베어메탈 솔루션 환경에서 기업 워크로드에 보안 제공

베어메탈 솔루션을 사용하면 기존의 기업 워크로드를 Google Cloud에 더 가깝게 가져올 수 있으므로 일반적으로 엔터프라이즈 아키텍트와 보안 설계자는 '워크로드를 어떻게 보호할 것인가' 하는 고민을 하게 됩니다. 이 가이드는 Oracle 데이터베이스와 같은 기업 워크로드를 베어메탈 솔루션에 도입할 때 고려해야 할 보안 및 규정 준수 설계 요소를 제공하는 것을 목표로 작성되었습니다. 또한 기업 자산을 보호하는 Google Cloud의 보안 제어 및 기능에 대해 설명하고 Oracle의 몇 가지 보안 권장사항을 설명합니다.

베어메탈 솔루션 환경의 보안

베어메탈 솔루션 환경에는 리전별 확장 프로그램에서 호스팅되는 목적에 맞게 빌드된 베어 메탈 서버가 포함되어 있습니다. 그림 1에서 볼 수 있듯이 리전별 확장 프로그램은 선별된 Google Cloud 리전 근처에 배치되어 있으며 관리형 고성능 연결과 지연 시간이 짧은 네트워크 패브릭으로 Google Cloud에 연결된 코로케이션 시설입니다.

그림 1: 베어메탈 솔루션 - Google Cloud에 연결된 리전별 확장 프로그램

이 아키텍처로 인해 개발자는 베어메탈 솔루션 서버와 설계에 포함된 Google Cloud 구성요소를 모두 보호하는 방법을 고려해야 합니다. 다행스럽게도 Google Cloud는 베어메탈 솔루션에서 다음 구성요소를 제공하고 관리합니다.

• 안전하고 제어된 환경 시설 및 전력을 포함한 핵심 인프라
• 물리적 보안
• 네트워크 인프라 및 보안
• 하드웨어 모니터링 기능
• Google Cloud 서비스 액세스
• 단독 테넌시 하드웨어 프로비저닝 및 유지보수
• 로컬 스토리지 영역 네트워크(SAN)
• 스마트한 지원: 하드웨어 교체와 같은 활동 지원

베어메탈 솔루션 환경에서 보안은 공동의 책임입니다. 다행히 자체 보안 권장사항을 가져와 베어메탈 솔루션에서 기본 제공하는 서비스로 보완할 수 있습니다. 그림 2는 제공해야 하는 보안 구성요소와 Google Cloud에서 제공되는 보안 구성요소를 요약해서 보여줍니다.

그림 2: 보안 책임 요약 - 고객 및 Google Cloud

베어메탈 솔루션 환경의 보안 계획

베어메탈 솔루션의 보안 전략을 계획하려면 다음 6가지 보안 핵심 요소를 고려해야 합니다.

1. 물리적 보안
2. 규정 준수
3. 네트워크 보안
4. 데이터 보안
5. 운영 보안
6. 데이터베이스 보안

각 보안 요소를 자세히 살펴보겠습니다.

물리적 보안

베어메탈 솔루션의 물리적 구성요소는 공급업체에서 실행하는 리전별 확장 프로그램(코로케이션 시설)에 있습니다. 지연 시간이 짧은 고속 Partner Interconnect 연결은 리전별 확장 프로그램을 가장 가까운 Google Cloud 리전에 연결합니다.

공급업체는 전원, 냉각, 랙 및 스택, 스토리지 관리와 같은 리전별 확장 및 시설을 관리합니다. 또한 공급업체는 다음을 포함하되 이에 국한되지 않는 업계 표준 물리적 보안 및 안전 기능을 유지합니다.

