Google Cloud Armor 개요

Google Cloud Armor를 사용하면 DDoS 공격과 교차 사이트 스크립팅(XSS), SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 유형의 위협으로부터 Google Cloud 배포를 보호할 수 있습니다. Google Cloud Armor에는 일부 자동 보호 기능이 포함되어 있으며 수동으로 구성해야 하는 경우도 있습니다. 이 문서에서는 이러한 기능에 대해 개략적으로 설명합니다.

보안 정책

애플리케이션이 Google Cloud, 하이브리드 배포 또는 멀티 클라우드 아키텍처에 배포되는지 여부에 관계없이 Google Cloud Armor 보안 정책을 사용하면 DDoS와 기타 웹 기반 공격으로부터 부하 분산기 뒤에서 실행되는 애플리케이션을 보호할 수 있습니다. 보안 정책은 구성 가능한 일치 조건 및 보안 정책의 작업을 사용하여 수동으로 구성할 수 있습니다. Google Cloud Armor에는 다양한 사용 사례에 적용되는 사전 구성된 보안 정책도 포함됩니다. 자세한 내용은 Google Cloud Armor 보안 정책 개요를 참조하세요.

규칙 언어

Google Cloud Armor를 사용 설정하면 보안 정책에서 구성 가능한 일치 조건과 작업으로 우선순위가 지정된 규칙을 정의할 수 있습니다. 규칙이 적용됩니다. 즉, 해당 속성이 수신 요청의 속성과 일치하는 가장 우선순위가 높은 규칙인 경우 구성된 작업이 적용됩니다. 자세한 내용은 Google Cloud Armor 커스텀 규칙 언어 참조를 확인하세요.

사전 구성된 WAF 규칙

Google Cloud Armor의 사전 구성된 규칙은 인터넷에서 일반적인 공격으로부터 웹 애플리케이션과 서비스를 보호하고 OWASP 상위 10개 위험을 완화하는 데 도움이 됩니다. 규칙을 사용하면 Google Cloud Armor에서 각 서명을 수동으로 정의할 필요 없이 편리하게 명명된 규칙을 참조하여 고유한 트래픽 서명을 평가할 수 있습니다. 규칙 소스는 ModSecurity Core Rule Set 3.0.2(CRS)입니다.

이러한 사전 구성된 규칙은 노이즈가 있거나 불필요한 서명을 사용 중지할 수 있습니다. 자세한 내용은 Google Cloud Armor WAF 규칙 조정을 참조하세요.

명명된 IP 목록

Google Cloud Armor의 명명된 IP 주소 목록을 사용하면 타사 제공업체에서 관리하는 IP 주소와 IP 범위 목록을 참조할 수 있습니다. 보안 정책 내에서 이름이 지정된 IP 주소 목록을 구성할 수 있습니다. 각 IP 주소 또는 IP 범위를 개별적으로 지정할 필요가 없습니다. 자세한 내용은 명명된 IP 목록을 참조하세요.

Google Cloud Armor Managed Protection

Managed Protection은 DDoS 공격과 인터넷의 기타 위협으로부터 웹 애플리케이션과 서비스를 보호하는 데 유용한 관리형 애플리케이션 보호 서비스입니다. Managed Protection은 부하 분산기의 상시 사용 보호 기능을 제공하며 WAF 규칙에 대한 액세스를 제공합니다.

DDoS 보호는 계층에 관계없이 HTTP(S) 부하 분산, SSL 프록시 부하 분산, TCP 프록시 부하 분산에 자동으로 제공됩니다. HTTP, HTTPS, HTTP/2, QUIC 프로토콜 모두 지원됩니다.

자세한 내용은 Managed Protection 개요를 참조하세요.

Google Cloud Armor Adaptive Protection

Adaptive Protection은 백엔드 서비스에 대한 트래픽 패턴을 분석하고, 의심되는 공격을 감지 및 알림을 표시하고, 이러한 공격을 완화하기 위해 제안되는 WAF 규칙을 생성하여 L7 DDoS 공격으로부터 애플리케이션과 서비스를 보호하는 데 도움이 됩니다. 이러한 규칙은 사용자의 요구에 맞게 조정될 수 있습니다. Adaptive Protection은 보안 정책별 기준에 따라 사용 설정될 수 있지만, 프로젝트에서 Managed Protection 구독이 활성화되어 있어야 합니다.

자세한 내용은 Google Cloud Armor Adaptive Protection 개요를 참조하세요.

Google Cloud Armor의 작동 방식

Google Cloud Armor 보안 정책을 사용 설정하면 들어오는 트래픽의 소스와 최대한 가까운 Google Cloud 에지에서 외부 HTTP(S) 부하 분산기에 대한 액세스를 허용하거나 거부할 수 있습니다. 이를 통해 원치 않는 트래픽이 리소스를 소비하거나 Virtual Private Cloud(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.

다음 다이어그램에서는 외부 HTTP(S) 부하 분산기, Google 네트워크, Google 데이터 센터의 위치를 보여줍니다.

네트워크 에지에서의 Google Cloud Armor 정책
네트워크 에지에서의 Google Cloud Armor 정책(확대하려면 클릭)

수동으로 구성된 보안 정책 사용 외에도 외부 HTTP(S) 부하 분산기, SSL 프록시 부하 분산 또는 TCP 프록시 부하 분산에 대한 배포에는 항상 DDoS 공격에 대한 상시 보호 기능이 부여됩니다. 외부 HTTP(S) 부하 분산기 뒤의 백엔드 서비스는 웹 애플리케이션 방화벽(WAF) 규칙에도 액세스할 수 있습니다.

이러한 기능 중 일부 또는 전부를 사용하여 애플리케이션을 보호할 수 있습니다. 보안 정책을 사용하여 알려진 조건과 일치시키고, WAF 규칙을 만들어 ModSecurity Core Rule Set 3.0.2에 있는 것과 같은 일반적인 공격으로부터 보호하고, DDoS 공격에 대한 Google Cloud Armor Managed Protection의 기본 제공 보호를 사용할 수 있습니다.

다음 단계