VPC Service Control

안녕하세요 BTC Hallo팀입니다. 최근 보안에 관련된 글을 많이 작성하고 있는데요. 최근 보안이 매우 민감한 이슈기도 하고 운영상 문제가 많이 발생하는 부분도 보안이기 때문입니다.

모두가 중요한것을 알고 있지만 아이러니 하게도 쉽게 놓치는 부분이 보안 관련 이슈들입니다.

이번 시간에는 GCP의 VPC Service Control에 대해서 소개해 보려고 합니다.

VPC Service Control을 사용하면 Cloud Storage 및 BigQuery와 같은 Google Cloud 서비스에서 데이터 무단 반출 위험을 완화할 수 있습니다. VPC Service Control을 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 경계를 만들 수 있습니다.

VPC Service Control은 다음 제어를 정의하여 Google Cloud 서비스를 보호합니다.

• 리소스에 대한 비공개 액세스 권한이 있는 경계 내 클라이언트는 경계 외부에 있는 권한이 없는(잠재적으로 공개) 리소스에 액세스하지 못합니다.
• gsutil cp 또는 bq mk와 같은 서비스 작업을 사용하여 경계 외부에 있는 승인되지 않은 리소스에 데이터를 복사할 수 없습니다.
• 경계로 분리된 클라이언트 및 리소스 간의 데이터 교환은 인그레스 및 이그레스 규칙을 사용하여 보호됩니다.
• 리소스에 대한 컨텍스트 인식 액세스는 ID 유형(서비스 계정 또는 사용자), ID, 기기 데이터, 네트워크 출처(IP 주소 또는 VPC 네트워크)와 같은 클라이언트 속성을 기반으로 합니다. 컨텍스트 인식 액세스의 예시는 다음과 같습니다.
  • Google Cloud 또는 온프레미스에 있는 경계 외부에 있는 클라이언트는 승인된 VPC 네트워크 내에 있으며 비공개 Google 액세스를 사용하여 경계 내에 있는 리소스에 액세스합니다.
  • 경계 내의 리소스에 대한 인터넷 액세스는 IPv4 및 IPv6 주소 범위로 제한됩니다.

VPC Service Control은 Identity and Access Management(IAM)과 별개로 Google Cloud 서비스의 보안을 더욱 강화합니다. IAM은 세분화된 ID 기반 액세스 제어를 지원하지만 VPC 서비스 제어는 경계 간 데이터 이그레스 제어를 포함한 보다 광범위한 컨텍스트 기반 경계 보안을 지원합니다. 심층 방어를 위해 VPC 서비스 제어와 IAM을 모두 사용하는 것이 좋습니다.

 

이렇게 VPC Service Control을 사용하면 어떤 장점이 있을까요? 장점에 대해서 알아보겠습니다.

 

VPC Service Control은 Google Cloud 리소스에 직접 비공개 액세스할 때의 성능 이점은 그대로 유지하면서 다음과 같은 보안 위험을 완화합니다.

• 승인되지 않은 네트워크에서 도용된 사용자 인증 정보를 사용한 액세스: VPC Service Control은 승인된 VPC 네트워크의 비공개 액세스만 허용하여 OAuth 사용자 인증 정보 또는 서비스 계정 사용자 인증 정보의 도용을 방지합니다.
• 악의적인 내부자 또는 손상된 코드에 의한 데이터 유출 : VPC Service Control은 네트워크 내 클라이언트가 경계 외부의 Google 관리형 서비스 리소스에 액세스하지 못하게 하여 네트워크 이그레스 제어를 보완합니다.또한 Google Cloud는 VPC Service Control과 통합하는 데 사용되는 제한된 가상 IP를 제공합니다. 또한 제한된 VIP는 VPC Service Control이 지원하는 서비스에 대한 요청을 인터넷에 노출하지 않고도 수행할 수 있습니다.
• 또한 VPC Service Control은 경계 외부에 있는 리소스의 데이터를 읽거나 복사하는 것을 방지합니다. VPC Service Control은 gsutil cp 명령어를 공개 Cloud Storage 버킷에 복사하거나 bq mk 명령어를 영구 외부 BigQuery 테이블에 복사하는 등의 서비스 작업을 방지합니다.
• 잘못 구성된 IAM 정책으로 인한 비공개 데이터의 공개적 노출: VPC Service Control은 잘못 구성된 IAM 정책으로 인해 데이터가 노출되는 경우에도 승인되지 않은 네트워크의 액세스를 거부하여 보안을 강화합니다.
• 서비스 액세스 모니터링: 테스트 실행 모드에서 VPC Service Control을 사용하여, 액세스를 차단하지 않고 보호된 서비스에 대한 요청을 모니터링하고 프로젝트에 대한 트래픽 요청을 이해합니다. 또한 허니팟 경계를 만들어서 액세스 가능한 서비스를 프로브하려는 예기치 않은 악의적인 시도를 식별할 수 있습니다.

