마이크로서비스 아키텍처에서 발생할 수 있는 다양한 보안 이슈를 살펴보고 예제 코드와 실습을 활용해 해당 이슈를 해결하는 데 필요한 지식을 전달한다. 책을 다 읽을 때쯤이면 마이크로서비스 보안을 이해하고 안전한 설계와 구현에 필요한 지식까지 습득할 수 있을 것이다.

"마이크로서비스 아키텍처 보안 과제와 해결 방안에 대한 완벽한 가이드를 제공한다."

“이해하기 쉬운 내용은 아니지만, 적절한 주제를 순서에 맞게 다루는 필수적인 지침이다.”

“인터넷에 연결된 서비스를 보호하는데 도움을 줄 수 있는 보안 관련 예제 코드와 상세한 설명이 가득하다.”

“마이크로서비스 아키텍처 패턴을 사용해 소프트웨어를 개발하는 모든 개발자와 설계자의 책상에 있어야 할 책이다.”

◆ 마이크로서비스 보안 개념
◆ API 게이트웨이로 경계 지점 보호
◆ 도커, 쿠버네티스, 이스티오 사용과 배포
◆ 코드 수준의 보안 점검
◆ HTTP, gRPC, 카프카 통신

마이크로서비스 설계 원칙에 정통하고 자바에 대한 기본 지식이 있는 개발자를 위한 책이다. 자바 개발자가 아니더라도 C++나 C# 같은 객체지향 프로그래밍 언어에 익숙하고 기본적인 프로그래밍 구조를 이해하고 있다면 이 책에서 많은 것을 얻을 수 있다. 온라인상에 일부 관련 문서와 블로그 게시물이 존재하지만 이 책은 모든 걸 명확하고 따르기 쉬운 형식으로 모아뒀기 때문에 마이크로서비스 보안을 이해하려는 모든 사람에게 도움을 줄 수 있다.

이 책은 5부 13장으로 구성돼 있다. 1부는 마이크로서비스 보안의 기본사항을 설명한다.
◆ 1장은 마이크로서비스 보안이 어려운 이유와 마이크로서비스 환경을 보호하기 위한 핵심 원칙을 설명한다.
◆ 2장은 스프링 부트로 첫 번째 마이크로서비스를 빌드하고 OAuth 2.0으로 보호하는 방법을 설명하며 OAuth 2.0 토큰 발급자를 설정하는 방법까지 다룬다.

2부는 일반적인 마이크로서비스 환경의 경계 지점이나 진입점에서 마이크로서비스를 보호하는 방법을 설명한다.
◆ 3장은 마이크로서비스 소비자 환경을 살펴보고 Zuul API 게이트웨이 뒷단의 스프링 부트 마이크로서비스를 배포하는 방법을 설명하며 Zuul API 게이트웨이에 OAuth 2.0 기반 보안을 적용하는 방법까지 다룬다.
◆ 4장은 앵귤러(Angular)로 단일 페이지 애플리케이션(SPA)를 개발하는 방법을 설명하며 OIDC(OpenID Connect)로 단일 페이지 애플리케이션을 보호하는 방법까지 다룬다.
◆ 5장은 Zuul API 게이트웨이에 트래픽 제한, 모니터링 및 접근 제어를 적용해 4장에서 구축한 사례를 확장하는 방법을 설명한다.

3부는 클라이언트 애플리케이션의 요청이 경계 지점의 보안 정책을 통과해 마이크로서비스 그룹 내부로 들어간 다음 마이크로서비스 간의 상호작용을 보호하는 프로세스를 설명한다.
◆ 6장은 mTLS(상호 TLS)로 HTTP 프로토콜 기반 마이크로서비스 간 통신을 보호하는 방법을 설명한다.
◆ 7장은 JWT(JSON Web Token)를 사용해 마이크로서비스 간 컨텍스트 데이터(예: 최종 사용자 컨텍스트)를 공유하는 방법을 설명한다.
◆ 8장은 mTLS와 JWT를 사용하는 gRPC 프레임워크 기반 마이크로서비스 간 통신을 보호하는 방법을 설명한다.
◆ 9장은 반응형 마이크로서비스를 보호하는 방법을 설명하며 카프카를 메시지 브로커로 설치하는 방법과 카프카 토픽에 접근 제어 정책을 적용하는 방법까지 다룬다.

