Google Cloud Platform 보안

정보, 애플리케이션, 네트워크 보안 분야의 최고 전문가들이 보안을 담당하는 인프라에서 배포해 보세요.

Google 보안 모델

Google 보안 모델은 종단 간 프로세스로, Gmail, 검색 및 기타 앱과 같은 Google 애플리케이션에서 고객 보안을 유지하는 데 중점을 둔 15년 이상의 경험을 토대로 구축되었습니다. Google Cloud Platform을 사용하면 애플리케이션과 데이터에 동일한 보안 모델을 활용할 수 있습니다. Google 보안 백서, 인프라 보안 설계 개요 백서, 미사용 상태에서의 암호화 백서에서 보안 모델에 관해 자세히 알아보세요.

Niels Provos의 GCP 보안 개요

정보 보안팀

Google 보안 모델의 핵심은 정보, 애플리케이션, 네트워크 보안 분야의 최고 전문가들로 구성된 Google 정보 보안팀입니다. 정보 보안팀은 기업의 방어 시스템을 유지관리하고, 보안 검토 프로세스를 개발하고, 보안 인프라를 구축하고, Google 보안 정책을 구현하는 업무를 담당하고 있습니다. 정보 보안팀에서 거둔 주목할 만한 성과로는 Heartbleed 취약점 발견, 소프트웨어 보안 문제 보고를 위한 보상 프로그램 도입, Google의 'SSL 기본 설정' 정책 구현 등이 있습니다.

Google 정보 보안팀 자세히 알아보기

데이터 센터의 물리적 보안

Google 데이터 센터에는 맞춤 설계된 전자 액세스 카드, 경보장치, 차량 진입 방지 장벽, 방호 울타리, 금속 탐지기, 생체 정보 인식기와 같은 여러 층으로 구성된 보안 모델이 있습니다. 데이터 센터의 바닥에는 레이저 광선을 사용한 침입 감지기가 있습니다.

Google 데이터 센터는 침입자를 감지하고 추적할 수 있는 고해상도 내부 및 외부 카메라로 연중무휴 24시간 모니터링됩니다. 사고가 발생할 경우 액세스 로그, 활동 기록, 카메라 영상이 검토됩니다. 또한 철저한 신원 조사와 훈련을 거친 전문 보안 요원이 주기적으로 데이터 센터를 순찰합니다. Google 직원 중 Google 데이터 센터에 출입할 수 있는 직원은 1% 미만입니다.

데이터 센터의 물리적 보안 자세히 알아보기

서버 및 소프트웨어 스택 보안

Google은 동일한 맞춤형 서버를 수만 개 가동합니다. 하드웨어와 네트워킹에서부터 맞춤 Linux 소프트웨어 스택에 이르기까지 모두 보안을 염두에 두고 구축했습니다. 전체 스택의 소유권과 결합된 동질성으로 보안 풋프린팅의 우려가 크게 감소해 더욱 신속하게 위협에 대응할 수 있습니다.

서버 및 소프트웨어 스택 보안 자세히 알아보기

데이터 액세스

Google에는 고객 정보의 보안 유지를 위한 관리 권한과 관행이 있습니다. Google 애플리케이션 및 저장소 스택의 레이어가 다른 구성요소에서 들어오는 요청에 대해 인증 및 승인을 요구합니다. 프로덕션 애플리케이션 관리 엔지니어의 프로덕션 환경에 대한 액세스 권한 역시 Google에서 관리합니다. 중앙 집중식 그룹 및 역할 관리 시스템으로 엔지니어의 프로덕션 서비스 액세스 권한을 정의하고 관리하며, 수명이 짧은 개인 공개 키 인증서 사용을 통해 엔지니어를 인증하는 보안 프로토콜을 사용합니다. 개인 인증서 발급은 2단계 인증으로 차례로 보호됩니다.

데이터 액세스 자세히 알아보기

데이터 폐기

Google 시스템에서 하드 디스크를 사용 중지할 때 고객 정보가 포함된 하드 디스크는 Google 데이터 센터 부지에서 반출하기 전에 데이터 폐기 절차가 진행됩니다. 먼저 승인된 직원이 Google 보안팀에서 승인한 절차를 사용해 디스크의 데이터를 논리적으로 삭제합니다. 그런 다음 다른 승인된 직원이 두 번째 검사를 수행하여 디스크의 데이터가 삭제되었는지 확인합니다. 이러한 삭제 결과는 추적을 위해 드라이브의 일련번호별로 기록됩니다. 마지막으로, 재사용 및 재배포를 위해 삭제된 드라이브가 재고에 추가됩니다. 하드웨어 고장으로 인해 드라이브의 데이터를 삭제할 수 없는 경우에는 물리적으로 파손할 수 있을 때까지 안전하게 보관됩니다. Google은 각 시설을 매주 감사하여 디스크 삭제 정책을 준수하는지 모니터링합니다.

