Google Cloud Armor를 사용하면 DDoS 공격과 교차 사이트 스크립팅(XSS), SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 유형의 위협으로부터 Google Cloud 배포를 보호할 수 있습니다. Google Cloud Armor에는 일부 자동 보호 기능이 포함되어 있으며 수동으로 구성해야 하는 경우도 있습니다. 이 문서에서는 이러한 기능에 대한 대략적인 개요를 제공하며, 이 중 일부는 전역 외부 애플리케이션 부하 분산기와 기본 애플리케이션 부하 분산기에서만 사용할 수 있습니다.
보안 정책
애플리케이션이 Google Cloud, 하이브리드 배포 또는 멀티 클라우드 아키텍처에 배포되는지 여부에 관계없이 Google Cloud Armor 보안 정책을 사용하면 DDoS와 기타 웹 기반 공격으로부터 부하 분산기 뒤에서 실행되는 애플리케이션을 보호할 수 있습니다. 보안 정책은 구성 가능한 일치 조건 및 보안 정책의 작업을 사용하여 수동으로 구성할 수 있습니다. Google Cloud Armor에는 다양한 사용 사례에 적용되는 사전 구성된 보안 정책도 포함됩니다. 자세한 내용은 Google Cloud Armor 보안 정책 개요를 참조하세요.
규칙 언어
Google Cloud Armor를 사용 설정하면 보안 정책에서 구성 가능한 일치 조건과 작업으로 우선순위가 지정된 규칙을 정의할 수 있습니다. 규칙이 적용됩니다. 즉, 해당 속성이 수신 요청의 속성과 일치하는 가장 우선순위가 높은 규칙인 경우 구성된 작업이 적용됩니다. 자세한 내용은 Google Cloud Armor 커스텀 규칙 언어 참조를 확인하세요.
사전 구성된 WAF 규칙
Google Cloud Armor 사전 구성 WAF 규칙은 오픈소스 업계 표준에서 컴파일된 서명이 수십 개 있는 복잡한 웹 애플리케이션 방화벽(WAF) 규칙입니다. 각 서명은 규칙 세트의 공격 감지 규칙에 해당합니다. Google은 이러한 규칙을 있는 그대로 제공합니다. 규칙을 사용하면 Google Cloud Armor에서 각 서명을 수동으로 정의할 필요 없이 편리한 이름의 규칙을 참조하여 고유한 트래픽 서명 수십 개를 평가할 수 있습니다.
Google Cloud Armor의 사전 구성된 규칙은 인터넷에서 일반적인 공격으로부터 웹 애플리케이션과 서비스를 보호하고 OWASP 상위 10개 위험을 완화하는 데 도움이 됩니다. 규칙 소스는 ModSecurity Core Rule Set 3.3.2(CRS)입니다.
이러한 사전 구성된 규칙은 노이즈가 있거나 불필요한 서명을 사용 중지할 수 있습니다. 자세한 내용은 Google Cloud Armor WAF 규칙 조정을 참조하세요.
Google Cloud Armor Enterprise
Cloud Armor Enterprise는 DDoS 공격과 인터넷의 기타 위협으로부터 웹 애플리케이션과 서비스를 보호하는 데 유용한 관리형 애플리케이션 보호 서비스입니다. Cloud Armor Enterprise는 부하 분산기의 상시 사용 보호 기능을 제공하며 WAF 규칙에 대한 액세스를 제공합니다.
DDoS 보호는 등급에 관계없이 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, 외부 프록시 네트워크 부하 분산기에 자동으로 제공됩니다. HTTP, HTTPS, HTTP/2, QUIC 프로토콜 모두 지원됩니다. 또한 Cloud Armor Enterprise 구독자는 DDoS 공격 가시성 원격 분석에 액세스할 수 있습니다.
자세한 내용은 Cloud Armor Enterprise 개요를 참조하세요.
