Private Service Connect 인터페이스의 보안 구성

이 페이지에서는 프로듀서 네트워크 관리자가 Private Service Connect 인터페이스를 사용하는 VPC 네트워크의 보안을 관리하는 방법을 설명합니다.

Private Service Connect 인터페이스는 소비자 Private Service Connect 네트워크에 존재하므로 프로듀서 조직은 인터페이스에 직접 적용되는 방화벽 규칙을 제어하지 않습니다. 프로듀서 조직에서 소비자 워크로드가 프로듀서 네트워크에 있는 VM에 대한 트래픽을 시작할 수 없도록 하거나 선택한 소비자 워크로드만 트래픽을 시작할 수 있도록 하려면 인터페이스 VM의 게스트 OS에 보안 정책을 정의해야 합니다.

소비자-프로듀서 간 인그레스 차단

iptables를 사용하여 Private Service Connect 인터페이스를 구성하여 소비자 네트워크의 인그레스 트래픽을 차단하지만 프로듀서 네트워크의 이그레스 트래픽을 계속 허용할 수 있습니다. 이 구성은 그림 1에 설명되어 있습니다.

그림 1. 소비자 트래픽은 Private Service Connect 인터페이스를 통해 인그레스에서 차단되지만 프로듀서 이그레스 트래픽은 허용됩니다.

소비자 네트워크에서 인그레스 트래픽을 차단하지만 프로듀서 네트워크의 이그레스 트래픽을 허용하도록 Private Service Connect 인터페이스를 구성하려면 다음을 수행합니다.

  1. Private Service Connect 인터페이스의 VM에 대한 인그레스 SSH 연결을 허용하도록 방화벽 규칙이 구성되었는지 확인합니다.

  2. VM에 연결합니다.

  3. iptables 명령어를 사용할 수 없으면 설치합니다.

  4. 소비자 응답 트래픽이 Private Service Connect 인터페이스로 인그레스하도록 허용합니다.

    sudo iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -i OS_INTERFACE_NAME

    OS_INTERFACE_NAMEPrivate Service Connect 인터페이스의 게스트 OS 이름(예: ens5)으로 바꿉니다.

  5. Private Service Connect 인터페이스를 통해 소비자 시작 트래픽이 인그레스되지 않도록 차단합니다.

    sudo iptables -A INPUT -j DROP -i OS_INTERFACE_NAME

Private Service Connect 인터페이스 생성 차단

Private Service Connect 인터페이스를 만들려면 사용자에게 compute.instances.pscInterfaceCreate Identity and Access Management(IAM) 권한이 있어야 합니다. 이 권한은 다음과 같은 역할에 포함되어 있습니다.

사용자에게 이러한 역할과 연결된 권한을 부여하되 사용자가 Private Service Connect 인터페이스를 만들지 못하게 하려면 커스텀 역할을 만들어 사용자에게 부여하면 됩니다. 필요한 권한을 역할에 추가합니다. compute.instances.pscInterfaceCreate 권한은 생략합니다.

다음 단계