서비스 경계 세부정보 및 구성

이 페이지에서는 서비스 경계를 설명하고 경계를 구성하는 상위 단계를 설명합니다.

서비스 경계 정보

이 섹션에서는 서비스 경계가 작동하는 방식과 시행 및 테스트 실행 경계의 차이점을 설명합니다.

조직 수준에서 서비스 경계를 지정하여 프로젝트에서 Google Cloud 서비스를 보호하고 데이터 무단 반출 위험을 완화할 수 있습니다. 서비스 경계의 이점에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

또한 경계 내부에서 호스팅되는 VPC 네트워크의 VM에서와 같이 경계 에 액세스할 수 있는 서비스는 VPC 액세스 가능 서비스 기능을 사용하여 제한될 수 있습니다.

시행 모드 또는 테스트 실행 모드에서 VPC 서비스 제어 경계를 구성할 수 있습니다. 동일한 구성 단계가 시행된 경계와 테스트 실행 경계 모두에 적용됩니다. 차이점은 경계가 시행된 것처럼 테스트 실행 경계가 위반 사항을 로깅하지만 제한된 서비스에 대한 액세스를 방해하지 않는다는 것입니다.

시행 모드

시행 모드는 서비스 경계의 기본 모드입니다. 서비스 경계가 시행되면 경계 외부에서 제한되는 서비스에 대한 요청과 같이 경계 정책을 위반하는 요청은 거부됩니다.

시행 모드의 경계는 경계 구성에서 제한된 서비스에 경계를 적용하여 Google Cloud 리소스를 보호합니다. 경계에 필요한 인그레스 및 이그레스 규칙의 조건이 충족되지 않으면 제한된 서비스에 대한 API 요청은 경계를 넘지 않습니다. 시행 경계는 도용된 사용자 인증 정보, 잘못 구성된 권한 또는 프로젝트에 액세스할 수 있는 악의적인 내부 사용자와 같은 데이터 무단 반출 위험을 방지합니다.

테스트 실행 모드

테스트 실행 모드에서는 경계 정책을 위반하는 요청이 거부되지 않고 로깅됩니다. 테스트 실행 서비스 경계는 경계 구성을 테스트하고 리소스에 대한 액세스를 차단하지 않고 서비스 사용을 모니터링하는 데 사용됩니다. 다음은 일반적인 사용 사례입니다.

  • 기존 서비스 경계를 변경할 때의 영향을 확인합니다.

  • 새 서비스 경계를 추가할 때 미치는 영향 미리보기

  • 서비스 경계 외부에서 시작된 제한되는 서비스에 대한 요청 모니터링 예를 들어 특정 서비스에 대한 요청의 출처를 확인하거나 조직에서 예기치 않은 서비스 사용을 식별할 수 있습니다.

  • 프로덕션 환경과 비슷한 개발 환경에서 경계 아키텍처를 만듭니다. 프로덕션 환경에 변경사항을 제출하기 전 서비스 경계에서 발생한 모든 문제를 식별하고 해결할 수 있습니다.

자세한 내용은 테스트 실행 모드를 참조하세요.

서비스 경계 구성 단계

Google Cloud Console, gcloud 명령줄 도구, Access Context Manager API를 사용하여 VPC 서비스 제어를 구성할 수 있습니다.

다음에 표시된 개괄적인 단계 설명에 따라 VPC 서비스 제어를 구성할 수 있습니다.

  1. gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 서비스 경계를 만들려면 액세스 정책을 만듭니다.

  2. 서비스 경계를 사용하여 Google 관리형 리소스를 보호합니다.

  3. VPC 액세스 서비스를 설정하여 경계 내에서 서비스를 사용하는 방법에 추가 제한을 추가합니다(선택 사항).

  4. VPC 네트워크의 비공개 연결을 설정합니다(선택사항).

  5. 인그레스 규칙을 사용하여 서비스 경계 외부에서 컨텍스트 인식 액세스를 허용합니다(선택사항).

  6. 인그레스 및 이그레스 규칙을 사용하여 보안 데이터 교환을 구성합니다(선택사항).

