인프라 가이드라인

최소 실행 가능한 보안 플랫폼에 관한 다음 가이드라인은 인프라 원칙과 일치합니다.

기본 수준 가이드라인

먼저 다음 인프라 가이드라인을 구현하세요.

항목	VM 직렬 포트 액세스 사용 중지
설명	`compute.disableSerialPortAccess` 조직 정책 제약 조건을 설정하여 직렬 포트 액세스를 사용 중지합니다. Compute Engine VM에서 직렬 포트 액세스를 사용 중지하여 방화벽 규칙 및 기타 네트워크 보안 제어를 우회하는 액세스 채널을 제거하세요. 대화형 직렬 콘솔은 주로 긴급 문제 해결을 위해 설계되었지만 사용 설정된 상태로 두면 공격자가 타겟팅할 수 있는 영구 백도어를 만들 수 있습니다. 직렬 포트 액세스를 사용 중지하면 ID 및 액세스 관리 (IAM)와 Identity-Aware Proxy (IAP)를 사용 설정하여 보호할 수 있는 SSH와 같은 표준 감사 경로를 통해 모든 관리 액세스를 강제하여 심층 방어 보안 태세를 적용할 수 있습니다.
관련 정보	조직 정책 서비스를 통해 대화형 직렬 콘솔 액세스 중지
항목 ID	MVSP-CO-1.24
매핑	관련 NIST-800-53 컨트롤: AC-3 관련 CRI 프로필 컨트롤: PR.AC-3.1

항목	필요한 경우가 아니면 IPv6 사용 중지
설명	특별히 필요한 경우가 아니면 IPv6 외부 서브넷 생성을 사용 중지합니다. 공격 표면을 줄이려면 적극적으로 관리되지 않거나 필요하지 않은 시스템과 네트워크에서 IPv6를 사용 중지하는 것이 좋습니다. 많은 조직이 IPv4에 대한 성숙한 보안 제어 및 모니터링을 갖추고 있지만 도구와 정책이 IPv6로 완전히 확장되지 않아 위협에 대한 심각한 사각지대가 발생할 수 있습니다. 듀얼 스택 네트워크를 실행하면 운영 복잡성도 발생하므로 효과적으로 관리하고 문제를 해결하려면 특정 구성과 전문 지식이 필요합니다. 따라서 IPv6에 대한 명확한 비즈니스 동인이 없다면 IPv6를 사용 중지하여 환경을 간소화하고 설정된 IPv4 보안 상황을 통해 모든 트래픽이 일관되게 필터링되도록 할 수 있습니다.
관련 정보	Google Cloud의 IPv6 지원
항목 ID	MVSP-CO-1.25
매핑	관련 NIST-800-53 컨트롤: CM-7 관련 CRI 프로필 컨트롤: PR.PT-3.1 규정 준수 관리자 컨트롤: VPC 외부 IPv6 사용 중지 조직 정책 구성

항목	보안 VM 기능 사용 설정
설명	인스턴스에 보안 VM의 가상 신뢰할 수 있는 플랫폼 모듈 (vTPM) 및 무결성 모니터링 속성을 사용 설정합니다. vTPM 및 무결성 모니터링 속성은 기본 VM 인스턴스 생성 프로세스의 일부입니다. 보안 VM의 vTPM 및 무결성 모니터링 속성을 사용하여 VM이 신뢰할 수 있는 수정되지 않은 코드로만 부팅되도록 합니다. vTPM은 UEFI 펌웨어부터 커널 드라이버까지 전체 부팅 시퀀스의 암호화 측정을 생성하고 저장하는 안전한 가상 암호화 프로세서를 제공합니다. 그런 다음 무결성 모니터링은 VM이 처음 생성될 때 설정된 알려진 양호한 기준과 이러한 런타임 측정을 지속적으로 비교합니다. 이러한 기능은 검증 가능한 신뢰 체인을 제공하며 부트킷이나 루트킷과 같은 악성 수정사항을 감지하면 자동으로 알림을 보내거나 조치를 취합니다. 보안 VM 기능을 사용하면 인스턴스가 켜지는 순간부터 워크로드의 무결성을 유지할 수 있습니다.
관련 정보	보안 VM 개요
항목 ID	MVSP-CO-1.28
매핑	관련 NIST-800-53 컨트롤: SI-7 관련 CRI 프로필 컨트롤: PR.DS-6.1 규정 준수 관리자 컨트롤: Compute Engine 인스턴스에 대해 보안 VM 사용 설정

