Chrome Enterprise Premium을 사용하여 Cloud Workstations API 보호 지원

개요

Chrome Enterprise Premium은 조직 인력이 VPN 없이도 맬웨어, 피싱, 데이터 손실을 방지하고 어디서나 웹 애플리케이션에 안전하게 액세스할 수 있는 Google Cloud의 제로 트러스트 솔루션입니다.

Chrome Enterprise Premium을 사용하면 Google Chrome의 강력한 기능을 활용하여 모든 기기에서 애플리케이션을 액세스할 수 있습니다. Chrome Enterprise Premium은 개발자 환경에서 몇 가지 중요한 보안 과제를 해결하기 위해 기능을 확장하고 있습니다. Google Cloud 콘솔 및 API에 컨텍스트 인식 액세스 제어를 사용하면 Chrome Enterprise Premium에서 Cloud Workstations API 보안을 강화할 수 있습니다.

다음 표에는 Chrome Enterprise Premium에서 지정된 Cloud Workstations 액세스 방법에 대해 컨텍스트 인식 액세스 제어를 지원하는지 여부가 나와 있습니다.

  • 체크표시는 Chrome Enterprise Premium은 이 Cloud Workstations 액세스 방법을 제한함을 나타냅니다다.
  • 지원되지 않음 아이콘은 Chrome Enterprise Premium이 이러한 Cloud Workstations 액세스 방법을 제한하지 않음을 나타냅니다.

목표

이 문서에서는 관리자가 Cloud Workstations API에 대해 Chrome Enterprise Premium 액세스 제어를 설정하고 브라우저 기반 Cloud Workstations IDE에서 소스 코드가 유출되지 않도록 방지하는 데 도움이 되는 추가 메커니즘을 제공하기 위해 따라야 하는 단계를 설명합니다.

비용

이 튜토리얼에서는 결제 또는 IAM을 위해 다른 팀을 참여시키고 Chrome Enterprise Premium 안전 장치 구현을 표현하기 위해 액세스 제어 테스트를 수행해야 할 수 있습니다.

이 문서에서는 비용이 청구될 수 있는 다음과 같은 Google Cloud 구성요소를 사용합니다.

프로젝트 사용량을 기준으로 예상 비용을 산출하려면 가격 계산기를 사용하세요. Google Cloud를 처음 사용하는 사용자는 무료 체험판을 사용할 수 있습니다.

이 문서에 설명된 태스크를 완료했으면 만든 리소스를 삭제하여 청구가 계속되는 것을 방지할 수 있습니다. 자세한 내용은 삭제를 참조하세요.

시작하기 전에

  1. Google Cloud 계정에 로그인합니다. Google Cloud를 처음 사용하는 경우 계정을 만들고 Google 제품의 실제 성능을 평가해 보세요. 신규 고객에게는 워크로드를 실행, 테스트, 배포하는 데 사용할 수 있는 $300의 무료 크레딧이 제공됩니다.

  2. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  3. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  4. Workstations API 사용 설정

    API 사용 설정

  5. 프로젝트에 다음 역할이 있는지 확인합니다. Cloud Workstations > Cloud Workstations Admin.

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.

    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.

  6. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

  7. Google Cloud 프로젝트에 결제가 사용 설정되어 있는지 확인합니다.

  8. Workstations API 사용 설정

    API 사용 설정

  9. 프로젝트에 다음 역할이 있는지 확인합니다. Cloud Workstations > Cloud Workstations Admin.

    역할 확인

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.

    3. 주 구성원 열에서 이메일 주소가 있는 행을 찾습니다.

      이메일 주소가 열에 없으면 역할이 없는 것입니다.

    4. 이메일 주소가 있는 행에 대해 역할 열에서 역할 목록에 필요한 역할이 있는지 확인합니다.

    역할 부여

    1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

      IAM으로 이동
    2. 프로젝트를 선택합니다.
    3. 액세스 권한 부여를 클릭합니다.
    4. 새 주 구성원 필드에 이메일 주소를 입력합니다.
    5. 역할 선택 목록에서 역할을 선택합니다.
    6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
    7. 저장을 클릭합니다.

  10. 각 사용자에게 올바른 Chrome Enterprise Premium Standard 라이선스를 부여합니다. 라이선스가 있는 사용자에게만 액세스 제어가 적용됩니다. 자세한 내용은 라이선스 할당, 삭제, 재할당을 참조하세요.

1부: Cloud Workstations용 Chrome Enterprise Premium 설정

이 섹션에서는 Cloud Workstations API에 대해 컨텍스트 인식 액세스 보호에 도움이 되는 단계를 안내합니다.

