BeyondCorp Enterprise의 핵심 원칙은 'Google에서 사용자와 사용자 기기에 대해 알고 있는 정보를 기반으로 서비스에 대한 액세스 권한 부여'입니다. 단일 사용자 또는 단일 기기에 부여된 액세스 수준은 여러 데이터 소스 조사를 통해 동적으로 추론됩니다. 그런 다음 이 신뢰 수준을 결정 프로세스의 일부로 사용할 수 있습니다.
신뢰 평가 프로세스의 핵심 요소는 사용자의 로그인 사용자 인증 정보 강도입니다. 여기서 특정 유형의 애플리케이션에 대한 액세스는 사용자가 시스템에 인증한 방식에 따라 결정됩니다. 예를 들어 비밀번호로만 로그인한 사용자는 민감한 정보가 포함되지 않은 애플리케이션에만 액세스할 수 있습니다. 반면, 두 번째 단계인 하드웨어 보안 키로 로그인한 사용자는 가장 민감한 엔터프라이즈 애플리케이션에 액세스할 수 있습니다.
사용자 인증 정보 강도 기반 정책은 기업이 인증 프로세스 중 사용된 사용자 인증 정보의 강도에 따라 액세스 제어를 사용 설정할 수 있게 해주는 기능입니다. 액세스 제어 정책에서 사용자 인증 정보 강도를 또 다른 조건으로 사용함으로써 하드웨어 보안 키, 2단계 인증, 다른 형식의 강력한 사용자 인증 정보를 사용해서 액세스 제어를 적용할 수 있습니다.
사용자 인증 정보 강도 정책 개요
Access Context Manager를 사용하면 Google Cloud 조직 관리자는 Google Cloud의 프로젝트와 리소스에 세분화된 속성 기반 액세스 제어를 정의할 수 있습니다.
액세스 수준은 요청에 대한 컨텍스트 정보를 기반으로 리소스에 대한 액세스를 허용하는 데 사용됩니다. 액세스 수준을 사용하면 트러스트 계층을 구성할 수 있습니다. 예를 들어 권한이 높은 소규모 개인 그룹의 요청을 허용하는 High_Level 액세스 수준을 만들 수 있습니다. 또한 요청을 허용할 IP 범위와 같이 신뢰할 수 있는 보다 일반적인 그룹을 식별할 수도 있습니다. 이 경우 이러한 요청을 허용하기 위해 Medium_Level이라는 액세스 수준을 만들 수 있습니다.
Access Context Manager는 액세스 수준을 정의하는 두 가지 방법(기본 및 커스텀)을 제공합니다. 사용자 인증 정보 강도 확인에는 현재 커스텀 액세스 수준이 사용됩니다. 사용자 인증 중 사용되는 사용자 인증 정보 강도에 대한 자세한 내용은 Google 로그인 프로세스 중에 캡처됩니다. 이 정보는 Google의 세션 스토리지 서비스에 캡처되어 저장됩니다.
사용자 인증 정보 강도 검사는 현재 IAP(Identity-Aware Proxy), TCP용 IAP(Identity-Aware Proxy), Google Workspace에서 지원됩니다.
사용자 인증 정보 강도 정책 구성
Access Context Manager 커스텀 액세스 수준 정의를 사용하여 적합한 정책을 설정할 수 있습니다. 커스텀 액세스 수준은 Common Expression Language(CEL)의 하위 집합으로 작성된 부울 표현식을 사용하여 요청하는 클라이언트의 속성을 테스트합니다.
Google Cloud 콘솔에서 액세스 수준을 만들 때 고급 모드로 커스텀 액세스 수준을 구성할 수 있습니다. 커스텀 액세스 수준을 만들려면 다음 단계를 완료합니다.
- Google Cloud 콘솔에서 Access Context Manager 페이지를 엽니다.
- 메시지가 표시되면 조직을 선택합니다.
- Access Context Manager 페이지 맨 위에 있는 새 항목을 누릅니다.
- 새 액세스 수준 창에서 다음 단계를 완료합니다.
- 액세스 수준 제목 상자에 액세스 수준의 제목을 입력합니다. 제목은 최대 50자이고 문자로 시작해야 하며 숫자, 문자, 밑줄, 공백만 제목에 사용할 수 있습니다.
- 조건 만들기에 고급 모드를 선택합니다.
- 조건 섹션에 커스텀 액세스 수준의 표현식을 입력합니다. 조건은 단일 부울 값으로 확인되어야 합니다. Common Expression Language(CEL) 지원 및 커스텀 액세스 수준에 대한 예시와 자세한 내용은 커스텀 액세스 수준 사양을 참조하세요.
- 저장을 클릭합니다.
지원되는 사용자 인증 정보 강도 값
| 값 | Google 정의 | 커스텀 액세스 수준 예시 |
|---|---|---|
pwd |
사용자는 비밀번호로 인증되었습니다. | request.auth.claims.crd_str.pwd == true |
push |
사용자는 모바일 기기로 보낸 푸시 알림을 통해 인증되었습니다. | request.auth.claims.crd_str.push == true |
sms |
사용자는 SMS로 전송된 코드를 사용하거나 전화 통화를 통해 인증되었습니다. | request.auth.claims.crd_str.sms == true |
swk |
2SV는 휴대전화와 같은 소프트웨어 키를 보안 키로 사용했습니다. | request.auth.claims.crd_str.swk == true |
hwk |
2SV는 Google Titan 키와 같은 하드웨어 키를 사용했습니다. | request.auth.claims.crd_str.hwk == true |
otp |
사용자는 일회용 비밀번호 메서드(Google OTP 및 백업 코드)로 통해 인증되었습니다. | request.auth.claims.crd_str.otp == true |
mfa |
사용자는 이 표의 메서드 중 하나(pwd 제외)로 인증되었습니다. |
request.auth.claims.crd_str.mfa == true |
2단계 인증 추가 정보
Google 2단계 인증에는 사용자가 기기를 신뢰할 수 있음으로 표시하고 동일한 기기에 다시 로그인할 때 추가적인 2단계 인증 과정을 방지하는 기능이 있습니다. 이 기능이 사용 설정되어 있으면 로그아웃했다가 다시 로그인하는 사용자는 두 번째 로그인에서 2단계 챌린지를 받지 않으며 Google은 두 번째 로그인에서 2단계 챌린지가 사용되지 않았으므로 다중 인증(MFA)이 아닌 두 번째 로그인의 사용자 인증 정보 강도를 비밀번호 전용으로 올바르게 보고합니다.
사용자가 항상 강력한 사용자 인증 정보를 사용하도록 요구하는 애플리케이션이나 워크플로가 있는 경우 신뢰할 수 있는 기기 기능을 중지하는 것이 좋습니다. 신뢰할 수 있는 기기 기능을 사용 설정하거나 중지하는 방법은 신뢰할 수 있는 컴퓨터 추가 또는 삭제를 참조하세요. 이 기능을 중지하면 사용자는 자주 사용하는 기기에서도 로그인할 때마다 2단계 인증을 제공해야 합니다. 최근 로그인에서 다중 인증(MFA)을 요구하면 사용자는 로그아웃했다가 다시 로그인해야 합니다.