Google Cloud 아키텍처 프레임워크의 이 문서에서는 네트워크 보안을 위한 권장사항을 제공합니다.
클라우드 환경을 포함하도록 기존 네트워크를 확장하면 보안에 많은 영향을 미칩니다. 멀티 레이어 방어에 대한 온프레미스 접근 방식은 인터넷과 내부 네트워크 간에 별개의 경계를 포함할 수 있습니다. 물리적 방화벽, 라우터, 침입 감지 시스템과 같은 메커니즘을 사용하여 경계를 보호할 수 있습니다. 경계가 명확하게 정의되었으므로 침입을 모니터링하고 적절히 대응할 수 있습니다.
(완전히 또는 하이브리드 방식으로) 클라우드로 이전하면 온프레미스 경계 외부로 이동합니다. 이 문서에서는 Google Cloud에서 조직의 데이터와 워크로드를 계속 보호하는 방법을 설명합니다. 제어를 통한 위험 관리에서 언급했듯이 Google Cloud 네트워크를 설정하고 보호하는 방법은 비즈니스 요구사항 및 위험 요구사항에 따라 달라집니다.
이 섹션에서는 시스템 설계 카테고리의 네트워킹 섹션을 읽었고 Google Cloud 네트워크 구성요소의 기본 아키텍처 다이어그램을 이미 생성한 것으로 가정합니다. 예시 다이어그램은 허브 및 스포크를 참조하세요.
제로 트러스트 네트워크 배포
클라우드로 이전하면 네트워크 신뢰 모델을 변경해야 합니다. 사용자와 워크로드가 더 이상 온프레미스 경계 뒤에 있지 않으므로 신뢰할 수 있는 내부 네트워크를 만드는 것과 동일한 방식으로 경계 보호를 사용할 수 없습니다. 제로 트러스트 보안 모델은 기본적으로 조직 네트워크 내부 또는 외부에 관계없이 어떤 것도 신뢰되지 않음을 의미합니다. 액세스 요청을 확인할 때 제로 트러스트 보안 모델을 사용하는 경우 사용자 ID와 컨텍스트를 모두 확인해야 합니다. VPN과 달리 액세스 제어는 네트워크 경계에서 사용자 및 기기로 이전합니다.
Google Cloud에서는 Chrome Enterprise Premium을 제로 트러스트 솔루션으로 사용할 수 있습니다. Chrome Enterprise Premium은 위협 및 데이터 보호와 추가 액세스 제어 수단을 제공합니다. 자세한 설정 방법은 Chrome Enterprise Premium 시작하기를 참조하세요.
Chrome Enterprise Premium 외에도 Google Cloud에는 Identity-Aware Proxy(IAP)가 포함되어 있습니다. IAP를 사용하면 제로 트러스트 보안을 Google Cloud 및 온프레미스 내의 애플리케이션으로 확장할 수 있습니다. IAP는 액세스 제어 정책을 사용하여 애플리케이션 및 리소스에 액세스하는 사용자에게 인증 및 승인을 제공합니다.
온프레미스 또는 멀티 클라우드 환경에 대한 보안 연결
많은 조직이 클라우드 환경과 온프레미스 모두에서 워크로드를 사용합니다. 또한 복원력을 위해 일부 조직에서는 멀티 클라우드 솔루션을 사용합니다. 이러한 시나리오에서는 모든 환경 간의 연결을 보호하는 것이 중요합니다.
Google Cloud에는 다음을 비롯해 Cloud VPN 또는 Cloud Interconnect에서 지원되는 VM용 비공개 액세스 방법이 포함됩니다.
- 고속의 직접 연결을 사용하여 VPC 네트워크를 지원되는 다른 클라우드 제공업체에 연결하려면 관리형 서비스로 Cross-Cloud Interconnect를 사용하세요. Cross-Cloud Interconnect를 사용하면 자체 라우터를 제공하거나 타사 공급업체와 협력하지 않아도 됩니다.
- Dedicated Interconnect 및 Partner Interconnect를 사용하면 VPC 네트워크를 고속 직접 연결을 통해 온프레미스 데이터 센터 또는 다른 클라우드 제공업체에 연결할 수 있습니다.
- IPSec VPN을 사용하여 Virtual Private Cloud(VPC) 네트워크를 온프레미스 데이터 센터 또는 다른 클라우드 제공업체에 연결합니다.
- Private Service Connect 엔드포인트를 사용하여 조직 또는 다른 제공업체에서 제공하는 게시된 서비스에 액세스합니다.
- VM이 내부 IP 주소를 사용하여 Google API에 액세스할 수 있도록 Private Service Connect 엔드포인트를 이용하세요. Private Service Connect를 사용하면 VM에 외부 IP 주소가 없어도 Google 서비스에 액세스할 수 있습니다.
