URL 필터링 서비스를 사용하면 특정 웹 도메인에 대한 액세스를 차단하거나 허용하여 제어할 수 있습니다. 네트워크에서 URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트, 보안 프로필, 보안 프로필 그룹을 비롯한 Cloud Next Generation Firewall 구성요소를 여러 개 설정해야 합니다. 이 문서에서는 이러한 구성요소를 구성하고 URL 필터링 서비스를 사용 설정하는 방법을 설명하는 워크플로를 간략하게 설명합니다.
URL 필터링 서비스에 대한 자세한 내용은 URL 필터링 서비스 개요를 참조하세요.
필요한 역할
Identity and Access Management (IAM) 역할은 URL 필터링 서비스 구성 및 사용 설정과 관련된 작업을 제어합니다. 다음 표에서는 각 단계에 필요한 역할을 설명합니다.
| 기능 | 필수 역할 |
|---|---|
| 가상 프라이빗 클라우드 (VPC) 네트워크의 방화벽 엔드포인트 및 방화벽 엔드포인트 연결 만들기 | 다음 역할 중 하나입니다. Compute 네트워크 관리자 역할 ( roles/compute.networkAdmin)조직 수준 방화벽 엔드포인트의 경우 조직 수준의 방화벽 엔드포인트 관리자 역할 ( roles/networksecurity.firewallEndpointAdmin), 방화벽 엔드포인트의 경우 프로젝트 수준 (미리보기) 또는 조직 수준이러한 역할에는 방화벽 엔드포인트를 만드는 다음 권한이 포함되어 있습니다. networksecurity.firewallEndpoints.create또한 이러한 역할에는 방화벽 엔드포인트 연결을 만드는 다음 권한이 포함되어 있습니다. networksecurity.firewallEndpointAssociations.create방화벽 엔드포인트가 있는 조직의 networksecurity.firewallEndpoints.use |
| URL 필터링 보안 프로필, 위협 방지 보안 프로필, 보안 프로필 그룹 만들기 | 보안 프로필 관리자 역할 (roles/networksecurity.securityProfileAdmin) 조직 수준 보안 프로필 그룹의 경우 조직 수준, 보안 프로필 그룹의 경우 프로젝트 수준 (미리보기) 또는 조직 수준이 역할에는 다음 필수 권한이 포함되어 있습니다. 보안 프로필 그룹을 만드는 networksecurity.securityProfileGroups.create
URL 필터링 보안 프로필 또는 위협 방지 보안 프로필을 만드는 networksecurity.securityProfiles.create
|
| 계층식 방화벽 정책 및 규칙 만들기 | Compute 조직 방화벽 정책 관리자 역할 (roles/compute.orgFirewallPolicyAdmin)계층식 방화벽 정책을 만들려면 이 역할이 필요합니다. 정책을 만들려는 리소스에 역할을 부여해야 합니다. 또한 계층식 방화벽 정책에서 규칙을 만들려면 이 역할이 필요합니다. 정책이 포함된 리소스 또는 정책 자체에 역할을 부여해야 합니다. 이 역할에는 다음 필수 권한이 포함되어 있습니다. 계층식 방화벽 정책을 만드는 compute.firewallPolicies.create
계층식 방화벽 정책 규칙을 만드는 compute.firewallPolicies.update
|
| 계층식 방화벽 정책을 조직 또는 폴더와 연결 | 다음 역할 집합 중 하나입니다. 대상 리소스의 Compute 조직 리소스 관리자 역할 ( roles/compute.orgSecurityResourceAdmin) 및정책 리소스 또는 정책 자체의 Compute 조직 방화벽 정책 사용자 역할 ( roles/compute.orgFirewallPolicyUser)또는 대상 리소스의 Compute 조직 리소스 관리자 역할 ( roles/compute.orgSecurityResourceAdmin) 및정책 리소스 또는 정책 자체의 Compute 조직 방화벽 정책 관리자 역할 ( roles/compute.orgFirewallPolicyAdmin)이러한 역할에는 다음 필수 권한이 포함되어 있습니다. 방화벽 정책의 compute.firewallPolicies.addAssociation대상 리소스의 compute.organizations.setFirewallPolicy |
