이 책은 마이크로서비스 애플리케이션 코드와 인프라를 보호하는 방법을 다룬다. 마이크로서비스 보안 문제를 간단하게 소개하고 애플리케이션 경계와 서비스 간 통신을 보호하는 데 필요한 기본적인 지식을 배울 수 있다. 예제를 실습하면서 단일 페이지 애플리케이션(SPA, Single-Page Application)을 통해 마이크로서비스에 접근하는 방법뿐만 아니라 API 게이트웨이 뒷단의 마이크로서비스를 배포하고 보호하는 방법을 살펴본다.
실습 과정에서 API 게이트웨이의 트래픽 제한, 분석, 수집 및 접근 제어와 마이크로서비스 간 통신을 포함한 중요한 개념들을 강조하며 쿠버네티스, 도커, 이스티오 서비스 메시 등을 포함한 최신 기술을 사용해 마이크로서비스를 안전하게 배포하는 방법까지 다룬다.
다양한 실습을 통해 실습 과정에서 배울 환경들을 보호할 수 있으며 보안 프로세스 검토 및 모범 사례 등을 간략히 안내하고 책을 마무리한다. 책을 다 읽을 때쯤이면 마이크로서비스 애플리케이션이 안전하다는 사실에 대한 귀중한 확신이 생길 것이며 더불어 계획, 설계 및 구현까지 할 수 있을 것이다.
이제 기업용 API는 비즈니스 기능을 외부에 노출하는 일반적인 방법이다. 기능을 노출하는 것은 편리하지만 악용의 위험이 있다. 이 책은 중요한 비즈니스 자산을 보호하는 방법과 API의 보안을 설명한다. 소프트웨어 시스템 설계의 경우와 마찬가지로, 사람들은 API 설계 단계에서 보안 요소를 무시하는 경향이 있다. 그리고 배포나 통합 시에만 보안을 걱정하기 시작한다. 보안은 사후에 고려해서는 안 된다. 보안은 모든 소프트웨어 시스템 설계의 필수 요소로 설계 초기부터 신중하게 고려해야 한다. 이 책을 통해 보안의 필요성과 API 보안을 위해 사용할 수 있는 옵션을 알려주는 것을 목표로 집필했다.
이 책에서는 프로세스를 안내하고 더 나은 보안을 위해 API를 설계하는 모범 사례를 공유한다. API 보안은 지난 몇 년 동안 많이 발전해 왔으며, API 보안 표준은 기하급수적으로 성장했다. OAuth 2.0은 가장 널리 채택된 표준이자, 그 위에 솔루션을 구축할 수 있는 프레임워크다. 기존의 HTTP Basic 인증에서 OAuth 2.0까지 API를 보호하는 방법과 OpenID Connect, 사용자 관리 액세스(UMA, User-Managed Access) 등과 같은 OAuth를 기반으로 구축된 프로파일을 자세히 설명한다.
JSON은 API 통신에서 중요한 역할을 한다. 오늘날 개발된 대부분의 API는 XML이 아닌 JSON만 지원하므로 여기에서는 JSON 보안에 중점을 두고 설명한다. JSON 웹 암호화(JWE), JSON Web Encryption, JSON 웹 서명(JWS), JSON Web Signature은 JSON 메시지 보안을 위해 점점 더 널리 사용되는 두 가지 표준이다. 후반부에서는 JWE와 JWS를 자세히 다룬다.
또 다른 주요 목적은 개념과 이론을 제시하는 것뿐만 아니라 구체적인 예를 통해 개념과 이론을 설명하는 것이다. 이론을 실제로 적용하는 방법을 보여주는 포괄적인 예시를 제공한다. OAuth 2.0과 관련 프로파일을 사용해 웹 애플리케이션, 단일 페이지 애플리케이션, 네이티브 모바일 애플리케이션, 브라우저가 없는 애플리케이션으로 API에 안전하게 액세스하는 방법을 배울 것이다.
API 개발자에게 절실히 필요한 주제를 효과적으로 다루기를 바라며, 즐겁게 읽기를 바란다.