항목	GKE Autopilot 사용
설명	Google Kubernetes Engine (GKE) Autopilot 클러스터를 사용합니다. Autopilot 클러스터는 강력한 보안 조치를 제공하며, 컨테이너 또는 GKE에 대한 많은 보안 권장사항이 기본적으로 사용 설정되어 있습니다.
관련 정보	GKE Autopilot 개요
항목 ID	MVSP-CO-1.29
매핑	관련 NIST-800-53 컨트롤: CM-2 관련 CRI 프로필 컨트롤: PR.IP-1.1

항목	GKE 클러스터 및 노드에 최소 권한 계정 사용
설명	Google Kubernetes Engine (GKE) 클러스터 및 노드에 최소 권한 Identity and Access Management (IAM) 서비스 계정을 사용합니다. GKE 컨트롤 플레인에 대한 액세스가 단일 DNS 기반 엔드포인트로 제한됩니다. 최소 권한을 구현하면 추가 방화벽 규칙이나 배스천 호스트 없이 공격 영역을 크게 줄일 수 있습니다.
관련 정보	클러스터 보안 강화
항목 ID	MVSP-CO-1.30
매핑	관련 NIST-800-53 컨트롤: AC-6 관련 CRI 프로필 컨트롤: PR.AC-4.1 규정 준수 관리자 컨트롤: GKE 클러스터에 최소 권한 서비스 계정 사용

항목	컨트롤 플레인 액세스 제한
설명	DNS 기반 엔드포인트를 사용하여 컨트롤 플레인에 대한 네트워크 액세스를 제한합니다. 컨트롤 플레인은 Kubernetes 클러스터의 관리 센터이며 인터넷에 노출되면 공격자의 주요 타겟이 됩니다. 이 설정을 사용하면 컨트롤 플랜이 비공개로 설정되고 인터넷에서 삭제됩니다. 컨트롤 플레인 액세스를 제한하면 조직의 비공개 네트워크 내에서 신뢰할 수 있는 기기만 클러스터를 관리할 수 있으므로 외부 공격 위험이 크게 줄어듭니다.
관련 정보	승인된 네트워크의 작동 방식
항목 ID	MVSP-CO-1.31
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1

항목	Container-Optimized OS 사용
설명	Container-Optimized OS를 사용하여 강화되고 관리되는 컨테이너 OS를 구현합니다. 범용 운영체제에는 컨테이너를 실행하는 데 필요하지 않은 추가 프로그램이 많이 포함되어 있으므로 공격자에게 더 크고 불필요한 타겟이 됩니다. Container-Optimized OS는 필요한 항목만 포함하여 공격에 노출되는 영역을 크게 줄이는 최소한의 잠긴 운영체제입니다. 관리형 OS인 Container-Optimized OS에는 Google에서 자동으로 적용하는 보안 패치도 있어 심각한 취약점이 수정되고 운영 워크로드가 줄어듭니다.
관련 정보	Container-Optimized OS 개요
항목 ID	MVSP-CO-1.41
매핑	관련 NIST-800-53 컨트롤: CM-7 관련 CRI 프로필 컨트롤: PR.PT-3.1 규정 준수 관리자 컨트롤: GKE 클러스터에 Container-Optimized OS 필요

중급 가이드라인

기본 가이드라인을 구현한 후 다음 인프라 가이드라인을 구현합니다.

항목	VM에 OS 로그인 적용
설명	개발자가 SSH를 통해 Compute Engine 리소스에 액세스하도록 허용하려면 2단계 인증으로 OS 로그인을 구성합니다. `compute.requireOsLogin` 조직 정책 제약 조건을 설정하여 OS 로그인을 사용하여 Identity and Access Management (IAM) 정책으로 SSH 키를 관리합니다. OS 로그인은 SSH 권한을 사용자의 Google ID 및 IAM 역할에 연결하여 VM 액세스를 중앙 집중화하므로 각 머신에서 개별 SSH 키를 관리할 필요가 없습니다. 사용자의 ID에 SSH 권한을 연결하는 것은 보안에 매우 중요합니다. 사용자의 IAM 역할을 삭제하면 모든 인스턴스에서 액세스 권한이 즉시 취소되어 오래된 계정의 무단 액세스를 방지할 수 있기 때문입니다. 이 시스템은 키 관리를 간소화하여 키 확산을 방지하고 Cloud 감사 로그의 모든 로그인 이벤트에 대한 명확한 중앙 집중식 감사 추적을 제공합니다. 또한 OS 로그인을 사용하면 2단계 인증을 적용하여 도용된 SSH 키와 사용자 인증 정보에 대한 중요한 보호 레이어를 추가할 수 있습니다. 보안 침해된 OAuth 토큰을 가졌지만 비밀번호 또는 보안 키가 없는 공격자는 이 기능으로 차단됩니다.
관련 정보	OS 로그인 설정
항목 ID	MVSP-CO-1.26
매핑	관련 NIST-800-53 컨트롤: AC-2 관련 CRI 프로필 컨트롤: PR.AC-1.1 규정 준수 관리자 컨트롤: OS 로그인 사용 설정