  1. Cloud Workstations를 설정합니다.
  2. 데모 사용자 및 데모 그룹을 만듭니다.
  3. Access Context Manager에서 액세스 수준을 만듭니다.
  4. Chrome Enterprise Premium CAA를 사용 설정합니다.
  5. 액세스 수준에 따라 필요한 Google 그룹을 추가합니다.
  6. Cloud Workstations에 대한 개발자 액세스를 테스트합니다.

Cloud Workstations 설정

Google Cloud 콘솔에서 워크스테이션 구성을 만듭니다.

Cloud Workstations에 익숙하지 않으면 Cloud Workstations 개요아키텍처 설명을 참조하세요.

데모 사용자 및 데모 그룹 만들기

Google Workspace 관리자 콘솔에서 데모 사용자와 새 사용자 그룹을 만듭니다. 사용 설정하면 Google Cloud 콘솔의 컨텍스트 인식 액세스(CAA)가 전역 설정이므로 모든 사용자와 Google 그룹에 적용됩니다.

  1. 관리자 계정으로 Google Workspace 관리자 콘솔에 로그인하고 메뉴 > 디렉터리 > 사용자 > 새 사용자 추가를 선택합니다.

  2. 데모 사용자를 만듭니다. demo-user@<domain>.

  3. Google Cloud 콘솔에 로그인하고 메뉴 > IAM 및 관리자 > 그룹으로 이동합니다.

  4. Cloud Workstations 액세스를 위해 IAM 그룹을 만들고 이름을 Cloud Workstations Users로 지정하고, 이전에 만든 데모 사용자 demo-user@<domain>을 할당합니다.

  5. 저장을 클릭합니다.

  6. 또한 IAM 관리자 그룹을 만들고 이름을 Cloud Admin Users로 지정합니다. 프로젝트 및 조직 관리자를 이 그룹에 할당합니다.

  7. 데모 사용자 demo-user@<domain>을 이전에 만든 Cloud Workstations 사용자 그룹에 추가합니다.

    1. Google Cloud 콘솔에서 Cloud Workstations > 워크스테이션으로 이동합니다.
    2. 워크스테이션을 선택한 후 more_vert더보기 > 사용자 추가를 클릭합니다.
    3. 데모 사용자 demo-user@<domain>을 선택하고 역할Cloud Workstations User를 선택합니다.
    4. 데모 사용자에게 워크스테이션 액세스 권한을 부여하려면 demo-user@<domain>을 선택하고, 역할Cloud Workstations Users를 선택하고 저장을 클릭합니다.

액세스 수준 만들기

Google Cloud 콘솔로 돌아가서 Access Context Manager에서 액세스 수준을 만듭니다.

다음 안내에 따라 액세스를 테스트합니다.

  1. Google Cloud 콘솔에서 보안 > Access Context Manager로 이동하여 회사 관리 기기 정책을 구성합니다.

  2. 액세스 수준 만들기를 클릭하고 다음 필드를 작성합니다.

    1. 액세스 수준 제목 필드에 corpManagedDevice을 입력합니다.
    2. 기본 모드를 선택합니다.
    3. 조건에서 True를 선택하여 조건을 사용 설정합니다.
    4. + 기기 정책을 클릭하여 옵션을 확장하고 기업 소유의 기기 필요를 선택합니다.
    5. 저장을 클릭하여 액세스 정책을 저장합니다.

Google Cloud 콘솔에 Chrome Enterprise Premium CAA 사용 설정

컨텍스트 인식 액세스 제어(CAA)를 워크스테이션에 할당하려면 Google Cloud 콘솔에 대해 CAA를 사용 설정하여 시작합니다.

  1. Google Cloud 콘솔에서 보안 > BeyondCorp Enterprise로 이동합니다.

  2. Google Cloud 콘솔 및 API 액세스 관리를 클릭합니다. Chrome Enterprise Premium 조직 수준 페이지로 이동합니다.

  3. Google Cloud 콘솔 및 API 보안 섹션에서 사용 설정을 클릭합니다.

액세스 수준에 따라 필요한 Google 그룹 추가

관련 멤버가 포함된 필요한 관리자 그룹과 올바른 액세스 정책을 추가합니다.

콘솔

  1. 관리자가 작업을 수행하는 리전으로 위치가 설정된 CloudAdminAccess라는 관리자 액세스 정책을 만듭니다. 이렇게 하면 다른 정책으로 차단되더라도 관리자가 리소스에 액세스할 수 있습니다.

  2. IAM 및 관리자 > 그룹에서 관리자 액세스 권한이 있는 IAM 그룹을 만듭니다.

    1. 조직을 선택합니다.
    2. 그룹을 만들고 이름을 Cloud Admin Users로 지정합니다.
    3. 본인 및 다른 관리자를 이 그룹에 할당합니다.
    4. 저장을 클릭합니다.

