IAM·액세스 위험·클라우드 거버넌스, 무엇이 새로워졌을까요?
Abhishek A Hemrajani
Senior Director, Product Management, Google Cloud Security
* 해당 블로그의 원문은 2025년 5월 2일 Google Cloud 블로그(영문)에 게재되었습니다.
Google Cloud의 핵심 사명 중 하나는 끊임없이 변화하는 여러분의 정책, 규정 준수 및 비즈니스 목표를 달성하도록 지원하는 것입니다. 클라우드 환경의 보안을 더욱 강화하기 위해 저희는 클라우드 플랫폼에 새로운 보안 제어 기능과 역량을 지속적으로 제공하고 있습니다.
저희는 Google Cloud Next에서 IAM(신원 및 액세스 관리), 액세스 위험 및 클라우드 거버넌스 포트폴리오의 여러 새로운 기능을 발표했습니다. 이번 발표에는 다음과 같은 Google Cloud의 광범위한 신규 제품 기능과 보안 강화 사항이 포함되었습니다.
-
신원 및 액세스 관리 (Identity and Access Management, IAM)
-
VPC 서비스 제어(VPC Service Controls), 컨텍스트 인식 액세스(Context-Aware Access), ID 위협 탐지 및 대응(Identity Threat Detection and Response)을 포함한 액세스 위험 관리 제품
-
조직 정책 서비스(Organization Policy Service)를 통한 클라우드 거버넌스
-
리소스 관리(Resource Management)
또한 애플리케이션 수명 주기의 모든 단계에서 클라우드 개발자와 운영자를 지원하는 새로운 AI 기능도 발표했습니다. 이러한 새로운 기능은 애플리케이션 중심 접근 방식을 취하며, Gemini Code Assist 및 Gemini Cloud Assist의 새로운 기능을 통해 애플리케이션 개발 수명 주기 전반에 AI 지원을 통합합니다.
IAM(신원 및 액세스 관리), 액세스 위험 및 클라우드 거버넌스 포트폴리오
신원 및 액세스 관리(IAM)의 새로운 기능
Workforce Identity Federation (워크포스 ID 연동)
Workforce Identity Federation은 Google Cloud의 ID 기능을 확장하여 동기화 없이 속성 기반의 싱글 사인온(SSO)을 지원합니다. 현재 95% 이상의 Google Cloud 제품이 Workforce Identity Federation을 지원합니다. 또한 FedRAMP High 정부 요구사항에 대한 지원도 출시하여 규정 준수 요구사항 관리 및 충족을 지원합니다.
비인간(non-human) ID 보안 강화
마이크로서비스의 증가와 멀티클라우드 배포의 대중화로 인해, 비인간 ID 및 워크로드 ID는 인간 ID보다 훨씬 빠르게 급증하고 있습니다. 다수의 대기업은 현재 인간(사용자) ID보다 10배에서 45배 더 많은 비인간 ID를 보유하고 있으며, 종종 광범위한 권한과 특권을 가지고 있습니다.
비인간 ID 보안은 Google Cloud의 핵심 목표이며, 권한 부여 및 액세스 보호 강화를 위해 다음과 같은 두 가지 새로운 기능을 발표합니다.
- 워크로드 인증을 더욱 강화하기 위한 X.509 인증서를 사용한 Google Cloud API로의 키 없는 액세스
-
SPIFFE(Secure Production Identity Framework For Everyone) 표준 기반의 관리형 워크로드 ID(Managed Workload Identities) (프리뷰). 이를 통해 워크로드 간 통신(예: Google Compute Engine 및 Google Kubernetes Engine 간)을 위한 안전한 ID 확인, 인증 및 상호 TLS(mTLS) 암호화가 가능합니다
멀티클라우드를 위한 클라우드 인프라 권한 관리(CIEM)
보안 업계 전반에서 저희는 과도하고 종종 불필요하게 광범위하게 부여된 권한 문제에 직면하고 있습니다. Google Cloud에서는 모든 계층에 걸쳐 포괄적인 방어를 제공하는 동시에 권한 확산을 제어하는 데 도움이 되는 도구를 통해 이러한 권한 문제를 선제적으로 해결하기 위해 노력하고 있습니다.
권한 문제 해결을 위한 핵심 도구인 클라우드 인프라 권한 관리(CIEM)는 이제 Azure(프리뷰)에서도 사용할 수 있으며, Google Cloud 및 AWS에서는 정식 버전으로 제공됩니다.
IAM 관리 센터(IAM Admin Center)
또한 역할에 맞춰 맞춤 설정되고 권장 사항, 알림 및 진행 중인 작업을 보여주는 단일 통합 관리 환경인 IAM 관리 센터를 발표했습니다. 콘솔에서 직접 다른 서비스로 바로 이동할 수도 있습니다.