액세스 정책 만들기

액세스 정책은 개발자가 조직을 위해 만든 서비스 경계 및 액세스 수준을 수집합니다. 한 조직에는 하나의 액세스 정책만 있을 수 있습니다.

Cloud Console의 VPC 서비스 제어 페이지를 사용하여 서비스 경계를 만들고 관리하는 경우에는 액세스 정책을 만들 필요가 없습니다.

하지만 gcloud 명령줄 도구 또는 Access Context Manager API를 사용하여 서비스 경계를 만들고 구성할 경우에는 먼저 액세스 정책을 만들어야 합니다.

Access Context Manager 및 액세스 정책에 대해 자세히 알아보려면 Access Context Manager 개요를 읽어보세요.

서비스 경계를 사용하여 Google 관리형 리소스 보호

서비스 경계는 조직의 프로젝트에서 사용하는 서비스를 보호하는 데 사용됩니다. 보호하려는 프로젝트 및 서비스를 확인한 후 하나 이상의 서비스 경계를 생성하세요.

서비스 경계가 작동하는 방법과 VPC 서비스 제어를 사용하여 보호할 수 있는 서비스에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요.

VPC 서비스 제어에서 사용 시 제한사항이 적용되는 일부 서비스가 있습니다. 서비스 경계를 설정한 후 프로젝트에 문제가 발생하면 문제 해결을 읽어보세요.

VPC 액세스 가능 서비스 설정

경계에 대한 VPC 액세스 가능 서비스를 사용 설정하면 경계 내부의 네트워크 엔드포인트로부터의 액세스가 지정한 서비스 집합으로 제한됩니다.

경계 내부의 액세스를 특정 서비스 집합으로 제한하는 방법을 자세히 알아보려면 VPC 액세스 가능 서비스를 참조하세요.

VPC 네트워크의 비공개 연결 설정

서비스 경계로 보호되는 VPC 네트워크 및 온프레미스 호스트에 대한 추가 보안을 제공하려면 비공개 Google 액세스를 사용하는 것이 좋습니다. 자세한 내용은 온프레미스 네트워크에서 비공개 연결을 참조하세요.

비공개 연결을 구성하는 방법에 대한 자세한 내용은 Google API 및 서비스로 비공개 연결 설정을 참조하세요.

Google Cloud 리소스에 대한 액세스를 VPC 네트워크의 비공개 액세스로만 제한하면 Cloud Console 및 Cloud Monitoring 콘솔과 같은 인터페이스를 사용하는 액세스가 거부됩니다. 서비스 경계 또는 경계 브리지를 제한된 리소스와 공유하는 VPC 네트워크에서 gcloud 명령줄 도구 또는 API 클라이언트를 계속 사용할 수 있습니다.

인그레스 규칙을 사용하여 서비스 경계 외부에서 컨텍스트 인식 액세스 허용

클라이언트 속성을 기반으로 경계로 제한된 리소스에 대한 컨텍스트 인식 액세스를 허용할 수 있습니다. ID 유형(서비스 계정 또는 사용자), ID, 기기 데이터, 네트워크 원본(IP 주소 또는 VPC 네트워크)과 같은 클라이언트 속성을 지정할 수 있습니다.

예를 들어 IPv4 및 IPv6 주소 범위를 기준으로 경계 내에서 리소스에 대해 인터넷 액세스를 허용하는 인그레스 규칙을 설정할 수 있습니다. 인그레스 규칙을 사용하여 컨텍스트 인식 액세스를 설정하는 방법은 컨텍스트 인식 액세스를 참조하세요.

인그레스 및 이그레스 규칙을 사용하여 보안 데이터 교환 구성

서비스 경계 하나에만 프로젝트를 포함할 수 있습니다. 경계 간 통신을 허용하려면 인그레스 및 이그레스 규칙을 설정합니다. 예를 들어 여러 경계의 프로젝트가 개별 경계의 로그를 공유할 수 있도록 인그레스 및 이그레스 규칙을 지정할 수 있습니다. 보안 데이터 교환 사용 사례에 대해 자세히 알아보려면 보안 데이터 교환을 참조하세요.