VPC 서비스 제어로 리소스 보호


VPC 서비스 제어를 사용하여 Compute Engine 리소스를 추가로 보호할 수 있습니다.

VPC 서비스 제어를 사용하면 Compute Engine 리소스의 보안 경계를 정의할 수 있습니다. 서비스 경계는 리소스와 관련 데이터의 내보내기와 가져오기를 정의된 경계 내로 제한합니다.

서비스 경계를 만들 때 경계로 보호할 프로젝트를 하나 이상 선택합니다. 동일한 경계 내에 있는 프로젝트 간의 요청은 영향을 받지 않습니다. 관련된 리소스가 동일한 서비스 경계 내에 있는 한 모든 기존 API는 계속 작동합니다. IAM 역할 및 정책은 서비스 경계 내에서 계속 적용됩니다.

서비스가 경계로 보호되는 경우 경계 내부 서비스는 경계 외부 리소스에 요청을 할 수 없습니다. 여기에는 경계 내부에서 외부로 리소스 내보내기가 포함됩니다. 특정 기준을 충족하는 경우 보호된 리소스를 경계 외부에서 요청할 수 있습니다. 자세한 내용은 VPC 서비스 제어 문서의 개요를 참조하세요.

서비스 경계를 위반하는 요청을 하는 경우 다음 오류와 함께 실패합니다.

"code": 403, "message": "Request is prohibited by organization's policy."

보안 이점

VPC 서비스 제어는 다음과 같은 보안 이점을 제공합니다.

  • 방화벽 규칙 변경과 같은 민감한 Compute Engine API 작업에 대한 액세스를 승인된 네트워크에서의 비공개 액세스 또는 허용 목록에 포함된 IP 주소로 제한할 수 있습니다.
  • Compute Engine 영구 디스크 스냅샷 및 커스텀 이미지를 경계로 제한할 수 있습니다.
  • Compute Engine 인스턴스 메타데이터는 제한된 스토리지 시스템 역할을 합니다. Compute Engine API를 통한 인스턴스 메타데이터 액세스는 서비스 경계 정책에 의해 제한되므로 이 채널을 사용한 유출 위험을 완화할 수 있습니다.

또한 이제 제한된 가상 IP(VIP)에서 Compute Engine API에 액세스할 수 있습니다. 이렇게 하면 이 API에 액세스해야 하는 경계 내 클라이언트의 Cloud DNS 및 라우팅 구성이 간소화됩니다.

제한사항

  • 계층식 방화벽은 서비스 경계의 영향을 받지 않습니다.
  • VPC 피어링 작업은 VPC 서비스 경계 제한을 적용하지 않습니다.
  • 공유 VPC의 projects.ListXpnHosts API 메서드는 반환된 프로젝트에 서비스 경계 제한을 적용하지 않습니다.

권한

조직의 VPC 서비스 제어 경계 구성을 관리할 수 있는 적절한 역할이 있는지 확인합니다.

서비스 경계 설정

VPC 서비스 제어 문서의 서비스 경계 만들기 안내에 따라 서비스 경계를 설정합니다.

Google Cloud CLI를 사용하여 서비스 경계를 설정하는 경우 --restricted-services 플래그와 함께 compute.googleapis.com을 지정하여 Compute Engine API를 제한합니다.

기존 경계에 Compute Engine을 제한된 서비스로 추가

기존 서비스 경계가 있고 Compute Engine을 해당 서비스 경계에 추가하려면 VPC 서비스 제어 문서의 서비스 경계 업데이트에 있는 안내를 따르세요.

VPC 서비스 제어를 사용하여 VM 만들기

서비스 경계를 설정한 후에는 요청에서 영향을 받는 리소스가 동일한 서비스 경계에 포함되는 한 기존 API 호출 또는 도구를 변경할 필요가 없습니다. 예를 들어 다음 명령어는 예시 이미지가 있는 VM 인스턴스를 만듭니다. 이 경우 IMAGE_PROJECT가 서비스 경계 밖에 있고 프로젝트 사이에 서비스 경계 브리지가 없으면 명령어가 실패합니다.

gcloud compute instances create new-instance \
    --image-family IMAGE_FAMILY --image-project IMAGE_PROJECT \
    --zone us-central1-a --machine-type n1-standard-72

인스턴스 템플릿에서 VM을 만들 경우 인스턴스 템플릿에서 참조되는 모든 리소스는 명령어를 실행 중인 동일한 서비스 경계 내에 속하거나 서비스 경계 브리지를 사용하여 연결되어야 합니다. 인스턴스 템플릿 자체가 경계 내에 있더라도 인스턴스 템플릿이 서비스 경계 외부의 리소스를 참조하면 요청이 실패합니다.

