구글 클라우드의 웹 애플리케이션 방화벽, Cloud Armor 알아보기

안녕하세요, 클루커스 구글 클라우드 컨설턴트 이연준입니다.
Google Cloud Armor란 GCP에서 제공하는 웹 애플리케이션 방화벽 서비스입니다.
Cloud Armor 보안 정책은 Layer 3, 4, 7 속성을 기반으로 트래픽을 필터링하는 규칙으로 구성되는데,
예를 들어, 요청의 IP주소와 범위, 리전 코드, 요청 헤더와 일치하는 조건을 지정할 수 있습니다.

Cloud Armor 동작 방식

들어오는 트래픽의 소스와 가까운 Google Cloud 에지에서 외부 HTTP(S) 부하 분산기에 대한 액세스를 허용하거나 거부할 수 있습니다.
이를 통해 원치 않는 트래픽이 리소스를 소비하거나 Virtual Private Cloud(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.

< 네트워크 에지에서의 Google Cloud Armor 정책 >

Cloud Armor의 보안 정책 유형

Cloud Armor의 보안 정책 유형으로는 크게 백엔드 보안 정책, 에지 보안 정책, 네트워크 에지 보안 정책으로 3가지가 있습니다.
각 정책의 특징은 다음과 같습니다.

▪️ 백엔드 보안 정책

다음 부하 분산기 유형에서 노출되는 백엔드 서비스와 함께 사용됩니다.
  • 전역 외부 애플리케이션 부하 분산기
  • 기본 애플리케이션 부하 분산기
  • 리전별 외부 애플리케이션 부하 분산기
  • 외부 프록시 네트워크 부하 분산기
요청을 필터링하고 인터넷, 영역, 하이브리드, 서버리스 네트워크 엔드포인트 그룹(NEG)을 포함한 인스턴스 그룹, NEG를 참조하는 백엔드 서비스를 보호하는데 사용할 수 있습니다. 부하분산기가 지원하는 NEG에 대한 자세한 내용은 링크를 참조 바랍니다.

▪️ 에지 보안 정책

캐시에 저장된 콘텐츠의 필터링 및 액세스 제어 정책을 구성할 수 있습니다.
여기에는 Cloud CDN 사용이 설정된 백엔드 서비스 및 Cloud Storage버킷과 같은 엔드포인트가 포함됩니다.
에지 보안 정책은 백엔드 보안 정책과 비교하여 매개변수의 하위 집합을 기반으로 필터링합니다. 또한 에지 보한 정책을 백엔드 보안 정책으로 설정할 수 없습니다.
에지 보안 정책과 백엔드 보안 정책이 동일한 백엔드 서비스에 연결된 경우 에지 보안 정책을 통과한 캐시 부적중 요청에 대해서만 백엔드 보안 정책이 적용됩니다.

▪️ 네트워크 에지 보안 정책

에지 보안 정책과 사실상 동일한 의미를 갖고 있지만 애플리케이션의 보안을 강화하기 위해 사용되는 정책, Managed Protection 플러스 등급을 구독해야 활성화됩니다.
표준 등급과 Managed Protection 플러스의 비교표는 링크를 참조 바랍니다.
보통 IP, IP 범위로 블랙리스트 혹은 화이트리스트로 보안 정책을 구성하는것으로 접근하시지만, Cloud Armor의 보안 정책 설정 시 세세한 지정이 가능합니다.
(ex. 1분간 10회 이상 발생한 동일 트래픽에 대해 5분간 차단)

위처럼 Custom한 Cloud Armor 구성이 필요하시다면 클루커스와 함께 안전하고 유연한 웹 애플리케이션 보안을 시작하세요😊