핵심 용어

이 페이지에서는 Cloud Next Generation Firewall에 적용되는 핵심 용어를 설명합니다. 이러한 용어를 검토하여 Cloud NGFW의 작동 방식과 기본 개념에 대해 자세히 알아보세요.

주소 그룹

주소 그룹은 CIDR 형식의 IPv4 주소 범위 또는 IPv6 주소 범위의 논리적 모음입니다. 주소 그룹을 사용하여 여러 방화벽 규칙에서 참조하는 일관된 소스 또는 대상을 정의할 수 있습니다. 주소 그룹에 대한 자세한 내용은 방화벽 정책의 주소 그룹을 참조하세요.

CIDR 형식

클래스 없는 도메인 간 라우팅(CIDR) 형식 또는 표기법은 IP 주소와 서브넷을 나타내는 방법입니다. 전체 서브넷 마스크를 작성하는 대신 사용할 수 있습니다. IP 주소, 슬래시(/) 및 숫자로 구성됩니다. 숫자는 IP 주소의 네트워크 부분을 정의하는 비트 수를 나타냅니다.

Cloud NGFW

Cloud Next Generation Firewall은 고급 보호 기능, 마이크로 세분화, 광범위한 적용 범위를 갖춘 완전 분산형 방화벽 서비스로, 내부 및 외부 공격으로부터 Google Cloud 워크로드를 보호합니다. Cloud NGFW는 Cloud Next Generation Firewall Essentials, Cloud Next Generation Firewall Standard, Cloud Next Generation Firewall Enterprise의 3가지 등급으로 제공됩니다. 자세한 내용은 Cloud NGFW 개요를 참조하세요.

Cloud NGFW Essentials

Cloud Next Generation Firewall Essentials는 Google Cloud에서 제공하는 기본 방화벽 서비스입니다. 여기에는 전역 네트워크 방화벽 정책 및 리전 네트워크 방화벽 정책, Identity and Access Management(IAM) 제어 태그, 주소 그룹, 가상 프라이빗 클라우드(VPC) 방화벽 규칙과 같은 기능이 포함됩니다. 자세한 내용은 Cloud NGFW Essentials 개요를 참조하세요.

Cloud NGFW Enterprise

Cloud Next Generation Firewall Enterprise는 위협 및 악의적인 공격으로부터 Google Cloud 워크로드를 보호하는 고급 레이어 7 보안 기능을 제공합니다. 여기에는 네트워크에서 멀웨어, 스파이웨어, 명령어 및 제어 공격의 위협을 감지하고 방지하는 전송 계층 보안(TLS) 가로채기 및 복호화를 사용하는 침입 방지 서비스가 포함되어 있습니다.

Cloud NGFW Standard

Cloud NGFW Standard는 Cloud NGFW Essentials 기능을 확장하여 악의적인 공격으로부터 클라우드 인프라를 보호하는 강화된 기능을 제공합니다. 여기에는 방화벽 정책 규칙의 위협 인텔리전스, 정규화된 도메인 이름(FQDN) 객체, 방화벽 규칙의 위치정보 객체와 같은 특성 및 기능이 포함됩니다.

방화벽 엔드포인트

방화벽 엔드포인트는 네트워크에 침입 방지와 같은 레이어 7 고급 보호 기능을 사용 설정하는 Cloud NGFW 리소스입니다. 자세한 내용은 방화벽 엔드포인트 개요를 참조하세요.

방화벽 규칙

방화벽 규칙은 네트워크 보안의 구성 요소입니다. 방화벽 규칙은 가상 머신(VM) 인스턴스로 들어오거나 나가는 트래픽을 제어합니다. 기본적으로 들어오는 트래픽은 차단됩니다. 자세한 내용은 방화벽 정책을 참조하세요.

방화벽 규칙 로깅

방화벽 규칙 로깅을 사용하면 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 예를 들어 트래픽을 거부하도록 설계된 방화벽 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. 방화벽 규칙 로깅은 지정된 방화벽 규칙의 영향을 받는 연결 수를 확인해야 하는 경우에도 유용합니다. 자세한 내용은 방화벽 규칙 로깅을 참조하세요.