• 케이지에는 보안 slab-to-slab 벽 또는 메시 상단이 있습니다.
• 각 시설의 비디오 카메라는 케이지와 통로 및 문을 연중무휴 24시간 모니터링합니다. 카메라는 각 케이지, 모든 통로, 모든 입구와 출구에 대한 명확한 시야를 제공합니다.
• 시설의 모든 문은 적절하게 닫혔는지 확인하는 경보 장치가 있습니다.
• 케이지로 입장하는 사람은 리전별 확장 조정팀으로부터 사전 승인을 받아야 하며 리전별 확장 보안 팀을 통해 적절한 액세스 권한을 부여받아야 합니다.
• 리전별 확장 조정팀은 방문당 개별 티켓으로 모든 액세스를 관리합니다.
• 시설은 권한이 있는 직원들이 시설에 들어가기 위해 생체 인식 잠금 장치를 사용하고 나갈 때는 배지를 사용하도록 요구합니다.
• 모든 랙이 잠겨 있습니다. 전자 키 보관함은 제한된 '사용 필요성'에 따라 승인된 직원에게 특정 랙의 키를 배포합니다. 키 보관함은 랙 액세스도 추적합니다.
• 코로케이션 보안팀은 PCI 및 ISO 규정 준수 인증 요구사항에 따라 액세스를 관리하고 보고를 유지합니다.
• 다른 물리적 보안 조치는 업계 권장사항 및 관련 규제 요건에 부합합니다.

규정 준수

베어메탈 솔루션은 ISO, PCI DSS, HIPAA 등의 업계 인증뿐 아니라, 해당하는 경우 리전 인증을 통해 까다로운 규정 준수 요구사항을 충족합니다. 규정 준수에 대한 자세한 내용은 규정 준수 리소스 센터를 참조하세요.

네트워크 보안

네트워크 보안은 그림 3과 같이 2단계로 제공됩니다.

1. Layer 3 VLAN 연결은 Google Virtual Private Cloud를 베어메탈 솔루션 에지 라우터의 고유 가상 라우팅 및 전달 인스턴스(VRF)에 연결합니다.

2. 베어메탈 솔루션 환경 내에서 레이어 2 VLAN은 데이터에 필요한 보안 및 격리를 제공합니다. 클라이언트 서브넷을 사용하여 Google Cloud에 연결하고 비공개 서브넷(선택사항)을 사용하여 자체 서비스 및 스토리지를 호스팅합니다.

그림 3: 베어메탈 솔루션 환경의 네트워크 보안

베어메탈 솔루션 환경 내에서 Google Cloud API를 사용하여 Google Cloud 서비스에 액세스하는 경우 Google Cloud는 기본적으로 베어메탈 솔루션과 특정 서비스 간의 데이터 전송을 암호화 정책에 따라 암호화합니다. 예를 들어 gsutil 유틸리티 또는 API를 사용하여 Cloud Storage에 데이터를 백업하는 경우 기본적으로 베어메탈 솔루션에서 Cloud Storage로의 데이터 전송은 데이터 암호화를 사용합니다.

비공개 Google 액세스로 보안 경계 적용

비공개 Google 액세스(또는VPC 서비스 제어)을 사용하면 Google Cloud 서비스의 민감한 정보 주위에 보안 경계를 정의할 수 있으며 다음과 같은 이점이 있습니다.

• 데이터 무단 반출 위험을 완화합니다. 데이터 무단 반출은 권한이 있는 사람이 데이터가 속한 보안 시스템에서 데이터를 추출하여 승인되지 않은 제3자와 공유하거나 안전하지 않은 시스템으로 이동하는 경우에 발생합니다.
• 온프레미스에서 비공개로 Google Cloud 서비스에 액세스합니다.
• 인터넷에서 컨텍스트 인식 액세스를 적용합니다.
• 중앙 위치에서 보안 정책을 관리합니다.

베어메탈 솔루션을 사용하면 Partner Interconnect를 통해 Google Cloud의 클라우드 기반 및 확장형 서비스를 활용할 수 있습니다. VPC 서비스 제어 기반 경계를 사용 설정하면 BigQuery 및 Cloud Storage와 같은 모든 Google Cloud 서비스에 대한 액세스가 인터넷에 데이터 무단 반출 없이 발생합니다.

Google API에 대한 비공개 액세스를 설정하려면 온프레미스 호스트의 비공개 Google 액세스 구성을 참조하세요. 그림 4는 비공개 Google 액세스의 예시입니다.

