Cloud Firewall 위협 인텔리전스 및 위치정보 기반 정책 기능 정식 버전 출시
Faye Feng
Product Manager
Google Cloud Firewall은 Google의 소프트웨어 정의 네트워크 패브릭에 내장되어 있으며 각 워크로드에 적용되는 완전 분산형 스테이트풀(Stateful) 검사 방화벽 엔진입니다. Cloud Firewall을 통해 보안 상황을 강화하고 간소화할 수 있으며 클라우드 워크로드를 위한 제로 트러스트(Zero Trust) 네트워크를 구현할 수 있습니다.
앞서 Cloud Firewall 제품에 대한 몇 가지 개선사항 및 확장 소식을 전해드린 바 있습니다. 오늘 Google에서는 다음과 같은 Cloud Firewall 기능의 정식 버전이 출시되었다는 기쁜 소식을 전해드립니다.
- Cloud Firewall을 위한 위협 인텔리전스(Threat Intelligence): Google이 빌드하고 유지관리하는 선별된 위협 인텔리전스 목록
- 위치정보(geo-location) 객체: 특정 위치정보를 기반으로 트래픽 필터링
- 주소 그룹: 사용자가 정의한 IP 또는 IP 범위 모음
- 로컬 IP 범위: 대상 워크로드에 대한 세밀한 제어
이러한 기능은 아래 그래픽에 표시된 두 가지 등급인 Essentials(기본 기능 집합)와 Standard(규칙 기능 확장)에서 제공됩니다. 이제 이러한 기능을 Cloud 콘솔, 명령줄 인터페이스, API를 통해 활성화할 수 있습니다.
Cloud Firewall을 위한 위협 인텔리전스
Cloud Firewall을 위한 위협 인텔리전스는 클라우드 워크로드에 대해 악성 트래픽을 식별 및 차단하거나 알려진 정상 트래픽을 허용하는 데 도움이 될 수 있습니다. 이 기능을 사용하면 Google, 서드 파티, 오픈소스 데이터베이스를 조합하여 선별된 위협 인텔리전스 데이터 목록으로 방화벽 규칙을 강화할 수 있습니다. 이러한 목록은 Google Cloud Threat Intelligence 연구원들이 유지관리하고 지속적으로 업데이트하여 방화벽 규칙을 최신 상태로 유지해 줍니다.
예를 들어 Cloud Firewall을 위한 위협 인텔리전스를 사용하면 알려진 악성 IP 주소를 차단하여 공격자가 네트워크에 침입하는 것을 방지하거나 검색엔진 크롤러와 같은 신뢰할 수 있는 소스에서 전송되는 정상 트래픽을 허용할 수 있습니다.
위치정보 객체
IP 주소 범위는 전 세계적으로 끊임없이 변화하고 있습니다. 위치정보 객체를 도입하면 기본 IP가 변경되더라도 지정된 지리적 위치의 트래픽을 차단할 수 있습니다. Google이 국가와 IP 주소 매핑을 빌드하고 유지관리하므로 사용자는 이러한 정보를 관리하는 비용과 노력을 줄일 수 있습니다. 이 기능을 사용하면 특정 위치의 트래픽을 차단하여 규정 준수를 시행할 수 있습니다.
주소 그룹
주소 그룹을 사용하면 방화벽 규칙의 설정과 관리를 간소화할 수 있습니다. 동일한 소스 IP 또는 대상 IP 집합을 참조하는 여러 규칙을 만드는 것은 일반적인 방화벽 관리 작업입니다. 이전에는 사용자가 이러한 IP 범위 집합을 별도로 유지관리하고 이를 참조하는 각 규칙에 IP 범위를 수동으로 입력해야 했습니다.
