TLS 검사 사용 설정

이 페이지에서는 보안 웹 프록시 인스턴스에 전송 계층 보안(TLS) 검사를 사용 설정하는 방법을 설명합니다.

시작하기 전에

TLS 검사를 위해 보안 웹 프록시를 구성하기 전에 다음 섹션의 작업을 완료하세요.

CAS 사용 설정

보안 웹 프록시는 Certificate Authority Service(CAS)를 사용하여 TLS 검사에 사용되는 인증서를 생성합니다.

CAS를 사용 설정하려면 다음 명령어를 사용합니다.

  gcloud services enable privateca.googleapis.com
  

CA 풀 만들기

CAS를 사용하여 CA를 만들려면 먼저 인증 기관(CA) 풀을 만들어야 합니다. 이 섹션에서는 이 태스크를 완료하는 데 필요한 권한을 설명한 후 CA 풀을 만드는 방법을 설명합니다.

인증서를 생성하기 위해 TLS 검사는 service-{project ID}@gcp-sa-certmanager.iam.gserviceaccount.com이라는 프로젝트마다 별도의 서비스 계정을 사용합니다. 이 서비스 계정에 CA 풀을 사용할 수 있는 권한을 부여했는지 확인합니다. 이 액세스 권한이 취소되면 TLS 검사 작동이 중지됩니다.

풀을 만들려면 gcloud privateca pools create 명령어를 사용하고 하위 풀 ID, 등급, 프로젝트 ID, 위치를 지정합니다.

    gcloud privateca pools create SUBORDINATE_POOL_ID
        --tier=TIER
        --project=PROJECT_ID
        --location=REGION
  

다음을 바꿉니다.

  • SUBORDINATE_POOL_ID: CA 풀의 이름
  • TIER: CA 등급(devops 또는 enterprise)

    개별적으로 발급된 인증서 추적이 필요하지 않기 때문에 devops 계층에 CA 풀을 만드는 것이 좋습니다.

  • PROJECT_ID: CA 풀 프로젝트의 ID

  • REGION: CA 풀의 위치

하위 CA 풀 만들기

하위 CA 풀을 만들 수 있고 루트 CA는 해당 풀의 모든 CA에 서명합니다. 이러한 인증서는 TLS 검사를 위해 생성된 서버 인증서에 서명하는 데 사용됩니다.

하위 풀을 만들려면 다음 메서드 중 하나를 사용합니다.

CAS 내에 저장된 기존 루트 CA를 사용하여 하위 CA 풀 만들기

하위 CA를 생성하려면 다음을 수행합니다.

  1. CA 풀을 만듭니다.
  2. CA 풀 내에 하위 CA를 만듭니다.

외부에 있는 기존 루트 CA를 사용하여 하위 CA 풀 만들기

하위 CA를 만들려면 다음을 수행합니다.

  1. CA 풀을 만듭니다.
  2. 외부 루트 CA에서 서명한 하위 CA 만들기

루트 CA 만들기

기존 루트 CA가 없다면 CAS 내에 새로 만들 수 있습니다. 루트 CA를 만들려면 다음을 수행하세요.

  1. 루트 CA를 만듭니다.
  2. CAS 내에 저장된 기존 루트 CA를 사용하여 하위 CA 풀 만들기의 단계를 따르세요.

CA 풀에 대한 자세한 내용은 Certificate Authority Service 문서를 참조하세요.

서비스 계정 만들기

서비스 계정이 없는 경우 서비스 계정을 만들고 필요한 권한을 부여해야 합니다.

  1. 서비스 계정을 만듭니다.

    gcloud beta services identity create \
        --service=networksecurity.googleapis.com \
        --project=PROJECT_ID
    

    이에 따라 Google Cloud CLI는 service-{project ID}@gcp-sa-networksecurity.iam.gserviceaccount.com이라는 서비스 계정을 만듭니다.

  2. 만든 서비스 계정에 대해 CA 풀로 인증서를 생성할 수 있는 권한을 부여합니다.

    gcloud privateca pools add-iam-policy-binding CA_POOL \
        --member='serviceAccount:SERVICE_ACCOUNT' \
        --role='roles/privateca.certificateManager' \
        --location='REGION'
    

TLS 검사를 위한 보안 웹 프록시 구성

시작하기 전에 섹션에 나열된 기본 요건 작업을 완료한 후에만 이 섹션의 작업을 진행할 수 있습니다.

TLS 검사를 구성하려면 다음 섹션의 태스크를 완료하세요.

TLS 검사 정책 만들기

  1. TLS_INSPECTION_FILE.yaml 파일을 만듭니다. TLS_INSPECTION_FILE을 원하는 파일 이름으로 바꿉니다.

  2. 다음 코드를 YAML 파일에 추가하여 원하는TlsInspectionPolicy를 구성합니다.

    name: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    caPool: projects/PROJECT_ID/locations/REGION/caPools/CA_POOL
    

    다음을 바꿉니다.

    • PROJECT_ID: 프로젝트 번호
    • REGION: 서브넷을 만들 리전
    • TLS_INSPECTION_NAME: 보안 웹 프록시 TLS 검사 정책의 이름
    • CA_POOL: 인증서를 만들 CA 풀의 이름

      CA 풀은 같은 리전 내에 있어야 합니다.