IAM 관리 센터는 조직 관리자와 프로젝트 관리자에게 IAM 기능을 발견, 학습, 테스트 및 사용할 수 있는 통합된 보기를 제공할 것입니다. 기능에 대한 상황별 검색 기능을 제공하고, 일상적인 작업에 집중할 수 있도록 지원하며, 시작을 위한 선별된 가이드와 지속적인 학습을 위한 리소스를 제공할 것입니다.
여기에서 액세스를 요청하여 등록할 수 있습니다.
기존 IAM 기능 향상
추가적으로, 다른 IAM 기능들도 지원 범위와 기능의 깊이가 향상되었습니다.
- 이전에 저희는 리소스 액세스에 대한 정책 기반 가드레일을 설정하는 강력한 메커니즘인 IAM Deny 정책 및 주 구성원 액세스 경계(PAB) 정책을 발표했습니다. 이러한 중요한 제어 기능이 서비스 범위와 채택률 면에서 계속 성장함에 따라, 이제 계획을 단순화하고 영향을 시각화하는 도구가 필요하게 되었습니다. 이를 해결하기 위해 Deny 시뮬레이터, PAB 시뮬레이터 및 두 기능 모두를 위한 문제 해결을 출시했습니다.
- 권한 있는 액세스 관리자(PAM)는 이제 각 레벨에 최대 2개의 레벨과 여러 주 구성원을 포함하는 다단계 승인 기능을 제공합니다. 또한 필요한 폴더, 프로젝트, 리소스 및 역할의 하위 집합에만 권한 부여 범위를 지정하는 권한 부여 맞춤 설정 기능도 발표했습니다. 알겠습니다. 요청하신 IAM(신원 및 액세스 관리)의 새로운 기능에 대한 전체 텍스트를 한국어로 번역해 드리겠습니다.
액세스 위험(Access Risk)의 새로운 기능
포괄적인 보안은 올바른 권한을 갖추고 활성 세션에 참여 중인 인증된 사용자와 워크로드에 대해서도 지속적인 모니터링 및 제어를 요구합니다. Google Cloud의 액세스 위험 포트폴리오는 사용자와 워크로드, 데이터 주변에 추가적인 보안 제어 계층을 적용하는 동적 기능을 제공합니다.
향상된 액세스 및 세션 보안
현재 여러분은 사용자 ID, 네트워크, 위치, 기업 관리 기기 등의 속성을 기반으로 Google Cloud에 대한 액세스를 보호하기 위해 컨텍스트 인식 액세스(Context-Aware Access, CAA)를 사용할 수 있습니다.
곧 CAA는 의심스러운 출처의 활동이나 새로운 지리적 위치에서의 활동과 같은 수많은 활동 신호를 사용하여 위험한 행동을 자동으로 식별하고, 다단계 인증(MFA), 재인증 또는 거부와 같은 메커니즘을 통해 추가 보안 검증을 실행하는 ID 위협 탐지 및 대응(ITDR) 기능으로 더욱 강화될 예정입니다.
또한, 사용자가 결제 계정 업데이트와 같이 매우 민감한 작업을 수행할 때 재인증 요청을 실행하는 자동 재인증 기능도 발표했습니다. 이 기능은 기본적으로 활성화되며, 선택적으로 비활성화할 수 있지만 계속 켜두시는 것을 강력히 권장합니다.
VPC 서비스 제어(VPC Service Controls) 적용 범위 확대
VPC Service Controls lets you create perimeters that protect your resources and data, and for services that you explicitly specify. To speed up diagnosis and troubleshooting when using VPC Service Controls, we launched Violation Analyzer and Violation Dashboard to help you diagnose an access denial event.
What’s new in Cloud Governance with Organization Policy Service
Expanded coverage for Custom Organization Policy
Google Cloud’s Organization Policy Service gives you centralized, programmatic control over your organization's resources. Organization Policy already provides predefined constraints, but for greater control you can create custom organization policies. Custom organization policy has now expanded service coverage, with 62 services supported.
Google Cloud Security Baseline
Google Cloud strives to make good security outcomes easier for customers to achieve. As part of this continued effort, we are releasing an updated and stronger set of security defaults, our Google Cloud Security Baseline. These were rolled out to all new customers last year — enabled by default — and based on positive feedback, we are now recommending them to all existing customers.
Starting this year, existing customers are seeing recommendations in their console to adopt the Google Cloud Security Baseline. You also have access to a simulator that tests how these constraints will impact your current environment.
What’s new with resource management
App-enablement with Resource Manager
We also extended our application centric approach to Google Cloud’s Resource Manager. App-enabled folders, now in preview, streamline application management by organizing services and workloads into a single manageable unit, providing centralized monitoring and management, simplifying administration, and providing an application-centric view.
You can now enable application management on folders in a single step.
Learn more
To learn more, you can view the Next ‘25 session recording with an overview of these announcements.