그림 4: 베어메탈 솔루션 환경의 비공개 Google 액세스

데이터 보안

베어메탈 솔루션 환경에서 데이터 보안을 계획할 때는 암호화된 데이터가 저장되는 방식과 Google Cloud 또는 온프레미스 데이터 센터에서 실행되는 애플리케이션을 보호하는 방법을 알아야 합니다.

저장소 암호화

기본적으로 베어메탈 솔루션은 저장 데이터를 암호화합니다. 다음은 베어메탈 솔루션 환경의 저장 데이터 암호화에 대한 몇 가지 사실입니다.

• 스토리지를 프로비저닝하기 위해 각 고객의 NetApp 클러스터에 스토리지 가상 머신(SVM)을 만들고 SVM을 제공하기 전에 예약된 데이터 볼륨과 연결합니다.
• 암호화된 데이터 볼륨을 만들 때 암호화 프로세스는 고유한 XTSAES-256 데이터 암호화 키를 생성합니다. Google에서는 키를 사전 생성하지 않습니다.
• SVM은 멀티테넌트 환경에서 격리를 제공합니다. 각 SVM은 단일 독립 서버로 표시되며, 이를 통해 여러 SVM이 클러스터에 공존할 수 있고 SVM 간에 데이터가 전송되지 않습니다.
• 키는 일반 텍스트로 표시되지 않습니다. NetApp 온보딩 키 관리자는 키를 저장, 관리, 보호합니다.
• Google Cloud 또는 공급업체 모두 개발자의 키에 액세스할 수 없습니다.
• Netapp 스토리지 클러스터는 운영체제 및 부팅 파티션을 포함한 모든 저장 데이터를 저장하고 암호화합니다.
• 계약이 끝날 때 베어메탈 솔루션 사용을 중지하면 스토리지 볼륨이 재사용되기 전에 7일 동안 암호화하여 삭제하고 격리합니다.

애플리케이션 보안

베어메탈 솔루션을 사용할 때는 Google Cloud 또는 온프레미스 환경에서 실행되는 애플리케이션을 보호할 수 있습니다.

Google Cloud에서 실행되는 애플리케이션

• 베어메탈 솔루션은 리전별 확장 프로그램에서 실행됩니다. 리전별 확장 프로그램과 오고 가는 유일한 네트워크 경로는 고객별 VLAN 연결을 통해 연결된 Google Cloud 리전에 대한 Partner Interconnect뿐입니다.
• 기본적으로 베어메탈 솔루션 서버는 인터넷에 액세스할 수 없습니다. 패치 또는 업데이트와 같은 작업에 인터넷 액세스가 필요한 경우에는 NAT 인스턴스를 만드세요. 자세한 내용은 인터넷 액세스를 참조하세요.
• BGP 세션은 VPC의 Cloud Router와 리전 확장 프로그램의 라우터 간에 동적 라우팅을 제공합니다. 따라서 리전별 확장 프로그램에 연결된 VPC에 리소스를 배치하면 이러한 리소스가 베어메탈 솔루션 서버에 직접 액세스할 수 있습니다. 마찬가지로 새로 추가된 서브넷에서 실행되는 리소스도 베어메탈 솔루션 서버에 액세스할 수 있습니다. 특정 리소스에 대해 액세스를 허용하거나 거부해야 하는 경우 방화벽 정책을 사용하여 모든 베어메탈 솔루션 리소스에 대한 액세스를 허용하는 기본 동작을 제한합니다.

• 그림 5와 같이 VPC 피어링을 사용하여 동일한 프로젝트 또는 다른 프로젝트의 다른 VPC에서 실행되는 리소스가 베어메탈 솔루션 서버에 액세스할 수 있도록 사용 설정합니다. 중복 Cloud Router에서 피어링된 네트워크의 CIDR 범위를 가리키는 커스텀 공지를 추가하세요.