  3. 보안 > Chrome Enterprise Premium으로 이동합니다. 액세스 관리를 클릭하고 표시된 그룹 및 액세스 수준 목록을 검토합니다.

  4. Google Cloud 콘솔 및 API에 주 구성원 추가를 클릭합니다.

    1. Google 그룹스에 대해 Cloud Admin Users를 선택합니다. 이것은 이전 단계에서 선택한 Google 그룹입니다.
    2. 관리자 액세스를 위해 만든 액세스 수준인 CloudAdminAccess를 선택합니다.
    3. 저장을 클릭합니다.

gcloud 및 API

테스트 실행을 사용 설정하려면 Chrome Enterprise Premium 테스트 실행 튜토리얼을 따릅니다.

Cloud Workstations 사용자 그룹에 액세스 수준 할당

Cloud Workstations 사용자 그룹에 액세스 수준을 할당하려면 다음 안내를 따르세요.

  1. 보안 > Chrome Enterprise Premium으로 이동하여 액세스 관리를 클릭합니다.

  2. 표시되는 그룹 및 액세스 수준 목록을 검토합니다.

  3. Google Cloud 콘솔 및 API에 주 구성원 추가를 클릭합니다.

    1. Google 그룹스에 대해 Cloud Workstations Users를 선택합니다. 이것은 이전 단계에서 선택한 Google 그룹입니다.
    2. 앞에서 만든 액세스 수준인 corpManagedDevice를 선택합니다.
    3. 저장을 클릭합니다.

Cloud Workstations에 대한 개발자 액세스 테스트

여러 진입점에서 Cloud Workstations API에 대한 개발자 액세스를 테스트합니다. 회사 소유 기기의 경우 개발자가 워크스테이션 API에 액세스할 수 있는지 확인합니다.

  • 관리되지 않는 기기에서 워크스테이션 API에 대한 액세스가 차단되는지 테스트합니다.

    Chrome Enterprise Premium은 Cloud Workstations API에 액세스하려고 시도하는 사용자를 차단합니다. 사용자가 로그인하려고 시도하면 사용자에게 액세스 권한이 없거나 사용자가 네트워크 연결 및 브라우저 설정을 확인해야 한다는 오류 메시지가 표시됩니다.

  • 회사 소유 기기로부터 워크스테이션 API에 대한 액세스가 사용 설정되었는지 테스트합니다.

    Chrome Enterprise Premium 및 Cloud Workstations 액세스 권한이 있는 개발자는 워크스테이션 만들기워크스테이션 시작을 수행할 수 있습니다.

2부: Chrome Enterprise Premium DLP 기능 설정하기

이 섹션에는 BeyondCorp 위협 및 데이터 보호를 활용하여 데이터 손실 방지(DLP) 기능을 통합하는 단계가 포함되어 있습니다. 이렇게 하면 Chrome 기반 Cloud Workstations 기본 편집기(Code OSS for Cloud Workstations)로부터 소스 코드 무단 유출을 방지하는 데 도움이 됩니다.

다음 단계에 따라 Chrome Enterprise Premium DLP 기능을 설정하여 소스 코드 다운로드를 방지하세요.

  1. 위협 및 데이터 보호를 사용 설정합니다.
  2. BeyondCorp DLP 규칙을 만듭니다.
  3. 설정을 검토하고 규칙을 만듭니다.
  4. DLP 규칙을 테스트합니다.

위협 및 데이터 보호 사용 설정

Google Workspace 관리자 콘솔에서 위협 및 데이터 보호를 사용 설정하려면 다음 단계를 수행합니다.

  1. 기기 > Chrome > 설정 > 사용자 및 브라우저로 이동합니다.

  2. 조직 단위 식별자(OU ID)를 선택한 후 사용자 및 브라우저 설정 아래에서 필터 검색 또는 추가를 클릭하고 카테고리 하위 유형을 선택합니다.

  3. 카테고리 하위 유형에서 Chrome Enterprise 커넥터를 검색합니다.

  4. 다운로드 콘텐츠 분석에서 Google BeyondCorp Enterprise를 선택합니다.

  5. 추가 설정을 확장합니다.

    1. 분석이 완료될 때까지 파일 액세스 지연을 선택합니다.
    2. 민감한 정보 확인 > 모드에서 기본적으로 설정, 다음 URL 패턴 제외를 선택합니다.

  6. 저장을 클릭하여 구성을 저장합니다.

Chrome Enterprise Premium DLP 규칙 만들기

DLP 규칙을 만들려면 다음 단계를 수행합니다.