방화벽 정책

방화벽 정책을 사용하면 여러 방화벽 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 IAM 역할로 효과적으로 제어할 수 있습니다. 방화벽 정책에는 계층식 방화벽 정책, 전역 네트워크 방화벽 정책, 리전 네트워크 방화벽 정책 등 세 가지 유형이 있습니다. 자세한 내용은 방화벽 정책을 참조하세요.

방화벽 정책 규칙

방화벽 정책 규칙을 만들 때 규칙 역할을 정의하는 구성요소 집합을 지정합니다. 이러한 구성요소는 트래픽 방향, 소스, 대상, 프로토콜 및 대상 포트(프로토콜이 포트를 사용하는 경우)와 같은 레이어 4 특성을 지정합니다. 이러한 구성요소를 방화벽 정책 규칙이라고 합니다. 자세한 내용은 방화벽 정책 규칙을 참조하세요.

FQDN 객체

정규화된 도메인 이름(FQDN)은 인터넷에 있는 특정 리소스의 전체 이름입니다. 예를 들면 cloud.google.com입니다. 방화벽 정책 규칙의 FQDN 객체는 특정 도메인 이름과 주고 받는 트래픽을 필터링합니다. 트래픽 방향에 따라 도메인 이름과 연결된 IP 주소가 트래픽의 소스 또는 대상과 일치합니다. 자세한 내용은 FQDN 객체를 참조하세요.

위치정보 객체

방화벽 정책 규칙에서 위치정보 객체를 사용하여 특정 위치정보 또는 리전을 기반으로 외부 IPv4 및 외부 IPv6 트래픽을 필터링합니다. 위치정보 객체는 다른 소스 또는 대상 필터와 함께 사용할 수 있습니다. 자세한 내용은 위치정보 객체를 참조하세요.

전역 네트워크 방화벽 정책

전역 네트워크 방화벽 정책을 사용하면 모든 리전(전역)에 적용되는 정책 객체로 규칙을 그룹화할 수 있습니다. 전역 네트워크 방화벽 정책을 VPC 네트워크와 연결한 후 정책의 규칙을 VPC 네트워크의 리소스에 적용할 수 있습니다. 전역 네트워크 방화벽 정책 사양 및 세부정보는 전역 네트워크 방화벽 정책을 참조하세요.

계층식 방화벽 정책

계층식 방화벽 정책을 사용하면 1개 이상의 프로젝트에서 여러 VPC 네트워크에 적용할 수 있는 정책 객체로 규칙을 그룹화할 수 있습니다. 계층식 방화벽 정책을 전체 조직 또는 개별 폴더와 연결할 수 있습니다. 계층식 방화벽 정책 사양과 세부정보는 계층식 방화벽 정책을 참조하세요.

Identity and Access Management

Google Cloud의 IAM을 사용하면 특정 Google Cloud 리소스에 대한 세분화된 액세스 권한을 부여하고 다른 리소스에 대한 액세스를 방지할 수 있습니다. IAM은 최소 권한의 보안 원칙을 적용하여 실제로 필요한 것보다 더 많은 권한을 갖지 않도록 합니다. 자세한 내용은 IAM 개요를 참조하세요.

묵시적인 규칙

모든 VPC 네트워크에는 두 가지 묵시적인 IPv4 방화벽 규칙이 있습니다. IPv6가 VPC 네트워크에서 사용 설정된 경우 네트워크에는 2개의 묵시적 IPv6 방화벽 규칙도 있습니다. 이러한 규칙은 Google Cloud 콘솔에 표시되지 않습니다.

네트워크가 생성되는 방법 및 자동 모드 또는 커스텀 모드 VPC 네트워크인지 여부와 관계없이 모든 VPC 네트워크에는 묵시적인 IPv4 방화벽 규칙이 있습니다. 기본 네트워크에는 동일한 묵시적 규칙이 적용됩니다. 자세한 내용은 묵시적 규칙을 참조하세요.