  그림 5: VPC 피어링 및 베어메탈 솔루션 환경

  

• 그림 6에 표시된 것처럼 공유 VPC 아키텍처를 사용하여 여러 프로젝트의 리소스가 베어메탈 솔루션 서버에 액세스하도록 하세요. 이 경우 모든 리소스가 공유 VPC에 연결된 서버에 액세스할 수 있도록 호스트 프로젝트에 VLAN 연결을 만들어야 합니다.

  그림 6: 공유 VPC 및 베어메탈 솔루션 환경

  

• Oracle Recovery Manager(RMAN) 또는 Actifio와 같은 백업 솔루션을 사용하여 데이터베이스를 백업할 수 있습니다. Actifio가 RMAN과 기본적으로 통합되는 방법을 알아보려면 다음 Actifio 가이드를 참조하세요. Cloud Storage에 백업 데이터를 저장하고 복구 시간 목표(RTO) 및 복구 지점 목표(RPO)에 대한 요구사항을 충족하도록 다른 Cloud Storage 등급을 선택할 수 있습니다.

온프레미스에서 실행되는 애플리케이션

• 앞에서 설명한 것처럼 베어메탈 솔루션 리전 확장 프로그램과 주고 받는 유일한 네트워크 경로는 연결된 Google Cloud 리전에 대한 Partner Interconnect뿐입니다. 온프레미스 환경에서 베어메탈 솔루션 서버에 연결하려면 Dedicated Interconnect, Partner Interconnect, 또는Cloud VPN을 사용하여 온프레미스 데이터 센터를 Google Cloud에 연결해야 합니다. 이러한 연결 옵션에 대한 자세한 내용은 네트워크 연결 제품 선택을 참조하세요.
• 온프레미스 네트워크로 가는 경로를 사용 설정하려면 온프레미스 서브넷의 CIDR 범위를 가리키는 커스텀 공지로 중복 Cloud Router를 수정해야 합니다. 방화벽 규칙을 사용하여 서버에 대한 액세스를 허용하거나 차단하세요.

운영 보안

이 가이드의 물리적 보안 섹션에서는 리전별 확장 프로그램 내에서 베어메탈 솔루션 인프라에 대한 액세스를 크게 제한한다는 것을 배웠습니다. Google은 한시적이고 제한적인 '사용 필요성'에 따라 승인된 직원에게 액세스 권한을 제공합니다. Google은 액세스 로그를 감사하고, 이를 분석하여 이상을 감지하며, 연중무휴 모니터링 및 알림을 통해 무단 액세스를 방지합니다.

운영 보안을 위한 몇 가지 옵션이 있습니다. Google Cloud에 기본적으로 통합되는 한 가지 솔루션은 Blue Medora의 Bindplane 제품입니다. Bindplane은 Google Cloud Observability 에이전트와 통합되며 Oracle 데이터베이스와 Oracle 애플리케이션을 포함한 베어메탈 솔루션 인프라에서 측정항목과 로그를 캡처할 수 있게 해줍니다.

Prometheus는 베어메탈 솔루션 인프라와 그 위에서 실행되는 Oracle 데이터베이스를 모니터링하는 데 사용할 수 있는 오픈소스 모니터링 솔루션입니다. 데이터베이스 및 시스템 감사 추적을 Prometheus로 전달할 수 있으며, Prometheus는 의심스러운 활동을 모니터링하고 알림을 전송하는 단일 제어 창구 역할을 합니다.

Oracle Enterprise Manager는 온프레미스 환경에서 자주 사용됩니다. 베어메탈 솔루션 환경에서 OEM을 사용하면 온프레미스 데이터 센터와 동일한 방식으로 모니터링 및 알림 작업을 수행할 수 있습니다.

데이터베이스 보안

베어메탈 솔루션은 최소한의 노력과 학습만으로 사용할 수 있도록 온프레미스 환경과 최대한 비슷하게 설계되었습니다. 따라서 기존 보안 관련 Oracle 데이터베이스 기능, 보안 관행, 프로세스를 베어메탈 솔루션에 쉽게 가져올 수 있습니다. Google Cloud에서 제공하는 보안 기능으로 보안 포트폴리오를 보완할 수 있습니다.

