본문 바로가기
CSP (Cloud Service Provider)/GCP

[GCP] Google Cloud Armor

by BTC_문돌이 2022. 10. 18.

안녕하세요~ BTC Hallo팀입니다. 이번에는 GCP의 Cloud Armor서비스에 대해서 알아보겠습니다.

Google Cloud Armor를 사용하면 DDoS 공격과 교차 사이트 스크립팅(XSS), SQL 삽입(SQLi)과 같은 애플리케이션 공격을 포함한 여러 유형의 위협으로부터 Google Cloud 배포를 보호할 수 있습니다. Google Cloud Armor에는 일부 자동 보호 기능이 포함되어 있으며 수동으로 구성해야 하는 경우도 있습니다.
일부는 전역 외부 HTTP(S) 부하 분산기와 전역 외부 HTTP(S) 부하 분산기(기본)에서만 사용할 수 있습니다.

보안정책
애플리케이션이 Google Cloud, 하이브리드 배포 또는 멀티 클라우드 아키텍처에 배포되는지 여부에 관계없이 Google Cloud Armor 보안 정책을 사용하면 DDoS와 기타 웹 기반 공격으로부터 부하 분산기 뒤에서 실행되는 애플리케이션을 보호할 수 있습니다. 보안 정책은 구성 가능한 일치 조건 및 보안 정책의 작업을 사용하여 수동으로 구성할 수 있습니다. Google Cloud Armor에는 다양한 사용 사례에 적용되는 사전 구성된 보안 정책도 포함됩니다.

규칙언어
Google Cloud Armor를 사용 설정하면 보안 정책에서 구성 가능한 일치 조건과 작업으로 우선순위가 지정된 규칙을 정의할 수 있습니다. 규칙이 적용됩니다. 즉, 해당 속성이 수신 요청의 속성과 일치하는 가장 우선순위가 높은 규칙인 경우 구성된 작업이 적용됩니다.

다음으로 Cloud Armor의 주요 특징을 살펴보겠습니다.

1. 엔터프라이즈 수준의 DDoS 방어
Cloud Armor는 Google 검색, Gmail, YouTube 등의 주요 인터넷 서비스를 보호해 온 Google의 경험을 활용하여 L3 및 L4 DDoS 공격에 대한 방어를 기본 제공합니다.

2. OWASP 10대 위험 완화
Cloud Armor는 교차 사이트 스크립팅(XSS) 및 SQL 삽입(SQLi) 공격을 비롯한 여러 공격을 방어하기 위한 사전 정의된 규칙을 제공합니다.

3. 관리형 보호
Cloud Armor Managed Protection Plus 등급을 사용하면 DDoS 및 WAF 서비스, 선별된 규칙 집합, 기타 서비스를 예측 가능한 월별 요금으로 이용할 수 있습니다.

4. OWASP 10대 위험을 완화하기 위한 사전 정의된 WAF 규칙
일반적인 웹 애플리케이션 취약점을 최소화하고 OWASP 상위 10개에 대한 보안을 제공하기 위해 업계 표준을 기반으로 즉시 사용할 수 있는 규칙입니다.

5. 웹 애플리케이션 방화벽을 위한 다양한 규칙 언어
유연한 규칙 언어로 L3–L7 매개변수와 위치정보의 조합을 사용하는 커스텀 규칙을 생성해 배포를 보호해 보세요.

6. 가시성 및 모니터링
Cloud Monitoring 대시보드에서 보안 정책과 관련된 모든 측정항목을 쉽게 모니터링하세요. 또한 Security Command Center 대시보드에서 직접 Cloud Armor의 의심스러운 애플리케이션 트래픽 패턴을 볼 수 있습니다.

7. 로깅
Cloud Logging을 사용하면 요청에 따라 Cloud Armor의 의사결정과 관련 정책 및 규칙을 확인할 수 있습니다.

8. 미리보기 모드
시행을 활성화하기 전에 미리보기 모드에서 Cloud Armor 규칙을 배포하여 규칙의 효과를 확인하고 프로덕션 트래픽에 미치는 영향을 파악하세요.

9. 규칙을 갖춘 정책 프레임워크
규칙이 계층 구조로 이루어진 보안 정책을 여럿 구성할 수 있습니다. 다양한 수준의 세부사항으로 정책을 하나 이상의 워크로드에 적용해 보세요.

10. IP 기반 및 지역 기반 액세스 제어
IPv4 및 IPv6 주소 또는 CIDR을 기반으로 수신 트래픽을 필터링하세요. 수신되는 트래픽의 지역적 위치를 기반으로 액세스 제어를 식별하고 적용하세요.

11. 하이브리드 및 멀티 클라우드 배포 지원
DDoS 또는 웹 공격으로부터 애플리케이션을 방어하고 애플리케이션이 Google Cloud, 하이브리드 또는 멀티 클라우드 아키텍처에 배포되는지 여부에 관계없이 레이어 7 보안 정책을 시행할 수 있습니다.

12. 명명된 IP 목록
선별된 명명된 IP 목록을 기반으로 Cloud Armor 보안 정책을 통해 트래픽을 허용하거나 거부합니다.

이상 Cloud Armor의 개요 및 주요 특징에 대해서 살펴보았습니다. 감사합니다.

출처: https://cloud.google.com/armor/docs/cloud-armor-overview
      https://cloud.google.com/armor

 

댓글