[Cloud Armor 시리즈 1] Cloud Armor 정책의 종류와 이해
Jinhyun Lee (이진현)
Customer Engineer, Network Specialist
Cloud Armor 시리즈는 총 3부로 진행되며 본 블로그인 ‘Cloud Armor 정책의 종류와 이해’ 를 시작으로, ‘Cloud Armor 의 보안 규칙 사용하기’, ‘Cloud Armor 의 이벤트 확인하기' 의 순서로 진행 됩니다.
Cloud Armor 의 시작에 앞서
Google Cloud Armor 는 Google Cloud 의 네트워크 보안 서비스 입니다. 분산 서비스 거부 공격 (DDoS), 크로스 사이트 스크립트(XSS), SQL 인젝션 (SQLi) 등과 같은 여러 유형의 공격으로 부터 애플리케이션을 보호하며, 다양한 트래픽 제어와 필터링 규칙을 위한 Web Application Filtering (WAF) 기능을 제공합니다.
Cloud Armor 의 설정은 다음과 같은 순서로 진행 됩니다.
보안 정책 선택 (Security Policy) -> 보안 규칙 설정 (Rule) -> 대상 서비스 지정 (Target)
사용자는 Cloud Armor 의 보안 규칙과 적용에 앞서 아래 그림1 과 같이 우선 Cloud Armor 가 제공하는 3가지 보안 정책 타입 중 하나를 선택해야 하며, 보안 정책 타입이 적절하게 선택 되어야 기대되는 보호 기능이 구현될 수 있습니다. 따라서 Cloud Armor 를 시작하고 정책을 구성하기 위해서는 먼저 각 보안 정책 타입에 대한 이해가 필요 합니다.
그림 1. Cloud Armor 설정에서 지원하는 3가지 보안 정책 타입
Backend Security Policy - 백엔드 보안 정책
Cloud Armor 의 구성은 Google Cloud 의 부하 분산기 (Cloud Load Balancer) 와 긴밀한 연관성을 가지고 있습니다. Backend Security Policy 는 외부 부하 분산기 (External Load Balancer) 와 연결되어 있는 백엔드 서비스를 보호하기 위한 보안 정책이며 대부분의 구성에서 사용되는 정책 입니다. 기본적인 IP 기반의 필터링 뿐만 아니라 헤더 및 페이로드 정보를 기반으로 하는 L7 필터링 등 다양한 WAF 규칙을 적용할 수 있습니다. 아래와 같은 외부 부하 분산기와 연결되어 있는 애플리케이션을 보호하기 위해 Backend Security Policy 를 사용 합니다.
- 전역 외부 애플리케이션 부하 분산기 (Global External Application Load Balancer)
- 기본 외부 애플리케이션 부하 분산기 (Classic External Application Load Balancer)
- 리전 외부 애플리케이션 부하 분산기 (Regional External Application Load Balancer)
- 기본 프록시 네트워크 부하 분산기 (Classic Proxy Network Load Balancer)
Edge Security Policy - 에지 보안 정책
Edge Security Policy 는 Google Cloud 글로벌 네트워크의 가장 바깥쪽인 인터넷 경계 구간에서 동작하며 Cloud CDN 서비스의 보호를 위해 사용 됩니다. 사용자의 컨텐츠 요청이 Compute Engine 혹은 Cloud Storage 의 버켓 등과 같은 백엔드 서비스에 해당 요청이 유입되기 전, 인터넷 경계 구간에서 트래픽을 차단할 수 있으며 필요에 따라 Backend Security Policy 와 함께 사용할 수 있습니다.
Edge Security Policy 는 다음의 부하 분산기에 적용 됩니다.
- 전역 외부 애플리케이션 부하 분산기 (Global External Application Load Balancer)
- 기본 외부 애플리케이션 부하 분산기 (Classic External Application Load Balancer)
Edge Security Policy 와 Backend Security Policy 의 정책의 차이점과, 두 정책을 같이 사용할 경우 적용의 순서는 아래 그림2 에서 확인할 수 있습니다.
그림 2. Edge Security Policy 와 Backend Security Policy 의 동작 구조
Network Edge Security Policy - 네트워크 에지 보안 정책
Network Edge Security Policy 는 앞서 Edge Security Policy 와 유사하게 인터넷 경계 구간에서 동작하는 보안 정책이며 인터넷에 직접 연결되어 있는 아래와 같은 리소스들을 보호하기 위해 사용할 수 있는 보안 정책 입니다.
- 패스스루 부하 분산기 (Passthrough Load Balancer)
- 포워딩 룰 (Forwarding Rule)
- 공인 아이피를 사용하는 VM (VM with Public IP)
Network Edge Security Policy 의 동작 구성은 아래 그림3 에서 확인할 수 있습니다.
그림 3. Network Edge Security Policy 의 동작 구조
마치며
지금까지 살펴 본 바와 같이 Cloud Armor 의 3가지 보안 정책은 서비스의 구성에 따라 적절히 선택이 되어야 원하는 보안 기대효과를 구현할 수 있습니다.
보안 정책에 대한 좀 더 상세한 내용은 Security Policy Overview 에서 확인 하시기 바랍니다.
보안 정책의 선택이 끝났으면, 이제 트래픽을 필터링 하고 애플리케이션을 보호할 수 있는 구체적인 기능을 설정 할 차례입니다. 다음 블로그에서는 Cloud Armor 가 제공하는 룰에 대해 살펴보도록 하겠습니다.