보안 & 아이덴티티

Google Cloud Armor: 웹사이트와 애플리케이션을 보호하는 3가지 주요 기능 소개

2020년 10월 20일

Emil Kiner

Senior Product Manager

Google Cloud 사용해 보기

$300의 무료 크레딧과 20개 이상의 항상 무료인 제품으로 Google Cloud 사용을 시작해보세요.

* 본 아티클의 원문은 2020년 7월 28일 Google Cloud 블로그(영문)에 게재되었습니다.

끝이 보이지 않는 수많은 위협 속에서 웹사이트와 애플리케이션을 안전하게 유지하는 일은 지속적으로 해결해야 하는 과제입니다. Google은 업무상 중요한 워크로드를 안전하고 효율적으로 운영하는 동시에 업무 부담을 줄이기 위해 노력하고 있습니다. 올해 상반기에는 WAF 규칙, 지역 기반 액세스 제어, 커스텀 규칙 언어, CDN 원본 서버 지원, 하이브리드 배포 시나리오 지원을 포함하여 Google Cloud Armor에서 일반적으로 사용할 수 있는 몇 가지 중요한 기능을 개발했습니다.

Google Cloud Next ’20: OnAir에서는 악의적인 이용 시도와 DDoS 공격으로부터 웹사이트와 애플리케이션을 보호하기 위해 Cloud Armor 사용 방법을 간소화하는 내용을 발표합니다.

예측 가능한 월 구독료로 인터넷 연결 애플리케이션을 보호하도록 도와주는 제품과 서비스의 번들인 Cloud Armor Managed Protection Plus의 베타 출시 버전을 발표합니다.
Google에서 선별한 명명된 IP 목록을 베타 버전으로 제공합니다.
원격 파일 포함(RFI), 로컬 파일 포함(LFI), 원격 코드 실행(RCE)에 대한 베타 규칙을 출시하여 사전 구성된 WAF 규칙의 집합을 계속 확장하고 있습니다

Cloud Armor: DDoS Prevention and WAF.

Cloud Armor Managed Protection Plus 소개

Cloud Armor Managed Protection Plus는 Google의 네트워크 에지와 Google Cloud 전반의 제품 및 서비스 집합을 활용하여 애플리케이션을 DDoS 공격과 타겟팅된 악의적인 이용 시도로부터 보호합니다. 이제 Managed Protection을 통해 Google이 인터넷에서 애플리케이션과 업무상 중요한 서비스를 악의적인 활동으로부터 보호하기 위해 사용하는 것과 동일한 기준과 전문성을 활용할 수 있습니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Managed_Protection_tiers.max-700x700.jpg

Managed Protection 등급(베타 버전에 등록한 고객에게 표시됨)

Managed Protection은 Standard와 Plus라는 두 가지 서비스 등급으로 제공됩니다. 기존의 모든 Cloud Armor 사용자와 글로벌 부하 분산기의 워크로드는 자동으로 Managed Protection Standard에 등록됩니다. 이 수준에서는 전 세계적으로 부하가 분산된 모든 애플리케이션 및 서비스에 대한 Google 규모의 볼륨 및 프로토콜 기반 DDoS 보호 기능은 물론, 규칙, 정책, 요청에 따라 사용량에 기반한 가격 책정이 적용되는 사전 구성된 WAF 규칙을 포함한 Cloud Armor WAF 및 레이어 7(L7) 필터링 기능을 이용할 수 있습니다.