주소 그룹은 IP 또는 IP 범위 집합의 모음입니다. 주소 그룹을 사용하면 자체 주소 그룹을 프로젝트 또는 조직 수준에서 유지하고, 여러 다른 방화벽 규칙에서 동일한 객체를 다시 사용할 수 있으며, 새 네트워크 방화벽 정책에서도 사용할 수 있습니다. 이렇게 하면 방화벽 규칙을 관리하는 시간과 노력이 줄어들고, 일관성이 보장되며, 방화벽 구성을 간편하게 파악하고 문제를 해결하여 오류를 줄이는 데 도움이 될 수 있습니다.
로컬 IP 범위
방화벽 규칙 구성의 경우 적용할 규칙의 대상 태그나 서비스 계정을 지정할 수도 있습니다. 방화벽 규칙 구성에 태그나 서비스 계정이 있는 경우 특정 태그 또는 서비스 계정이 있는 워크로드만 규칙의 영향을 받게 됩니다. 이전에는 태그 또는 서비스 계정을 지정하면 대상 워크로드의 IP 주소를 더 이상 사용할 수 없었습니다. 예를 들어 대상 워크로드가 여러 IP가 할당된 GKE 노드인 경우 이전 구성에서는 특정 IP의 트래픽만 허용하는 것이 불가능했습니다.
이제 Cloud Firewall의 로컬 IP 범위가 정식 버전으로 제공된다는 소식을 전하게 되어 기쁩니다. 사용자는 로컬 IP 범위 지원을 통해 인그레스 방화벽 규칙에 대상 IP를 구성하여 가상 머신(VM) 인터페이스의 특정 IP만 타겟팅하는 인그레스 트래픽을 허용할 수 있습니다. 로컬 IP 범위는 인그레스 및 이그레스 규칙의 소스 IP와 대상 IP 범위 모두에서 사용할 수 있으므로 게이트웨이 스타일 엔드포인트를 통해 트래픽을 필터링할 수 있습니다. 이 작업은 인그레스 규칙의 대상 IP와 이그레스 규칙의 소스 IP를 포함하는 대칭 방화벽 규칙을 구성하여 수행할 수 있습니다.
Forrester Wave™ IaaS 플랫폼 네이티브 보안
이 제품은 '2023년 2분기 The Forrester Wave™: Infrastructure as a Service(IaaS) 플랫폼 네이티브 보안' 보고서의 일환으로 평가되었으며, 이 평가에서 Google은 리더로 선정되었습니다. The Forrester Wave에서는 각 공급업체의 현재 제품, 제공 제품, 전략, 시장 점유율을 기반으로 주요 클라우드 플랫폼 제공업체의 시장 진출 현황과 클라우드 중심 보안 기능을 평가했습니다. Google Cloud는 전략 카테고리에서 8개 공급업체 중 최고점을 받았으며 Wave에서 평가한 22개 기준에서 5점 만점에 5점을 획득했습니다.
보고서에는 다음과 같이 평가했습니다. "Google은 확실한 관리자 IAM 기능과 강력한 하이퍼바이저 및 컨피덴셜 컴퓨팅 보안을 제공합니다. 웹 애플리케이션 방화벽과 세그멘테이션/마이크로세그멘테이션을 비롯한 네트워크 보안은 경쟁업체보다 앞서 있습니다." 보고서에 대한 자세한 내용은 여기에서 확인하세요.
다음 단계 수행
Cloud Firewall은 고급 보호 기능을 갖춘 확장 가능한 클라우드 중심 스테이트풀(Stateful) 검사 방화벽 서비스를 사용하여 클라우드 워크로드에 대해 제로 트러스트 네트워크 상태로 마이그레이션하는 데 도움이 될 수 있습니다. 완전 분산형 아키텍처를 사용하면 Cloud Firewall이 VM 수준에서 적용되는 세분화된 제어를 통해 마이크로세그멘테이션을 지원할 수 있습니다. 이제 정식 버전으로 제공되는 Cloud Firewall Standard의 최신 업데이트로 방화벽 관리를 간소화하여 클라우드 워크로드를 보호하도록 지원하는 기능이 추가로 제공됩니다.
자세히 알아보려면 여기에서 문서를 확인하여 클라우드 환경에서 기능을 활성화하거나 Cloud 콘솔에서 시작하세요.
