이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Google Cloud Armor를 다른 Google 제품과 통합

다음 섹션에서는 Google Cloud Armor가 다른 Google Cloud 기능 및 제품과 상호작용하는 방법을 설명합니다.

Google Cloud Armor 및 VPC 방화벽 규칙

Google Cloud Armor 보안 정책과 VPC 방화벽 규칙의 기능은 서로 다릅니다.

Google Cloud Armor 보안 정책은 에지 보안을 제공하고 Google 프런트엔드(GFE)에 대한 클라이언트 트래픽에서 작동합니다.
VPC 방화벽 규칙은 백엔드의 트래픽을 허용하거나 거부합니다. 대상이 부하 분산된 백엔드 VM이고 소스가 전역 외부 애플리케이션 부하 분산기 또는 기존 애플리케이션 부하 분산기에서 사용하는 IP 범위인 인그레스 허용 방화벽 규칙을 만들어야 합니다. 이러한 규칙을 통해 GFE와 상태 점검 시스템이 백엔드 VM과 통신할 수 있습니다.

예를 들어 CIDR 범위 100.1.1.0/24 및 CIDR 범위 100.1.2.0/24의 트래픽만 전역 외부 애플리케이션 부하 분산기 또는 기존 애플리케이션 부하 분산기에 액세스하도록 허용하는 시나리오를 가정합니다. 목표는 트래픽이 백엔드 부하 분산 인스턴스에 직접 도달하지 못하게 하는 것입니다. 즉, 관련 보안 정책이 있는 전역 외부 애플리케이션 부하 분산기나 기존 애플리케이션 부하 분산기를 통해 프록시된 외부 트래픽만 인스턴스에 도달해야 합니다.

인그레스 방화벽과 함께 Google Cloud Armor 보안 정책을 사용하여 액세스 제한(확대하려면 클릭)

앞선 이미지에서는 다음과 같이 Google Cloud 배포를 구성하여 보안 목표를 달성했습니다.

인스턴스 그룹을 us-west1 리전과 europe-west1 리전에 있게 하여 두 개 만듭니다.
백엔드 애플리케이션 인스턴스를 인스턴스 그룹의 VM에 배포합니다.
프리미엄 등급에서 전역 외부 애플리케이션 부하 분산기 또는 기존 애플리케이션 부하 분산기를 만듭니다. 백엔드가 이전 단계에서 만든 인스턴스 그룹 두 개인 단순 URL 맵과 단일 백엔드 서비스를 구성합니다. 부하 분산기의 전달 규칙이 120.1.1.1 외부 IP 주소를 사용하는지 확인합니다.
100.1.1.0/24 및 100.1.2.0/24에서 들어오는 트래픽을 허용하고 그 외 모든 트래픽을 거부하는 Google Cloud Armor 보안 정책을 구성합니다.
이 정책을 부하 분산기의 백엔드 서비스에 연결합니다. 자세한 내용은 보안 정책 구성을 참조하세요. 보다 복잡한 URL 맵을 사용하는 외부 HTTP(S) 부하 분산기는 백엔드 서비스 여러 개를 참조할 수 있습니다. 필요에 따라 보안 정책을 백엔드 서비스 한 개 이상에 연결할 수 있습니다.
전역 외부 애플리케이션 부하 분산기 또는 기본 애플리케이션 부하 분산기의 트래픽을 허용하도록 인그레스 허용 방화벽 규칙을 구성하세요. 자세한 내용은 방화벽 규칙을 참조하세요.

Google Kubernetes Engine(GKE) 인그레스를 사용하는 Google Cloud Armor

Google Cloud Armor 보안 정책을 구성한 후에는 Kubernetes 인그레스를 사용하여 GKE로 사용 설정할 수 있습니다.

BackendConfig에 보안 정책 이름을 추가하여 BackendConfig 리소스로 보안 정책을 참조할 수 있습니다. 다음 BackendConfig 매니페스트는 example-security-policy라는 보안 정책을 지정합니다.

apiVersion: cloud.google.com/v1
kind: BackendConfig
metadata:
  namespace: cloud-armor-how-to
  name: my-backendconfig
spec:
  securityPolicy:
    name: "example-security-policy"

인그레스 기능에 대한 자세한 내용은 인그레스 기능 구성을 참조하세요.

