본문 바로가기
CSP (Cloud Service Provider)/GCP

Google Cloud Armor (2)

by BTC_문돌이 2022. 10. 26.

안녕하세요~ BTC Hallo 팀입니다. 이번에는 지난번에 소개해 드렸던 GCP Cloud Armor에 대해서 더 자세하게 알아보겠습니다. Cloud Armor의 경우 비용이 조금 비싼 단점이 있지만 보안에 있어 확실하고 강력한 보호를 제공하기 때문에 중요한 서비스라고 볼 수 있습니다.

 

 

사전 구성된 WAF 규칙

Google Cloud Armor의 사전 구성된 규칙은 인터넷에서 일반적인 공격으로부터 웹 애플리케이션과 서비스를 보호하고 OWASP 상위 10개 위험을 완화하는 데 도움이 됩니다. 규칙을 사용하면 Google Cloud Armor에서 각 서명을 수동으로 정의할 필요 없이 편리하게 명명된 규칙을 참조하여 고유한 트래픽 서명을 평가할 수 있습니다. 규칙 소스는 ModSecurity Core Rule Set 3.0.2(CRS)입니다.
이러한 사전 구성된 규칙은 노이즈가 있거나 불필요한 서명을 사용 중지할 수 있습니다. 

Google Cloud Armor Managed Protection

Managed Protection은 DDoS 공격과 인터넷의 기타 위협으로부터 웹 애플리케이션과 서비스를 보호하는 데 유용한 관리형 애플리케이션 보호 서비스입니다. Managed Protection은 부하 분산기의 상시 사용 보호 기능을 제공하며 WAF 규칙에 대한 액세스를 제공합니다.
DDoS 보호는 등급에 관계없이 전역 외부 HTTP(S) 부하 분산기, 전역 외부 HTTP(S) 부하 분산기(기본), 외부 SSL 프록시 부하 분산기, 외부 TCP 프록시 부하 분산기에 자동으로 제공됩니다. HTTP, HTTPS, HTTP/2, QUIC 프로토콜 모두 지원됩니다.

Threat Intelligence

Google Cloud Armor Threat Intelligence를 사용하면 위협 인텔리전스 데이터의 여러 카테고리를 기준으로 전역 외부 HTTP(S) 부하 분산기 및 전역 외부 HTTP(S) 부하 분산기(기본)에 트래픽을 허용하거나 차단하여 트래픽을 보호할 수 있습니다.

명명된 IP 주소 목록

Google Cloud Armor의 명명된 IP 주소 목록을 사용하면 IP 주소와 IP 범위 목록을 참조할 수 있습니다. 명명된 IP 주소 목록으로 보안 정책 규칙을 구성할 수 있습니다.


Google Cloud Armor Adaptive Protection

Adaptive Protection은 백엔드 서비스에 대한 트래픽 패턴을 분석하고, 의심되는 공격을 감지 및 알림을 표시하고, 이러한 공격을 완화하기 위해 제안되는 WAF 규칙을 생성하여 L7 DDoS 공격으로부터 애플리케이션과 서비스를 보호하는 데 도움이 됩니다. 이러한 규칙은 사용자의 요구에 맞게 조정될 수 있습니다. Adaptive Protection은 보안 정책별 기준에 따라 사용 설정될 수 있지만, 프로젝트에서 Managed Protection 구독이 활성화되어 있어야 합니다.


다음으로 이러한 Cloud Armor의 작동방식에 대해서 알아보겠습니다.


Google Cloud Armor의 작동 방식

Google Cloud Armor는 네트워크 또는 프로토콜 기반 볼륨 DDoS 공격에 대해 상시 사용 설정된 DDoS 보호를 제공합니다. 이러한 보호는 부하 분산기 뒤에 있는 애플리케이션 또는 서비스를 대상으로 합니다. 부하 분산 프록시를 통해 올바른 형식의 요청만 허용되도록 네트워크 공격을 감지하고 완화할 수 있습니다. 다음 부하 분산기의 백엔드 서비스에 보안 정책을 연결할 수 있습니다. 보안 정책은 OWASP 상위 10개 웹 애플리케이션 취약점 위험을 완화하는 사전 구성된 WAF 규칙을 포함하여 커스텀 레이어 7 필터링 정책을 적용합니다.

-전역 외부 HTTP(S) 부하 분산기
-전역 외부 HTTP(S) 부하 분산기(기본)
-외부 TCP 프록시 부하 분산기
-외부 SSL 프록시 부하 분산기

Google Cloud Armor 보안 정책을 사용 설정하면 들어오는 트래픽의 소스와 최대한 가까운 Google Cloud 에지에서 배포에 대한 액세스를 허용하거나 거부할 수 있습니다. 이를 통해 원치 않는 트래픽이 리소스를 소비하거나 Virtual Private Cloud(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.


이러한 기능 중 일부 또는 전부를 사용하여 애플리케이션을 보호할 수 있습니다. 보안 정책을 사용하여 알려진 조건과 일치시키고, WAF 규칙을 만들어 ModSecurity Core Rule Set 3.0.2에 있는 것과 같은 일반적인 공격으로부터 보호하고, DDoS 공격에 대한 Google Cloud Armor Managed Protection의 기본 제공 보호를 사용할 수 있습니다.

 

이상으로 GCP Cloud Armor에 대해서 알아보았습니다. 감사합니다.

 

출처: https://cloud.google.com/armor/docs/cloud-armor-overview

댓글