Cloud Next Generation Firewall 침입 방지 서비스는 Google Cloud 워크로드 트래픽에 악의적인 활동이 있는지를 지속적으로 모니터링하고 이를 방지하도록 사전 조치를 취합니다. 악의적인 활동에는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 및 제어 공격과 같은 위협이 포함될 수 있습니다.
Cloud NGFW 침입 방지 서비스는 패킷 가로채기 기술을 사용하여 구성된 위협 서명에 대해 워크로드를 투명하게 검사하고 위협으로부터 보호하는 Google 관리 영역 방화벽 엔드포인트를 만들어 작동합니다. 이러한 위협 방지 기능은 Palo Alto Networks 위협 방지 기술을 기반으로 합니다.
Cloud NGFW는 다음과 같은 위협 서명 카테고리를 지원합니다.
- 스파이웨어 방지
- 취약점 보호
- 바이러스 백신 (알림만 해당)
위협 카테고리에 관한 자세한 내용은 기본 위협 서명을 참고하세요.
침입 방지 서비스는 Cloud Next Generation Firewall Enterprise 기능의 일부로 제공됩니다. 자세한 내용은 Cloud NGFW Enterprise 및 Cloud NGFW 가격 책정을 참고하세요.
이 문서에서는 다양한 Cloud NGFW 침입 방지 서비스 구성요소와 이러한 구성요소가 가상 프라이빗 클라우드(VPC) 네트워크에서 Google Cloud 워크로드에 대한 고급 보호 기능을 제공하는 방법을 간략하게 설명합니다.
침입 방지 서비스 작동 방식
침입 방지 서비스는 다음 순서로 트래픽을 처리합니다.
방화벽 정책 규칙은 네트워크의 가상 머신(VM) 인스턴스나 Google Kubernetes Engine(GKE) 클러스터와 주고받는 트래픽에 적용됩니다.
일치하는 트래픽을 가로채고 패킷을 레이어 7 검사를 위해 방화벽 엔드포인트로 전송합니다.
방화벽 엔드포인트에서 패킷에서 구성된 위협 서명을 스캔합니다.
위협이 감지되면 보안 프로필에 구성된 작업이 해당 패킷에서 수행됩니다.
그림 1에서는 침입 방지 서비스의 배포 모델을 간략하게 설명합니다.
이 섹션의 나머지 부분에서는 침입 방지 서비스를 설정하는 데 필요한 구성요소와 구성을 설명합니다.
보안 프로필 및 보안 프로필 그룹
Cloud NGFW는 보안 프로필과 보안 프로필 그룹을 참조하여 위협 방지 서비스에 대한 심층 패킷 검사를 구현합니다.
보안 프로필은 침입 방지 서비스에서 특정 위협 방지 시나리오를 재정의하는 데 사용되는 일반 정책 구조입니다. 침입 방지 서비스를 구성하려면
threat-prevention
유형의 보안 프로필을 정의합니다. 보안 프로필에 대한 자세한 내용은 보안 프로필 개요를 참조하세요.보안 프로필 그룹에는
threat prevention
유형의 보안 프로필이 포함됩니다. 침입 방지 서비스를 구성하기 위해 방화벽 정책 규칙은 네트워크 트래픽에 대한 위협 감지 및 방지를 사용 설정하도록 이러한 보안 프로필 그룹을 참조합니다. 보안 프로필 그룹에 대한 자세한 내용은 보안 프로필 그룹 개요를 참조하세요.
방화벽 엔드포인트
방화벽 엔드포인트는 같은 영역에서 트래픽을 검사할 수 있는 특정 영역에 생성된 조직 수준 리소스입니다.
침입 방지 서비스의 경우 방화벽 엔드포인트는 가로채기된 트래픽에 위협이 있는지 스캔합니다. 위협이 감지되면 해당 패킷에서 위협과 관련된 작업이 수행됩니다. 이 작업은 기본 작업이거나 threat-prevention
보안 프로필의 작업(구성된 경우)일 수 있습니다.
방화벽 엔드포인트 및 구성 방법에 대한 자세한 내용은 방화벽 엔드포인트 개요를 참조하세요.
방화벽 정책
방화벽 정책은 VM을 드나드는 모든 트래픽에 직접 적용됩니다. 계층식 방화벽 정책 및 전역 네트워크 방화벽 정책을 사용하여 레이어 7 검사로 방화벽 정책 규칙을 구성할 수 있습니다.
방화벽 정책 규칙
방화벽 정책 규칙을 사용 설정하면 가로채기와 검사를 수행할 트래픽 유형을 제어할 수 있습니다. 침입 방지 서비스를 구성하려면 다음을 수행할 방화벽 정책 규칙을 만듭니다.
여러 레이어 3 및 레이어 4 방화벽 정책 규칙 구성요소를 사용하여 검사할 트래픽 유형을 식별합니다.
일치하는 트래픽의 경우
apply_security_profile_group
작업의 보안 프로필 그룹 이름을 지정합니다.
침입 방지 서비스 워크플로는 침입 방지 서비스 구성을 참조하세요.
방화벽 규칙에서 보안 태그를 사용하여 침입 방지 서비스를 구성할 수도 있습니다. 네트워크에서 태그를 사용하여 설정한 세분화를 빌드하고 트래픽 검사 로직을 개선하여 위협 방지 서비스를 포함할 수 있습니다.
암호화된 트래픽 검사
Cloud NGFW는 선택한 암호화된 트래픽 위협을 검사하도록 전송 계층 보안(TLS) 가로채기 및 복호화를 지원합니다. TLS를 사용하면 인터넷에서 송수신되는 트래픽과 Google Cloud 내 트래픽을 포함하여 인바운드 및 아웃바운드 연결 모두 검사할 수 있습니다.
Cloud NGFW의 TLS 검사에 대한 자세한 내용은 TLS 검사 개요를 참조하세요.
Cloud NGFW에서 TLS 검사를 사용 설정하는 방법은 TLS 검사 설정을 참조하세요.
위협 서명
Cloud NGFW 위협 감지 및 방지 기능은 Palo Alto Networks 위협 방지 기술을 기반으로 합니다. Cloud NGFW는 네트워크를 보호하는 데 도움이 되도록 사전 정의된 심각도 수준을 사용하는 기본 위협 서명 집합을 지원합니다. 또한 보안 프로필을 사용하여 이러한 위협 서명과 연결된 기본 작업을 재정의할 수 있습니다.
위협 서명에 대한 자세한 내용은 위협 서명 개요를 참조하세요.
네트워크에서 감지된 위협을 보려면 위협 보기를 참조하세요.
제한사항
Cloud NGFW는 점보 프레임 최대 전송 단위(MTU)를 지원하지 않습니다.
방화벽 엔드포인트는 X-Forwarded-For(XFF) 헤더를 무시합니다. 따라서 이러한 헤더는 방화벽 규칙 로깅에 포함되지 않습니다.