항목	VM의 외부 IP 주소 제한
설명	필요하지 않은 경우 공개 IP 주소가 있는 Compute Engine 인스턴스를 만들지 마세요. `compute.vmExternalIpAccess` 목록 제약 조건은 외부 IP 주소를 가질 수 있는 Compute Engine VM 인스턴스의 집합을 정의합니다. Compute Engine 인스턴스에 외부 IP 주소가 없도록 하여 인터넷에 대한 노출을 대폭 줄입니다. 외부 IP 주소가 있는 인스턴스는 즉시 검색 가능하며 자동 스캔, 무차별 대입 공격, 취약점 악용 시도의 직접적인 타겟이 됩니다. 대신 인스턴스에서 비공개 IP 주소를 사용하도록 요구하고 Identity-Aware Proxy (IAP) 터널 또는 배스천 호스트와 같은 제어되고 인증되고 로깅된 경로를 통해 액세스를 관리합니다. 이 기본 거부 태세를 채택하는 것은 공격 표면을 최소화하고 네트워크에 제로 트러스트 접근 방식을 적용하는 데 도움이 되는 기본적인 보안 권장사항입니다. 이 제약조건은 소급되지 않습니다.
관련 정보	외부 IP 주소를 특정 인스턴스로 제한
항목 ID	MVSP-CO-1.27
매핑	관련 NIST-800-53 컨트롤: SC-7 SC-8 관련 CRI 프로필 컨트롤: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 규정 준수 관리자 컨트롤: 외부 IP 주소를 특정 VM 인스턴스로 제한

항목	GKE용 워크로드 아이덴티티 제휴 사용
설명	GKE용 워크로드 아이덴티티 제휴를 사용하여 Google Kubernetes Engine (GKE) 워크로드에서 Google Cloud API에 인증합니다. GKE용 워크로드 아이덴티티 제휴는 서비스 계정 키보다 Google Cloud API를 호출할 ID를 더 간단하고 안전하게 획득할 수 있는 방법을 제공합니다.
관련 정보	GKE 워크로드에서 Google Cloud API에 인증
항목 ID	MVSP-CO-1.32
매핑	관련 NIST-800-53 컨트롤: IA-2 관련 CRI 프로필 컨트롤: PR.AC-1.1 규정 준수 관리자 컨트롤: 클러스터에 GKE용 워크로드 아이덴티티 제휴 사용 설정

항목	비공개 GKE 노드 사용
설명	인터넷 노출을 줄이기 위해 비공개 노드를 만듭니다. 비공개 Google Kubernetes Engine (GKE) 노드는 GKE 노드에 공개 IP 주소가 없도록 하여 인터넷 노출을 줄이는 데 도움이 됩니다.
관련 정보	GKE에서 네트워크 격리 맞춤설정
항목 ID	MVSP-CO-1.33
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: GKE용 비공개 클러스터 사용 설정

항목	RBAC용 Google 그룹스 사용
설명	역할 기반 액세스 제어 (RBAC)에 Google 그룹스를 사용하면 퇴사자에 대한 액세스 권한 해지와 같은 기존 사용자 계정 관리 방식과 통합할 수 있습니다. RBAC용 Google 그룹스를 사용하면 Identity and Access Management (IAM) 및 Google 그룹스를 사용하여 클러스터 액세스를 효율적으로 관리할 수 있으며, 이는 Google 그룹스를 사용하는 대부분의 조직에 적합합니다.
관련 정보	RBAC용 Google 그룹스 구성
항목 ID	MVSP-CO-1.34
매핑	관련 NIST-800-53 컨트롤: AC-2 관련 CRI 프로필 컨트롤: PR.AC-1.1 규정 준수 관리자 컨트롤: Kubernetes RBAC에 Google 그룹스 사용

고급 수준 가이드라인

중간 가이드라인을 구현한 후 다음 인프라 가이드라인을 구현합니다.