데이터 폐기 자세히 알아보기

플랫폼 보안 기능

Cloud Platform을 비롯한 Google의 모든 제품에는 핵심 설계이자 개발 요구사항인 보안이 포함되어 있습니다. 또한 Google의 사이트 신뢰성 엔지니어링팀이 플랫폼 시스템의 운영을 감독하여 높은 가용성을 보장하고 플랫폼 리소스의 남용을 방지합니다. 제품별 보안 기능이 각 제품의 문서에 설명되어 있지만 모든 제품에 전체 플랫폼을 위한 특정 기능이 포함되어 있습니다.

보안 서비스 API 및 인증 액세스

모든 서비스는 보안이 적용된 전역 API 게이트웨이 인프라를 통해 관리됩니다. API로 제공하는 이 인프라는 암호화된 SSL/TLS 채널을 통해서만 액세스할 수 있으며, 모든 요청에는 사람이 직접 로그인하여 생성되는 시간 제한이 적용된 인증 토큰이나 위에 설명된 인증 시스템을 통한 비공개 키 기반 비밀번호가 포함되어야 합니다.

Google Cloud Platform 리소스에 대한 모든 액세스는 다른 Google 서비스에서 사용하는 것과 동일한 강력한 인증 인프라를 통해 통제됩니다. 즉, 기존 Google 계정을 사용하거나 Google에서 관리하는 통제형 도메인을 설정할 수 있습니다. 사용자를 관리할 때 사용할 수 있는 기능에는 비밀번호 정책, 강제 2단계 인증, 하드웨어 보안 키 형태로 제공되는 새롭고 혁신적인 인증 적용이 포함됩니다.

로그 기록

웹 요청, 저장소 버킷 액세스, 사용자 계정 액세스와 같은 모든 플랫폼 API 요청이 로그로 기록됩니다. Cloud Platform 도구를 사용하면 Compute Engine, App Engine, BigQuery, Cloud SQL, Deployment Manager, Cloud VPN, Cloud Storage의 작업 및 액세스 로그를 확인할 수 있습니다.

데이터 암호화

Cloud Platform 서비스는 몇 가지 사소한 예외를 제외하고 미사용 상태에서 저장된 고객 콘텐츠를 항상 1개 이상의 암호화 메커니즘을 사용하여 암호화하며 고객이 조치를 취할 필요가 없습니다. 예를 들어 영구 디스크에 저장된 새 데이터는 256비트 고급 암호화 표준으로 암호화되며 각 암호화 키는 정기적으로 순환되는 마스터키 모음으로 암호화됩니다. Gmail 및 Google의 사내 데이터를 비롯한 여러 Google 프로덕션 서비스에서도 Google Cloud Platform의 데이터에 사용되는 것과 동일한 암호화 및 키 관리 정책, 암호화 라이브러리, 신뢰할 수 있는 루트를 사용하고 있습니다.

암호화 옵션 자세히 알아보기

안전한 글로벌 네트워크

Google 글로벌 네트워크는 전 세계 대부분의 ISP에 연결되어 있으므로 공개 인터넷에서의 홉이 제한되어 전송 중인 데이터의 보안을 향상시킬 수 있습니다. Cloud Interconnect 및 관리형 VPN으로 내부 및 Google 네트워크의 비공개 IP 환경 간에 암호화된 채널을 만들 수 있습니다. 이렇게 하면 공개 인터넷에서 인스턴스를 완전히 분리하고 고객의 비공개 인프라에서는 계속 연결할 수 있습니다.

침입 감지

Google 침입 감지에는 예방 조치를 통해 Google에서 공격에 노출되는 영역과 공격의 대상이 되는 구성요소를 엄격하게 제어하고, 데이터 진입점에서 지능적인 감지 제어를 도입하고, 특정 위험 상황을 자동으로 해결하는 기술을 도입하는 것이 포함됩니다.

보안 스캔

Cloud Security Scanner를 사용하면 App Engine 개발자가 웹 애플리케이션에서 특히 교차 사이트 스크립팅(XSS)과 혼합 콘텐츠 등 가장 일반적인 취약점을 식별할 수 있습니다.

규정 준수 및 인증

Cloud Platform 및 Google 인프라는 점차 증가하고 있는 규정 준수 표준 및 규제에 대해 인증을 받으며 데이터 안전, 개인정보 보호, 보안 테스트를 위해 독립적인 여러 타사 감사를 거칩니다. 구체적인 인증과 관련된 자세한 내용은 Google 규정 준수 페이지를 참조하세요.

