권장사항

이 페이지에서는 Cloud IAP(Identity-Aware Proxy) 사용에 대한 권장사항을 설명합니다.

캐싱

  • 애플리케이션 앞에 제3자 CDN을 사용하지 마세요. CDN은 콘텐츠를 캐시하고 캐시된 페이지를 인증되지 않은 사용자에게 제공할 수 있습니다.
    • CDN에서 제공하려는 민감하지 않은 대량의 리소스가 있는 경우, 해당 리소스에 대해 images.yourapp.com과 같은 별도의 도메인을 사용하세요. 해당 도메인에 CDN을 사용하고, 인증된 사용자에게만 제공되어야 하는 모든 객체에 Cache-control: private HTTP 응답 헤더를 추가합니다.
  • App Engine 표준 환경은 캐시에서 데이터를 제공할 수 있습니다.
    • 기본적으로 앱에서 생성되는 동적 콘텐츠는 캐시 불가능으로 설정됩니다. 앱은 해당 HTTP 응답에서 캐시-제어 헤더를 설정하여 이를 재정의할 수 있습니다. 인증되지 않은 사용자에게 제공되어야 하는 민감하지 않은 콘텐츠에 대해서만 설정을 재정의하세요.
    • 기본적으로 App Engine은 이미지와 같은 정적 콘텐츠를 최대 10분까지 캐시합니다. 민감한 정적 콘텐츠가 있는 경우, 기본 만료 시간을 0으로 설정하여 이를 재정의해야 합니다. 다음은 특정 언어별로 기본 만료 시간을 설정하는 방법에 대한 정보 링크입니다.

앱 보안

적절한 앱 보호를 위해서는 App Engine 가변형 환경베타, Compute Engine, GKE 애플리케이션에 대해 서명된 헤더를 사용해야 합니다. App Engine 표준 환경 애플리케이션에서는 서명된 헤더가 지원되지 않습니다. 대신 이러한 애플리케이션은 사용자 ID 가져오기에 설명된 방식을 따라야 합니다. 서명된 헤더로 앱 보호 방법을 알아보세요.

방화벽 구성

  • Compute Engine 또는 GKE에 대한 모든 요청이 부하 분산기를 통해 라우팅 되는지 확인합니다.
    • 상태 확인을 허용하도록 방화벽 규칙을 구성하고 VM(가상 머신)에 대한 모든 트래픽이 GFE(Google Front End) IP에서 시작되는지 확인합니다.
    • 추가 보호를 위해서는 앱에서 요청의 소스 IP가 방화벽 규칙이 허용하는 동일한 IP 범위에서 시작되는지 확인합니다.
  • 방화벽 규칙이 잘못 설정된 것으로 보이면 GCP Console에서 Cloud IAP가 오류 또는 경고를 표시합니다. Cloud IAP GCP Console은 각 서비스에 사용되는 VM을 감지하지 않기 때문에 기본값 이외의 네트워크 및 방화벽 규칙 태그와 같은 고급 기능이 방화벽 분석에 포함되지 않습니다. 이 분석을 우회하려면 gcloud compute backend-services update 명령어를 통해 Cloud IAP를 사용 설정합니다.
이 페이지가 도움이 되었나요? 평가를 부탁드립니다.

다음에 대한 의견 보내기...

Identity-Aware Proxy 문서