항목	GKE Sandbox 사용 설정
설명	GKE Sandbox를 사용하여 신뢰할 수 없는 코드가 Google Kubernetes Engine (GKE) 클러스터 노드의 호스트 커널에 영향을 미치지 않도록 추가 보안 레이어를 제공하세요. GKE Sandbox는 신뢰할 수 없거나 민감한 워크로드의 워크로드 격리를 강화하여 컨테이너 이스케이프 공격에 대한 추가 보호 레이어를 제공합니다.
관련 정보	GKE Sandbox
항목 ID	MVSP-CO-1.35
매핑	관련 NIST-800-53 컨트롤: SC-39 관련 CRI 프로필 컨트롤: PR.DS-1.1 규정 준수 관리자 컨트롤: GKE 클러스터에 GKE Sandbox 필요

항목	Binary Authorization 적용
설명	Binary Authorization을 사용하여 신뢰할 수 있는 이미지가 Google Kubernetes Engine (GKE)에 배포되도록 합니다. Binary Authorization은 검증되고 신뢰할 수 있는 컨테이너 이미지만 클러스터에 배포되도록 하여 소프트웨어 공급망 보안을 강화합니다.
관련 정보	Binary Authorization 개요
항목 ID	MVSP-CO-1.36
매핑	관련 NIST-800-53 컨트롤: SI-7 관련 CRI 프로필 컨트롤: PR.DS-6.1 규정 준수 관리자 컨트롤: 클러스터에서 Binary Authorization 필요

항목	Confidential Google Kubernetes Engine 노드 사용
설명	Confidential GKE Node를 사용하여 노드 및 워크로드에서 사용 중인 데이터의 암호화를 강제 적용합니다. Confidential GKE Node는 컨피덴셜 컴퓨팅을 통해 사용 중인 데이터를 암호화하여 매우 민감한 워크로드를 보호합니다.
관련 정보	Confidential GKE Node를 통한 사용 중 워크로드 데이터 암호화
항목 ID	MVSP-CO-1.37
매핑	관련 NIST-800-53 컨트롤: SC-28 관련 CRI 프로필 컨트롤: PR.DS-1.1

항목	GKE에서 맞춤 인증 기관 실행
설명	자체 인증 기관을 실행하여 Google Kubernetes Engine (GKE) 내에서 키를 관리합니다. 자체 인증 기관을 사용하면 암호화 작업을 더 효과적으로 제어할 수 있습니다. 이 기능에 대한 액세스를 요청하려면 Google Cloud 계정팀에 문의하세요.
관련 정보	GKE에서 자체 인증 기관 및 키 실행
항목 ID	MVSP-CO-1.38
매핑	관련 NIST-800-53 컨트롤: SC-12 관련 CRI 프로필 컨트롤: PR.DS-1.1

항목	Cloud KMS를 사용하여 Kubernetes 보안 비밀 암호화
설명	Cloud Key Management Service (Cloud KMS) 관리 키를 사용하여 저장된 Kubernetes 보안 비밀을 암호화합니다. Cloud KMS를 사용하면 소유하고 관리하는 키로 Kubernetes 보안 비밀을 암호화하여 etcd 데이터에 추가 보안 레이어를 제공할 수 있습니다.
관련 정보	애플리케이션 레이어에서 보안 비밀 암호화
항목 ID	MVSP-CO-1.39
매핑	관련 NIST-800-53 컨트롤: SC-28 관련 CRI 프로필 컨트롤: PR.DS-1.1 규정 준수 관리자 컨트롤: GKE 클러스터에서 암호화 사용 설정

항목	노드 부팅 디스크에 CMEK 사용
설명	노드 부팅 디스크 암호화에 고객 관리 암호화 키 (CMEK)를 사용합니다. CMEK를 사용하면 소유하고 관리하는 키로 Kubernetes 노드의 부팅 디스크를 암호화할 수 있습니다.
관련 정보	CMEK로 보호되는 노드 부팅 디스크 사용
항목 ID	MVSP-CO-1.40
매핑	관련 NIST-800-53 컨트롤: SC-28 관련 CRI 프로필 컨트롤: PR.DS-1.1 규정 준수 관리자 컨트롤: GKE 노드 풀 부팅 디스크에서 CMEK 사용 설정

다음 단계

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-03-04(UTC)