URL 필터링 서비스 구성

URL 필터링 서비스를 사용하면 특정 웹 도메인을 차단하거나 허용하여 액세스를 제어할 수 있습니다. 네트워크에서 URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트, 보안 프로필, 보안 프로필 그룹을 비롯한 Cloud Next Generation Firewall 구성요소를 여러 개 설정해야 합니다. 이 문서에서는 이러한 구성요소를 구성하고 URL 필터링 서비스를 사용 설정하는 방법을 설명하는 워크플로를 간략하게 설명합니다.

URL 필터링 서비스에 대해 자세히 알아보려면 URL 필터링 서비스 개요를 참고하세요.

TLS 검사 없이 URL 필터링 서비스 구성

네트워크에서 URL 필터링 서비스를 구성하려면 다음 작업을 실행하세요.

1. URL 필터링을 위한 보안 프로필을 만듭니다.

   특정 도메인에 대한 액세스를 허용하거나 거부하려면 url-filtering 유형의 보안 프로필을 만들고 URL 목록을 사용하여 매처 문자열을 지정합니다.

   자세한 내용은 URL 필터링 보안 프로필 만들기를 참고하세요.

2. 원하는 경우 보안 프로필을 만들어 트래픽에서 위협을 검사할 수 있습니다.

   트래픽에서 보안 위협을 검사하려면 threat-prevention 유형의 보안 프로필을 하나 더 만드세요. 위협 서명 목록을 검토하고 기본 응답을 평가하고 요구사항에 따라 선택한 서명의 작업을 맞춤설정합니다.

   자세한 내용은 위협 방지 보안 프로필 만들기를 참고하세요. 침입 감지 및 방지 서비스에 대한 자세한 내용은 침입 감지 및 방지 서비스 개요를 참고하세요.

3. 보안 프로필 그룹을 만듭니다.

   보안 프로필 그룹은 보안 프로필의 컨테이너 역할을 합니다. 이전 단계에서 만든 보안 프로필을 포함할 보안 프로필 그룹을 만듭니다.

   자세한 내용은 보안 프로필 그룹 만들기를 참고하세요.

4. 방화벽 엔드포인트를 만듭니다.

   방화벽 엔드포인트는 URL 필터링 서비스로 보호하려는 워크로드와 동일한 영역에 만들어야 하는 영역 리소스입니다.

   자세한 내용은 방화벽 엔드포인트 만들기를 참고하세요.

5. 방화벽 엔드포인트를 VPC 네트워크와 연결합니다.

   URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트를 VPC 네트워크와 연결하세요. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다.

   자세한 내용은 방화벽 엔드포인트 연결 만들기를 참고하세요.

6. URL 필터링 서비스를 구성하고 네트워크 트래픽에 적용합니다.

   URL 필터링 서비스를 구성하려면 레이어 7 검사를 사용하여 전역 네트워크 방화벽 정책 또는 계층식 방화벽 정책을 만드세요.

   • 새 전역 방화벽 정책을 만들거나 기존 정책을 사용하는 경우 apply_security_profile_group 작업으로 방화벽 정책 규칙을 추가하고 이전에 만든 보안 프로필 그룹의 이름을 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.

     자세한 내용은 전역 네트워크 방화벽 정책 만들기 및 전역 네트워크 방화벽 규칙 만들기를 참고하세요.

   • 새 계층식 방화벽 정책을 만들거나 기존 정책을 사용하는 경우 apply_security_profile_group 작업이 포함된 방화벽 정책 규칙을 추가합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.

     자세한 내용은 방화벽 규칙 만들기를 참조하세요.

TLS 검사로 URL 필터링 서비스 구성

네트워크에서 전송 계층 보안 (TLS) 검사를 사용하여 URL 필터링 서비스를 구성하려면 다음 작업을 실행하세요.

1. URL 필터링을 위한 보안 프로필을 만듭니다.

   특정 도메인에 대한 액세스를 허용하거나 거부하려면 url-filtering 유형의 보안 프로필을 만들고 URL 목록을 사용하여 매처 문자열을 지정합니다.

   자세한 내용은 URL 필터링 보안 프로필 만들기를 참고하세요.

2. 원하는 경우 보안 프로필을 만들어 트래픽에서 위협을 검사할 수 있습니다.

   트래픽에서 보안 위협을 검사하려면 threat-prevention 유형의 보안 프로필을 하나 더 만드세요. 위협 서명 목록을 검토하고 기본 응답을 평가하고 요구사항에 따라 선택한 서명의 작업을 맞춤설정합니다.

   자세한 내용은 위협 방지 보안 프로필 만들기를 참고하세요. 침입 감지 및 방지 서비스에 대한 자세한 내용은 침입 감지 및 방지 서비스 개요를 참고하세요.

3. 보안 프로필 그룹을 만듭니다.