침입 방지 서비스

Cloud NGFW 침입 방지 서비스는 Google Cloud 워크로드 트래픽에 악의적인 활동이 있는지를 지속적으로 모니터링하고 이를 방지하도록 사전 조치를 취합니다. 악의적인 활동에는 네트워크에 대한 침입, 멀웨어, 스파이웨어, 명령어 및 제어 공격과 같은 위협이 포함될 수 있습니다. 자세한 내용은 침입 방지 서비스 개요를 참조하세요.

네트워크 방화벽 정책

방화벽 정책이라고도 하는 네트워크 방화벽 정책을 사용하면 여러 방화벽 규칙을 그룹화할 수 있으므로 한 번에 모든 규칙을 업데이트하고 IAM 역할로 효과적으로 제어할 수 있습니다. 이러한 정책에는 VPC 방화벽 규칙과 마찬가지로 연결을 명시적으로 거부하거나 허용할 수 있는 규칙이 포함됩니다. 여기에는 전역 및 리전 네트워크 방화벽 정책이 포함됩니다. 자세한 내용은 방화벽 정책을 참조하세요.

네트워크 태그

네트워크 태그는 Compute Engine VM 인스턴스 또는 인스턴스 템플릿과 같은 리소스의 태그 필드에 추가되는 문자열입니다. 태그는 별도의 리소스가 아니므로 별도로 만들 수 없습니다. 해당 문자열이 있는 모든 리소스에는 해당 태그가 있는 것으로 간주됩니다. 태그를 사용하여 특정 VM 인스턴스에 VPC 방화벽 규칙경로를 적용할 수 있습니다.

패킷 미러링

패킷 미러링은 VPC 네트워크에서 특정 VM 인스턴스의 트래픽을 클론하여 검사를 위해 트래픽을 전달합니다. 패킷 미러링은 페이로드와 헤더를 포함한 모든 트래픽과 패킷 데이터를 캡처합니다. 이그레스 트래픽만 또는 인그레스 트래픽만 아니면 인그레스 트래픽과 이그레스 트래픽 모두에 대해 캡처를 구성할 수 있습니다. 패킷 미러링은 보안 상태를 모니터링하고 분석해야 하는 경우에 유용하며 샘플링 기간 사이의 트래픽뿐 아니라 모든 트래픽을 내보냅니다.

정책 상속

기본적으로 조직 정책은 정책을 적용하는 리소스의 하위 요소에 상속됩니다. 예를 들어 폴더에 정책을 적용하면 Google Cloud가 폴더의 모든 프로젝트에 정책을 적용합니다. 이 동작 및 변경하는 방법에 대한 자세한 내용은 계층 구조 평가 규칙을 참조하세요.

우선순위

방화벽 정책의 규칙 우선순위는 0~2,147,483,647(포함) 사이의 정수입니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 자세한 내용은 우선순위를 참조하세요.

리전 네트워크 방화벽 정책

리전 네트워크 방화벽 정책을 사용하면 특정 리전에 적용 가능한 정책 객체로 규칙을 그룹화할 수 있습니다. 리전 네트워크 방화벽 정책을 VPC 네트워크와 연결한 후 정책의 규칙을 VPC 네트워크의 해당 리전에 있는 리소스에 적용할 수 있습니다. 리전 방화벽 정책 사양과 세부정보는 리전 네트워크 방화벽 정책을 참조하세요.

보안 프로필

보안 또는 보안 프로필은 Google Cloud 리소스에 대한 레이어 7 검사 정책을 정의하는 데 도움이 됩니다. 침입 방지와 같은 애플리케이션 레이어 서비스를 제공하기 위해 가로채기 트래픽을 스캔하는 방화벽 엔드포인트에서 사용하는 일반 정책 구조입니다. 자세한 내용은 보안 프로필 개요를 참조하세요.

보안 프로필 그룹

보안 프로필 그룹은 보안 프로필의 컨테이너입니다. 방화벽 정책 규칙은 보안 프로필 그룹을 참조하여 네트워크에 침입 방지와 같은 레이어 7 검사를 사용 설정합니다. 자세한 내용은 보안 프로필 그룹 개요를 참조하세요.

