Skip to main content

[Tech 002] Cloud Armor, SCC(Security Command Center) 제품 설명

I. Cloud Armor


Cloud Armor는 Google에서 제공하는 DDoS 보안 솔루션입니다. 
Cloud Armor 보안 정책은 Layer 3, 4, 7 속성을 기반으로 트래픽을 필터링하는 규칙으로 구성되는데, 예를 들어 요청의 IP주소와 범위, 리전 코드, 요청 헤더와 일치하는 조건을 지정할 수 있습니다.

                                                                         

                                                                                

  • Google Cloud Armor 는 Global HTTP(S) 부하 분산기와 연동하여 레이어 3 및 레이어 4 인프라 DDoS 공격을 방어하는 기능을 기본적으로 제공합니다.

1. Cloud Armor 특징

  • 외부 HTTP(S) 부하분산기 뒤의 백엔드 서비스에만 사용할 수 있습니다.
  • HTTP, HTTPS, HTTP/2, QUIC 프로토콜 모두 지원합니다.
  • 백엔드로는 인스턴스 그룹의 VM, 영역 NEG(Network End-point Group), 인터넷 NEG일 수 있으나, Cloud Armor를 사용하여 하이브리드 배포 혹은 멀티 클라우드 아키텍처를 보호할 때는 인터넷 NEG여야 합니다.
  • WAF로서의 기능으로 XSS와 SQL Injection 공격을 방어하기 위한 사전 정의 규칙을 제공하며,

해당 규칙은 OWASP Modsecurity 핵심 규칙 세트 버전 3.0.1을 기반으로 합니다.

  • 자세한 사항은 **[링크]**를 참조하세요
  • 규칙의 작업을 시행하지 않고 클라우드 모니터링 로그의 보안 정책에서 규칙의 효과를 미리 보는 기능을 제공합니다.
  • Cloud Armor 로깅 정보를 기록하려면 HTTP(S) 요청에 대한 로깅을 사용 설정해야 합니다
  • Cloud CDN과 함께 Google Cloud Armor를 사용하여 CDN 원본 서버를 보호할 수 있습니다

(cache miss만)

Cloud Armor의 모든 특징을 보려면 **[링크]**를 참조하세요

 

 

2. Cloud Armor 작동 방식

들어오는 트래픽의 소스와 최대한 가까운 Google Cloud 에지에서 외부 HTTP(S) 부하 분산기에 대한 액세스를 허용하거나 거부할 수 있습니다.
이를 통해 원치 않는 트래픽이 리소스를 소비하거나 Virtual Private Cloud(VPC) 네트워크에 유입되는 것을 방지할 수 있습니다.

                                                           

                                                                                                                         네트워크 에지에서의 Google Cloud Armor 정책




3. Cloud Armor 보안 정책


1) IP 주소 기반 정책 설정


  • IP , IP ranges 를 기반으로 보안 정책 설정 가능


1-1) 설정 예시

  • Cloud Armor 정책 생성


  • IP주소를 차단 정책으로 쓸 경우 Basic mode로 생성

-규칙 당 최대 10개의 IP 주소 또는 범위를 입력하여 설정 할 수 있습니다.


2) 사전 구성된 규칙을 사용하여 정책 설정

XXS 및 SQLi와 같은 일반적인 애플리케이션 레이어 공격을 탐지하고 차단하기 위해 사전 구성된 규칙을 사용합니다.

사전 구성된 규칙을 자세히 보고 싶다면 **[링크]**를 참조하세요.

  • 표현식은 evaluatePreconfiguredExpr(문자열, LIST) 형태로 씁니다.
  • 첫번째 인수 문자열은 ‘xss-stable’과 같은 표현식 세트의 이름입니다.
  • 두번째 인수는 선택사항이며 평가에서 제외할 ID의 목록입니다.
  • 다음 표현식은 사전 구성된 xss-stable 규칙을 사용하여 XSS 공격을 완화합니다.

evaluatePreconfiguredExpr(‘xss-stable’)

  • 다음 표현식은 ID 981136 및 981138을 제외한 ‘xss-stable’의 모든 표현식을 사용합니다.

evaluatePreconfiguredExpr(‘xss-stable’, [‘owasp-crs-v020901-id981136-xss’,

‘owasp-crs-v020901-id981138-xss’])

  • 다음 표현식은 198.51.100.0/24 IP 주소범위에서 SQLi 공격을 완화합니다.

inIpRange(origin.ip, ‘198.51.100.0/24’) && evaluatePreconfiguredExpr(‘sqli-stable’)


2-1) 설정 예시

  • 모든 공격을 방어하고자 한다면 다음과 같이 입력합니다.

일부 제외하고 싶은 정책이 있다면 대괄호로 세부 정책명을 입력합니다.


3) 사용자 지정 규칙을 사용하여 정책 설정

규칙의 일치 조건에서 하나 이상의 표현식을 정의합니다.

예를 들어 US리전의 1.2.3.0/24에서 오는 요청을 나타내는 표현식은 다음과 같습니다.

  • -> origin.region_code == “US” && inIpRange(origin.ip, ‘1.2.3.0/24’)


3-1) 설정 예시

  • 특정 국가(US)의 IP 유입을 차단


II. Security Command Center

Security Command Center*(이하 SCC)*는 Google Cloud용 보안 및 위험 관리 플랫폼입니다.

조직 전체에서 Google Cloud 보안 및 데이터 위험을 파악, 이해, 해결하기 위한 직관적이고 지능적인 위험 대시보드 및 분석 시스템입니다.

  1. Security Command Center 특징
  • App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Cloud identity and Access Management, Google Kubernetes Engine 등에서 거의 실시간으로 ‘애셋**’**을 검색하고 확인이 가능합니다.
  • 애셋: 조직, 프로젝트, 인스턴스, 애플리케이션 등의 리소스
  • App Engine, GKE, Compute Engine에서 실행되는 웹 애플리케이션의 교차 사이트 스크립팅 또는 만료된 라이브러리 같은 일반적인 웹 애플리케이션 취약점을 파악 가능합니다.
  • Google Cloud에서 실행되는 로그를 사용하여 대규모로 위협을 감지 할 수 있습니다.

의심스러운 바이너리, 라이브러리, 역방향 셀 등 일반적인 컨테이너 공격을 감지할 수 있습니다.

  • SCC의 모든 특징을 보고싶다면 **[링크]**를 참조 하세요

2. Security Command Center 등급

1) 표준 등급


  • 표준 등급은 Security Health Analytics , Web Security Scanner (custom) 만 사용 가능합니다.

2) 프리미엄 등급