현재 베타 버전인 Cloud Armor Managed Protection Plus는 예측 가능하고 기업에 적합한 월별 가격 책정 모델이 적용된 구독 서비스로서, 대규모 L7 DDoS 공격으로부터 방어하는 과정에서 발생할 수 있는 비용 위험을 완화합니다. Managed Protection Plus는 DDoS 보호, Cloud Armor WAF, 기타 향후의 부가가치 서비스를 간소화하고 번들로 제공합니다. Managed Protection Plus를 구독하는 고객은 배포 규모에 따라 예측 가능한 월별 가격으로 DDoS 및 WAF 서비스와 선별된 규칙 집합에 액세스할 수 있습니다. Cloud Armor WAF 사용량이 Managed Protection Plus에 포함되어 있으므로 구독자는 처리되는 쿼리 수나 L7 공격 규모에 대해 더 이상 걱정할 필요가 없습니다. 또한 Managed Protection Plus 구독자는 명명된 IP 목록과 향후 Google에서 선별한 규칙 집합 및 서비스를 포함하여 계속 추가되는 고급 기능 목록도 액세스할 수 있습니다. 베타 버전에 액세스하려면 프로젝트를 등록하세요.

Managed Protection Plus 구독(베타 버전에 등록한 고객에게 표시됨).

명명된 IP 목록 소개

현재 베타 버전인 명명된 IP 목록은 정책과 프로젝트에서 참조하고 재사용할 수 있는 사전 구성된 IP 주소의 목록이 포함된 Google에서 선별한 규칙 집합입니다. 우선 많은 사용자가 Cloud Armor 보안 정책을 통해 허용하고자 하는 일반적인 업스트림 서비스 제공업체의 소스 IP 범위가 포함된 명명된 IP 목록을 제공하는 것으로 시작합니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/Named_IP_List_DUL6IPH.max-1200x1200.jpg

명명된 IP 목록

고객은 종종 업스트림 제공업체에서 들어오는 트래픽을 허용하는 대규모 IP 범위 집합을 사용하여 Cloud Armor 보안 정책을 구성해야 합니다. 명명된 IP 목록을 사용하면 고객이 더 이상 업스트림 제공업체의 IP 주소 목록을 직접 관리할 필요가 없으며 IP 목록을 선별하고 최신 상태로 유지하는 작업을 Google에게 맡길 수 있습니다. Google은 고객이 서비스 제공업체의 소스 IP 목록 변경을 추적할 필요 없이 Cloud Armor 보안 정책을 통해 타사 서비스의 트래픽을 원활하게 허용할 수 있도록 하기 위해 점점 늘어나는 서비스 제공업체의 목록을 처리하고 있습니다.

고객은 이러한 명명된 IP 목록을 참조하고 커스텀 규칙을 생성할 수 있습니다. 기본 IP 목록은 타사 서비스 제공업체의 API와 정기적으로 동기화되어 최신 상태로 유지됩니다.

새로운 WAF 규칙: RFI, LFI, RCE

Google은 사전 구성된 WAF 규칙의 범위를 모든 Cloud Armor 고객으로 확장하려는 노력의 일환으로 RFI, LFI, RCE 규칙을 베타 버전으로 제공하고 있습니다. 통상적으로 이러한 규칙에는 ModSecurity 핵심 규칙 집합의 업계 표준 서명이 포함되어 있어 명령어 삽입 클래스 취약점을 완화하는 동시에 OWASP 상위 10가지 취약점에 대한 기본 적용 범위도 강화합니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/New_WAF_rules_lfwoFni.max-1200x1200.jpg

다른 사전 구성된 WAF 규칙과 마찬가지로 새로운 규칙은 수십 개의 하위 서명을 포함하며 최종 사용자가 애플리케이션별로 조정할 수 있습니다. 일반적인 경우와 같이 요청별 로깅, 실시간에 가까운 요청 볼륨 측정항목, 상호 관련된 보안 발견 항목을 포함한 다양한 원격 분석 집합이 각각 Cloud Logging, Cloud Monitoring, Cloud Security Command Center로 전송됩니다.

결론

Google Cloud Armor는 빠르게 증가하는 고객의 업무상 중요한 워크로드 집합을 보호하는 동시에 Google Cloud 배포를 위한 PCI DSS와 같은 규정 준수 요구사항을 지원하는 데 도움을 줍니다. 이번 주에 발표된 기능과 서비스를 통해 업스트림 파트너 및 서비스 제공업체와 통합할 때 배포를 단순화하고 운영 오버헤드를 줄일 수 있습니다.

추가 리소스:

게시 위치