보증 프로그램 로고

Cloud Platform 프로젝트 보안 유지

Google은 프로젝트의 보안을 유지하기 위해 최선을 다하고 있지만 보안 책임은 Google과 고객 모두에게 있습니다. Google은 고객이 프로젝트 보안 유지에 사용할 수 있는 기능을 마련했습니다.

운영체제 및 애플리케이션 패치

Google Compute EngineGoogle Kubernetes Engine은 가상 머신(VM) 기반입니다. 프로젝트에서 이러한 기술을 사용하는 경우 고객은 최신 보안 패치를 사용해 VM 운영체제와 애플리케이션을 최신 상태로 유지할 책임이 있습니다. Google에서는 호스트 OS 환경의 보안과 패치를 유지관리합니다.

사용자 및 사용자 인증 정보 관리

Google Cloud Platform을 사용하면 프로젝트 수준에서 사용자 권한을 설정할 수 있습니다. 팀 구성원에게는 최소한의 액세스 권한을 제공하세요.

네트워크 방화벽 규칙 유지관리

명시적인 방화벽 규칙이 없으면 기본적으로 네트워크 외부에서 수신되는 모든 트래픽이 차단되고 VM 인스턴스로 패킷이 허용되지 않습니다. 수신 네트워크 트래픽을 허용하려면 이러한 연결을 허용하도록 방화벽을 설정해야 합니다. 네트워크 권한에 대해 이러한 접근 방식을 사용하면 컴퓨팅 인스턴스에 도달하도록 허용되는 트래픽의 출처와 유형을 지정할 수 있습니다.

침투 테스트

침투 테스트로 Cloud Platform 인프라의 보안을 평가하려는 경우 테스트하기 전에 Google에 연락하지 않아도 됩니다. Cloud Platform 서비스이용 정책서비스 약관을 준수해야 하며, 테스트가 고객의 프로젝트에만 영향을 미치고 다른 고객의 애플리케이션에는 영향을 미치지 않도록 해야 합니다. 취약점이 발견되면 취약성 발견 보상 프로그램을 통해 신고해 주세요.

민감한 데이터 관리

데이터마다 민감도 수준이 다릅니다. Cloud Platform은 안전한 애플리케이션을 제작하는 데 필요한 기본 기능을 제공하지만 애플리케이션 수준에서 이러한 데이터에 적절한 조치를 취하고 액세스 권한을 적용할 책임은 고객에게 있습니다. 여기에는 최종 사용자가 기업 네트워크나 공개 클라우드 인프라 외부에 중요한 정보를 공유하는 것을 방지하는 조치(즉, 데이터 손실 방지) 및 특정 개인을 식별할 수 있는 데이터(즉, 개인 식별 정보)의 보안을 유지하는 것이 포함됩니다. 자세한 내용은 데이터 손실 방지를 참조하세요.

로그 기록 및 모니터링

Cloud Platform은 Google Cloud LoggingGoogle Cloud Monitoring과 같은 도구를 제공하므로 손쉽게 요청 로그를 수집 및 분석하고 인프라 서비스(예: VM 인스턴스)의 가용성을 모니터링할 수 있습니다. 또한 이러한 도구를 사용하면 간편하게 맞춤 대시보드를 만들고 문제 발생 시 알림을 설정할 수 있습니다.

PCI 및 HIPAA 규정 준수

Google 규정 준수 문서는 EU 데이터 보호 지침을 비롯한 특정 규제 조치를 충족하는 데 있어 고객의 역할을 이해하는 데 도움이 됩니다.

FAQ

자주 묻는 질문(FAQ)의 답을 살펴보세요.

FAQ 보기

보안 게시판

최신 Compute Engine 보안 게시판을 확인해 보세요.

보안 게시판 보기

권장사항

기업을 위한 권장사항을 알아보세요.

권장사항 읽어보기

클라우드 보안 파트너

GCP 보안은 건전한 파트너 생태계를 갖추고 있습니다.

GCP 보안 파트너 보기

보안과 관련해 궁금한 점이나 우려사항이 있나요? 다음과 같이 문의해 주세요.

  • 여기에서 다루지 않은 제품 기능과 관련된 보안 문의는 Google 지원팀이나 담당 계정팀에 문의해 주세요.
  • 플랫폼의 보안 취약점을 발견한 경우 신고해 주세요.
  • 투명성에 대한 Google의 접근 방식 및 정보 요청이 처리되는 방식을 이해하려면 Google 투명성 보고서를 참조하세요.
  • 악용 신고: Cloud Platform 서비스의 악용이 의심되는 경우 신고해 주세요.