30개 이상의 구글 클라우드 서비스를 지원할 수 있도록 확장된 Custom Org Policy! 클라우드 액세스 제어의 새로운 장 열어...
Akshay Datar
Product Manager, Google Cloud
* 해당 블로그의 원문은 2024년 12월 11일 Google Cloud 블로그(영문)에 게재되었습니다.
클라우드 리소스 보호에 있어, 관리자에게 중요한 도구 중 하나로 환경 전체에 일관성 있게 적용할 수 있고, 중앙 집중식으로 관리할 수 있고, 안전하게 배포할 수 있는 리소스 구성에 대한 가드레일 설정 기능을 꼽습니다. 여기서 말하는 가드레일 설정이란 클라우드 환경에서 리소스를 생성하고 관리할 때, 미리 정의된 규칙이나 제약 조건을 설정하여 시스템이 안전하게 운영될 수 있도록 하는 것을 말합니다.
구글 클라우드(Google Cloud)의 Custom Organization Policy는 클라우드 리소스 보호에 도움이 되는 강력한 도구입니다. 관리자는 Custom Organization Policy로 컴퓨팅 인스턴스, 스토리지, 네트워크 등의 클라우드 리소스를 세밀하게 조절하고 제한하여 보안 강화, 규제 준수, 운영 효율 증대 등을 달성할 수 있습니다. 더불어 일반적으로 보안 설정을 강화하면 시스템의 복잡성이 증가하고 개발 속도가 느려질 수 있지만 Custom Organization Policy를 사용하면 개발 작업에 불편을 끼치지 않습니다.
이처럼 유용한 Custom Org Policy가 30개 이상의 구글 클라우드 서비스를 지원한다는 발표가 2024년 12월 11일에 있었습니다.
이번 지원 확장으로 구글 클라우드를 이용하는 조직은 보안을 강화하는 가운데 클라우드 거버넌스 범위를 넓힐 수 있습니다.
확장된 Custom Org Policy로 안전하게 액세스 제어 관리
클라우드 활용이 늘면서 보안 팀은 조직 전체에서 발생하는 모든 새로운 액세스 요청을 관리하는 데 어려움을 겪을 수 있습니다. 효과적으로 클라우드 적용을 확장하려면 조직은 개발자의 권한 부여와 보안 및 규제 사이의 균형을 맞추는 액세스 제어 운영 모델을 구축해야 합니다.
Custom Organization Policy와 IAM 정책을 통합하면 구글 클라우드 리소스 계층 구조(조직, 폴더, 프로젝트)의 원하는 수준에서 IAM 정책에 대한 제한을 설정하고, 후속 IAM 정책 관리를 개발자에게 위임할 수 있습니다. 이러한 환경에서 모든 정책 변경은 설정된 제한을 위반하지 않을 것입니다.
이 기능을 사용하여 관리자는 "이 프로젝트의 리소스에 대해 특정 역할만 부여 허용" 또는 "이 폴더에 대한 정책을 통해 특정 멤버에게만 액세스 부여 허용" 또는 "이 조직의 모든 리소스에 대해 "allUsers" 권한 부여 거부"와 같은 조건부 제한을 적용할 수 있습니다.
이와 같이 제한적인 정책을 사용하면 기존에 적용한 허용 규칙과 관련 없이 특정 리소스에 대한 액세스를 명시적으로 금지할 수 있습니다. 다음은 몇 가지 예입니다.
세분화된 제한 정책을 통해 기존의 허용 규칙에 관계없이 특정 리소스에 대한 액세스를 명시적으로 금지
조직의 모든 리소스에 대해 "allUsers" 권한 부여 거부
또한, Custom Organization Policy는 관리자가 클라우드 환경에서 더욱 세밀하고 유연하게 접근 권한을 관리할 수 있도록 도메인 제한 공유(Domain Restricted Sharing)를 확장합니다. 일례로 조직의 모든 사용자와 특정 파트너 ID, 서비스 계정 또는 서비스 에이전트를 허용하는 정책을 설정할 수 있습니다. 이러한 향상된 유연성을 통해 관리자는 ID를 추가하지 않고도 정책을 더 효과적으로 관리할 수 있습니다.
특정 조직 또는 특정 구성원만 허용
Cloud SQL에 대한 강력한 데이터 거버넌스 구축
데이터 플랫폼 팀은 각 애플리케이션 팀이 다양한 SQL 제품을 사용할 때 보안 모범 사례를 준수하도록 하고 싶어 합니다. Cloud SQL에 대한 Custom Org Policy 지원을 통해 SQL 리소스에 대한 강력한 가드레일을 설정하고 데이터 거버넌스 요구 사항을 해결할 수 있습니다. 다음은 Custom Org Policy와 Cloud SQL의 강력한 조합을 보여주는 사례입니다.
각 애플리케이션 팀이 SQL 인스턴스에 대해 최신 데이터베이스 버전을 사용하도록 보장
모든 데이터베이스 인스턴스에 복잡한 암호 요구 사항을 적용하도록 보장
Yahoo, Custom Org Policy로 보안 강화
Yahoo는 전 세계 수억 명의 사람들에게 서비스를 제공합니다. Yahoo의 클라우드 보안 팀은 보안 및 규제 요구 사항을 충족하기 위해 Org Policy 컨트롤을 적극적으로 사용합니다. Yahoo는 다양한 요구 사항과 인프라를 가지고 있습니다. 이에 따라 Yahoo의 보안 팀은 맞춤형 가드레일을 구축할 수 있는 유연성이 필요했습니다.
2023년 3월 이후 Yahoo의 플랫폼 엔지니어와 정보 보안 팀인 The Paranoids는 구글 클라우드와 협력하여 쿠버네티스 및 기타 클라우드 인프라에 Custom Org Policy를 적용했습니다.
관련해 Yahoo의 시니어 소프트웨어 개발 엔지니어인 Alex Verkhovtsev는 다음과 같이 이야기합니다. "Yahoo는 업계 표준 기준을 초과하는 24개의 Custom Org Policy를 구현하여 GKE 노드에 대한 보안 부팅과 같은 필수 요구 사항을 충족했습니다. Custom Org Policy가 제공하는 향상된 유연성을 활용하는 것 외에도 보안 컨트롤을 안전하게 확장하는 데 도움이 되었습니다. Yahoo의 엔지니어들은 이러한 가드레일이 Yahoo의 많은 정보 보안 정책을 준수하는 것을 자동으로 처리하기 때문에 더 이상 보안 요구 사항에 대해 적극적으로 걱정할 필요가 없습니다. Yahoo의 팀은 이러한 정책을 더욱 강화하고 이제 Cloud SQL, Cloud Run 및 IAM을 커버할 계획입니다. 새로운 제품과 사용 사례가 출시됨에 따라 Yahoo의 플랫폼 팀은 Custom Organization Policy의 추가적인 도입을 계획하고 있습니다. 요약하면, 이를 통해 Yahoo는 보안 태세를 대규모로 강화할 수 있었습니다.”
Custom Org Policy 시작하기
구글 클라우드는 Custom Org Policy를 지원하는 서비스를 지속적으로 확장하고 있으며, 이를 통해 클라우드 리소스를 더욱 효율적이고 유연하게 관리할 수 있습니다.
Custom Org Policy를 시작하려면 사용자 가이드와 개요 비디오를 확인하세요. 지원되는 서비스에 대한 자세한 정보와 사용 가능한 샘플을 확인하려면 링크를 참조바랍니다.
