Google Cloud 네트워크 보안의 핵심 - Cloud NGFW

최근 Generative AI 의 기술이 크게 주목 받으면서 클라우드 환경으로의 전환이 더욱 가속화 되고 있으며 다양한 워크로드와 애플리케이션을 안전하게 보호하고 사이버 위협으로부터 방어하기 위한 차세대 방화벽 (NGFW) 솔루션에 대한 요구사항도 증가하고 있습니다.

Google Cloud 는 이러한 요구에 부응하기 위해 기존 VPC firewall 에서 제공되던 보안 기능에 보다 다양한 차세대 보안 기능이 추가 된 클라우드 네이티브 NGFW 서비스인 Google Cloud NGFW 을 제공하고 있습니다.

Cloud NGFW 은 다음과 같은 장점을 제공합니다.

• Distributed Firewall : Cloud NGFW 은 분산 방화벽 서비스 기반으로 동작합니다. NGFW 의 보안 규칙은 각 워크로드에서 호스트 기반으로 동작하여 보다 정확하고 세분화 된 트래픽 보호를 수행합니다.
• Micro Segmentation : 방화벽 정책과 IAM 기반 태그의 조합은 VPC 네트워크와 조직에서 단일 가상 머신까지 East-West 및 North-South 트래픽을 모두 세밀하게 제어할 수 있습니다.
• 차세대 고급 방화벽 기능 : L3, L4 기반의 기본 방화벽 정책 뿐만 아니라 Geolocation, FQDN, Threat Intelligence, Intrusion Prevention, TLS decryption 등 다양한 차세대 방화벽 기능을 클라우드 환경에서 구현할 수 있습니다.

Cloud NGFW Policy (정책) & Rule (규칙)

Google Cloud NGFW 을 사용하기 위해서는 정책 (Policy) 와 규칙 (Rule), 그리고 이러한 것들이 어떻게 구성되고 동작되는지에 대해 먼저 이해하는 것이 필요합니다.

먼저 Firewall Policy 는 여러 Firewall Rule 들을 그룹화한 하나의 정책 묶음입니다. 이러한 Policy 는 IAM Role 에 따라 아래 그림과 같이 단일 프로젝트 내의 리소스뿐만 아니라 특정 프로젝트들을 그룹화 한 폴더 및 전체 조직에도 한번에 모두 방화벽 정책을 업데이트하고 관리할 수 있는 기능을 제공 합니다. 이를 계층적 정책 (Hierarchical Firewall Policy) 라고 합니다.

Hierarchical Firewall Policy 를 사용할 경우 특정 프로젝트 혹은 폴더, 또는 전체 조직의 리소스에서 필수로 사용해야 할 방화벽 정책과 규칙을 조직의 관리자가 중앙에서 생성하여 배포하고 관리할 수 있습니다.

예를 들어 특정 폴더나 프로젝트에 포함되어 있는 리소스들은 온프레미스와 같은 특정 네트워크와의 통신이나 특정 애플리케이션 통신만 사용하여야 하는 경우, 혹은 L7 inspection 과 같은 고급 기능을 적용해야 할 경우 관리자가 이러한 규칙을 강제하기 위해 Hierarchical Firewall Policy 정책을 사용할 수 있습니다. 그리고 그 외의 트래픽들에 대한 규칙에 대해서는 Allow, Deny 외에 Goto_next 옵션을 통해 하위 정책에서 평가될 수 있도록 규정할 수 있습니다.

Rule 은 방화벽 정책에 의해 평가되어야 할 트래픽의 조건과 이에 대한 조치 방법을 정의합니다. Ingress, Egress 등 트래픽의 방향성과 IP, Protocol, Port number 등의 트래픽 조건을 정의하며 이러한 트래픽에 대한 차단 혹은 허용 여부를 결정하는 규칙입니다.

Rule 은 기존의 VPC Firewall Rule 을 사용하여 L3, L4 기반의 제어를 개별 VPC 단위로 구현할 수 있으나 만약 L7 inspection 등과 같은 NGFW Rule 을 사용하기 위해서는 Firewall Policy 를 사용하여야 합니다.

Cloud NGFW 은 다음과 같은 Service Tier 별로 차별화 된 방화벽 기능을 제공합니다. Cloud NGFW Pricing 페이지에서 보다 자세한 가격 정책을 확인할 수 있습니다.

