[GCP] BeyondCorp Enterprise

베하~ 안녕하세요! BTC_현상수배범입니다.

오늘은 GCP에서 제공하는 서비스인 BeyondCorp Enterprise에 대해서 알아보도록 하겠습니다.

 

BeyondCorp Enterprise란?

애플리케이션 및 리소스에 대한 보안 액세스를 지원하고, 통합된 위협 및 데이터 보호를 제공하는 제로 트러스트 솔루션입니다. 조직 인력이 VPN 없이도 멀웨어, 피싱, 데이터 손실에 대한 염려 없이 어디서나 웹 애플리케이션에 안전하게 액세스할 수 있습니다. BeyondCorp Enterprise를 통해 Google Cloud, 기타 클라우드, 온프레미스의 앱에 대한 액세스를 관리하고 사용자, 기기, 기타 컨텍스트 요인에 따라 액세스 정책을 정의 및 시행할 수 있으며, 더욱 간편하게 앱에 액세스할 수 있습니다. BeyondCorp Enterprise를 사용하면 다음과 같은 이점이 있습니다.

- 중요한 앱 및 서비스에 대해 안전한 액세스를 제공합니다.

- 통합된 위협 방지 및 데이터 보호 기능으로 정보를 보호할 수 있습니다.

- 에이전트가 없는 접근 방식으로 관리자 및 최종 사용자 환경을 단순화합니다.

- 안전하지 않은 사용자 활동에 대해 가시성이 증가합니다.

- 최신 제로 트러스트 플랫폼으로 보안 상태가 개선됩니다.

 

작동 방식

BeyondCorp Enterprise는 4가지 Google Cloud 서비스를 활용하여 작동합니다.

BeyondCorp Enterprise를 사용하여 애플리케이션, 리소스에 대해 보안을 인증받는 방식

1. IAP(Identity-Aware Proxy): VPN을 사용하지 않고도 신뢰할 수 없는 네트워크에서 회사 앱 및 리소스에 액세스할 수 있는 서비스입니다.

IAP는 Google Cloud 리소스에 IAM 조건을 적용하여 모든 항목을 연결합니다. IAP를 사용하면 HTTPS 및 SSH/TCP 트래픽으로 액세스하는 Google Cloud 리소스의 중앙 승인 레이어를 설정할 수 있습니다. 또한, 네트워크 수준의 방화벽을 사용하는 대신 리소스 수준의 액세스 제어 모델을 설정할 수 있습니다. 보안이 완료되면 액세스 규칙 및 조건을 충족하는 모든 기기 및 네트워크에서 모든 직원이 리소스에 액세스할 수 있습니다.

 

2. IAM(ID 및 액세스 관리): Google cloud의 ID관리 및 승인 서비스입니다.

IAM 조건을 사용하면 Google Cloud 리소스에 조건부 속성 기반 액세스 제어를 정의하고 적용할 수 있습니다. IAM 조건에서는 구성된 조건이 충족된 경우에만 주 구성원에게 권한을 부여할 수 있습니다. IAM 조건은 액세스 수준을 비롯한 다양한 속성으로 액세스를 제한할 수 있습니다. 조건은 리소스 IAM 정책의 IAP 역할 바인딩에 지정됩니다. 조건이 있는 경우 조건 표현식이 true로 평가되어야만 역할이 부여됩니다. 각 조건 표현식은 논리문의 집합으로 정의되므로 확인할 속성을 1개 이상 지정할 수 있습니다.

 

3. Access Context Manager: 세밀한 액세스 제어를 가능하게 하는 규칙 엔진입니다.

Access Context Manager를 통해 액세스 규칙을 정의하는 액세스 수준이 생성됩니다. IAM 조건으로 리소스에 적용되는 액세스 수준은 다양한 속성을 기반으로 세분화된 액세스 제어를 시행합니다. 액세스 수준은 다음 속성을 기반으로 액세스를 제한합니다.