| 전역 네트워크 방화벽 정책 및 규칙 만들기 | Compute 보안 관리자 역할 (roles/compute.securityAdmin)전역 네트워크 방화벽 정책을 만들려면 이 역할이 필요합니다. 정책을 만들려는 프로젝트에 역할을 부여해야 합니다. 또한 전역 네트워크 방화벽 정책에서 규칙을 만들려면 이 역할이 필요합니다. 정책이 포함된 프로젝트 또는 정책 자체에 역할을 부여해야 합니다. 이 역할에는 다음 필수 권한이 포함되어 있습니다. compute.firewallPolicies.create 전역 네트워크 방화벽 정책을 만드는
compute.firewallPolicies.update 전역 네트워크 방화벽 정책 규칙을 만드는 |
| 전역 네트워크 방화벽 정책을 VPC 네트워크와 연결 | Compute 네트워크 관리자 역할 (roles/compute.networkAdmin)이 역할에는 다음 필수 권한이 포함되어 있습니다. compute.firewallPolicies.usecompute.networks.setFirewallPolicy |
| CA 풀 만들기 | CA 서비스 작업 관리자 역할 (roles/privateca.caManager)전송 계층 보안 (TLS) 검사를 사용하는 경우 CA 풀을 만들려면 이 역할이 필요합니다. |
| TLS 검사 정책 만들기 |
Compute 네트워크 관리자 역할 (roles/compute.networkAdmin)Compute 보안 관리자 역할 ( roles/compute.securityAdmin)TLS 검사를 사용하는 경우 TLS 검사 정책을 만들려면 위의 역할 중 하나가 필요합니다. 이러한 역할에는 다음 필수 권한이 포함되어 있습니다. certificatemanager.trustconfigs.listcertificatemanager.trustconfigs.usenetworksecurity.operations.getnetworksecurity.tlsInspectionPolicies.createnetworksecurity.tlsInspectionPolicies.listprivateca.caPools.listprivateca.caPools.useprivateca.certificateAuthorities.list |
역할 부여에 대한 상세 설명은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
커스텀 역할 이나 다른 사전 정의된 역할을 사용하여 규정된 권한을 부여받을 수도 있습니다.
TLS 검사 없이 URL 필터링 서비스 구성
네트워크에서 URL 필터링 서비스를 구성하려면 다음 태스크를 수행합니다.
방화벽 엔드포인트를 만듭니다.
방화벽 엔드포인트는 URL 필터링 서비스로 보호하려는 워크로드와 동일한 영역에서 만들어야 하는 영역 리소스입니다.
점보 프레임 지원 여부와 관계없이 방화벽 엔드포인트를 만들 수 있습니다.
자세한 내용은 방화벽 엔드포인트 만들기를 참조하세요.
방화벽 엔드포인트를 VPC 네트워크와 연결합니다.
URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트를 VPC 네트워크와 연결합니다. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다.
점보 프레임 지원이 포함된 방화벽 엔드포인트는 최대 8,500바이트의 패킷만 허용할 수 있습니다. 또는 점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷만 허용할 수 있습니다. URL 필터링 서비스가 필요한 경우 연결된 VPC 네트워크가 최대 전송 단위 (MTU) 한도인 8,500바이트와 1,460바이트를 사용하도록 구성하는 것이 좋습니다. 자세한 내용은 지원되는 패킷 크기를 참조하세요.
방화벽 엔드포인트 연결을 만드는 방법에 대한 자세한 내용은 방화벽 엔드포인트 연결 만들기를 참조하세요.
URL 필터링을 위한 보안 프로필을 만듭니다.
특정 도메인에 대한 액세스를 허용하거나 거부하려면
url-filtering유형의 보안 프로필을 만들고 URL 목록을 사용하여 일치자 문자열을 지정합니다.자세한 내용은 URL 필터링 보안 프로필 만들기를 참조하세요.
