언트 마이그레이션과 서버 마이그레이션
__케이스 스터디
__케이스 스터디: 구글 BeyondCorp
____BeyondCorp의 구성 요소
____GFE 활용과 확장
____멀티 플랫폼 환경에서 인증의 어려움
____BeyondCorp으로 전환
____교훈
____결론
__케이스 스터디: 페이저듀티의 클라우드 독립형 네트워크
____형상 관리를 통한 자동화 플랫폼
____로컬 방화벽 동적 설정
____분산된 트래픽 암호화
____사용자 관리의 분산화
____제로 트러스트 네트워크로의 진화
____클라우드 독립형 시스템의 중요성
__요약
10장. 공격자의 시각
__ID 훔치기
__분산 서비스 거부 공격
__서비스 지도
__신뢰하지 않는 컴퓨팅 플랫폼
__사회 공학
__물리적 공격
__무효화
__컨트롤 플레인 보안