데이터베이스 보안을 위해 사용 설정해야 하는 Oracle의 보안 제어를 살펴보겠습니다. 여기에는 사용자 인증, 승인 및 액세스 제어, 감사, 암호화가 포함됩니다.

사용자 인증

• 기본 인증을 사용하는 경우 복잡성, 길이와 같은 비밀번호 정책을 구현합니다.
• TLS 인증서, Kerberos 또는 RADIUS를 사용하여 인증 시스템을 강화합니다.
• 프록시 기반 인증을 사용하여 데이터베이스 수준에서 인증 및 감사를 사용 설정합니다. 이 방법은 애플리케이션 사용자를 데이터베이스 사용자에게 매핑하지 않도록 선택하고 애플리케이션 수준에서 인증을 사용 설정하는 경우에 유용합니다.

추가적인 인증 권장사항에 대한 상세 설명은 Oracle 데이터베이스 보안 가이드의 인증 구성을 참조하세요.

승인 및 액세스 제어

• 데이터베이스 내에서 식별된 객체 권한, 시스템 권한, 역할을 통해 승인을 관리합니다. Database Vault와 같은 고급 기능을 사용하여 이 방법을 보완할 수도 있습니다.

• 중앙 관리형 사용자(CMU)를 사용하여 사용자 및 그룹을 관리합니다. CMU를 사용하면 기존 Active Directory 인프라를 활용하여 여러 Oracle 데이터베이스에서 데이터베이스 사용자 및 승인 관리를 중앙화할 수 있습니다.

  CMU에 대한 자세한 내용은 Oracle 데이터베이스 보안 가이드의 Microsoft Active Directory를 사용하여 중앙 관리형 사용자 구성을 참조하세요.

• Database Vault를 사용하면 권한이 높은 사용자를 위한 업무 및 액세스 제어를 분리할 수 있습니다.

  Database Vault에 대한 자세한 내용은 Oracle Database Vault 관리자 가이드를 참조하세요.

• 권한 분석 및 데이터 수정과 같은 추가 도구와 기법을 활용합니다.

  • 권한 분석 도구를 사용하면 최종 사용자의 권한 및 역할 사용량을 적극적으로 모니터링할 수 있습니다. 권한 분석에 대한 자세한 내용은 Oracle 데이터베이스 보안 가이드의 권한 분석을 수행하여 권한 찾기를 참조하세요.
  • 데이터를 수정하면 민감한 열 데이터가 삭제되고 필요한 사용자에게만 액세스가 허용됩니다. 데이터 수정에 대한 자세한 내용은 Oracle 데이터베이스 고급 보안 가이드의 Oracle 데이터 수정 사용을 참조하세요.

• Virtual Private Database(VPD) 및 Oracle Label Security(OLS)를 사용하여 사용자 쿼리를 동적으로 수정하여 데이터에 대한 세분화된 액세스 권한을 만드세요. 이러한 도구는 VPD 정책으로 필터링된 행을 제외하고 행 및 사용자 라벨을 관리하여 사용자에게 특정 행에 대한 액세스 권한이 필요한지 여부를 식별합니다.

  • VPD에 대한 자세한 내용은 Oracle 데이터베이스 보안 가이드의 Oracle 가상 사설 데이터베이스를 사용하여 데이터 액세스 제어를 참조하세요.
  • OLS에 대한 자세한 내용은 Oracle 라벨 보안 관리자 가이드를 참조하세요.

• 그룹 및 사용자에게 세분화된 역할 권한을 할당하여 최소 권한의 원칙을 따릅니다.

감사

• 모든 감사 데이터를 통합 감사 추적으로 전송하는 기능인 통합 감사를 활용하세요. 출시 버전 12c에 도입되어 기존 데이터베이스 감사를 대체하는 이 기능은 모든 데이터베이스 관련 감사 이벤트에 대한 중앙 추적 파일을 만들고 감사 보고서 성능을 향상시킵니다.
• 기존 감사 기능을 확장하려면 세분화된 감사(FGA)를 사용 설정하세요. 이 기능은 사용자가 특정 열에 액세스하거나 특정 조건을 충족하는 경우에만 감사 데이터를 캡처합니다.

