이 글은 한빛미디어 도서 서평단 나는 리뷰어다 2021을 통해 책을 제공받아 작성하였습니다.
이 책은 원서 Container Security(Liz Rice, O'reilly)를 번역한 책이고, IT 기술 서적을 많이 번역하시는 류광님께서 번역하신 '컨테이너 보안(Container Security, 리즈 라이스 지음, 류광 옮김, 한빛미디어)'입니다.
도커(Docker)와 같은 컨테이너(Container) 기술의 보안에 대한 책이며, 컨테이너나 쿠버네티스(Kubernetes) 그리고 리눅스(Linux) 명령어에 대한 지식을 필요로 합니다. 그렇다고 해서 깊은 배경 지식을 요구하는 것이 아니라 한 번씩 사용해 본 적이 있으면 책을 읽어 나갈 수 있는 수준입니다.
책에서 다루는 것과 다루지 않는 것
책에서는 컨테이너 보안에 대해 본격적으로 다루기에 앞서, 리눅스 보안에 대해 살펴봅니다. 이는 대부분의 컨테이너가 서버 운영체제가 리눅스에서 동작하기 때문입니다. 리눅스 시스템에서 파일 접근 권한이나 리눅스 능력(capabilities, 기능 혹은 역량) 등에 대해 다루고, 프로세스의 제어 그룹을 설명합니다. 도커와 같은 컨테이너는 리눅스의 프로세스에서 동작하기에 리눅스에서는 프로세스를 어떻게 격리시켜 보안을 적용시키는지에 대해서도 설명해 줍니다.
또한, 컨테이너 기술이 가상머신(VM)과 많이 비교되는 만큼, 이 둘의 차이점은 무엇인지 이 둘의 보안 차이점은 무엇인지에 대해서 알아볼 수 있습니다.
이러한 배경지식을 바탕으로 컨테이너 이미지 취약점은 어떤 것들이 있는지, 컨테이너 이미지 취약점 스캐닝 도구들을 소개하고 어떻게 사용하는지 보여줍니다. 이러한 보안 과정을 CI/CD(Continuous Integration and Delivery) 파이프라인 과정에 어떻게 도입하는지 가르쳐 줍니다.
그리고 컨테이너 보안, 격리가 어떻게 깨지는지 볼 수 있으며, 외부 공격이 네트워크를 통해 이루어지므로 컨테이너 네트워크를 안전하게 보호하는 방법, 방화벽을 어떻게 설정하면 좋은지에 대해서 알 수 있습니다.
하지만 책에서는 단계별(step by step)로 제공하는 실습 과정은 없습니다. 책 중간에 관련된 예제들을 리눅스 명령어를 통해 보여주고 있기는 하지만 실습보다는 이론적인 설명을 주로 이루고 있습니다. Github repo 주소도 공개되어 있지만 소개글과 이슈 보고를 위해서 존재하고 있습니다.
책의 난이도
아무래도 리눅스나 도커 등에 대한 사용경험이 있어야 하고, 단계별로 진행하며 따라 해 볼 수 있는 실습이 없고, 능동적으로 여러 가지를 해봐야 한다는 점에서 난이도가 조금 있는 편입니다.
그래도 보안 분야에 익숙하거나 네트워크 계층 구조나 리눅스 운영체제에 대한 지식이 있으면, 중간중간에 조금씩 건너뛰거나 다시 한번 개념을 정리하면서 읽어 나갈 수 있는 정도입니다.
댓글