- GKE Enterprise를 사용하는 경우 Cloud Service Mesh 이그레스 게이트웨이를 사용하는 것이 좋습니다. GKE Enterprise를 사용하지 않는 경우 서드 파티 옵션을 사용합니다.
제품 간 비교는 네트워크 연결 제품 선택을 참조하세요.
기본 네트워크 사용 중지
새 Google Cloud 프로젝트를 만들 때 자동 모드 IP 주소와 기본 Google Cloud VPC 네트워크 및 자동 입력된 방화벽 규칙이 자동으로 프로비저닝됩니다. 프로덕션 배포의 경우 기존 프로젝트에서 기본 네트워크를 삭제하고 새 프로젝트에서 기본 네트워크 생성을 중지하는 것이 좋습니다.
Virtual Private Cloud 네트워크를 사용하면 모든 내부 IP 주소를 사용할 수 있습니다. IP 주소 충돌을 방지하려면 먼저 연결된 배포 및 프로젝트 간에 네트워크 및 IP 주소 할당을 계획하는 것이 좋습니다. 프로젝트는 여러 VPC 네트워크를 허용하지만 일반적으로 액세스 제어를 효과적으로 적용하려면 프로젝트당 네트워크를 하나로 제한하는 것이 가장 좋습니다.
경계 보호
Google Cloud에서는 방화벽 및 VPC 서비스 제어를 비롯한 다양한 방법을 사용하여 클라우드 경계를 분할하고 보호할 수 있습니다.
공유 VPC를 사용하면 단일 공유 네트워크를 제공하고 여러 팀에서 관리할 수 있는 개별 프로젝트로 워크로드를 격리하는 프로덕션 배포를 구축할 수 있습니다. 공유 VPC는 여러 프로젝트의 네트워크 및 네트워크 보안 리소스를 중앙 집중식으로 배포, 관리, 제어합니다. 공유 VPC는 다음 기능을 수행하는 호스트 및 서비스 프로젝트로 구성됩니다.
- 호스트 프로젝트에는 VPC 네트워크, 서브넷, 방화벽 규칙, 하이브리드 연결과 같은 네트워킹 및 네트워크 보안 관련 리소스가 포함되어 있습니다.
- 서비스 프로젝트는 호스트 프로젝트에 연결됩니다. 이를 통해 Identity and Access Management(IAM)를 사용하여 프로젝트 수준에서 워크로드와 사용자를 격리하고 중앙에서 관리되는 호스트 프로젝트에서 네트워킹 리소스를 공유할 수 있습니다.
조직, 폴더, VPC 네트워크 수준에서 방화벽 정책 및 규칙을 정의합니다. VM 인스턴스를 오가는 트래픽을 허용하거나 거부하도록 방화벽 규칙을 구성할 수 있습니다. 예를 들어 전역 및 리전 네트워크 방화벽 정책 예시 및 계층적 방화벽 정책 예시를 참조하세요. IP 주소, 프로토콜, 포트를 기반으로 규칙을 정의하는 것 외에도 VM 인스턴스에서 사용되거나 보안 태그를 사용할 때 사용되는 서비스 계정에 따라 트래픽을 관리하고 방화벽 규칙을 적용할 수 있습니다.
Google 서비스에서 데이터 이동을 제어하고 컨텍스트 기반 경계 보안을 설정하려면 VPC 서비스 제어를 고려하세요. VPC 서비스 제어는 IAM 및 방화벽 규칙과 정책과 별개로 Google Cloud 서비스의 보안을 강화합니다. 예를 들어 VPC 서비스 제어를 사용하면 기밀 데이터와 비기밀 데이터 간의 경계를 설정하여 데이터 무단 반출을 방지하는 제어를 적용할 수 있습니다.
Google Cloud Armor 보안 정책을 사용하면 들어오는 트래픽의 소스와 최대한 가까운 Google Cloud 에지에서 외부 애플리케이션 부하 분산기에 대한 요청을 허용, 거부 또는 리디렉션할 수 있습니다. 이러한 정책은 원치 않는 트래픽이 리소스를 소비하거나 네트워크에 유입되는 것을 방지할 수 있습니다.
보안 웹 프록시를 사용하여 이그레스 웹 트래픽에 세분화된 액세스 정책을 적용하고 신뢰할 수 없는 웹 서비스에 대한 액세스를 모니터링하세요.
네트워크 트래픽 검사
Cloud Intrusion Detection System(Cloud IDS) 및 패킷 미러링을 사용하여 Compute Engine 및 Google Kubernetes Engine(GKE)에서 실행되는 워크로드의 보안을 강화하고 규정을 준수할 수 있습니다.
Cloud IDS를 사용하여 VPC 네트워크로 들어오고 나가는 트래픽을 파악할 수 있습니다. Cloud IDS는 미러링된 VM이 있는 Google 관리 피어링된 네트워크를 만듭니다. Palo Alto Networks 위협 보호 기술은 트래픽을 미러링하고 검사합니다. 자세한 내용은 Cloud IDS 개요를 참조하세요.
