Security

중앙집중형 Resource관리를 제공하는 Security Command Center는 Cloud에 구성된 Resource의 잘못된 구성 및 취약점을 찾아 안내하고, Resource를 타겟으로 삼는 위협을 감지하여 식별합니다. 또한, Google의 10여년의 경험이 담긴 BeyondCorp Enterprise Zero-Trust모델을 이용하여 VPN 이용 없이도 뉴 노멀 시대의 비대면 업무환경 보안을 지원합니다.

Cloud Migration이란?

Security Command Center는 Google Cloud 내 Resource에 대한 위협을 방어하기 위한 플랫폼으로, 보안설정 및 데이터 공격에 노출되는 영역의 보안수준을 검토하여 보안 상태를 강화하는 데 도움됩니다. Compute Engine, BigQuery, GKE, Cloud IAM 등의 Resource의 보안설정을 실시간에 가깝게 검색하고 확인할 수 있습니다. 웹 애플리케이션의 취약점을 파악, 해결 가이드를 따라 취약한 설정을 손쉽게 해결하여 Resource가 직면하는 위협을 방지할 수 있을 뿐만 아니라 Google Cloud의 Log를 바탕으로 의심스러운 공격이나 조직 내 Resource의 이상을 감지할 수 있습니다.

Google Cloud Armor

Google Cloud Armor의 사전 구성 된 WAF규칙을 사용하여 DDoS 공격과 교차 사이트 스크립팅(XSS), SQL 삽입(SQLi) 등의 OWASP 상위 10개 위험을 포함한 여러 유형의 위협으로부터 Google Cloud Resource를 보호할 수 있습니다. Google Cloud Armor는 7계층 필터링을 제공하고 일반적인 웹 공격 또는 7계층 수준의 수신 요청을 스크레이핑하여 로드밸런서 레벨에서 백엔드 서비스 또는 백엔드 버킷에 도달하지 못하도록 트래픽을 차단합니다. 기본적으로 보안정책은 수동으로 구성되나, 여러 사례에 적용 가능한 사전 구성된 보안정책이 함께 제공됩니다.

데이터 손실 방지(DLP)(Data Loss Prevention)

Cloud DLP는 전체 데이터에서 기밀처리가 필요한 민감정보를 찾아내어 분류하고 익명화하는 플랫폼입니다. 기본적으로 사전정의된 150가지 이상의 infoType을 감지할 수 있으며, 상황에 따라 사용자 정의 infoType을 감지하도록 설정할 수 도 있습니다. OA문서, 구조화된 텍스트, 스트리밍 데이터 뿐만 아니라 스토리지 저장소의 파일 및 이미지까지 다양한 파일형식에서 감지된 민감정보는 수정/마스킹/암호화 등의 익명화기법을 이용하여 익명화됩니다.

IAM(Cloud Identity and Access Management)

Google Cloud Platform은 일반적으로 Google 계정을 이용하여 Google Cloud Platform의 Resource를 관리합니다.
IAM을 이용하여 각 Resource에 대해 계정마다 다른 수준의 권한을 부여하여 이용할 수 있습니다. 계정이 GCP의 Resource를 이용하기 위해 꼭 필요한 접근 권한을 한정지어 부여하는 최소권한 원칙을 적용하여 다른 Resource에 대한 잘못된 접근을 방지하고 직무구분을 명확히 할 수 있습니다. 권한 부여시에는 기본적으로 사전정의된 역할 및 정책을 이용 할 수 있으나, 필요에 따라 특정 권한이 있는 사용자 정의 역할을 구성할 수 있습니다.