애플리케이션 보안 모니터링

Google Cloud는 플랫폼 및 애플리케이션 보안을 모두 포함하여 보안 문제로부터 사용자를 보호하기 위해 개별적으로 그리고 통합적으로 작동하며, 모든 단계에서 기본적으로 제공되는 강력한 보안 기능을 갖고 있습니다. 하지만 이와 같은 심층 방어 수준에서는 특정 애플리케이션에 도움이 되는 기능을 올바르게 선택하거나, 런타임 보안 정책 작동 방식을 평가하는 것이 항상 쉬운 것이 아닙니다. 이를 위해 Anthos 보안 대시보드에서 애플리케이션의 현재 보안 기능을 한 눈에 확인할 수 있고 보다 자세한 정책 감사 뷰를 통해 보안 강화를 위해 보안 구성 또는 워크로드를 수정할 수 있는 위치를 확인할 수 있습니다.

이 문서에서는 플랫폼 및 애플리케이션 운영자에게 Anthos 애플리케이션 보안 모니터링에 대한 개요를 제공합니다. 각 보안 기능 및 모니터링에 대한 자세한 내용은 다음 단계에 있는 기능 문서 링크를 참조하세요.

Anthos 보안 대시보드는 현재 Google Cloud, VMware, 베어메탈의 클러스터를 모니터링합니다.

필요한 역할

애플리케이션 보안을 보고 감사하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

  • roles/monitoring.viewer(Monitoring Viewer)
  • roles/logging.viewer(Logs Viewer)
  • roles/serviceusage.serviceUsageViewer(Service Usage Viewer)
  • roles/servicesecurityinsights.securityInsightsViewer(Security Insights Viewer)

역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

이러한 사전 정의된 역할에는 애플리케이션 보안 보기 및 감사에 필요한 권한이 포함되어 있습니다. 필요한 정확한 권한을 보려면 필수 권한 섹션을 확장하세요.

필수 권한

애플리케이션 보안을 보고 감사하려면 다음 권한이 필요합니다.

  • resourcemanager.projects.get
  • opsconfigmonitoring.resourceMetadata.list
  • serviceusage.services.list
  • servicesecurityinsights.projectStates.get
  • 애플리케이션 보안 개요를 보려면 다음 안내를 따르세요.
    • logging.logEntries.list
    • servicesecurityinsights.clusterSecurityInfo.list
  • 모든 모니터링되는 보안 기능의 현재 상태를 감사하려면 다음 안내를 따르세요.
    • servicesecurityinsights.clusterSecurityInfo.list
    • servicesecurityinsights.securityViews.get
    • servicesecurityinsights.securityInfo.list
    • servicesecurityinsights.workloadPolicies.list
  • 워크로드 보안 세부정보를 보려면 다음 안내를 따르세요.
    • monitoring.timeSeries.list
    • logging.logEntries.list
    • servicesecurityinsights.clusterSecurityInfo.get
    • servicesecurityinsights.workloadSecurityInfo.get
    • servicesecurityinsights.securityViews.get
    • servicesecurityinsights.workloadPolicies.list

커스텀 역할이나 다른 사전 정의된 역할을 사용하여 이 권한을 부여받을 수도 있습니다.

지원되는 클러스터

다음 클러스터 유형이 Anthos Security 대시보드에서 지원됩니다.

  • Google Cloud의 GKE 클러스터
  • VMware용 GKE
  • 베어메탈용 GKE

Vmware 및 베어메탈 클러스터에서 보안을 모니터링하려면 애플리케이션 로깅 및 모니터링을 사용 설정해야 합니다. 이렇게 하려면 VMware용 GKE베어메탈용 GKE 문서의 안내를 따르세요.

애플리케이션 보안 개요 보기

Google Cloud Console에서 Anthos 보안 대시보드를 보려면 다음 안내를 따르세요.

기본적으로 추가 정보를 확인하고 기능을 사용 설정하기 위한 링크를 포함하여 프로젝트에서 Anthos 애플리케이션 보안 기능의 상태를 보여주는 정책 요약 탭이 표시됩니다. 기능은 액세스 제어인증이라는 두 가지 제목 아래에 나열됩니다.