경계 내부의 Cloud KMS 키를 사용해서 경계 외부에 Compute Engine 디스크를 만드는 경계 외부의 Compute Engine 클라이언트 시나리오 예시는 인그레스 및 이그레스 규칙 조합으로 허용된 API 요청 예시를 참조하세요.

공개 이미지 프로젝트

Google은 인스턴스의 공개 이미지 세트를 제공하고 유지관리합니다. 공개 이미지 프로젝트는 모든 보안 경계에 암시적으로 포함됩니다. 이러한 이미지를 사용하기 위한 추가 작업은 필요 없습니다.

다음은 모든 보안 경계에 자동으로 포함되는 프로젝트 목록입니다.

  • centos-cloud
  • cos-cloud
  • debian-cloud
  • fedora-cloud
  • fedora-coreos-cloud
  • rhel-cloud
  • rhel-sap-cloud
  • rocky-linux-cloud
  • opensuse-cloud
  • suse-cloud
  • suse-byos-cloud
  • suse-sap-cloud
  • ubuntu-os-cloud
  • ubuntu-os-pro-cloud
  • windows-cloud
  • windows-sql-cloud

이 목록에 없는 이미지 프로젝트를 사용 중이고 이미지 프로젝트를 보안 경계에 직접 포함하지 않기로 선택하는 경우, 먼저 별도의 프로젝트에 사용할 모든 이미지의 사본을 만든 다음 해당 프로젝트를 보안 경계에 포함하는 것이 좋습니다.

VPC 서비스 제어를 사용하여 이미지 복사

두 프로젝트가 모두 동일한 서비스 경계에 속하는 경우 한 프로젝트에서 다른 프로젝트로 이미지를 복사할 수 있습니다. 이 예시에서 요청이 작동하려면 DST_PROJECTSRC_PROJECT가 모두 동일한 서비스 경계에 속해야 합니다.

gcloud compute images create --project DST_PROJECT IMAGE_NAME \
   --source-image SOURCE_IMAGE --source-image-project SRC_PROJECT \
    --family IMAGE_FAMILY --storage-location LOCATION

이미지 프로젝트를 보안 경계에 직접 포함하지 않기로 선택하는 경우 먼저 별도의 프로젝트에 사용할 모든 이미지의 사본을 만든 다음 해당 프로젝트를 보안 경계에 포함하는 것이 좋습니다.

VPC 서비스 제어를 사용하는 공유 VPC

공유 VPC를 사용할 때 지정된 작업에 관련된 모든 프로젝트에 적용되는 서비스 경계 제한입니다. 즉, 호스트 프로젝트와 서비스 프로젝트에 분산된 리소스가 작업에 포함되는 경우 호스트 프로젝트와 서비스 프로젝트가 같은 서비스 경계 내에 있는지 확인하는 것이 좋습니다.

VPC 네트워크 피어링

VPC 네트워크 피어링을 사용하면 별도의 두 조직 간 VPC 네트워크 피어링이 가능합니다. 서비스 경계는 조직 내의 프로젝트로 제한되므로 VPC 네트워크 피어링에 영향을 주지 않습니다.

계층식 방화벽

계층식 방화벽은 프로젝트 외부(폴더 또는 조직 수준)에서 구성되는 방화벽입니다. 서비스 경계 제한은 경계 내의 프로젝트 집합에 적용되므로 계층식 방화벽에는 적용되지 않습니다.

관리형 인스턴스 그룹

관리형 인스턴스 그룹은 VM 인스턴스 그룹을 단일 항목으로 관리하는 데 도움이 됩니다. 관리형 인스턴스 그룹(MIG)은 인스턴스 템플릿을 사용하여 VM을 만들며, 이미지 또는 프로젝트 간 네트워크 및 하위 네트워크에 대한 모든 제한이 적용됩니다. 즉, 다른 프로젝트의 이미지를 사용할 경우 프로젝트가 동일한 경계에 속하는지 확인하거나 필요한 이미지를 다른 프로젝트에 복사한 다음 해당 프로젝트를 서비스 경계에 포함하세요. Google에서 관리하는 공개 이미지 프로젝트는 모든 서비스 경계에 자동으로 포함됩니다.

공유 VPC에 인스턴스 그룹을 사용하려면 프로젝트가 동일한 보안 경계에 있어야 합니다.

다음 단계