보안 & 아이덴티티

[BeyondCorp Enterprise 시리즈] Zero Trust 기반의 접속 단말기 통제 2

2023년 11월 29일

Jinwon Seo

Security Specialist

개요

1편에서는 운영체제 속성을 설정하는 액세스 수준 객체 생성을 살펴보았습니다. 이번 글에서는 해당 객체를 활용해서 단말 속성 기반 접근통제 정책을 수립하고 검증하는 절차를 알아봅니다.

통제용 그룹 생성

구글 클라우드 콘솔 로그인 통제는 사용자가 속한 그룹 단위로 설정합니다. 그러므로 단말기 통제가 필요한 사용자 역시 반드시 통제 대상 그룹에 포함되어야 합니다. 구글 클라우드 사용자는 여러 그룹에 포함될 수 있습니다. 사용자가 여러 그룹에 포함되어 있다고 하더라도 콘솔 통제는 설정한 그룹 사용자에게 모두 적용되므로 다른 그룹을 고민할 필요가 없습니다.

보안 정책에 적용한 그룹에만 접근통제가 적용되므로, 접근통제가 필요한 사용자는 반드시 통제 대상 그룹에 추가해야 합니다. 사용자 그룹은 Cloud 웹 콘솔 또는 관리자 콘솔에서 모두 생성할 수 있습니다.

클라우드 웹 콘솔 -> IAM 및 관리자 -> 그룹으로 이동하여 만들기를 선택합니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Zero_Trusted_Security_2_1.max-1300x1300.png

그룹 이름을 입력하고 통제 대상 사용자를 추가합니다. 예제에서는 1명을 추가하였습니다.

BCE 정책 적용

Access level과 그룹을 생성하였으므로 이제 접근 통제 정책을 적용할 수 있습니다. 클라우드 웹 콘솔 -> 보안 -> BeyondCorp Enterprise 메뉴로 이동합니다. 프로젝트 선택 기가 조직으로 설정되었다면 프로젝트 선택페이지가 나오며, 트라이얼 신청 화면이 보입니다. 사용자가 BeyondCorp Enterprise Premium의 트라이얼을 직접 활성화시킬 수 있습니다. 클라우드 웹 콘솔 접근 통제를 적용하려면 상단에 위치하는 “Cloud 콘솔 및 API에 대한 액세스 관리 ”를 클릭합니다.

웹 콘솔 접근통제는 조직 수준의 설정입니다. 프로젝트에서 해당 메뉴를 선택하더라도 콘솔 화면은 자동으로 조직 수준으로 이동하여 아래와 같은 페이지를 보여줍니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Zero_Trusted_Security_2_2.max-1100x1100.png

액세스 관리를 클릭하여 설정화면으로 이동합니다. 설정 화면에서 추가를 선택해서 새로운 Cloud Console 및 API의 액세스 관리 정책을 추가합니다. 구글 그룹스에 통제용으로 생성한 그룹을 선택하고 관리자 승인과 운영체제 정책을 설정한 액세스 수준을 선택하고 저장합니다.

사용자별 단말 승인

관리자가 정책설정을 완료하면 사용자는 승인 대상 단말기에서 로그인을 시도합니다. 예제에서 사용하는 단말은 MacOS 14.1.1을 사용하고 있는 MacBook 랩탑입니다. 아직 관리자의 기기 승인이 이루어지지 않았기 때문에 최초 접속시에는 [그림 9]와 같이 Cloud 웹 콘솔 접속이 차단됩니다. 이후 관리자가 해당 단말기를 확인하고 승인하면 접속이 가능하게 됩니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Zero_Trusted_Security_2_3.max-1700x1700.png

관리자는 기기 승인을 위해서 구글 관리자 화면(https://admin.google.com)에 접속합니다. Admin 콘솔 -> 기기 -> 모바일 및 엔드포인트 -> 기기 승인 메뉴로 이동합니다. 필터에서 상태를 승인대기중으로 선택하면 아래와 같은 목록을 확인할 수 있습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Screenshot_2023-11-29_3.24.16_PM.max-1000x1000.png

목록 오른쪽에 마우스를 오버하면 사용자 설정 메뉴를 확인할 수 있습니다. 관리자는 승인대상 기기가 맞는지 확인하고 기기승인을 클릭합니다. 이제 해당 단말기는 관리자의 승인을 얻은 단말기로 전환됩니다.

정책 최종 점검

보안 정책 적용을 완료하면 승인된 단말기에서만 사용자가 Cloud 웹 콘솔 접속이 가능한지 검증해야 합니다. 그리고 승인이 필요한 단말기는 구글 관리자 콘솔의 기기 메뉴에서 주기적으로 승인해야 합니다.

마지막으로 Cloud 로깅을 확인하여 로그인 실패를 지속적으로 점검해야 합니다. 로깅 탐색기에서 조직을 선택하고 다음 필터를 적용하면 승인되지 않은 단말기에서 접속하는 로그를 확인할 수 있습니다.

로드 중...

결론

지금까지 BeyondCorp Enterprise Premium 버전을 활용해서 사용자의 접근 단말을 통제하는 방법을 살펴보았습니다. 본 기능을 적용하기 위해서는 BeyondCorp Enterprise Premium를 클라우드 환경에 도입하여 적용해야 합니다.

단말 보안에서 관리자 승인은 특정 단말로만 접속하도록 강제하는 효과가 있으므로 관리자는 이를 적극적으로 활용하여 클라우드 웹 콘솔 접근 통제 정책을 운영해야 합니다. 허용하는 단말 접근은 BeyondCorp Enterprise와 결합하여 강력한 제로 트러스트 접근통제를 제공합니다. 그러므로 사내망에 접속하는 단말을 통제하는 방식은 보안성을 강화하는 훌륭한 방법을 제공할 것입니다.

보안 & 아이덴티티