• 감사 Vault 데이터베이스 방화벽(AVDF)을 사용하여 감사 정책 및 캡처된 이벤트를 관리합니다. ADVF의 주요 사용 사례 중 하나는 SQL 삽입 공격을 방지하는 것입니다. 데이터베이스 방화벽을 설정하여 전체 애플리케이션 수명 주기 동안 데이터베이스에 대해 실행된 모든 SQL 문을 모니터링합니다. 데이터베이스는 신뢰할 수 있는 클러스터 집합을 빌드한 후 데이터베이스 방화벽에 알려지지 않은 SQL 문을 차단합니다.

  자세한 내용은 Oracle 데이터베이스 보안 가이드의 감사를 통한 데이터베이스 활동 모니터링 및 감사 Vault 및 데이터베이스 방화벽 가이드를 참조하세요.

저장 데이터 및 전송 중 데이터 암호화

• 베어메탈 솔루션은 데이터 볼륨당 고유한 AES 256비트 키를 사용하여 저장 데이터를 자동으로 암호화하지만 투명 데이터 암호화(TDE)를 사용 설정하여 암호화 키 수명 주기를 더 세밀하게 제어할 수도 있습니다.
• 기본 네트워크 암호화 또는 전송 계층 보안(TLS) 기반 암호화를 사용하여 클라이언트와 데이터베이스 간의 데이터를 보호합니다.

• Oracle 데이터베이스 데이터에 고객 관리 암호화 키(CMEK)를 사용하는 경우 고급 보안 옵션(ASO)을 사용하여 암호화, 암호화 네트워크 체크섬(읽기 및 쓰기 중의 로그 체크섬과 다름), Data Guard의 기본 시스템과 대기 시스템 사이의 인증 서비스를 사용 설정합니다.

  암호화 옵션에 대한 자세한 내용은 Oracle 데이터베이스 고급 보안 가이드의 투명 데이터 암호화 사용을 참조하세요.

베어메탈 솔루션의 Oracle 데이터베이스 보안에 대해 여기서 언급한 제안 외에도 다른 제안이 있을 수 있습니다. Oracle에서 제공하는 권장사항과 추천을 따르고 특정 비즈니스 및 보안 요구사항에 맞는 적절한 제어를 구현하는 것이 좋습니다.

요약

베어메탈 솔루션은 Google Cloud의 세계로 가는 게이트웨이입니다. 이를 통해 클라우드 미래를 결정, 설계, 계획하는 동안 중요한 워크로드를 있는 그대로 클라우드와 가깝게 마이그레이션하고 실행할 수 있습니다. 베어메탈 솔루션은 이 가이드에 설명된 권장사항, 도구, 기법과 함께 중요 워크로드를 실행할 수 있는 안전하고 견고하고 강력한 플랫폼을 제공합니다.

가장 중요한 것은 이러한 노력이 보안을 희생할 필요가 없다는 것입니다. 베어메탈 솔루션을 구독하면 물리 계층, 스토리지 레이어, 네트워크 계층을 비롯한 여러 기본 제공 보안 레이어로 지원되는 베어메탈 서버를 받게 됩니다. 따라서 베어메탈 솔루션 서비스는 인프라의 모든 단계에서 보안이 통합되어 있어 대규모 보안 성능을 위한 미션 크리티컬 요구사항을 충족합니다.

핵심 내용:

1. 보안은 공동의 책임입니다.
2. 최소 권한의 원칙을 따릅니다.
3. 업무 분리 원칙을 따릅니다.
4. restricted.googleapis.com을 통해 Google Cloud 서비스에 액세스하여 데이터 무단 반출을 방지합니다.
5. 프로젝트에서 비공개 Google 액세스를 사용 설정하여 데이터 무단 반출, 무단 액세스를 완화하고 보안 정책을 중앙에서 제어합니다.
6. Oracle 데이터베이스 보안을 위해 Oracle에서 설정한 권장사항을 따릅니다.