패킷 미러링은 VPC 네트워크에서 지정된 VM 인스턴스의 트래픽을 클론하여 수집, 보관, 검사를 위해 전달합니다. 패킷 미러링을 구성한 후에는 Cloud IDS 또는 타사 도구를 사용하여 규모에 맞게 네트워크 트래픽을 수집하고 검사할 수 있습니다. 이러한 방식으로 네트워크 트래픽을 검사하면 침입 감지 및 애플리케이션 성능 모니터링을 제공하는 데 도움이 됩니다.
웹 애플리케이션 방화벽 사용
외부 웹 애플리케이션 및 서비스의 경우 Google Cloud Armor를 사용 설정하여 DDoS 보호 및 웹 애플리케이션 방화벽(WAF) 기능을 제공할 수 있습니다. Google Cloud Armor는 외부 HTTP(S) 부하 분산, TCP 프록시 부하 분산 또는 SSL 프록시 부하 분산을 사용하여 노출되는 Google Cloud 워크로드를 지원합니다.
Google Cloud Armor는 표준과 Managed Protection 플러스라는 두 가지 서비스 등급으로 제공됩니다. 고급 Google Cloud Armor 기능을 최대한 활용하려면 주요 워크로드에 Managed Protection 플러스에 투자해야 합니다.
인프라 프로비저닝 자동화
자동화를 사용하면 변경 불가능한 인프라를 만들 수 있으며, 이러한 인프라는 프로비저닝 후에 변경할 수 없습니다. 이러한 특성은 운영팀에 알려진 정상 상태, 빠른 롤백, 문제 해결 기능을 제공합니다. 자동화를 위해 Terraform, Jenkins, Cloud Build와 같은 도구를 사용할 수 있습니다.
자동화를 사용하는 환경을 구축할 수 있도록 Google Cloud는 엔터프라이즈 기반 청사진을 기반으로 하는 보안 청사진 시리즈를 제공합니다. 보안 기반 청사진은 안전한 애플리케이션 환경을 위한 Google의 독자적인 설계를 제공하고, Google Cloud 자산 구성 및 배포 방법을 단계별로 설명합니다. 보안 기반 청사진에 포함된 안내 및 스크립트를 사용하면 보안 권장사항 및 가이드라인을 충족하는 환경을 구성할 수 있습니다. 추가 청사진을 사용하여 청사진을 구축하거나 자체 자동화를 설계할 수 있습니다.
자동화에 대한 자세한 내용은 데이터 처리 워크플로에 CI/CD 파이프라인 사용을 참조하세요.
네트워크 모니터링
원격 분석을 사용하여 네트워크와 트래픽을 모니터링합니다.
VPC 흐름 로그 및 방화벽 규칙 로깅은 Google Cloud 환경의 트래픽 및 방화벽 사용량을 거의 실시간으로 파악할 수 있도록 합니다. 예를 들어 방화벽 규칙 로깅은 Compute Engine VM 인스턴스와 주고받는 트래픽을 로깅합니다. 이러한 도구를 Cloud Logging 및 Cloud Monitoring과 함께 사용하면 트래픽을 추적, 알림, 시각화하고 패턴에 액세스하여 배포 운영 보안을 개선할 수 있습니다.
방화벽 통계를 사용하면 수신 및 발신 연결과 일치하는 방화벽 규칙을 검토하고 연결이 허용 또는 거부되었는지 여부를 확인할 수 있습니다. 섀도 처리된 규칙 기능은 다른 규칙이 항상 먼저 트리거되어 트리거되지 않는 규칙을 표시하여 방화벽 구성을 조정하는 데 도움을 줍니다.
Network Intelligence Center를 사용하여 네트워크 토폴로지와 아키텍처의 성능을 확인하세요. 또한 네트워크 성능에 대한 자세한 정보를 확인하고 배포를 최적화하여 서비스에서 병목 현상을 제거할 수 있습니다. 연결 테스트는 네트워크 경로에 적용되는 방화벽 규칙 및 정책에 대한 유용한 정보를 제공합니다.
모니터링에 대한 자세한 내용은 로깅 및 감지 제어 구현을 참조하세요.
다음 단계
다음 리소스를 통해 네트워크 보안에 대해 자세히 알아보세요.
- 데이터 보안 구현(이 시리즈의 다음 문서)
- VPC 설계에 관한 권장사항 및 참조 아키텍처
- VPC 서비스 제어를 관리하는 IAM 역할
- Security Command Center 파트너로 온보딩
- Security Command Center에서 취약점 및 위협 보기
- 패킷 미러링: 클라우드 네트워크의 시각화 및 보호
- 침입 감지에 패킷 미러링 사용
- 파트너 IDS 솔루션으로 VPC 패킷 미러링 사용