아키텍처 센터는 다양한 보안 및 ID 및 액세스 관리(IAM) 주제 간에 콘텐츠 리소스를 제공합니다.
시작하기
Google Cloud를 처음 사용하거나 Google Cloud에서 보안 및 IAM을 처음 설계하는 경우 다음 리소스를 시작합니다.
아키텍처 센터의 보안 및 IAM 리소스
리소스 이름이나 설명에 있는 제품 이름 또는 문구를 입력하여 다음과 같은 보안 및 IAM 리소스 목록을 필터링할 수 있습니다.
|
Identity Platform 및 Google ID를 사용하여 Firestore에 사용자 인증 Identity Platform을 사용자 ID 및 액세스 관리 플랫폼으로 사용하여 Firestore 데이터베이스에 대한 사용자 기반 액세스 제어를 설정합니다. 사용되는 제품: Firebase, Firestore, Firestore 보안 규칙, Identity Platform |
|
Cloud Storage에 업로드된 파일의 멀웨어 검사 자동화 이 문서에서는 파일에서 악성 코드를 자동 평가하는 데 유용한 이벤트 기반 파이프라인을 빌드하는 방법을 보여줍니다. 사용되는 제품: Cloud Logging, Cloud Run, Cloud Storage, Eventarc |
|
Google Cloud CLI에서 보안 침해된 OAuth 토큰 완화를 위한 권장사항 gcloud CLI에서 사용하는 OAuth 토큰 보안을 침해하는 공격자의 영향을 완화하는 방법을 설명합니다. 사용되는 제품: Google Cloud CLI |
|
이 문서에서는 컨테이너 작업을 쉽게 할 수 있도록 일련의 권장사항을 설명합니다. 이러한 권장사항은 보안부터 모니터링 및 로깅에 이르기까지 폭넓은 주제를 포함합니다. Google Kubernetes Engine 등에서 전반적으로 애플리케이션 실행을 보다 쉽게 하는 데 그 목적이 있습니다. 사용되는 제품: Cloud Monitoring, Cloud Storage, Google Kubernetes Engine(GKE) |
|
암호화폐 채굴(비트코인 채굴이라고도 함)은 새 암호화폐를 만들고 트랜잭션을 확인하는 데 사용되는 프로세스입니다. 암호화폐 채굴 공격은 환경에 액세스할 수 있는 공격자가 다음에 대한 리소스의 취약점을 공격할 수도 있는 경우에 발생합니다. 사용되는 제품: Cloud Key Management Service, Compute Engine, Google Cloud Armor, Identity and Access Management |
|
Apigee를 사용한 애플리케이션 및 API 보호 권장사항 Apigee API 관리, Google Cloud Armor, reCAPTCHA Enterprise, Cloud CDN을 사용하여 애플리케이션과 API를 보호하는 데 도움이 될 수 있는 권장사항을 설명합니다. 사용되는 제품: Cloud Armor, Cloud CDN, Waap |
|
기업에서 생성형 AI 및 머신러닝 모델을 빌드하고 배포 AI 모델을 만들기 위한 파이프라인을 배포하는 생성형 AI 및 머신러닝(ML) 청사진을 설명합니다. |
|
Google Cloud를 사용하여 하이브리드 및 멀티 클라우드 아키텍처 빌드 Google Cloud를 사용하여 하이브리드 및 멀티 클라우드 환경을 계획하고 설계하는 방법에 대한 실무 안내를 제공합니다. 사용되는 제품: Anthos, Cloud Load Balancing, Compute Engine, Google Kubernetes Engine(GKE) |
|
비공개 IP 주소가 포함된 Compute Engine 리소스를 사용하여 인터넷 연결을 설정하는 옵션을 설명합니다. 사용되는 제품: Cloud Load Balancing, Cloud NAT, Compute Engine, IAP(Identity-Aware Proxy) |
|
C3 AI 및 Google Cloud를 사용하여 애플리케이션을 개발합니다. 사용되는 제품: Cloud Key Management Service, Cloud NAT, Cloud Storage, 가상 프라이빗 클라우드(VPC) |
|
Google Cloud의 중앙 집중식 네트워크 어플라이언스 이 문서는 Google Cloud에서 중앙 집중식 네트워크 어플라이언스를 실행하는 네트워크 관리자, 솔루션 설계자, 운영 전문가를 대상으로 합니다. Google Cloud의 Compute Engine 및 Virtual Private Cloud(VPC) 네트워킹에 대한 지식이 필요합니다. 사용되는 제품: Cloud Load Balancing, Compute Engine |
|
Google Cloud에서 FedRAMP 및 DoD용 네트워크 구성 Google Cloud Networking 정책을 배포할 때 FedRAMP 높음 및 DoD IL2, IL4, IL5의 설계 요구사항을 준수하는 데 도움이 되는 구성 안내를 제공합니다. |