정책 요약 뷰 스크린샷

액세스 제어

이 섹션에서는 선택한 Anthos 승인 기능의 상태를 보여줍니다. 해당 항목은 다음과 같습니다.

  • Binary Authorization은 신뢰할 수 있는 이미지만 클러스터에 배포되도록 합니다.
  • Kubernetes 네트워크 정책은 각 Pod 간에 그리고 다른 네트워크 엔드포인트와 통신하도록 허용되는 Pod를 지정할 수 있게 해줍니다.
  • Anthos Service Mesh 서비스 액세스 제어는 서비스 계정 및 요청 컨텍스트에 따라 메시 서비스에 대해 액세스 제어를 세밀하게 구성할 수 있게 해줍니다.

프로젝트에서 사용 설정되지 않는 기능의 경우 항목을 클릭하여 해당 기능을 사용 설정하거나 사용 설정하는 방법을 확인할 수 있습니다.

사용 설정되는 기능의 경우 해당 기능의 현재 상태를 확인할 수 있고 액세스 제어 정책 및 기타 관심 있는 이벤트에 따라 거부된 모든 작업을 포함하여 항목을 클릭하여 선택한 기간 동안의 세부정보를 확인할 수 있습니다. 예를 들어 이 프로젝트에서는 Binary Authorization 정책의 결과로 이전 1시간 동안 한 클러스터에서 3개의 배포가 차단되었습니다.

Binary Authorization 보안 세부정보 스크린샷

인증

이 섹션에서는 Anthos 인증 기능의 상태를 보여줍니다. 현재까지 이 뷰는 Anthos Service Mesh를 사용 중인 각 클러스터에서 상호 TLS(mTLS)를 적용하기 위해 정책을 만들었는지 여부를 보여줍니다. mTLS는 해당 트래픽이 두 서비스 간의 양쪽 방향에서 안전하고 신뢰되었는지 확인하는 보안 프로토콜입니다.

이것은 정책이 트래픽을 효과적으로 보호하는지 확인하기 위해 서비스 메시에 mTLS 정책이 포함되는지 여부만 보여줍니다. 암호화되지 않은 정책이 런타임에 메시에서 허용되는 경우에는 다음 섹션에 설명된 대로 보다 자세한 정책 감사 뷰를 확인해야 합니다.

애플리케이션 보안 감사

감사 뷰는 현재 애플리케이션 보안 수준에 대해 클러스터별로 보다 자세한 평가를 제공합니다. 감사 뷰로 전환하려면 다음 안내를 따르세요.

  1. 정책 감사 탭을 선택합니다.
  2. 드롭다운에서 모니터링하려는 클러스터네임스페이스(선택사항)를 선택합니다.

요약 뷰에서와 같이 모니터링되는 모든 보안 기능의 현재 상태를 볼 수 있습니다. mTLS의 경우에는 이 클러스터의 서비스 메시에 있는 암호화되지 않은 트래픽이 해당 정책에 따라 허용되는지 여부도 확인할 수 있습니다. 이러한 경우는 서비스가 mTLS 및 일반 텍스트 트래픽을 모두 수신할 수 있도록 권한 모드로 어디에서든 mTLS를 사용 설정한 경우에 발생합니다. 이것은 엄격한 mTLS로 마이그레이션하는 동안 예기치 않은 서비스 중단을 방지하는 데 유용합니다. 하지만 메시 전체에서 엔드 투 엔드 암호화를 원하는 경우 이를 업데이트해야 합니다.

워크로드 목록에서는 워크로드 수준에서 보안 기능의 작동 방법을 확인할 수 있습니다. 각 워크로드에 대해 다음을 확인할 수 있습니다.

  • Kubernetes 네트워크 정책이 적용되었는지 여부
  • 워크로드에 적용되는 Anthos Service Mesh 서비스 액세스 제어 정책
  • 권한(워크로드에 적용되는 명시적인 정책을 만들지 않은 경우), 사용 중지, 엄격에 해당하는 워크로드에 적용되는 Anthos Service Mesh mTLS 정책

워크로드 보안 세부정보 보기

워크로드 뷰에서 보안 세부정보를 확인하려면 감사 뷰 워크로드 목록에서 개별 워크로드를 선택합니다. 각 워크로드에 대해 다음 정보를 확인할 수 있습니다.

