청사진에 BeyondProd 보안 원칙 매핑

Last reviewed 2024-04-19 UTC

BeyondProd는 Google 인프라에서 워크로드 보호를 위해 함께 작동하는 서비스 및 제어를 나타냅니다. BeyondProd는 Google의 코드 변경 방법과 Google의 서비스 격리 보장 방법을 포함하여 자체 환경에서 Google이 실행하는 애플리케이션 서비스를 보호하는 데 도움이 됩니다. BeyondProd 백서에서는 Google이 고객들에게 노출되지 않는 자체 인프라를 관리하기 위해 사용하는 특정 기술들이 언급되지만 BeyondProd의 보안 원칙은 고객 애플리케이션에도 적용될 수 있습니다.

BeyondProd에는 청사진에 적용되는 몇 가지 주요 보안 원칙이 포함되어 있습니다. 다음 표에서는 BeyondProd 원칙을 청사진에 매핑합니다.

보안 원칙 청사진에 매핑 보안 기능

네트워크 에지 보호

Cloud Load Balancing

UDP 플러드 및 SYN 플러드와 같은 다양한 DDoS 공격 유형으로부터 보호합니다.

Google Cloud Armor

상시 보호 및 맞춤설정 가능한 보안 정책을 통해 웹 애플리케이션 공격, DDoS 공격, 봇으로부터 보호를 제공합니다.

Cloud CDN

콘텐츠를 직접 제공하여 노출된 서비스에서 부하를 제거하여 DDoS 공격 완화 기능을 제공합니다.

Private Service Connect를 포함하는 GKE 클러스터는 비공개 IP 주소만 사용하는 클러스터에 대해 제어 영역 및 비공개 노드 풀에 액세스합니다.

공개 인터넷 위협으로부터 보호하고 클러스터 액세스를 보다 세부적으로 제어합니다.

방화벽 정책

Cloud Load Balancing에서 GKE 서비스로의 인바운드 트래픽에 대한 허용 목록을 제한적으로 정의합니다.

서비스 간 내재된 상호 신뢰 관계 없음

Cloud Service Mesh

승인된 서비스만 서로 통신할 수 있도록 인증 및 승인을 적용합니다.

GKE용 워크로드 아이덴티티 제휴

워크로드에 대한 인증 및 승인 프로세스 자동화를 통해 사용자 인증 정보 도난 위험을 줄여서 보안을 강화하고, 사용자 인증 정보를 관리 및 저장할 필요가 없습니다.

방화벽 정책

GKE 클러스터에 대해 승인된 통신 채널만 Google Cloud 네트워크 내에서 허용되도록 보장합니다.

알려진 출처의 코드를 실행하는 신뢰할 수 있는 머신입니다.

Binary Authorization

배포 중 이미지 서명 및 서명 검증을 적용하여 신뢰할 수 있는 이미지만 GKE에 배포되도록 보장합니다.

서비스 전반의 일관적인 정책 적용

정책 컨트롤러

GKE 클러스터를 제어하는 정책을 정의하고 적용할 수 있습니다.

자동화되고 표준화된 간단한 변경사항 배포

  • 기반 인프라 파이프라인
  • 멀티 테넌트 인프라 파이프라인
  • Fleet 범위 파이프라인
  • 애플리케이션 팩토리 파이프라인
  • 애플리케이션 CI/CD 파이프라인

기본 제공되는 규정 준수 및 검증과 함께 자동화되고 제어된 배포 프로세스를 제공하여 리소스 및 애플리케이션을 빌드합니다.

구성 동기화

중앙 집중식 구성 관리 및 자동화된 구성 조정을 제공하여 클러스터 보안을 향상시켜 줍니다.

운영체제를 공유하는 워크로드 간 격리

Container-Optimized OS

Container-Optimized OS에는 Docker 컨테이너를 실행하는 데 필요한 필수 구성요소만 포함되므로, 악용 및 멀웨어에 대한 취약성이 저하됩니다.

신뢰할 수 있는 하드웨어 및 증명

보안 GKE 노드

노드가 부팅될 때 신뢰할 수 있는 소프트웨어만 로드되도록 보장합니다. 노드의 소프트웨어 스택을 지속적으로 모니터링하여 변경사항이 감지될 경우 알림을 표시합니다.

다음 단계