|
Spin.AI로 Google Workspace 데이터를 위한 SaaS 데이터 보호 구성 Cloud Storage를 사용하여 SpinOne - 올인원 SaaS 데이터 보호를 구성하는 방법 |
|
많은 조직에는 내부 요구사항을 기준으로 또는 Assured Workloads 채택의 일환으로 명시적으로 승인된 API 목록으로 네트워크 액세스를 제한해야 하는 규정 준수 요구사항이 있습니다. 온프레미스에서는 이 요구사항이 프록시 제어로 해결되는... 사용되는 제품: Assured Workloads |
|
Cohesity Helios와 Google Cloud를 사용한 데이터 관리 Cohesity가 Google Cloud Storage에서 작동하는 방식 Cohesity는 백업, 테스트/개발, 파일 서비스, 분석 데이터 세트를 확장 가능한 데이터 플랫폼으로 통합하는 하이퍼컨버지드 보조 스토리지 시스템입니다. 사용되는 제품: Cloud Storage |
|
Sensitive Data Protection을 사용하여 대규모 데이터 세트에서 PII 익명화 및 재식별 Sensitive Data Protection을 사용하여 자동 데이터 변환 파이프라인을 만들어 개인 식별 정보(PII)와 같은 민감한 정보를 익명화하는 방법을 설명합니다. 사용되는 제품: BigQuery, Cloud Pub/Sub, Cloud Storage, Dataflow, Identity and Access Management, Sensitive Data Protection |
|
Cloud Healthcare API를 통해 의료 이미지 익명화 연구자, 데이터 과학자, IT팀, 의료 및 생명과학 조직이 Cloud Healthcare API를 사용하여 개인 식별 정보(PII) 및 보호 건강 정보(PHI)를 삭제하는 방법을 설명합니다. 사용되는 제품: AI Platform, BigQuery, Cloud Storage, Dataflow, Datalab |
|
Google Cloud 시작 영역의 네트워크 설계 결정 이 문서에서는 시작 영역에 대한 4가지 일반적인 네트워크 설계를 설명하고 요구사항에 가장 적합한 옵션을 선택하는 데 도움이 됩니다. 사용되는 제품: VPC 서비스 제어, Virtual Private Cloud |
|
Cloud Functions를 사용하여 보안 서버리스 아키텍처 배포 Cloud Functions(2세대)를 사용하는 서버리스 애플리케이션을 보호하기 위해 기존 기반에 추가 제어를 계층화하는 방법에 대한 안내를 제공합니다. 사용되는 제품: Cloud Functions |
|
Cloud Run을 사용하여 보안 서버리스 아키텍처 배포 기존 기반에 추가 제어를 계층화하여 Cloud Run을 사용하는 서버리스 애플리케이션을 보호하는 방법을 안내합니다. 사용되는 제품: Cloud Run |
|
Google Cloud에 엔터프라이즈 개발자 플랫폼 배포 관리형 소프트웨어 개발 및 배포를 제공하는 내부 개발자 플랫폼을 배포하는 엔터프라이즈 애플리케이션 청사진에 대해 설명합니다. |
|
Google Cloud에서 네트워크 모니터링 및 원격 분석 기능 배포 네트워크 원격 분석은 데이터를 분석할 수 있도록 네트워크의 기기에서 네트워크 트래픽 데이터를 수집합니다. 네트워크 원격 분석을 사용하면 보안 운영팀에서 네트워크 기반 위협을 감지하고 다음에 필수적인 고급 공격 기술을 찾을 수 있습니다. 사용되는 제품: Compute Engine, Google Kubernetes Engine(GKE), Logging, 패킷 미러링, VPC, Virtual Private Cloud |
|
기밀성, 무결성, 가용성 요구사항에 따라 보안 배포 파이프라인 설계에 대한 권장사항을 설명합니다. 사용되는 제품: App Engine, Cloud Run, Google Kubernetes Engine(GKE) |
|
엔터프라이즈 워크로드 마이그레이션을 위한 네트워크 설계: 아키텍처 접근 방식 이 문서에서는 데이터 센터 워크로드를 Google Cloud로 마이그레이션하는 기업을 위한 네트워킹 및 보안 아키텍처를 설명하는 시리즈를 소개합니다. 이러한 아키텍처에서는 고급 연결, 제로 트러스트 보안 원칙을 강조합니다. 사용되는 제품: Anthos Service Mesh, Cloud CDN, Cloud DNS, Cloud Interconnect, Cloud Intrusion Detection System(Cloud IDS), Cloud Load Balancing, Cloud NAT, Cloud VPN, Google Cloud Armor, IAP(Identity-Aware Proxy), Network Connectivity Center, Traffic Director, VPC 서비스 제어, Virtual Private Cloud |
|