  1. Google Workspace 관리자 콘솔로 이동하여 보안 > 액세스 및 데이터 컨트롤 > 데이터 보호 > 규칙 관리를 선택합니다.

  2. 새 규칙을 만들려면 규칙 추가를 클릭한 후 새 규칙을 클릭합니다. 그러면 이름 및 범위 페이지가 열립니다.

  3. 이름 섹션에서 이름과 설명을 입력합니다. 예를 들어 이름 필드에 CloudWorkstations-DLP-Rule1을 입력하고 설명 필드에 Cloud Workstations Data Loss Prevention Rule 1을 입력합니다.

  4. 범위 섹션에서 다음을 구성합니다.

    1. 조직 단위 또는 그룹을 선택합니다.
    2. 조직 단위 포함을 클릭하고 조직을 선택합니다.
    3. 계속을 클릭합니다.

  5. 섹션에서 다음을 구성합니다.

    1. Chrome 옵션에서 업로드한 파일다운로드한 파일을 선택합니다.
    2. 계속을 클릭합니다.

  6. 조건 페이지에서 다음을 구성합니다.

    1. 조건 추가를 클릭하여 새 조건을 만듭니다.
    2. 모든 콘텐츠를 선택합니다.
    3. 사전 정의된 데이터 유형과 일치(권장)를 선택합니다.
    4. 데이터 유형 선택에 대해 문서—소스 코드 파일을 선택합니다.
    5. 일치 가능성 기준점 필드에 대해 높음을 선택합니다.
    6. 최소 고유 일치 필드에 1을 입력합니다.
    7. 최소 일치 개수 필드에 1을 입력합니다.
    8. 계속을 클릭합니다.

  7. 작업 페이지에서 다음을 구성합니다.

    1. 작업 옵션에서 Chrome > 콘텐츠 차단을 선택합니다.
    2. 알림 옵션에서 다음을 구성합니다.
      • 심각도로 중간을 선택합니다.
      • 알림 센터로 전송됨을 선택합니다.
    3. 계속을 클릭합니다.

설정 검토 및 규칙 만들기

검토 페이지에서 이전 페이지에서 구성한 설정을 검토합니다.

  1. 설정이 올바른지 확인합니다.
  2. 계속하려면 만들기를 클릭합니다.
  3. 다음 페이지에서 활성이 선택되었는지 확인합니다.
  4. 규칙 만들기를 완료하려면 완료를 클릭합니다.

DLP 규칙 테스트

이제 DLP 규칙이 추가되었으므로 Chrome에서 Cloud Workstations 테스트를 수행할 수 있습니다.

  1. 새 Chrome 탭에서 chrome://policy를 입력하고 정책 새로고침을 클릭하여 Chrome 정책이 업데이트되도록 합니다.

  2. 아래로 스크롤하여 정책 목록이 표시되는지 확인합니다. 목록이 있으면 정책을 성공적으로 가져온 것입니다. 이 경우 OnFileDownloadEnterpriseConnector 정책을 찾습니다.

  3. Google Cloud 콘솔로 이동하고 Cloud Workstations 구성을 만듭니다.

    워크스테이션 구성을 만들 때 기본 이미지의 코드 편집기를 선택한 후 기본 편집기(Code OSS for Cloud Workstations) 사전 구성된 기본 이미지를 선택합니다.

  4. 워크스테이션 만들기

  5. 워크스테이션을 시작하고 실행합니다.

  6. 워크스테이션을 시작한 후 표시되는 Code OSS for Cloud Workstations URL에 액세스하고 포트 80에 연결합니다.

  7. IDE에서 Git 저장소 클론 옵션을 사용해서 저장소를 클론합니다. 저장소가 클론된 후 소스 코드를 사용하여 파일 다운로드를 시도합니다.

    Code OSS for Cloud Workstations 뷰에서 파일을 다운로드하려면 다음 메서드 중 하나를 사용하세요.

    • 탐색기 뷰에서 파일을 드래그합니다.

    • 사용하려는 파일 및 디렉터리로 이동하고, 마우스 오른쪽 버튼으로 클릭한 후 다운로드를 선택합니다.

  8. 다운로드 시 DLP 정책이 적용됩니다. 조직 정책이 충족되지 않았음을 나타내는 다운로드 차단 알림이 표시됩니다.

수고하셨습니다. 지금까지 소스 코드 파일이 다운로드되지 않도록 방지하는 작업을 수행했습니다.

삭제

이 튜토리얼에서 사용된 리소스 비용이 Google Cloud 계정에 청구되지 않도록 하려면 리소스가 포함된 프로젝트를 삭제하거나 프로젝트를 유지하고 개별 리소스를 삭제하세요. 자세한 내용은 리소스 삭제를 참조하세요.

다음 단계