4부는 컨테이너화한 환경에서 마이크로서비스를 배포하고 보호하는 방법을 설명한다.
◆ 10장은 도커에 마이크로서비스를 배포하고 mTLS와 JWT로 마이크로서비스 간 상호작용을 보호하는 방법을 설명하며 도커가 내장하고 있는 몇 가지 보안 기능을 다룬다.
◆ 11장은 쿠버네티스에서 도커 컨테이너로 마이크로서비스를 배포하고 mTLS와 JWT로 서비스 간 통신을 보호하는 방법을 설명한다.
◆ 12장은 이스티오 서비스 메시로 마이크로서비스의 보안 처리 부담을 전가하는 방법을 설명한다.
5부는 개발 프로세스에서 보안 점검을 수행하는 방법을 설명한다.
◆ 13장은 소나큐브, 젠킨스 및 OWASP ZAP으로 마이크로서비스를 대상으로 한 보안 점검을 자동화하는 방법을 설명한다.

이 책은 마이크로서비스 애플리케이션 코드와 인프라를 보호하는 방법을 다룬다. 마이크로서비스 보안 문제를 간단하게 소개하고 애플리케이션 경계와 서비스 간 통신을 보호하는 데 필요한 기본적인 지식을 배울 수 있다. 예제를 실습하면서 단일 페이지 애플리케이션(SPA, Single-Page Application)을 통해 마이크로서비스에 접근하는 방법뿐만 아니라 API 게이트웨이 뒷단의 마이크로서비스를 배포하고 보호하는 방법을 살펴본다.
실습 과정에서 API 게이트웨이의 트래픽 제한, 분석, 수집 및 접근 제어와 마이크로서비스 간 통신을 포함한 중요한 개념들을 강조하며 쿠버네티스, 도커, 이스티오 서비스 메시 등을 포함한 최신 기술을 사용해 마이크로서비스를 안전하게 배포하는 방법까지 다룬다.
다양한 실습을 통해 실습 과정에서 배울 환경들을 보호할 수 있으며 보안 프로세스 검토 및 모범 사례 등을 간략히 안내하고 책을 마무리한다. 책을 다 읽을 때쯤이면 마이크로서비스 애플리케이션이 안전하다는 사실에 대한 귀중한 확신이 생길 것이며 더불어 계획, 설계 및 구현까지 할 수 있을 것이다.

프라바스 시리와데나(Prabath Siriwardena)

WSO2에서 보안 아키텍처 부사장을 맡고 있으며 2007년부터 ID 관리 및 보안 분야에서 종사하고 있다.

누완 디아스(Nuwan Dias)

WSO2의 API 아키텍처 임원으로 2012년부터 소프트웨어 업계에 종사하고 있으며 현재까지 API 관리 분야에 관한 업무를 주로 해오고 있다.

마이크로서비스 아키텍처(MSA, Microservices Architecture)는 단일 애플리케이션을 작고 독립적으로 배포할 수 있는 작은 서비스 집합으로 개발하는 방법이다. MSA는 일체형을 의미하는 모놀리식 아키텍처와 달리 보안을 위한 새로운 접근 방식이 필요하다. 이 책은 다양한 예제 코드와 쿠버네티스, 도커, 이스티오 서비스 메시와 같은 최신 기술을 사용해 마이크로서비스를 안전하게 보호하는 방법을 설명하고 배경지식이 부족한 독자를 위한 부록을 제공함으로써 마이크로서비스 보안 이슈 해결에 필요한 지침을 알려준다. 먼저 1부의 마이크로서비스 보안 기본 원칙으로 시작해, 2부에서 마이크로서비스 경계 지점과 진입점에서 마이크로서비스를 보호하는 방법을 설명하고, 3부에서 클라이언트 요청으로 발생한 마이크로서비스 간 통신을 보호하는 방법을 알아본다. 이어서 4부에서는 컨테이너 환경으로 구성한 마이크로서비스를 보호하는 방법을 다루며 마지막 5부에서 보안 점검 자동화 방안을 개발 프로세스에 적용하는 방법을 살펴본다. 이를 통해 마이크로서비스 아키텍처로 전환을 고려하고 있지만 보안 이슈를 간과하거나, 어떤 보안 이슈가 있을 수 있는지와 보안 이슈를 어떻게 해결해야 할지 고민하는 개발자와 보안 담당자에게 지식을 전달한다. 마이크로서비스를 전반적으로 다루는 책은 시중에 많고 해당 책의 세부 주제 중 하나로 보안을 언급하는 경우 또한 많다. 하지만 보안을 메인 주제로 마이크로서비스를 다룬 책은 국내에 아직 없어서 번역하면 많은 분에게 도움이 될 것이란 기대감에 시작한 번역이라 필요한 분들에게 의미 있는 책이 됐으면 하는 바람이다.

박상영

‘미래 유망직종 1위’라는 달콤한 말에 현혹돼 보안 분야에 입문한, 여전히 자기계발의 끈을 놓지 않고 있는 이커머스 기업의 개인정보보호 담당자다. 좋아하는 분야의 전문가가 되고 싶다는 뚜렷한 목표와 해외에서 일하며 가족들에게 글로벌 경험을 쌓게 해주고 싶단 포부를 갖고 오늘도 하루를 살아간다.