Cloud CDN이 포함된 Google Cloud Armor

CDN 원본 서버를 보호하려면 Cloud CDN과 함께 Google Cloud Armor를 사용하면 됩니다. Google Cloud Armor는 애플리케이션 공격으로부터 CDN 원본 서버를 보호하고 OWASP 상위 10개 위험을 완화하고 레이어 7 필터링 정책을 적용합니다. Google Cloud Armor가 Cloud CDN에서 작동하는 방식에 영향을 주는 보안 정책에는 에지 보안 정책과 백엔드 보안 정책의 두 가지 유형이 있습니다.

에지 보안 정책

Cloud CDN이 사용 설정된 백엔드 서비스 및 전역 외부 애플리케이션 부하 분산기 또는 기존 애플리케이션 부하 분산기 뒤에 있는 Cloud Storage 백엔드 버킷에 에지 보안 정책을 사용할 수 있습니다. 에지 보안 정책을 사용하여 콘텐츠가 캐시에서 제공되기 전에 요청을 필터링합니다.

백엔드 보안 정책

Cloud CDN이 사용 설정된 백엔드 서비스에 Google Cloud Armor 백엔드 보안 정책이 적용되면 백엔드 서비스로 라우팅된 요청에만 적용됩니다. 이러한 요청에는 동적 콘텐츠 요청과 캐시 부적중, 즉 Cloud CDN 캐시를 누락하거나 우회하는 요청이 포함됩니다.

에지 보안 정책과 백엔드 보안 정책이 동일한 백엔드 서비스에 연결된 경우 에지 보안 정책을 통과한 캐시 부적중 요청에 대해서만 백엔드 보안 정책이 적용됩니다.

다음 다이어그램은 에지 보안 정책에서 요청이 허용된 후 백엔드 보안 정책이 Cloud CDN 원본에서 작동하는 방식만 보여줍니다.

Cloud CDN이 포함된 Google Cloud Armor 백엔드 보안 정책 사용(확대하려면 클릭)

Cloud CDN에 대한 자세한 내용은 Cloud CDN 문서를 참조하세요.

Cloud Run, App Engine 또는 Cloud Run 함수를 사용하는 Google Cloud Armor

Google Cloud Armor 보안 정책을 Cloud Run, App Engine 또는 Cloud Run 함수 서비스를 가리키는 서버리스 NEG 백엔드와 함께 사용할 수 있습니다.

그러나 Google Cloud Armor를 서버리스 NEG, Cloud Run 또는 Cloud Run 함수와 함께 사용하는 경우 서버리스 엔드포인트에 대한 모든 액세스가 Google Cloud Armor 보안 정책을 통해 필터링되도록 특수한 단계를 거쳐야 합니다.

서버리스 애플리케이션의 기본 URL이 있는 사용자는 부하 분산기를 우회하여 서비스 URL로 직접 이동할 수 있습니다. 그러면 Google Cloud Armor 보안 정책을 우회하게 됩니다. 이 문제를 해결하려면 Google Cloud에서 Cloud Run 서비스나 Cloud Run 함수(2세대)에 자동으로 할당하는 기본 URL을 중지합니다. App Engine 애플리케이션을 보호하려면 인그레스 컨트롤을 사용하면 됩니다.

인그레스 컨트롤을 사용하여 액세스 제어가 모든 수신 트래픽에 적용되는지 확인하려면 Cloud Run 함수 또는 Cloud Run을 구성할 때 internal-and-gclb를 사용하면 됩니다. 이렇게 하면 전역 외부 애플리케이션 부하 분산기 또는 기본 애플리케이션 부하 분산기에서 노출되는 외부 IP 주소로 전송되는 트래픽과 내부 트래픽만 허용됩니다. 비공개 네트워크 외부에서 이러한 기본 URL로 전송되는 트래픽이 차단됩니다. 이렇게 하면 사용자가 전역 외부 애플리케이션 부하 분산기나 기본 애플리케이션 부하 분산기를 통해 설정된 액세스 제어(예: Google Cloud Armor 보안 정책)를 우회할 수 없습니다.

서버리스 NEG에 대한 자세한 내용은 서버리스 네트워크 엔드포인트 그룹 개요 및 서버리스 NEG 설정을 참조하세요.