원하는 경우 트래픽에서 위협을 검사하는 보안 프로필을 만들 수 있습니다.
보안 위협에 대한 트래픽을 검사하려면
threat-prevention유형의 다른 보안 프로필을 만듭니다. 위협 서명 목록을 검토하고 기본 응답을 평가하며 요구사항에 따라 선택한 서명의 작업을 맞춤설정합니다.자세한 내용은 위협 방지 보안 프로필 만들기를 참조하세요. 침입 감지 및 방지 서비스에 대한 자세한 내용은 침입 감지 및 방지 서비스 개요를 참조하세요.
보안 프로필 그룹을 만듭니다.
보안 프로필 그룹은 보안 프로필의 컨테이너 역할을 합니다. 이전 단계에서 만든 보안 프로필을 포함할 보안 프로필 그룹을 만듭니다.
자세한 내용은 보안 프로필 그룹 만들기를 참조하세요.
URL 필터링 서비스를 네트워크 트래픽에 구성하고 적용합니다.
URL 필터링 서비스를 구성하려면 레이어 7 검사를 사용하여 전역 네트워크 방화벽 정책 또는 계층식 방화벽 정책을 만듭니다.
새 전역 방화벽 정책을 만들거나 기존 정책을 사용하는 경우
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가하고 이전에 만든 보안 프로필 그룹의 이름을 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.자세한 내용은 전역 네트워크 방화벽 정책 만들기 및 규칙 만들기를 참조하세요.
새 계층식 방화벽 정책을 만들거나 기존 정책을 사용하는 경우
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.자세한 내용은 규칙 만들기를 참조하세요.
TLS 검사로 URL 필터링 서비스 구성
네트워크에서 TLS 검사 를 사용하여 URL 필터링 서비스를 구성하려면 다음 태스크를 수행합니다.
방화벽 엔드포인트를 만듭니다.
점보 프레임 지원 여부와 관계없이 방화벽 엔드포인트를 만들 수 있습니다.
방화벽 엔드포인트는 URL 필터링 서비스로 보호하려는 워크로드와 동일한 영역에서 만들어야 하는 영역 리소스입니다.
자세한 내용은 방화벽 엔드포인트 만들기를 참조하세요.
방화벽 엔드포인트를 VPC 네트워크와 연결합니다.
URL 필터링 서비스를 사용 설정하려면 방화벽 엔드포인트를 VPC 네트워크와 연결합니다. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다.
점보 프레임 지원이 포함된 방화벽 엔드포인트는 최대 8,500바이트의 패킷만 허용할 수 있습니다. 또는 점보 프레임 지원이 없는 방화벽 엔드포인트는 최대 1,460바이트의 패킷만 허용할 수 있습니다. URL 필터링 서비스가 필요한 경우 연결된 VPC 네트워크가 최대 전송 단위 (MTU) 한도인 8,500바이트와 1,460바이트를 사용하도록 구성하는 것이 좋습니다. 자세한 내용은 지원되는 패킷 크기를 참조하세요.
방화벽 엔드포인트 연결을 만드는 방법에 대한 자세한 내용은 방화벽 엔드포인트 연결 만들기를 참조하세요.
URL 필터링을 위한 보안 프로필을 만듭니다.
특정 도메인에 대한 액세스를 허용하거나 거부하려면
url-filtering유형의 보안 프로필을 만들고 URL 목록을 사용하여 일치자 문자열을 지정합니다.자세한 내용은 URL 필터링 보안 프로필 만들기를 참조하세요.
원하는 경우 트래픽에서 위협을 검사하는 보안 프로필을 만들 수 있습니다.
보안 위협에 대한 트래픽을 검사하려면
threat-prevention유형의 다른 보안 프로필을 만듭니다. 위협 서명 목록을 검토하고 기본 응답을 평가하며 요구사항에 따라 선택한 서명의 작업을 맞춤설정합니다.자세한 내용은 위협 방지 보안 프로필 만들기를 참조하세요. 침입 감지 및 방지 서비스에 대한 자세한 내용은 침입 감지 및 방지 서비스 개요를 참조하세요.
