서비스 경계 세부정보 및 구성

이 페이지에서는 서비스 경계를 설명하고 경계를 구성하는 상위 단계를 설명합니다.

서비스 경계 정보

이 섹션에서는 서비스 경계가 작동하는 방식과 시행 및 테스트 실행 경계의 차이점을 설명합니다.

서비스 경계는 데이터 무단 반출 위험을 완화하기 위해 프로젝트에서 Google Cloud 서비스를 보호하는 조직 수준의 방법입니다. 서비스 경계의 이점에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

또한 경계 내부에서 호스팅되는 VPC 네트워크의 VM에서와 같이 경계 에 액세스할 수 있는 서비스는 VPC 액세스 가능 서비스 기능을 사용하여 제한될 수 있습니다.

VPC 서비스 제어 경계는 시행 및 테스트 실행이라는 두 가지 모드로 구성할 수 있습니다. 일반적으로 동일한 구성 단계는 시행된 경계와 테스트 실행 경계 모두에 적용됩니다. 중요한 차이점은 테스트 실행 경계가 보호된 서비스에 대한 액세스를 방지하지 않으며 경계가 적용된 것처럼 위반사항만 로깅한다는 것입니다. 이 가이드에서는 필요한 경우 시행 및 테스트 실행 경계의 차이점을 명시적으로 설명합니다.

시행 모드

시행 모드는 서비스 경계의 기본 모드입니다. 서비스 경계가 시행되면 경계 외부에서 보호되는 서비스에 대한 요청과 같이 경계 정책을 위반하는 요청은 거부됩니다.

시행된 경계로 서비스가 보호되는 경우:

  • 이 서비스는 경계 외부로 데이터를 전송할 수 없습니다.

    보호된 서비스는 경계 내에서 정상적으로 작동하지만 경계 외부로 리소스와 데이터를 전송하기 위한 작업을 수행할 수 없습니다. 이렇게 하면 경계 내 프로젝트에 액세스할 수 있는 악의적인 내부 사용자가 데이터를 유출하는 것을 방지할 수 있습니다.

  • 경계 외부에서 보호된 서비스로 보내는 요청은 경계에 할당된 액세스 수준의 기준을 충족하는 경우에만 적용됩니다.

  • 경계 브리지를 사용하여 다른 경계의 프로젝트에서 이 서비스에 액세스할 수 있습니다.

테스트 실행 모드

테스트 실행 모드에서는 경계 정책을 위반하는 요청이 거부되지 않고 로깅됩니다. 테스트 실행 서비스 경계는 경계 구성을 테스트하고 리소스에 대한 액세스를 차단하지 않고 서비스 사용을 모니터링하는 데 사용됩니다. 일반적인 사용 사례는 다음과 같습니다.

  • 기존 서비스 경계 변경이 미치는 영향 확인

  • 새 서비스 경계가 미칠 영향을 미리 볼 수 있습니다.

  • 서비스 경계 외부에서 시작된 보호되는 서비스에 대한 요청을 모니터링합니다. 예를 들어 특정 서비스에 대한 요청의 출처를 확인하거나 조직에서 예기치 않은 서비스 사용을 식별할 수 있습니다.

  • 개발 환경에서 프로덕션 환경과 유사한 경계 아키텍처를 만듭니다. 이렇게 하면 프로덕션 환경에 변경 사항을 푸시하기 전에 서비스 경계로 인해 발생할 수 있는 문제를 식별하고 완화할 수 있습니다.

자세한 내용은 테스트 실행 모드를 참조하세요.

서비스 경계 구성 단계

Google Cloud Console, gcloud 명령줄 도구, Access Context Manager API를 사용하여 VPC 서비스 제어를 구성할 수 있습니다.

VPC 서비스 제어를 구성하려면 다음 안내를 따르세요.

  1. gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 서비스 경계를 만들려면 액세스 정책을 만듭니다.

  2. 서비스 경계를 사용하여 GCP 리소스를 보호합니다.

  3. VPC 액세스 서비스를 설정하여 경계 내에서 서비스를 사용하는 방법에 추가 제한을 추가합니다(선택 사항).

  4. VPC 네트워크의 비공개 연결을 설정합니다(선택사항).

  5. 액세스 수준을 사용하여 서비스 경계 외부에서 액세스할 수 있는 권한을 부여합니다(선택사항).