  • 워크로드에 적용되는 각 애플리케이션 보안 기능의 특정 정책 정의를 보기 위한 링(해당하는 경우)

네트워크 정책 링크 스크린샷

  • 이름, 클러스터, 관련 서비스를 포함한 일반적인 워크로드 세부정보
  • 요청이 정책에서 거부되었는지 여부를 포함하여 이 워크로드에 대한 서비스 요청. 요청이 거부되면 Cloud Logging에서 드릴다운하여 관련 로그를 확인할 수 있습니다. 이러한 로그는 특정 거부 문제를 해결하고 요청에 대해 유용한 정보를 찾는 데 도움이 됩니다.

워크로드에 대한 서비스 요청 스크린샷

  • Dataplane V2 네트워크 정책 로깅이 클러스터에 사용 설정된 경우 이 워크로드에 대한 네트워크 정책 요청. 다음 섹션에서는 네트워크 정책 정보를 보고 워크로드에 미치는 영향을 이해하는 방법을 자세히 알아볼 수 있습니다.
  • 이 워크로드에서 관리하는 실행 중인 포드

Dataplane V2로 워크로드 연결 보기

워크로드를 포함하는 클러스터에 Dataplane V2가 사용 설정되었으면 네트워크 정책 요청 섹션이 워크로드 보기의 일부로 표시됩니다. 네트워크 정책 로깅이 허용 및 거부된 연결을 로깅하도록 구성되었으면 다음 예시와 같이 워크로드의 인바운드 및 아웃바운드 트래픽도 표시됩니다.

워크로드에 대한 네트워크 정책 요청 스크린샷

이 표에서는 또한 Dataplane V2 네트워크 정책 로깅으로 로깅된 연결에 대한 추가 정보를 제공합니다. 특정 워크로드에 대한 정보를 보려면 다음 안내를 따르세요.

  1. 원하는 워크로드의 테이블 행에서 추가 작업 메뉴 를 클릭합니다.
  2. 메뉴에서 확인하려는 추가 정보를 선택합니다.
    • 워크로드에 대한 자세한 내용을 보려면 GKE에서 보기를 선택하여 GKE UI로 이동합니다.
    • 거부 로그 보기를 선택하여 관련 로그 항목으로 필터링된 Cloud Logging으로 이동합니다.
    • 네트워크 정책 연결 보기를 선택하여 각 연결 방향(이그레스 및 인그레스)에서 관측된 보안 상태를 표시하는 연결 다이어그램을 확인합니다. 예시 다이어그램은 아래에 표시되어 있습니다.

네트워크 정책 연결 스크린샷

배포된 네트워크 정책을 기반으로 워크로드 간 연결 시뮬레이션

워크로드를 포함하는 클러스터에 네트워크 정책 적용이 사용 설정된 경우 워크로드 보기 페이지 상단에 네트워크 정책 시뮬레이션 버튼이 표시됩니다. 이 기능을 사용하면 현재 배포된 네트워크 정책의 구성 분석에 따라 현재 표시되는 워크로드에서 트래픽을 보내고 받을 수 있는지 시뮬레이션할 수 있습니다.

워크로드 간의 연결을 시뮬레이션하려면 다음 안내를 따르세요.

  1. 트래픽을 테스트할 워크로드의 네트워크 정책 시뮬레이션 버튼을 클릭합니다.
  2. 워크로드의 트래픽 방향(인바운드 또는 아웃바운드)을 선택합니다.
  3. 트래픽을 테스트하려는 네임스페이스 및 워크로드를 선택합니다.
  4. 시뮬레이션을 클릭합니다. 연결의 이그레스 및 인그레스 상태를 보여주는 연결 다이어그램이 나타납니다. 이 다이어그램은 Dataplane V2와의 워크로드 연결을 볼 때 사용된 다이어그램과 유사합니다.

네트워크 정책 연결 시뮬레이션 양식의 예시는 다음과 같습니다.

네트워크 정책 시뮬레이션 스크린샷

다음 단계