조직 액세스 정책을 사용하고 전체 Google Cloud 조직에 VPC Service Control을 구성하거나 범위가 지정된 정책을 사용하고 조직의 폴더 또는 프로젝트에 VPC Service Control을 구성할 수 있습니다. 경계 내에 있는 데이터를 자유롭게 처리, 변환, 복사할 수 있습니다. 보안 제어는 경계 내에서 생성된 모든 새 리소스에 자동으로 적용됩니다.

 

물론 VPC Service Control을 지원하지 않는 제품들도 있기 때문에 https://cloud.google.com/vpc-service-controls/docs/supported-products

지원되는 제품 및 제한사항  |  VPC 서비스 제어  |  Google Cloud

위 링크에서 지원되는 제품에 대해서 잘 살펴보고 사용하여야 합니다.

 

VPC Service Control은 신뢰할 수 있는 경계 외부의 Google 관리형 서비스에 대한 액세스를 차단하고, 신뢰할 수 없는 위치의 데이터에 대한 액세스를 차단하고, 데이터 무단 반출 위험을 완화하는 보안 정책을 정의할 수 있도록 합니다. 다음과 같은 사용 사례에 VPC Service Control을 사용할 수 있습니다.

• 서비스 경계로 Google Cloud 리소스와 VPC 네트워크 격리
• 승인된 VPN 또는 Cloud Interconnect에 대한 온프레미스 네트워크로 경계 확장
• 인터넷에서 Google Cloud 리소스 액세스 제어
• 인그레스 및 이그레스 규칙을 사용하여 경계 및 조직 간 데이터 교환 보호
• 인그레스 규칙을 사용하여 클라이언트 속성을 기반으로 리소스에 대한 컨텍스트 인식 액세스 허용

 

VPC Service Control을 통해 도입된 몇가지 새로운 개념에 대해서 정리해 보겠습니다.

 

VPC Service Control
Google 관리 서비스의 리소스 주위에 서비스 경계를 정의하여 서비스에 대한 통신과 서비스 간의 통신을 제어하는 기술입니다.

 

서비스 경계

Google 관리 리소스 주위의 서비스 경계입니다. 서비스 경계를 사용하면 경계 내에서 자유롭게 통신하고 경계 외부의 모든 통신은 기본적으로 차단할 수 있습니다.

 

인그레스 규칙

경계 외부의 API 클라이언트가 경계 내에 있는 리소스에 액세스할 수 있도록 허용하는 규칙입니다.

 

이그레스 규칙

경계 내부에 있는 API 클라이언트 또는 리소스가 경계 외부의 Google Cloud 리소스에 액세스할 수 있도록 허용하는 규칙입니다. 경계는 인터넷의 타사 API 또는 서비스에 대한 액세스를 차단하지 않습니다.

 

서비스 경계 브리지

경계 브리지를 사용하면 서로 다른 보안 경계에 있는 프로젝트 간에 통신할 수 있습니다. 경계 브리지는 양방향이므로 각 서비스 경계에 있는 프로젝트가 브리지 범위 내에서 동등하게 액세스할 수 있습니다.

 

Access Context Manager

소스 IP 주소와 같은 클라이언트의 지정된 속성을 기반으로 요청을 액세스 수준에 매핑할 수 있는 문맥 인지 요청 분류 서비스입니다.

 

액세스 수준

인터넷에서 소스 IP 범위, 클라이언트 기기, 위치정보 등과 같은 여러 속성을 기준으로 요청을 분류합니다. 요청과 관련된 액세스 수준에 따라 인터넷에서 액세스 권한을 부여하도록 서비스 경계를 구성할 수 있습니다. 액세스 수준은 Access Context Manager 서비스에서 결정됩니다.

 

액세스 정책

서비스 경계를 정의하는 Google Cloud 리소스 객체입니다. 특정 폴더 또는 프로젝트로 범위가 지정된 액세스 정책과 함께 전체 조직에 적용할 수 있는 액세스 정책을 만들 수 있습니다.

 

제한된 VIP

제한된 VIP는 인터넷에서 액세스할 수 없는 제품에서 데이터와 리소스를 사용할 수 있도록 VPC 서비스 제어에서 지원하는 제품과 API에 비공개 네트워크 경로를 제공합니다. restricted.googleapis.com은 199.36.153.4/30로 확인됩니다. 이 IP 주소 범위는 인터넷에 공개되지 않습니다.

 

이상으로 VPC Service Control의 개요에 대해서 알아보았습니다. 감사합니다.

 

출처: https://cloud.google.com/vpc-service-controls/docs/overview