네트워크 보안 가이드라인

최소 실행 가능한 보안 플랫폼에 관한 다음 가이드라인은 네트워크 보안 원칙과 일치합니다.

기본 수준 가이드라인

다음 네트워크 보안 가이드라인을 먼저 구현하세요.

항목	기본 네트워크 생성 차단
설명	`compute.skipDefaultNetworkCreation` 불리언 제약 조건은 Google Cloud 프로젝트를 만들 때 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다. 기본 네트워크는 내부 통신 경로를 허용하도록 IPv4 방화벽 규칙이 사전 지정된 자동 모드 가상 프라이빗 클라우드 (VPC) 네트워크입니다. 일반적으로 이 설정은 프로덕션 환경에 권장되는 보안 태세가 아닙니다.
관련 정보	조직 정책 제약 조건
항목 ID	MVSP-CO-1-47
매핑	관련 NIST-800-53 컨트롤: SC-7 SC-8 관련 CRI 프로필 컨트롤: PR.AC-5.1 PR.AC-5.2 PR.DS-2.1 PR.DS-2.2 PR.DS-5.1 PR.PT-4.1 DE.CM-1.1 DE.CM-1.2 DE.CM-1.3 DE.CM-1.4 규정 준수 관리자 컨트롤: Compute Engine 인스턴스의 기본 네트워크 생성 제한

항목	비공개 Google 액세스 사용 설정
설명	모든 서브넷에서 비공개 Google 액세스를 사용 설정합니다. 비공개 Google 액세스를 사용 설정하면 서비스가 외부 IP 주소가 없는 Google Cloud 서비스에 액세스할 수 있습니다. 기본적으로 비공개 Google 액세스는 새 리소스에서 사용 설정되어 있지 않으며 명시적으로 사용 설정하려면 추가 단계가 필요합니다.
관련 정보	비공개 Google 액세스 구성
항목 ID	MVSP-CO-1.52
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: 인스턴스에서 비공개 Google 액세스 사용 설정

중급 가이드라인

기본 가이드라인을 구현한 후 다음 네트워크 보안 가이드라인을 구현합니다.

항목	Cloud Armor 정책 사용
설명	Cloud Load Balancing 뒤에 노출된 애플리케이션의 경우 Google Cloud Armor 기본 정책을 사용하거나 자체 정책을 구성하여 외부 연결 애플리케이션 또는 서비스에 레이어 3~레이어 7 네트워크 보호를 추가합니다. Cloud Armor 보안 정책은 레이어 7 필터링을 제공하여 애플리케이션을 보호합니다. 또한 이러한 정책은 일반적인 웹 공격 또는 기타 레이어 7 속성에 대한 수신 요청을 검토하여 트래픽이 부하 분산 백엔드 서비스 또는 백엔드 버킷에 도달하기 전에 트래픽을 차단합니다. 각 보안 정책은 레이어 3~7의 속성을 포함하는 규칙 집합으로 구성됩니다.
관련 정보	Cloud Armor 개요
항목 ID	MVSP-CO-1.49
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: DDoS 이벤트를 완화하기 위한 보안 정책 정의

항목	아웃바운드 트래픽 제한
설명	기본적으로 모든 액세스가 허용되므로 외부 소스에 대한 액세스를 제한합니다. 이그레스가 필요한 트래픽의 의도된 패턴에 대해 특정 방화벽 규칙을 설정합니다. 기본적으로 시스템은 인터넷에 아웃바운드 연결을 설정할 수 있는 경우가 많으며 이는 보안 위험으로 간주될 수 있습니다. 기본적으로 거부 정책은 아웃바운드 트래픽을 차단하며 알려진 필수 대상에 대해서만 특정 규칙을 만들어야 합니다.
관련 정보	VPC 방화벽 규칙
항목 ID	MVSP-CO-1.50
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: 모든 이그레스 방화벽 규칙 거부 시행

항목	SSH 및 RDP 포트에 대한 인바운드 액세스 제한
설명	가능한 경우 특정 리소스 및 리소스 범위에 대한 인바운드 액세스만 제한합니다. IAP (Identity-Aware Proxy)가 구성된 경우 인바운드 SSH 및 원격 데스크톱 프로토콜 (RDP) 방화벽 규칙을 소스로 IAP IP 범위로 설정합니다. 관대한 SSH 및 RDP 방화벽 규칙은 무차별 대입 공격을 허용합니다. 대신 SSH 및 RDP에 Google Cloud ID 인식 프록시 (예: IAP)를 사용하세요.
관련 정보	TCP 전달을 위한 IAP 사용
항목 ID	MVSP-CO-1.51
매핑	관련 NIST-800-53 컨트롤: SC-7 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: SSH 포트에 대한 액세스 차단 RDP 포트에 대한 액세스 차단

고급 수준 가이드라인

중간 가이드라인을 구현한 후 다음 네트워크 보안 가이드라인을 구현합니다.

항목	VPC 서비스 제어 사용 설정
설명	잠재적인 데이터 손실을 방지하기 위해 추가 보호 레이어로 VPC 서비스 제어를 사용 설정합니다. VPC 서비스 제어를 사용하면 클라우드 리소스, 민감한 정보, 네트워크 주변에 격리 경계를 만들어 데이터 무단 반출을 방지할 수 있습니다.
관련 정보	VPC 서비스 제어 개요 지원되는 제품 및 제한사항
항목 ID	MVSP-CO-1.48
매핑	관련 NIST-800-53 컨트롤: SC-7 SC-8 관련 CRI 프로필 컨트롤: PR.AC-3.1 규정 준수 관리자 컨트롤: VPC 서비스 제어에서 서비스 경계 정의

다음 단계

달리 명시되지 않는 한 이 페이지의 콘텐츠에는 Creative Commons Attribution 4.0 라이선스에 따라 라이선스가 부여되며, 코드 샘플에는 Apache 2.0 라이선스에 따라 라이선스가 부여됩니다. 자세한 내용은 Google Developers 사이트 정책을 참조하세요. 자바는 Oracle 및/또는 Oracle 계열사의 등록 상표입니다.

최종 업데이트: 2026-03-04(UTC)