Google Cloud의 재해 복구(DR)를 설명하는 시리즈 중 1부입니다. 이 편에서는 DR 계획을 설계 및 구현하기 위해 알아야 하는 DR 계획 프로세스에 대한 개요를 제공합니다. 사용되는 제품: Cloud Key Management Service, Cloud Storage, Spanner |
|
이 시리즈에서는 사용자가 Google Cloud에서 워크로드를 배포할 수 있도록 구성된 전문가의 의견이 담긴 Google Cloud 보안 권장사항을 설명합니다. |
|
DLP 프록시를 사용하여 민감한 정보가 포함된 데이터베이스를 쿼리하는 아키텍처 예시 Sensitive Data Protection를 사용하여 Google Cloud 데이터베이스에 저장된 민감한 정보가 사용자에게 노출될 위험을 완화하면서도 의미 있는 데이터를 계속 쿼리하는 방법을 설명합니다. 사용되는 제품: Cloud 감사 로그, Cloud Key Management Service, Sensitive Data Protection |
|
Google Cloud에서 FortiGate 차세대 방화벽(NGFW) 배포와 관련된 전체 개념을 설명합니다. 사용되는 제품: Cloud Load Balancing, Cloud NAT, Compute Engine, Virtual Private Cloud |
|
이 가이드는 보안 담당자, 규정 준수 담당자, IT 관리자, Google Cloud에서 연방 위험 및 인증 관리 프로그램(FedRAMP) 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드는 다음에 도움이 됩니다. 사용되는 제품: Cloud Identity, Cloud Logging, Cloud Monitoring, Cloud VPN, Google Cloud Armor, Google Workspace, Identity and Access Management, Identity-Aware Proxy, Security Command Center |
|
일반적인 하이브리드 및 멀티 클라우드 아키텍처 패턴을 설명하고 이러한 패턴이 가장 적합한 시나리오에 대해 설명합니다. 사용되는 제품: Cloud DNS, Cloud Interconnect, Cloud Pub/Sub, Cloud Run, Cloud SQL, Cloud Storage, Google Cloud Armor, Google Kubernetes Engine(GKE), Looker |
|
Wiz 보안 그래프 및 Google Cloud를 통한 보안 위험 식별 및 우선순위 지정 Wiz 보안 그래프 및 Google Cloud를 사용하여 클라우드 워크로드의 보안 위험을 식별하고 우선순위를 지정하는 방법을 설명합니다. 사용되는 제품: Artifact Registry, Cloud 감사 로그, Cloud SQL, Cloud Storage, Compute Engine, Google Kubernetes Engine(GKE), Identity Access Management, Security Command Center |
|
이 문서에서는 시작 영역에 선택한 네트워크 설계를 구현하는 단계와 안내를 제공합니다. 사용되는 제품: Virtual Private Cloud |
|
Cloud Build 및 GKE를 사용하여 Binary Authorization 구현 Google Kubernetes Engine(GKE)에 Binary Authorization을 사용하는 방법을 보여줍니다. Binary 승인은 이미지를 GKE에 배포하기 전에 특정 기준의 충족 여부를 확인할 목적으로 컨테이너 이미지에 대한 증명을 만드는 프로세스입니다. 사용되는 제품: Artifact Registry, Binary Authorization, Cloud Build, Cloud Key Management Service, Cloud Source Repositories, Google Kubernetes Engine(GKE) |
|
외부 네트워크에서 보안 BigQuery 데이터 웨어하우스로 데이터 가져오기 프로덕션 환경에서 데이터 웨어하우스 보안을 위해 사용할 수 있는 아키텍처를 설명하고 온프레미스 네트워크와 같은 외부 네트워크에서 BigQuery로 데이터를 가져오기 위한 권장사항을 제공합니다. 사용되는 제품: BigQuery |
|
Google Cloud에서 보안 BigQuery 데이터 웨어하우스로 데이터 가져오기 프로덕션 환경에서 데이터 웨어하우스 보안을 위해 사용할 수 있는 아키텍처를 설명하고 Google Cloud에서 데이터 웨어하우스의 데이터 거버넌스에 대한 권장사항을 제공합니다. 사용되는 제품: BigQuery, Cloud Key Management Service, Dataflow, Sensitive Data Protection |
|
