본문 바로가기
CSP (Cloud Service Provider)/GCP

[GCP] OS로그인을 사용한 VM 접속 시 MFA 설정

by BTC_최규환 2022. 12. 30.

안녕하세요 MC에몽입니다.

 

이번주는 GCE 인스턴스에 접속 시 MFA를 적용하여 보안을 강화하는 방법에 대해 알아보겠습니다.

 

GCP에서는 VM 인스턴스 접속 시 MFA 인증을 거치게 하는 방법으로 OS 로그인을 사용하도록 제공하고 있습니다.

 

1.  OS 로그인

 

OS 로그인이란 개별 SSH 키를 생성하고 관리할 필요 없이 IAM으로 VM 인스턴스에 SSH 접속을 관리하는 방식으로 다음과 같은 장점이 있습니다.

 

1) Linux 계정 수명 주기 자동 관리 - Linux 사용자 계정을 사용자의 Google ID에 직접 연결할 수 있으므로 같은 프로젝트 또는 조직의 모든 인스턴스에서 동일한 Linux 계정 정보가 사용됩니다.

 

2) Google IAM을 사용한 세부 승인 - 프로젝트 및 인스턴스 수준의 관리자는 더 광범위한 권한 조합을 부여하지 않고도 IAM을 사용하여 사용자의 Google ID에 SSH 액세스 권한을 부여할 수 있습니다. 예를 들어 사용자에게 시스템에 로그인할 수 있는 권한은 부여하고 sudo와 같은 명령어를 실행할 수 있는 권한은 부여하지 않을 수 있습니다. Google에서는 이러한 권한을 확인하여 사용자가 VM 인스턴스에 로그인할 수 있는지 여부를 결정합니다.

 

3) 권한 자동 업데이트 - OS 로그인을 사용하면 관리자가 IAM 권한을 변경할 때 사용 권한이 자동으로 업데이트됩니다. 예를 들어 Google ID에서 IAM 권한을 삭제하면 VM 인스턴스에 대한 액세스 권한이 취소됩니다. Google에서는 무단 액세스를 방지하기 위해 모든 로그인 시도에 대해 권한을 확인합니다.

 

4) 기존 Linux 계정을 가져오는 기능 - 관리자는 온프레미스에 설정된 AD(Active Directory) 및 LDAP(Lightweight Directory Access Protocol)의 Linux 계정 정보를 동기화하도록 선택할 수 있습니다. 예를 들어 사용자가 클라우드 환경과 온프레미스 환경 모두에서 동일한 사용자 ID(UID)를 사용하도록 할 수 있습니다.

 

5) Google 계정 2단계 인증 통합 - OS 로그인 사용자가 VM에 연결할 때 다음 2단계 인증 방법 또는 본인 확인 유형 중 하나를 사용하여 ID를 검증하도록 선택적으로 요구할 수 있습니다.

 

이 중 5번째 장점인 Google 계정과의 2단계 인증 통합을 사용하여 VM SSH 접속을 2단계 인증 방법을 거치도록 설정합니다.





2. 제한 사항

 

OS 로그인은 아래 VM에서는 지원되지 않습니다.

 

 - Windows Server 및 SQL Server VM

 - Fedora CoreOS VM




3. OS 로그인 2FA 설정 방법

 

OS 로그인을 사용 설정하는 방법은 VM의 메타데이터에 아래 키-값을 추가하는 것입니다.

 

1) OS 로그인에 대한 사용 설정

 

 - 키 : enable-oslogin

 - 값 : TRUE

 

2) OS 로그인 시 2FA를 사용 설정

 

 - 키 : enable-oslogin-2fa

 - 값 : TRUE



 

위 OS 로그인 메타데이터를 추가하면 즉시 OS 로그인이 사용 설정됩니다.

 

※ VM에 OS 로그인 2FA가 사용 설정된 경우 해당 Google 계정에 2단계 인증을 설정해야 VM에 로그인할 수 있습니다.

만약 2단계 인증이 설정되어 있지 않다면 VM에 대한 액세스 시도가 거부됩니다.

※ 서비스 계정 사용자에게는 2FA 인증이 적용되지 않습니다




4. OS 로그인 적용 후 접속

 

OS 로그인 2FA가 적용된 VM에 접속 시 아래와 같이 추가 인증을 거치게 됩니다. 

인증 방식은 해당 구글 계정에 설정한 2차 인증 방식 중 하나의 방법을 우선 선택 후 인증을 진행합니다.



1) 인증 방법 선택



2) 인증 진행

 



3) 인증 완료 후 접속 완료

 



오늘은  GCE 인스턴스에 접속 시 MFA를 적용하여 보안을 강화하는 방법에 대해 알아 보았습니다.

아쉽게도 이게 마지막 블로그 글이 되겠네요.

 

Good bye!

 

참고문헌 : 

[1] https://cloud.google.com/compute/docs/oslogin
[2] https://cloud.google.com/compute/docs/oslogin/set-up-oslogin


저작자표시 비영리

'CSP (Cloud Service Provider) > GCP' 카테고리의 다른 글

GCP KMS(Key Management System)  (0) 2023.05.11
최소권한 관리  (0) 2023.01.19
GCP 계층식 방화벽 정책 적용 방법  (0) 2022.12.27
[Google Cloud Platform] GCP 자격증(Google Cloud Certified) 종류, 응시 방법  (0) 2022.12.22
[GKE 사용하기] 쿠버네티스 셀프힐링(Kubernetes Self-healing)  (0) 2022.12.20

관련글

댓글

티스토리툴바