  6. 서비스 경계 브리지를 사용하여 경계 간에 리소스 공유를 설정합니다(선택 사항).

액세스 정책 만들기

액세스 정책은 개발자가 조직에 관해 만든 서비스 경계 및 액세스 수준을 수집합니다. 조직에는 하나의 액세스 정책만 있을 수 있습니다.

Cloud Console의 VPC 서비스 제어 페이지를 사용하여 서비스 경계를 만들고 관리하는 경우에는 액세스 정책을 만들 필요가 없습니다.

하지만 gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 서비스 경계를 만들고 구성할 경우에는 먼저 액세스 정책을 만들어야 합니다.

Access Context Manager 및 액세스 정책에 대해 자세히 알아보려면 Access Context Manager 개요를 읽어보세요.

서비스 경계를 사용하여 GCP 리소스 보호

서비스 경계는 조직의 프로젝트에서 사용하는 서비스를 보호하는 데 사용됩니다. 보호하려는 프로젝트 및 서비스를 확인한 후 하나 이상의 서비스 경계를 생성하세요.

서비스 경계가 작동하는 방법과 VPC 서비스 제어를 사용하여 보호할 수 있는 서비스에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

VPC 서비스 제어에서 사용 시 제한사항이 적용되는 일부 서비스가 있습니다. 서비스 경계를 설정한 후 프로젝트에 문제가 발생하면 문제 해결을 읽어보세요.

VPC 액세스 가능 서비스 설정

경계에 대한 VPC 액세스 가능 서비스를 사용 설정하면 경계 내부의 네트워크 엔드포인트로부터의 액세스가 지정한 서비스 집합으로 제한됩니다.

경계 내부의 액세스를 특정 서비스 집합으로 제한하는 방법을 자세히 알아보려면 VPC 액세스 가능 서비스를 참조하세요.

VPC 네트워크의 비공개 연결 설정

서비스 경계로 보호되는 VPC 네트워크에 대한 추가 보안을 제공하려면 비공개 Google 액세스를 사용하는 것이 좋습니다. 여기에는 온프레미스 네트워크의 비공개 연결이 포함됩니다.

비공개 연결을 구성하는 방법에 대한 자세한 내용은 Google API 및 서비스로 비공개 연결 설정을 참조하세요.

Google Cloud 리소스에 대한 액세스를 VPC 네트워크의 비공개 액세스로만 제한하면 Cloud Console 및 Cloud Monitoring 콘솔과 같은 인터페이스를 사용하는 액세스가 거부됩니다. 서비스 경계 또는 경계 브리지를 제한된 리소스와 공유하는 VPC 네트워크에서 gcloud 명령줄 도구 또는 API 클라이언트를 계속 사용할 수 있습니다.

액세스 수준을 사용하여 서비스 경계 외부에서 액세스할 수 있는 권한 부여

액세스 수준을 사용하여 서비스 경계로 보호되는 리소스에 대한 해당 경계 외부의 요청을 허용할 수 있습니다.

액세스 수준을 사용하여 공개 IPv4 및 IPv6 CIDR 블록, VPC 서비스 제어로 보호되는 리소스에 대한 액세스를 허용할 개별 사용자 및 서비스 계정을 지정할 수 있습니다.

VPC 네트워크에서 비공개 연결을 사용하여 리소스를 제한하는 경우 Cloud Console을 사용해 Cloud Console에서 사용 중인 호스트의 공개 IP 주소가 포함된 액세스 수준에 CIDR 블록을 추가하여 보호된 서비스에 다시 액세스할 수 있습니다. IP 주소에 관계없이 특정 사용자의 Cloud Console을 다시 사용 설정하려면 사용자 계정을 구성원으로 액세스 수준에 추가합니다.

액세스 수준을 사용하는 방법을 알아보려면 액세스 수준 만들기를 읽어보세요.

서비스 경계 간에 데이터 공유

프로젝트는 하나의 서비스 경계에만 속할 수 있습니다. 두 경계 간에 통신을 허용하려면 서비스 경계 브리지를 만드세요.

경계 브리지를 사용하여 여러 서비스 경계의 프로젝트 간에 통신을 허용할 수 있습니다. 프로젝트는 여러 경계 브리지에 속할 수 있습니다.

경계 브리지에 대해 자세히 알아보려면 브리지를 사용한 경계 간 공유를 읽어보세요.