Cloud Data Fusion으로 임상 및 운영 데이터 수집 Cloud Data Fusion이 Google Cloud의 합산 데이터 웨어하우스인 BigQuery에서 데이터를 수집, 변환, 저장하여 데이터를 잠금 해제할 수 방법을 연구원, 데이터 과학자, IT팀에 설명합니다. 사용되는 제품: BigQuery, Cloud Data Fusion, Cloud Storage |
|
이 시리즈에서는 Google Cloud의 시작 영역을 설계 및 빌드하는 방법을 설명하며 ID 온보딩, 리소스 계층, 네트워크 디자인, 보안에 대한 의사결정을 간략하게 안내합니다. |
|
Google Cloud의 PCI 환경 규정 준수 범위 제한 결제 카드 산업(PCI) 보안 표준 위원회 규정 준수를 위한 클라우드 환경 아키텍처에 대한 권장사항을 설명합니다. 사용되는 제품: App Engine, BigQuery, Cloud Key Management Service, Cloud Logging, Cloud Monitoring, Cloud SQL, Identity and Access Management, Sensitive Data Protection |
|
오픈소스 도구를 사용하여 Google Cloud 리소스에 대해 적시 권한 있는 액세스를 구현하는 방법을 설명합니다. 사용되는 제품: App Engine, IAP(Identity-Aware Proxy) |
|
컴퓨팅, 데이터베이스, 스토리지 워크로드를 포함하여 애플리케이션과 인프라 워크로드를 Google Cloud로 마이그레이션하는 프로세스를 계획, 설계, 구현하는 데 도움이 됩니다. 사용되는 제품: App Engine, Cloud Build, Cloud Data Fusion, Cloud Deployment Manager, Cloud Functions, Cloud Run, Cloud Storage, Container Registry, Data Catalog, Dataflow, 다이렉트 피어링, Google Kubernetes Engine(GKE), Transfer Appliance |
|
제3자가 계정 도용, 암호화, 데이터 도용을 목적으로 시스템에 침입하기 위해 만든 코드를 랜섬웨어라고 부릅니다. 랜섬웨어 공격을 완화하는 데 도움이 되도록 Google Cloud에서는 식별, 보호, 감지 등에 대한 제어를 제공합니다. 사용되는 제품: Google Security Operations, Google Workspace |
|
ID 및 액세스 관리(일반적으로 IAM)의 일반적인 관행을 살펴보고 기업 ID, 고객 ID, 서비스 ID를 포함하여 여기에 적용되는 개별 사용자가 누구인지 알아봅니다. 사용되는 제품: Cloud Identity, Identity and Access Management |
|
Google Cloud의 OWASP 2021년 상위 10개 완화 옵션 OWASP 상위 10개 항목에 설명된 일반적인 애플리케이션 수준 공격을 방어하는 데 도움이 되는 Google Cloud 제품과 완화 전략을 식별할 수 있도록 도와줍니다. 사용되는 제품: Google Cloud Armor, Security Command Center |
|
Google Cloud에서 업무용으로 결제 카드 산업 데이터 보안 표준(PCI DSS)을 구현하는 방법을 보여줍니다. 사용되는 제품: App Engine, BigQuery, Cloud Functions, Cloud Key Management Service, Cloud Logging, Cloud Monitoring, Cloud Storage, Compute Engine, Google Kubernetes Engine(GKE), Sensitive Data Protection, VPC 서비스 제어 |
|
이 가이드는 결제 카드 산업 데이터 보안 표준(PCI DSS) 요구사항에 대한 고객의 책임을 구현할 때 Google Kubernetes Engine(GKE) 애플리케이션의 고유한 문제를 해결하는 데 도움이 되기 위해 작성되었습니다. 면책 조항: 사용되는 제품: Google Cloud Armor, Google Kubernetes Engine(GKE), Sensitive Data Protection |
|
Compute Engine에서 PostgreSQL 데이터베이스의 PITR 수행 데모 데이터베이스를 만들고 애플리케이션 워크로드를 실행합니다. 그리고 보관처리 및 백업 프로세스를 구성합니다. 그런 다음 백업, 보관처리, 복구 프로세스를 확인하는 방법을 알아봅니다. 사용되는 제품: Cloud Storage, Compute Engine |
|
Cloud Logging 내보내기 시나리오: 규정 준수 요구사항 조직의 규정 준수 요구사항이 충족되도록 로그를 Cloud Logging에서 Cloud Storage로 내보내는 방법을 보여줍니다. 사용되는 제품: Cloud 감사 로그, Cloud Logging, Cloud Storage |
