Cloud NGFW 개념

Cloud Next Generation Firewall을 사용하여 인터넷의 외부 위협과 네트워크 내의 내부 위협으로부터 워크로드를 보호할 수 있습니다.

이 문서에서는 Cloud NGFW의 작동 방식과 규칙 평가 방식을 설명하는 핵심 개념과 용어를 정의합니다.

방화벽 정책 규칙

Cloud NGFW에서 방화벽 정책 규칙 은 보안 구성의 기본 단위입니다. 트래픽을 허용, 거부 또는 검사하는 기준을 정의합니다. 자세한 내용은 방화벽 정책 규칙을 참조하세요.

방화벽 정책

방화벽 정책 은 여러 방화벽 규칙을 그룹화하는 컨테이너입니다. 자세한 내용은 방화벽 정책을 참조하세요.

Cloud NGFW는 리소스 계층 구조의 위치에 따라 다음 정책 유형을 지원합니다.

  • 계층식 방화벽 정책: 이 정책에는 하나 이상의 프로젝트에서 여러 Virtual Private Cloud (VPC) 네트워크에 대해 조직 또는 폴더 수준에서 정의된 규칙이 포함되어 있습니다.
  • 전역 네트워크 방화벽 정책: 이 정책에는 특정 VPC 네트워크의 모든 리전에 대한 규칙이 포함되어 있습니다.
  • 리전 네트워크 방화벽 정책: 이 정책에는 VPC 네트워크의 특정 리전에 대한 규칙이 포함되어 있습니다.
  • 리전 시스템 방화벽 정책: 이 정책에는 VPC 네트워크의 특정 리전에 대한 Google 관리 규칙이 포함되어 있습니다. 리전 시스템 방화벽 정책의 규칙은 수정할 수 없습니다.

계층식 방화벽 정책 또는 네트워크 방화벽 정책을 만들면 Google Cloud 정책에 사전 정의된 규칙이 추가됩니다.

방화벽 정책 연결

방화벽 정책의 규칙을 사용하려면 먼저 정책을 리소스와 연결해야 합니다. 연결 방법은 정책 유형에 따라 다릅니다.

  • 계층식 방화벽 정책: 계층식 정책을 Google Cloud 조직 또는 폴더와 연결합니다.
  • 전역 네트워크 방화벽 정책: 전역 네트워크 방화벽 정책을 방화벽 정책과 동일한 프로젝트의 하나 이상의 VPC 네트워크와 연결합니다.
  • 리전 네트워크 방화벽 정책: 리전 네트워크 방화벽 정책을 방화벽 정책과 동일한 프로젝트의 하나 이상의 VPC 네트워크의 단일 리전과 연결합니다.

방화벽 정책을 리소스와 연결하면 정책의 규칙이 일치하는 트래픽에 적용됩니다.

Cloud NGFW 작동 방식

Cloud NGFW는 방화벽 정책 규칙, VPC 방화벽 규칙, 암시적 작업을 평가합니다. 자세한 내용은 방화벽 정책 및 규칙의 평가 순서를 참조하세요.

VPC 방화벽 규칙

VPC 방화벽 규칙을 사용하면 단일 VPC 네트워크의 네트워크 계층 (레이어 3 및 레이어 4) 트래픽을 관리할 수 있습니다.

VPC 방화벽 규칙은 방화벽 정책 규칙보다 기능이 적습니다. 권장사항으로 VPC 방화벽 규칙 대신 방화벽 정책을 사용하세요. 자세한 내용은 VPC 방화벽 규칙을 참조하세요.

방화벽 정책 규칙의 핵심 구성요소

방화벽 정책 규칙을 구성하려면 다음 구성요소를 정의하세요.

  • 방향: 대상 리소스의 관점에서 트래픽 흐름의 방향을 지정합니다.

    • 인그레스: 방화벽 정책 규칙이 인바운드 트래픽에 적용되는지 여부를 지정합니다. 자세한 내용은 인그레스 규칙을 참조하세요.
    • 이그레스: 규칙이 아웃바운드 트래픽에 적용되는지 여부를 지정합니다. 자세한 내용은 이그레스 규칙을 참조하세요.
  • 우선순위: 정책 내에서 규칙의 평가 순서를 결정하는 고유한 정수입니다. 낮은 정수는 높은 우선 순위를 나타냅니다. 자세한 내용은 우선순위를 참조하세요.

  • 기준: 프로토콜, IP 주소, 포트 번호와 같은 네트워크 패킷의 일치 조건입니다.

  • 대상 유형: 방화벽 규칙이 보호하는 리소스 Google Cloud 유형입니다. 가상 머신 (VM) 인스턴스 (기본값) 또는 내부 애플리케이션 부하 분산기 및 내부 프록시 네트워크 부하 분산기 (미리보기)에서 사용하는 관리형 Envoy 프록시에 적용되도록 방화벽 정책 규칙을 구성할 수 있습니다.

  • 대상: 특정 대상에 규칙을 적용합니다.

  • 소스: 인그레스 규칙에 필수이며 이그레스 규칙에는 선택사항입니다. 자세한 내용은 소스를 참조하세요.

  • 대상: 이그레스 규칙에 필수이며 인그레스 규칙에는 선택사항입니다. 자세한 내용은 대상을 참조하세요.

  • 프로토콜 및 포트: 통신 프로토콜 및 대상 포트입니다. 자세한 내용은 프로토콜 및 포트를 참조하세요.

  • 작업: 네트워크 패킷이 규칙 기준과 일치할 때 Cloud NGFW가 수행하는 작업입니다. 자세한 내용은 일치 시 작업을 참조하세요.

표준 VPC 네트워크의 모든 규칙 구성요소를 살펴보려면 방화벽 정책 규칙 구성요소를 참조하세요.

Cloud NGFW 등급

Google Cloud 는 다양한 보안 및 가격 책정 요구사항에 맞게 Cloud NGFW 기능을 여러 등급으로 구성합니다. 자세한 내용은 Cloud NGFW 등급을 참조하세요.

네트워크 계층 검사

기본 보호를 위해 Cloud NGFW는 개방형 시스템 상호연결 (OSI) 모델의 레이어 3 및 레이어 4에서 네트워크 트래픽을 검사합니다.

모든 Cloud NGFW 등급은 분산된 상태 저장 레이어 3 및 레이어 4 필터링을 사용합니다. 방화벽은 활성 연결 상태를 추적하고 연결 추적 테이블에 대해 패킷을 평가합니다.

애플리케이션 계층 검사

고급 보호를 위해 Cloud NGFW는 OSI 모델의 애플리케이션 계층 (레이어 7)에서 트래픽을 검사할 수 있습니다. 이 검사를 통해 방화벽은 IP 주소와 포트만 사용하는 것이 아니라 애플리케이션 수준 데이터를 기반으로 결정을 내릴 수 있습니다. 애플리케이션 계층 검사의 예로는 URL 필터링 서비스, 침입 감지 및 방지 서비스와 같은 서비스가 있습니다. 애플리케이션 계층 검사 기능은 Cloud Next Generation Firewall Enterprise 등급에서만 사용할 수 있습니다. 자세한 내용은 애플리케이션 계층 검사 개요를 참조하세요.

다음 단계