BeyondCorp Enterprise를 클라우드 리소스에 적용

시작하기 전에

앱과 리소스를 컨텍스트 인식으로 만들기 전에 다음을 수행해야 합니다.

1. 조직에 Cloud ID 사용자 계정이 아직 없는 경우 Cloud ID 계정을 몇 개 만듭니다.

2. 보호할 리소스를 결정합니다. 리소스가 없는 경우 다음 중 하나를 구성합니다.

   • Google Cloud에서 HTTPS 부하 분산기 뒤에서 실행되는 웹 앱. 여기에는 App Engine 앱, 온프레미스에서 실행되는 앱, 다른 클라우드에서 실행되는 앱이 포함됩니다.
   • Google Cloud의 가상 머신

3. 액세스 권한을 부여하고 제한할 주 구성원을 결정합니다.

Google Workspace 앱을 안전하게 보호하는 방법은 Google Workspace BeyondCorp Enterprise 개요를 참조하세요.

IAP로 앱 및 리소스 보안

IAP(Identity-Aware Proxy)는 HTTPS 및 TCP에서 액세스하는 앱과 리소스를 위한 중앙 ID 인식 레이어를 설정합니다. 따라서 네트워크 수준의 방화벽을 사용하는 대신 개별 앱 및 리소스에 대한 액세스를 제어할 수 있습니다.

다음 가이드 중 하나를 선택하여 Google Cloud 앱과 모든 리소스를 보호합니다.

• App Engine 표준 및 가변형 환경
• Compute Engine
• Google Kubernetes Engine

온프레미스뿐만 아니라 다른 클라우드와 같은 Google Cloud 이외의 환경으로 IAP를 확장할 수도 있습니다. 자세한 내용은 온프레미스 앱 보안 가이드를 참조하세요.

자세한 내용은 IAP 문서를 참조하세요.

가상 머신 리소스

터널 리소스 권한을 설정하고 IAP를 통해 TCP 트래픽을 가상 머신 인스턴스로 라우팅하는 터널을 만들어 백엔드에서 SSH 및 RDP와 같은 관리 서비스에 대한 액세스를 제어할 수 있습니다.

가상 머신을 보호하려면 가상 머신 보안 가이드를 참조하세요.

Access Context Manager로 액세스 수준 만들기

IAP를 통해 앱과 리소스를 보호했으면 이제 액세스 수준으로 더 다양한 액세스 정책을 설정할 수 있습니다.

Access Context Manager는 액세스 수준을 만듭니다. 액세스 수준은 다음 속성을 기반으로 액세스를 제한할 수 있습니다.

• IP 서브네트워크
• 리전
• 액세스 수준 종속 항목
• 주 구성원
• 기기 정책(엔드포인트 확인을 설정해야 합니다.)

액세스 수준 만들기 가이드에 따라 액세스 수준을 만듭니다.

액세스 수준 적용

IAP 보안 리소스의 Identity and Access Management(IAM) 정책에 적용하기 전에는 액세스 수준이 적용되지 않습니다. 이 단계는 리소스에 대한 액세스 권한을 부여하는 데 사용되는 IAP 역할에 IAM 조건을 추가하여 수행됩니다.

액세스 수준을 적용하려면 액세스 수준 적용을 참조하세요.

액세스 수준을 적용하면 이제 BeyondCorp Enterprise로 리소스가 보호됩니다.

엔드포인트 확인을 사용하여 기기 트러스트 및 보안 사용 설정

BeyondCorp Enterprise 보안 리소스의 보안을 더욱 강화하기 위해 액세스 수준을 사용하여 기기 기반 트러스트 및 보안 액세스 제어 속성을 적용할 수 있습니다. 엔드 포인트 확인은 이 컨트롤을 사용 설정합니다.

엔드포인트 확인은 Windows, Mac, Chrome OS 기기용 Chrome 확장 프로그램입니다. Access Context Manager는 액세스 수준으로 세분화된 액세스 제어를 시행하기 위해 엔드포인트 확인에서 수집한 기기 속성을 참조합니다.

엔드포인트 확인 빠른 시작을 따라 조직의 엔드포인트 확인을 설정합니다.