|
Anthos Service Mesh를 사용하여 Anthos 클러스터 간의 안전하고 암호화된 통신 네트워크, 플랫폼, Kubernetes 클러스터를 관리하는 보안 엔지니어가 Anthos Service Mesh 인그레스 및 이그레스 게이트웨이를 사용하여 외부 클러스터 간 통신을 처리하는 방법을 보여줍니다. 사용되는 제품: Anthos Service Mesh, Cloud Networking, Compute Engine, Container Registry, Google Kubernetes Engine(GKE) |
|
Palo Alto VM-Series NGFW를 사용하여 virtual private cloud 네트워크 보호 Google Cloud에 Palo Alto Networks VM-Series 차세대 방화벽(NGFW)을 배포하려면 이해해야 하는 네트워킹 개념을 설명합니다. 사용되는 제품: Cloud Storage |
|
PCI on GKE 청사진에는 Google Cloud에서 PCI 환경을 부트스트랩하는 방법을 보여주는 다양한 Terraform 구성과 스크립트가 포함되어 있습니다. 이 청사진의 핵심에는 Online Boutique 애플리케이션이며, 여기서 사용자는 항목을 탐색하여 추가할 수 있습니다. 사용되는 제품: Google Kubernetes Engine(GKE) |
|
Google Cloud에서 로그를 수집, 내보내기, 분석하여 사용량을 감사하고 데이터와 워크로드에 대한 위협을 감지하는 방법을 보여줍니다. 포함된 BigQuery 또는 Chronicle 위협 감지 쿼리를 사용하거나 고유한 SIEM을 가져옵니다. 사용되는 제품: BigQuery, Cloud Logging, Compute Engine, Looker Studio |
|
Google Cloud 및 Cloudentity를 사용한 내장형 금융 솔루션 설정 원활하고 안전한 내장형 금융 솔루션을 고객에게 제공하기 위한 아키텍처 옵션을 설명합니다. 사용된 제품: Cloud Run, Google Kubernetes Engine(GKE), Identity Platform |
|
GKE에서 모바일 클라이언트에 사용할 Pub/Sub 프록시 설정 클라이언트 측 사용자 인증 정보 대신 인증 및 승인 로직을 처리하는 프록시를 사용하여 메시지를 모바일 또는 클라이언트 측 앱에서 Pub/Sub로 게시하는 방법을 보여줍니다. 사용되는 제품: Cloud Build, Cloud Endpoints, Cloud Pub/Sub, Container Registry, Google Kubernetes Engine(GKE), Identity and Access Management |
|
PCI DSS에 해당하는 민감한 카드 소지자 데이터 토큰화 Cloud Functions에서 액세스가 제어된 신용카드 및 체크카드의 토큰화 서비스를 설정하는 방법을 보여줍니다. 사용되는 제품: Cloud Key Management Service, Firestore, Identity and Access Management |
|
VPC 서비스 제어 및 Storage Transfer Service를 사용하여 Amazon S3에서 Cloud Storage로 데이터 전송 VPC 서비스 제어 경계가 있는 Storage Transfer Service를 사용하여 Amazon Simple Storage Service(Amazon S3)에서 Cloud Storage로 데이터 전송을 강화하는 방법을 설명합니다. 사용되는 제품: Access Context Manager, Cloud Storage, Storage Transfer Service, VPC 서비스 제어 |
|
Google Cloud 도구를 사용하여 Google Cloud 리소스 액세스 문제와 관련된 사용 사례의 문제를 해결하는 방법을 설명합니다. 이 문서에서는 애플리케이션에 대한 최종 사용자 액세스 문제 해결 방법을 설명하지 않습니다. 사용되는 제품: Identity and Access Management |
|
Google Cloud Armor, 부하 분산, Cloud CDN을 사용하여 프로그래밍 가능한 전역 프런트엔드 배포 Google Cloud 권장사항을 통합한 글로벌 프런트엔드를 사용하는 아키텍처를 제공하여 인터넷 연결 애플리케이션을 확장하고 보호하며 전송을 가속화합니다. |
|
Compute Engine에서 PITR(point-in-time recovery)에 Microsoft SQL Server 백업 사용 백업을 관리하고 Cloud Storage에 저장하는 방법과 데이터베이스를 특정 시점으로 복원하는 방법을 포함하여 Compute Engine SQL Server 인스턴스에서 백업을 수행합니다. 사용되는 제품: Cloud Storage, Compute Engine |