• 서브네트워크 IP 주소 범위
• 리전
• 주 구성원
• 기기 정책

기기 기반 액세스 수준을 생성할 때 Access Context Manager는 엔드포인트 확인으로 생성된 기기의 인벤토리를 참조합니다. 예를 들어 액세스 수준을 통해 암호화된 기기를 사용하는 직원만 액세스할 수 있도록 제한할 수 있습니다. IAM 조건을 함께 사용하여 오전 9시에서 오후 5시 사이에 액세스를 제한하여 이 액세스 수준을 보다 세분화할 수 있습니다.

 

4. 엔드 포인트 확인: 사용자 기기 세부정보를 수집하는 Chrome 확장 프로그램입니다.

엔드포인트 확인은 암호화 상태, OS, 사용자 세부정보를 포함한 직원 기기 정보를 수집합니다. Google 관리 콘솔을 통해 사용 설정한 후에는 회사 기기에 엔드포인트 확인 Chrome 확장 프로그램을 배포할 수 있습니다. 직원은 개인 기기에도 설치할 수 있습니다. 이 확장 프로그램은 기기 정보를 수집하고 보고하며 Google Workspace와 지속적으로 동기화합니다. 최종 결과는 회사 리소스에 액세스하는 모든 회사 및 개인 기기의 인벤토리입니다.

 

 

제로 트러스트 액세스의 사용 예시

사용 중인 기기와 IP 주소를 포함한 다양한 속성 및 조건에 따라 세분화된 액세스 제어를 설정하려는 경우 사용할 수 있습니다. 회사 리소스에 컨텍스트 인식을 사용하면 보안 상태를 개선할 수 있습니다.

 

1. 회사 리소스에 대한 안전한 액세스

제로 트러스트 액세스를 제어하고 직원이 멀웨어, 피싱, 데이터 유출 등에 대한 염려 없이 거의 모든 장비 및 네트워크에서 간편하고 안전하게 SaaS 애플리케이션에 액세스할 수 있도록 합니다.

 

2. 모든 유형의 작업자를 위한 안전한 액세스

보호된 프로필로 외부 인력에 대한 제로 트러스트 액세스를 사용 설정합니다. 계약업체, 공급업체, 일선 인력과 같은 사용자는 관리되지 않는 기기에서 회사 리소스에 안전하게 액세스하여 BeyondCorp Enterprise 위협 방지 및 데이터 보호 기능을 받을 수 있습니다.

 

3. 안전한 엔터프라이즈 브라우징

Google의 안전한 엔터프라이즈 브라우징 솔루션은 Chrome에서 기본 제공하는 보안 기능, Chrome 브라우저 클라우드 관리의 제어 및 가시성, BeyondCorp Enterprise Essentials의 제로 트러스트 보호 기능을 결합하여 생산성을 저해하지 않으면서 데이터를 보호하고 조직을 보호합니다.

 

BeyondCorp Enterprise의 가격 책정

BeyondCorp Enterprise는 BeyondCorp Enterprise와 BeyondCorp Enterprise Essentials 두 가지 종류로 구분됩니다. 두 종류의 가장 큰 차이는 Enterprise의 경우에는 모든 애플리케이션에 사용 가능한 제로 트러스트 액세스 솔루션이지만, Essential은 핵심 애플리케이션 집합에 대해서만 제로 트러스트 액세스를 제공한다는 것입니다. 그렇다면, 두 제품의 가격 차이는 어떻게 될까요? Enterprise의 경우 사용자당 월 $6(USD)의 비용이 청구되고, 최소 총 계약 비용이 $14,000(USD)인 반면, Essentials의 경우에는 사용자당 월 $4(USD)의 비용과 최소 총 계약비용이 $10,000(USD)로 Enterprise에 비해 저렴합니다. 또한, 필요한 경우에 Google 영업팀에 직접 문의하여 커스텀으로 견적을 요청할 수도 있습니다. Enterprise와 Essential 각각이 제공 가능한 서비스의 범위는 하단의 링크를 참고하시면 되겠습니다.

https://cloud.google.com/beyondcorp-enterprise/pricing?hl=ko

가격 책정  |  BeyondCorp Enterprise  |  Google Cloud

 

 

참고 자료

1) https://cloud.google.com/beyondcorp-enterprise/docs/access-protection?hl=ko 

2) https://cloud.google.com/beyondcorp-enterprise/pricing?hl=ko