Cloud Security : GCP의 클라우드 보안 솔루션

안녕하세요, MC에몽입니다.

지난번에 이야기한 AWS클라우드 보안에 이어서, 오늘은 GCP에서 제공하고 있는 클라우드 보안 솔루션들에 대해 알아보겠습니다.

GCP는 Google에서 제공하는 CSP로써, Amazon의 AWS, Microsoft의 Azure보다 늦게 서비스를 시작했지만 전 세계 클라우드 시장 점유율 3위를 차지하고 있습니다. 

특히 쿠버네티스 같은 강력한 오픈소스 파워와 BigQuery 같은 빅데이터 어플리케이션에 적합한 뛰어난 Data warehouse 서비스를 제공하고 있어 Data 처리분야에서 독보적이라고 할 수 있습니다.

 

그러면 GCP에서는 어떤 클라우드 보안 솔루션을 제공하고 있는지 알아보도록 하겠습니다. 

 

 

위 그림상의 솔루션 외에도 

• DDoS공격을 방어하는 "Cloud Armor"
• API 통합관리 서비스이자 API에 대한 강력하고 일괄적인 보안을 제공하는 "Apigee"
• Service  통합관리 서비스이자 하이브리드 및 멀티클라우드 환경에서 심층방어 보안 전략을 구현해주는 "Anthos"

등의 다양한 서비스들이 있습니다. 하지만 단순 보안강화의 서비스를 넘어서 매니지먼트 성격의 서비스이거나 기존 다른 CSP와 차별성이 있다고 보기 어려운 서비스를 제외한 대표적인 보안 솔루션을 3가지로 선정하여 얘기해보겠습니다.

 

첫번째로 Cloud Endpoints입니다. 

Cloud Endpoints는 nginx를 기반으로 배포되는 경량 API인 ESP(Extensible Service Proxy)를 활용하여 키 및 인증 토큰을 Service Control API가 검사한 뒤 허용된 요청만을 백엔드 서비스에 전달합니다.

이를 통해 API 액세스 권한 보유 대상을 제어함으로 API를 보호하고 사용자 및 사용현황을 모니터링 할 수 있습니다.

 

두번째는 Identity-Aware Proxy, IAP 입니다.

IAP는 HTTPS로 액세스한 애플리케이션에 대한 중앙 승인 레이어를 설정할 수 있으므로 네트워크 수준 방화벽을 사용하지 않고 애플리케이션 수준 액세스 제어 모델을 사용할 수 있습니다. 즉 네트워크 7계층에 대한 일종의 방화벽을 제공합니다.

IAP 정책은 중앙에서 액세스 정책을 정의하고 이를 모든 애플리케이션 및 리소스에 적용할 수 있습니다.

 

마지막 세번째는 Cloud Data Loss Prevention입니다.

 

DLP(Data Loss Prevention)는 GCP상에서 API로 작동하며 민감한 데이터를 자동으로 스캔, 구분합니다. 단순한 데이터만이 아닌 구조화된 텍스트, 데이터 스트림, 저장소에 있는 파일, 이미지에 있는 데이터까지 검색할 수 있습니다.

또한 노출되어서 안되는 개인식별정보 같은 민감한 데이터들에 대한 익명화 및 암호화를 제공하여 강력한 데이터 보안을 제공합니다.

 

DLP로 검사된 결과를 토대로 대시보드와 감사 보고서를 만들 수 있어 보안 관리에 매우 용이합니다.

 

 

오늘은 GCP에서 제공하는 클라우드 보안 솔루션에 대하여 알아보았습니다.

다음 시간에는 Microsoft에서 제공하는 CSP, Azure의 클라우드 보안 솔루션에 대하여 알아보겠습니다.

 

See you next time!

 

참고문헌 : 

1. Google : Cloud Endpoints
https://cloud.google.com/endpoints

2. Google : IAP 개요
https://cloud.google.com/iap/docs/concepts-overview?hl=ko#how_iap_works

3. Google : Cloud Data Loss Prevention
https://cloud.google.com/dlp/docs?hl=ko