   보안 프로필 그룹은 보안 프로필의 컨테이너 역할을 합니다. 이전 단계에서 만든 보안 프로필을 포함할 보안 프로필 그룹을 만듭니다.

   자세한 내용은 보안 프로필 그룹 만들기를 참고하세요.

4. 방화벽 엔드포인트를 만듭니다.

   방화벽 엔드포인트는 URL 필터링 서비스로 보호하려는 워크로드와 동일한 영역에 만들어야 하는 영역 리소스입니다.

   자세한 내용은 방화벽 엔드포인트 만들기를 참고하세요.

5. 암호화된 트래픽을 검사할 리소스를 만들고 구성합니다.

   1. 인증 기관(CA) 풀을 만듭니다.

      CA 풀은 공통 인증서 발급 정책과 Identity and Access Management (IAM) 정책이 적용되는 CA의 모음입니다. TLS 검사를 구성하려면 리전별 CA 풀이 있어야 합니다.

      자세한 내용은 CA 풀 만들기를 참조하세요.

   2. 루트 CA를 만듭니다.

      TLS 검사를 사용하려면 루트 CA가 하나 이상 있어야 합니다. 루트 CA는 중간 CA에 서명하고, 중간 CA는 클라이언트의 모든 리프 인증서에 서명합니다. 자세한 내용은 gcloud privateca roots create 명령어 참조 문서를 확인하세요.

   3. 네트워크 보안 서비스 에이전트(P4SA)에 필요한 권한을 부여합니다.

      Cloud NGFW는 TLS 검사를 위한 중간 CA를 생성하기 위해 P4SA가 필요합니다. 서비스 에이전트에는 CA 풀의 인증서를 요청하는 데 필요한 권한이 있어야 합니다.

      자세한 내용은 서비스 계정 만들기를 참고하세요.

6. 리전 TLS 검사 정책을 만듭니다.

   TLS 검사 정책은 암호화된 트래픽을 가로채는 방법을 지정합니다. 리전 TLS 검사 정책은 TLS 검사 구성을 보유할 수 있습니다.

   자세한 내용은 TLS 검사 정책 만들기를 참고하세요.

7. 방화벽 엔드포인트를 VPC 네트워크와 연결합니다.

   URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트를 VPC 네트워크와 연결하세요. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다.

   또한 방화벽 엔드포인트를 TLS 검사 정책과 연결합니다.

   자세한 내용은 방화벽 엔드포인트 연결 만들기를 참고하세요.

8. URL 필터링 서비스를 구성하고 네트워크 트래픽에 적용합니다.

   URL 필터링 서비스를 구성하려면 레이어 7 검사를 사용하여 전역 네트워크 방화벽 정책 또는 계층식 방화벽 정책을 만드세요.

   • 새 전역 방화벽 정책을 만들거나 기존 정책을 사용하는 경우 apply_security_profile_group 작업으로 방화벽 정책 규칙을 추가하고 이전에 만든 보안 프로필 그룹의 이름을 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.

     자세한 내용은 전역 네트워크 방화벽 정책 만들기 및 전역 네트워크 방화벽 정책 규칙 만들기를 참고하세요.

   • 새 계층적 방화벽 정책을 만들거나 기존 정책을 사용하는 경우 apply_security_profile_group 작업이 구성된 방화벽 정책 규칙을 추가합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.

     자세한 내용은 방화벽 규칙 만들기를 참조하세요.

배포 모델 예시

다음 다이어그램은 동일한 리전이지만 서로 다른 영역 두 개의 VPC 네트워크 두 개에 구성된 방화벽 엔드포인트가 여러 개인 URL 필터링 서비스 배포의 예를 보여줍니다.

배포 예시의 구성은 다음과 같습니다.

1. 보안 프로필 그룹 두 개:

   1. Security profile group 1(보안 프로필 Security profile 1 포함)

   2. Security profile group 2(보안 프로필 Security profile 2 포함)

2. 고객 VPC 1 (VPC 1)에는 보안 프로필 그룹이 Security profile group 1로 설정된 방화벽 정책이 있습니다.

3. 고객 VPC 2 (VPC 2)에는 보안 프로필 그룹이 Security profile group 2로 설정된 방화벽 정책이 있습니다.

4. 방화벽 엔드포인트 Firewall endpoint 1은 us-west1-a 영역의 VPC 1 및 VPC 2에서 실행되는 워크로드에 대해 URL 필터링을 수행합니다.

5. 방화벽 엔드포인트 Firewall endpoint 2는 us-west1-b 영역의 VPC 1 및 VPC 2에서 실행되는 워크로드에 사용 설정된 TLS 검사를 사용하여 URL 필터링을 수행합니다.

다음 단계

• 보안 프로필 개요
• 보안 프로필 그룹 개요
• 방화벽 엔드포인트 개요