서버 이름 표시

서버 이름 표시(SNI)는 TLS 컴퓨터 네트워킹 프로토콜의 확장 프로그램입니다. SNI를 사용하면 여러 HTTPS 사이트에서 IP 및 TLS 인증서를 공유할 수 있습니다. 이는 동일한 서버의 각 웹사이트에 대해 개별 인증서가 필요하지 않기 때문에 더 효율적이고 경제적입니다.

태그

Google Cloud 리소스 계층 구조는 리소스를 트리 구조로 구성하는 방법입니다. 이 계층 구조는 리소스를 규모에 맞춰 관리하는 데 도움이 되지만 조직 구조, 리전, 워크로드 유형, 비용 센터를 포함한 몇 가지 비즈니스 차원만 모델링합니다. 계층 구조에는 여러 비즈니스 차원을 함께 계층화할 수 있는 유연성이 없습니다.

태그를 사용하면 리소스의 주석을 만들 수 있으며 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부합니다. 태그 및 조건부 정책 적용을 사용하여 리소스 계층 구조 전반을 세밀하게 제어할 수 있습니다.

태그는 네트워크 태그와 다릅니다. 태그와 네트워크 태그의 차이점에 대한 자세한 내용은 태그와 네트워크 태그 비교를 참조하세요.

위협 인텔리전스

방화벽 정책 규칙을 사용하면 위협 인텔리전스 데이터를 기반으로 트래픽을 허용하거나 차단하여 네트워크를 보호할 수 있습니다. 위협 인텔리전스 데이터에는 Tor 종료 노드, 알려진 악성 IP 주소, 검색엔진, 퍼블릭 클라우드 IP 주소 범위를 기반으로 하는 IP 주소 목록이 포함됩니다. 자세한 내용은 방화벽 정책 규칙의 위협 인텔리전스를 참조하세요.

위협 서명

서명 기반 위협 감지는 악의적인 동작을 식별하는 데 가장 일반적으로 사용되는 메커니즘 중 하나이므로 네트워크 공격을 방지하는 데 널리 사용됩니다. Cloud NGFW의 위협 감지 기능은 Palo Alto Networks 위협 방지 기술을 통해 제공됩니다. 자세한 내용은 위협 서명 개요를 참조하세요.

전송 계층 보안 검사

Cloud NGFW는 네트워크 공격 및 중단에 대한 암호화되거나 암호화되지 않은 트래픽을 검사할 수 있는 TLS 가로채기 및 복호화 서비스를 제공합니다. 인터넷 송수신 트래픽과 Google Cloud 내부 트래픽을 포함한 인바운드 및 아웃 바운드 연결에서 TLS 연결을 검사합니다.

Cloud NGFW는 TLS 트래픽을 복호화하여 방화벽 엔드포인트가 네트워크에서 침입 방지와 같은 레이어 7 검사를 수행할 수 있도록 합니다. 검사 후 Cloud NGFW는 트래픽을 대상으로 전송하기 전에 다시 암호화합니다. 자세한 내용은 TLS 검사 개요를 참조하세요.

방화벽 태그

태그는 보안 태그라고도 합니다. 태그를 사용하면 전역 네트워크 방화벽 정책과 리전 네트워크 방화벽 정책에서 소스와 대상을 정의할 수 있습니다. 태그는 네트워크 태그와 다릅니다. 네트워크 태그는 키와 값이 아닌 간단한 문자열이며 어떤 종류의 액세스 제어도 제공하지 않습니다. 태그와 네트워크 태그의 차이점과 각 태그를 지원하는 제품에 대한 자세한 내용은 태그와 네트워크 태그 비교를 참조하세요.

VPC 방화벽 규칙

VPC 방화벽 규칙을 사용하면 VPC 네트워크의 VM 인스턴스에 대한 연결을 허용하거나 거부할 수 있습니다. 사용 설정한 VPC 방화벽 규칙은 인스턴스의 구성 및 운영체제와 상관없이 인스턴스를 보호할 수 있도록 항상 실행됩니다. 아직 시작하지 않은 인스턴스도 마찬가지입니다. 이러한 규칙은 특정 프로젝트 및 네트워크에 적용됩니다. 자세한 내용은 VPC 방화벽 규칙을 참조하세요.

다음 단계