보안 프로필 그룹을 만듭니다.
보안 프로필 그룹은 보안 프로필의 컨테이너 역할을 합니다. 이전 단계에서 만든 보안 프로필을 포함할 보안 프로필 그룹을 만듭니다.
자세한 내용은 보안 프로필 그룹 만들기를 참조하세요.
암호화된 트래픽을 검사할 리소스를 만들고 구성합니다.
인증 기관 (CA) 풀을 만듭니다.
CA 풀은 공통 인증서 발급 정책과 IAM 정책이 적용되는 CA의 모음입니다. TLS 검사를 구성하려면 리전 CA 풀이 있어야 합니다.
자세한 내용은 CA 풀 만들기를 참조하세요.
루트 CA를 만듭니다.
TLS 검사를 사용하려면 루트 CA가 하나 이상 있어야 합니다. 루트 CA는 중간 CA에 서명하고 중간 CA는 클라이언트의 모든 리프 인증서에 서명합니다. 자세한 내용은
gcloud privateca roots create명령어의 참고 문서를 참조하세요.네트워크 보안 서비스 에이전트(P4SA)에 필요한 권한을 부여합니다.
Cloud NGFW는 TLS 검사를 위한 중간 CA를 생성하기 위해 P4SA가 필요합니다. 서비스 에이전트에는 CA 풀의 인증서를 요청하는 데 필요한 권한이 필요합니다.
자세한 내용은 서비스 계정 만들기를 참조하세요.
리전 TLS 검사 정책을 만듭니다.
TLS 검사 정책은 암호화된 트래픽을 가로채는 방법을 지정합니다. 리전 TLS 검사 정책은 TLS 검사의 구성을 보유할 수 있습니다.
자세한 내용은 TLS 검사 정책 만들기를 참조하세요.
방화벽 엔드포인트를 TLS 검사 정책과 연결합니다.
URL 필터링 서비스를 네트워크 트래픽에 구성하고 적용합니다.
URL 필터링 서비스를 구성하려면 레이어 7 검사를 사용하여 전역 네트워크 방화벽 정책 또는 계층식 방화벽 정책을 만듭니다.
새 전역 방화벽 정책을 만들거나 기존 정책을 사용하는 경우
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가하고 이전에 만든 보안 프로필 그룹의 이름을 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.자세한 내용은 전역 네트워크 방화벽 정책 만들기 및 규칙 만들기 를 참조하세요.
새 계층식 방화벽 정책을 만들거나 기존 정책을 사용하는 경우 구성된
apply_security_profile_group작업으로 방화벽 정책 규칙을 추가합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다.자세한 내용은 규칙 만들기를 참조하세요.
배포 모델 예시
다음 다이어그램은 동일한 리전이지만 서로 다른 영역 두 개의 VPC 네트워크에 구성된 여러 방화벽 엔드포인트가 있는 URL 필터링 서비스 배포의 예를 보여줍니다.
배포 예시의 구성은 다음과 같습니다.
보안 프로필 그룹 두 개:
Security profile group 1(보안 프로필Security profile 1포함)보안 프로필
Security profile 2가 있는Security profile group 2
고객 VPC 1 (
VPC 1)에는 보안 프로필 그룹이Security profile group 1로 설정된 방화벽 정책이 있습니다.고객 VPC 2 (
VPC 2)에는 보안 프로필 그룹이Security profile group 2로 설정된 방화벽 정책이 있습니다.방화벽 엔드포인트
Firewall endpoint 1은us-west1-a영역의VPC 1및VPC 2에서 실행되는 워크로드에 URL 필터링을 실행합니다.방화벽 엔드포인트
Firewall endpoint 2는us-west1-b영역의VPC 1및VPC 2에서 실행되는 워크로드에 사용 설정된 TLS 검사를 사용하여 URL 필터링을 실행합니다.