• Cloud Next Generation Firewall Essentials
• Cloud Next Generation Firewall Standard
• Cloud Next Generation Firewall Enterprise

Cloud NGFW Essentials

Cloud NGFW Essentials 는 Google Cloud 에서 제공하는 기본 방화벽 서비스와 기능들을 제공합니다. 여기에는 다음과 같은 기능들을 포함합니다 :

• VPC Firewall Rule 기능을 이용하여 개별 VPC 단위의 송수신 트래픽을 허용하거나 차단할 수 있으며 Network Tag 및 Service account 기반의 제어를 제공 합니다.
• Global Network Firewall Policy 와 Regional Network Firewall Policy 를 통해 모든 지역 또는 특정 지역에 적용되는 Firewall Policy 를 구분하고 Rule 을 그룹화 할 수 있습니다.
• IAM 관리 태그 (IAM-Governed Tag) 를 사용하여 Google Cloud 의 리소스에 대한 마이크로 세그멘테이션 및 컨트롤을 제공합니다. 기존의 Network Tag 를 대신하여 IAM-Governed Tag 를 사용할 경우 특정 권한을 가진 사용자 (ID) 에서 엄격히 관리됩니다. 네트워크 방화벽 정책 규칙에서 이러한 태그를 참조하여 지역 및 네트워크 전반에서 보다 엄격하고 세분화 된 액세스 제어를 수행할 수 있습니다.

Address Group 기능을 이용하여 다수의 IP Address 혹은 IP Range 를 하나의 오브젝트처럼 사용할 수 있습니다. 기업에서 자체적으로 보유하고 있는 IP 데이터베이스도 Address Group 을 이용하여 방화벽 규칙에 사용할 수 있습니다.

Cloud NGFW Standard

Cloud NGFW Standard 는 악의적인 공격으로부터 Google Cloud 인프라를 보호하는 보다 향상 된 기능을 제공하기 위해 Cloud NGFW Essentials 에서 다음과 같은 기능을 추가로 제공 합니다.

• FQDN (Fully Qualified Domain Name) Object 기반의 방화벽 정책을 제공 합니다. 특정 도메인에 대한 방화벽 규칙을 설정하면 Cloud NGFW 은 해당 도메인에 대한 DNS 쿼리를 수행하여 IP 정보를 획득하여 정책을 평가하므로 보다 간편한 방화벽 정책 설정과 운영을 제공 합니다.
• Threat Intelligence 정책을 제공합니다. 공격에 사용 된 최신의 공격자 IP 리스트를 포함하는 다양한 최신의 IP 데이터베이스를 기반으로 한 차단 정책을 사용하여 인프라를 보호할 수 있습니다.

Geolocation 오브젝트를 이용하여 특정 국가와의 통신을 허용하거나 차단할 수 있습니다.

Cloud NGFW Enterprise

Cloud NGFW Enterprise 는 위협 및 악의적인 공격으로부터 워크로드를 보호하는 고급 Layer 7 보안 기능을 제공합니다. Malware, Spyware 그리고 C2 공격으로 부터의 보호 기능을 제공하는 침입탐지 (IDS) 및 침입 방지 (IPS) 서비스 - Threat Prevention (powered by Palo Alto Networks) 을 암호화 된 트래픽을 복호화 하는 TLS decryption 기능과 함께 제공 합니다.

Threat Prevention 기능을 사용하면 위협 트래픽을 분석하는 Firewall Endpoint 가 자동으로 배포되며 Cloud Native 형태로 동작하게 됩니다. 이는 별도의 토폴로지 구성이나 트래픽 경로 조정을 위한 설정 변경이 필요하지 않으며 간단한 설정을 통해 손쉬운 구성을 제공되며, 워크로드로 전달되는 트래픽을 자동으로 Firewall Endpoint 로 전달하여 공격 트래픽에 대한 탐지와 방어를 제공합니다.

What’s Next?

• Cloud NGFW Document - Cloud NGFW 과 관련된 보다 상세한 정보를 확인해 볼 수 있습니다.
• Cloud NGFW Demo - Cloud NGFW 의 데모 동영상을 확인할 수 있습니다.
• Codelabs - Cloud NGFW 을 직접 배포하고 설정 해 보시기 바랍니다.