위협 인텔리전스
Google Cloud Armor Threat Intelligence를 사용하면 여러 카테고리의 위협 인텔리전스 데이터를 기반으로 전역 외부 애플리케이션 부하 분산기와 기본 애플리케이션 부하 분산기에 대한 트래픽을 허용하거나 차단하여 트래픽을 보호할 수 있습니다. Threat Intelligence에 대한 자세한 내용은 Threat Intelligence 기능 구성을 참조하세요.
Google Cloud Armor Adaptive Protection
Adaptive Protection은 백엔드 서비스에 대한 트래픽 패턴을 분석하고, 의심되는 공격을 감지 및 알림을 표시하고, 이러한 공격을 완화하기 위해 제안되는 WAF 규칙을 생성하여 L7 DDoS 공격으로부터 애플리케이션과 서비스를 보호하는 데 도움이 됩니다. 이러한 규칙은 사용자의 요구에 맞게 조정될 수 있습니다. Adaptive Protection은 보안 정책별 기준에 따라 사용 설정될 수 있지만, 프로젝트에서 Cloud Armor Enterprise 구독이 활성화되어 있어야 합니다.
자세한 내용은 Google Cloud Armor Adaptive Protection 개요를 참조하세요.
고급 네트워크 DDoS 보호
고급 네트워크 DDoS 보호는 네트워크 부하 분산기, 프로토콜 전달 또는 공개 IP 주소가 포함된 VM을 사용하는 Managed Protection 플러스 구독자를 위한 추가 보호를 제공합니다. 고급 네트워크 DDoS 보호는 상시 공격 모니터링 및 알림, 표적 공격 완화, 완화 원격 분석을 제공합니다. 자세한 내용은 고급 네트워크 DDoS 보호 구성을 참조하세요.
Google Cloud Armor의 작동 방식
Google Cloud Armor는 네트워크 또는 프로토콜 기반 볼륨 DDoS 공격에 대해 상시 사용 설정된 DDoS 보호를 제공합니다. 이러한 보호는 부하 분산기 뒤에 있는 애플리케이션 또는 서비스를 대상으로 합니다. 부하 분산 프록시를 통해 올바른 형식의 요청만 허용되도록 네트워크 공격을 감지하고 완화할 수 있습니다. 보안 정책은 OWASP 상위 10개 웹 애플리케이션 취약점 위험을 완화하는 사전 구성된 WAF 규칙을 포함하여 커스텀 레이어 7 필터링 정책을 적용합니다. 다음 부하 분산기의 백엔드 서비스에 보안 정책을 연결할 수 있습니다.
- 전역 외부 애플리케이션 부하 분산기
- 리전 외부 애플리케이션 부하 분산기
- 기존 애플리케이션 부하 분산기
- 외부 프록시 네트워크 부하 분산기
- 외부 패스 스루 네트워크 부하 분산기
Google Cloud Armor 보안 정책을 사용 설정하면 들어오는 트래픽의 소스와 최대한 가까운 Google Cloud 에지에서 배포에 대한 액세스를 허용하거나 거부할 수 있습니다. 이를 통해 원치 않는 트래픽이 리소스를 소비하거나 Virtual Private Cloud(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.
다음은 전역 외부 애플리케이션 부하 분산기, 기본 애플리케이션 부하 분산기, Google 네트워크 및 Google 데이터 센터의 위치를 보여주는 다이어그램입니다.
이러한 기능 중 일부 또는 전부를 사용하여 애플리케이션을 보호할 수 있습니다. 보안 정책을 사용하여 알려진 조건과 일치시키고, WAF 규칙을 만들어 ModSecurity Core Rule Set 3.3.2에 있는 것과 같은 일반적인 공격으로부터 보호하고, DDoS 공격에 대한 Google Cloud Armor Enterprise의 기본 제공 보호를 사용할 수 있습니다.
다음 단계
- Google Cloud Armor의 일반적인 사용 사례 살펴보기
- Google Cloud Armor Enterprise 알아보기
- Google Cloud Armor Adaptive Protection 알아보기