TLS 검사 정책 가져오기

이전 단계에서 만든 TLS 검사 정책을 가져옵니다.

gcloud network-security tls-inspection-policies import TLS_INSPECTION_NAME \
  --source=TLS_INSPECTION_FILE.yaml \
  --location=REGION

보안 정책에 TLS 검사 정책 추가

콘솔

웹 프록시 정책 만들기

  1. Google Cloud 콘솔에서 네트워크 보안 페이지로 이동합니다.

    네트워크 보안으로 이동

  2. 보안 웹 프록시를 클릭합니다.

  3. 정책 탭을 클릭합니다.

  4. 정책 만들기를 클릭합니다.

  5. 만들려는 정책의 이름을 입력합니다(예: myswppolicy).

  6. 정책의 설명을 입력합니다(예: My new swp policy).

  7. 리전 목록에서 보안 웹 프록시 정책을 만들 리전을 선택합니다.

  8. TLS 검사를 구성하려면 TLS 검사 구성을 선택합니다.

  9. TLS 검사 정책 목록에서 앞서 만든 TLS 검사 정책을 선택합니다.

  10. 정책에 대한 규칙을 만들려면 계속을 클릭한 다음 규칙 추가를 클릭합니다. 자세한 내용은 보안 웹 프록시 규칙 만들기를 참조하세요.

  11. 만들기를 클릭합니다.

웹 프록시 규칙 만들기

  1. Google Cloud 콘솔에서 네트워크 보안 페이지로 이동합니다.

    네트워크 보안으로 이동

  2. 보안 웹 프록시를 클릭합니다.

  3. 프로젝트 선택기 메뉴에서 조직 ID 또는 정책이 포함된 폴더를 선택합니다.

  4. 정책 이름을 클릭합니다.

  5. 규칙 추가를 클릭합니다.

  6. 규칙 필드를 채웁니다.

    1. 이름
    2. Description(설명)
    3. 상태
    4. 우선순위: 규칙의 평가 순서(번호순)입니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0는 가장 높은 우선순위입니다.
    5. 작업 섹션에서 규칙과 일치하는 연결을 허용(허용)하거나 거부(거부)할지 지정합니다.
    6. 세션 일치 섹션에서 세션 일치 기준을 지정합니다. SessionMatcher 구문에 대한 자세한 내용은 CEL 일치자 언어 참조를 확인하세요.
    7. TLS 검사를 사용 설정하려면 TLS 검사 사용 설정을 선택합니다.
    8. 애플리케이션 일치 섹션에서 요청을 일치시키는 기준을 지정합니다. TLS 검사 규칙을 사용 설정하지 않으면 요청이 HTTP 트래픽과만 일치할 수 있습니다.
    9. 만들기를 클릭합니다.
  7. 규칙 추가를 클릭하여 다른 규칙을 추가합니다.

  8. 만들기를 클릭하여 정책을 만듭니다.

웹 프록시 설정

  1. Google Cloud 콘솔에서 네트워크 보안 페이지로 이동합니다.

    네트워크 보안으로 이동

  2. 보안 웹 프록시를 클릭합니다.

  3. 웹 프록시 탭을 클릭합니다.

  4. 웹 프록시 설정을 클릭합니다.

  5. 만들려는 웹 프록시의 이름을 입력합니다(예: myswp).

  6. 웹 프록시에 대한 설명을 입력합니다(예: My new swp).

  7. 리전 목록에서 웹 프록시를 만들 리전을 선택합니다.

  8. 네트워크 목록에서 웹 프록시를 만들 네트워크를 선택합니다.

  9. 서브네트워크 목록에서 웹 프록시를 만들 서브네트워크를 선택합니다.

  10. 웹 프록시 IP 주소를 입력합니다.

  11. 인증서 목록에서 웹 프록시를 만드는 데 사용할 인증서를 선택합니다.

  12. 정책 목록에서 웹 프록시를 연결하기 위해 만든 정책을 선택합니다.

  13. 만들기를 클릭합니다.

Cloud Shell

  1. policy.yaml 파일 만들기

      description: basic Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    
  2. 보안 웹 프록시 정책을 만듭니다.

      gcloud network-security gateway-security-policies import policy1 \
          --source=policy.yaml --location=REGION
    
  3. rule.yaml 파일 만들기

      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1/rules/allow-example-com
      description: Allow example.com
      enabled: true
      priority: 1
      basicProfile: ALLOW
      sessionMatcher: host() == 'example.com'
      applicationMatcher: request.path.contains('index.html')
      tlsInspectionEnabled: true
    
  4. 보안 정책 규칙을 만듭니다.

      gcloud network-security gateway-security-policies rules import allow-example-com \
          --source=rule.yaml \
          --location=REGION \
          --gateway-security-policy=policy1
    
  5. 기존 보안 정책에 TLS 검사 정책을 연결하려면 POLICY_FILE.yaml 파일을 만드세요. POLICY_FILE을 원하는 파일 이름으로 바꿉니다.

      description: My Secure Web Proxy policy
      name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
      tlsInspectionPolicy: projects/PROJECT_ID/locations/REGION/tlsInspectionPolicies/TLS_INSPECTION_NAME
    

다음 단계