데이터 무단 반출 방지를 확장하는 VPC 서비스 제어 내 비공개 IP 주소 지원 발표

* 본 아티클의 원문은 2024년 7월 25일 Google Cloud 블로그(영문)에 게재되었습니다.

조직은 Google Cloud의 VPC 서비스 제어를 사용하여 Google Cloud 관리형 서비스에서 데이터가 무단 반출될 리스크를 완화할 수 있습니다. VPC 서비스 제어(VPC-SC)는 Google Cloud 내의 클라우드 리소스 및 네트워크 주변에 격리 경계를 만들어 민감한 정보에 대한 액세스를 제한하는 데 도움이 됩니다. 

오늘 Google Cloud가 VPC 서비스 제어 내에서 비공개 IP 주소를 지원하게 되었다는 기쁜 소식을 전해드립니다. 이 새로운 기능은 특정 내부 네트워크의 트래픽이 보호된 리소스에 액세스할 수 있도록 허용합니다.

VPC-SC를 확장하여 비공개 IP 주소 공간의 리소스 보호

VPC-SC는 승인된 사용자와 리소스만 액세스할 수 있는 경계를 정의하여 승인되지 않은 Google Cloud 조직, 폴더, 프로젝트, 리소스로 데이터가 무단 반출되지 않도록 돕습니다. VPC-SC를 배포하는 고객은 포괄적인 액세스 규칙 기능을 사용하여 Google Cloud 관리형 서비스에 최소 권한 액세스를 적용할 수 있습니다. 새로운 기능을 통해 고객은 식별된 온프레미스 환경에서  서비스 경계 내의 리소스에 대한 액세스를 허용할 수 있게 됩니다. 

특히, 고객이 기본 액세스 수준을 사용하여 VPC 네트워크용 비공개 IP 주소 범위를 지정할 수 있다는 점에 주목해야 합니다. 이 액세스 수준은  인그레스 및 이그레스 액세스 규칙에 연결되어 Google 서비스를 대상으로 세분화된 액세스 제어를 적용하고 고객이 비공개 주소 공간으로 경계를 확장할 수 있도록 합니다.

Google Cloud의 권장사항에 따라 관리와 확장이 쉬운 매크로 또는 '메가' 경계를 사용하는 것이 좋습니다. 더욱 상세한 세분화가 필요한 특정 사용 사례에 해당하는 고객의 경우 비공개 IP로 더 많은 유연성을 누릴 수 있습니다. 

이제부터 VPC-SC 내 비공개 IP 지원으로 더 안전한 아키텍처를 빌드할 수 있는 몇 가지 사용 사례를 소개합니다.

사용 사례: 안전한 클라우드 경계까지 온프레미스 환경 확장하기

VPC-SC는 액세스 목적을 위해 고객의 온프레미스 환경을 하나의 네트워크로 취급합니다. 그 결과 온프레미스 환경 전체에 네트워크 기반 액세스 규칙이 적용됩니다. 이에 따라 일부 고객은 VPC-SC 경계에 특정 온프레미스 클라이언트만 액세스해야 하는 상황에서 액세스 권한을 과도하게 프로비저닝하는 상황을 우려합니다. 온프레미스 환경의 경우 비공개 주소에 기반한 인그레스 및 이그레스 규칙을 사용하여 경계 리소스에 대한 온프렘 워크로드의 액세스 권한을 보다 선택적으로 제공할 수 있습니다. 자세한 내용은 이 동영상을 참조하세요.

사용 사례: 공유 VPC에서 클라우드 프로젝트 분류하기

VPC-SC는 요청 평가의 일환으로 소스 네트워크가 신뢰할 수 있는 경계 내 프로젝트에 속했는지를 확인합니다. 공유 VPC 환경에서는 호스트 프로젝트가 네트워크를 소유하고 서비스 프로젝트에 공유합니다. 이에 따라 고객은 호스트 및 서비스 프로젝트를 서로 다른 경계로 분리할 수 없었습니다. 비공개 주소에 기반한 인그레스 및 이그레스 규칙을 사용하면 호스트 및 서비스 프로젝트를 서로 다른 경계에 배치하고 규칙에 따라 액세스를 허용할 수 있습니다. 또한 리소스가 승인되지 않은 서비스에 노출되지 않게 제한합니다. 자세한 내용은 이 동영상을 참조하세요.

우수사례: MSCI, VPC 서비스 제어로 보안 강화

글로벌 투자 커뮤니티에 중요한 의사 결정 지원 도구 및 서비스를 제공하기로 유명한 MSCI는 클라우드 기술을 단순한 인프라로 사용하지 않습니다. MSCI에 클라우드 기술은 혁신 추진에 필수적인 프레임워크입니다. 

MSCI는 2022년부터 Google Cloud와 협력하여 민첩하고 확장 가능하고 안전한 컴퓨팅을 구현하려고 최선을 다해왔습니다. Compute Engine, BigQuery, Kubernetes Engine 등 여러 서비스를 세심하게 조정하여 혼합한 MSCI의 Google Cloud 환경은 첨단 기술에 대한 MSCI의 헌신에서 비롯되었습니다.

민감한 정보를 보호하면서도 클라우드 확장성의 이점을 활용하기 위해 MSCI는 VPC-SC로 전환했습니다. 이러한 결정은 데이터의 민감성뿐만 아니라 여러 수준에서 데이터를 보호하는 심층 방어 구현이 필요하다는 요구사항에 따른 결과였습니다. 엄격한 이그레스 및 인그레스 제어를 통해 VPC-SC는 Google의 클라우드 중심 제어(IAM, 방화벽 등)에 더하여 추가적인 방어 계층을 MSCI에 제공했습니다. 그러나 MSCI의 경우 비공개 IP를 사용해 서브네트워크 수준에서 액세스 권한을 세분화해야 한다는 특별한 요구사항이 있었습니다. 

MSCI 클라우드 엔지니어링 부문 전무이사 Sandesh D’Souza는 “새롭게 구현된 VPC 비공개 주소 지원 기능을 통해 MSCI는 정확한 조건을 정의하여 VPC 네트워크 내에서 특정 비공개 IP 범위의 보호된 리소스에만 액세스하도록 허용할 수 있게 되었습니다. 이러한 혁신의 결과, MSCI의 보안 구성을 더욱 상세화했습니다. 이 맞춤 솔루션은 특히 비공개 IP 관리 지원 부분에서 조직 보안 저장소의 핵심적인 추가 기능으로 부상했으며, 계획 및 협업 솔루션 빌드와 부합될 때 클라우드 기술의 잠재력이 얼마나 대단한지 보여 주었습니다."라고 말했습니다.

다음 단계

VPC 서비스 제어는 대부분의 Google Cloud 고객을 위한 기본적인 보안 제어입니다. Google Cloud는 비공개 IP 지원을 통해 보다 세분화된 제어를 제공하여 각 고객의 정확한 니즈를 보다 잘 충족할 수 있습니다. 프로덕션 환경에 배포하기 전에 최근 출시된 VPC-SC 테스트 실행 모드를 사용하여 구성을 확인해 보세요. VPC 서비스 제어를 처음 접하는 고객이라면 제품 문서와  개요 동영상을 검토하시는 것이 좋습니다.