이 페이지에서는 게이트웨이 보안 정책과 이를 만드는 방법을 설명합니다.
게이트웨이 보안 정책
게이트웨이 보안 정책은 Secure Web Proxy 인스턴스를 통한 트래픽 흐름을 관리하는 모든 보안 규칙의 중앙 컨테이너 역할을 합니다. 정책을 사용하면 프록시의 아웃바운드 웹 트래픽에 대한 액세스 제어를 효과적으로 관리할 수 있습니다.
정책을 정의하고 Secure Web Proxy 인스턴스와 연결할 수 있습니다. 이렇게 하면 네트워크에서 나가는 모든 웹 트래픽이 일관된 보안 표준을 준수할 수 있습니다.
게이트웨이 보안 정책은 다음 세 가지 파라미터를 기반으로 합니다.
트래픽 소스: Secure Web Proxy는 서비스 계정, 보안 태그, IP 주소와 같은 다양한 속성을 사용하여 트래픽 소스를 식별합니다.
허용되는 대상: Secure Web Proxy는 도메인, 전체 URL 경로 (TLS 검사가 사용 설정된 경우), URL 목록, 대상 포트를 사용하여 허용되는 대상을 결정합니다.
요청 세부정보: Secure Web Proxy는 프로토콜, HTTP 메서드, 요청 헤더와 같은 요청 속성을 평가합니다. 암호화된 트래픽에 대해 이 분석을 실행하려면 TLS 검사를 사용 설정해야 합니다.
소스 속성
Secure Web Proxy 정책은 다음 Cloud ID 및 네트워크 위치 데이터를 사용하여 트래픽 소스를 식별합니다.
- 서비스 계정: 애플리케이션 또는 워크로드에 할당된 고유 ID입니다. 서비스 계정을 사용하면 애플리케이션의 특정 기능을 기반으로 정책을 만들 수 있습니다.
- 보안 태그: 가상 머신 (VM) 인스턴스와 같은 Google Cloud 리소스에 적용할 수 있는 라벨입니다.
태그를 사용하면 기능 또는 환경별로 워크로드를 그룹화할 수 있습니다. 예를 들어 '
Production라벨이 지정된 모든 리소스가 승인된 도메인에 액세스하도록 허용' - IP 주소: 발신자의 네트워크 주소입니다. 아웃바운드 트래픽에 Secure Web Proxy가 사용하는 Enterprise 또는 고정 Google Cloud IP 주소를 할당할 수 있습니다.
소스 속성에 지원되는 ID
Secure Web Proxy는 서비스 계정, 보안 태그와 같은 소스 ID 기반 정책을 사용하여 웹 트래픽을 제어합니다. 이러한 정책을 사용하면 IP 주소뿐만 아니라 트래픽의 소스 ID를 기반으로 규칙을 적용할 수 있습니다.
다음 표에는 Google Cloud 소스 ID 기반 정책을 지원하는 서비스가 나와 있습니다.
| Google Cloud 서비스 | 서비스 계정 지원 | 보안 태그 지원 |
|---|---|---|
| Compute Engine 가상 머신 (VM) | ||
| Google Kubernetes Engine (GKE) 노드 | ||
| Google Kubernetes Engine (GKE) 컨테이너 | 1 | 1 |
| Cloud Run용 직접 VPC | 1 | |
| 서버리스 VPC 액세스 커넥터 | 2 | 2 |
| Cloud VPN | 1 | 1 |
| 온프레미스 Cloud Interconnect | 1 | 1 |
| 애플리케이션 부하 분산기 | ||
| 네트워크 부하 분산기 |
2 소스 IP 주소는 고유하며 대신 사용할 수 있습니다.
다음 표에는 소스 ID 기반 보안 정책을 지원하는 가상 프라이빗 클라우드 (VPC) 아키텍처가 나와 있습니다.
| VPC | VPC 아키텍처 | 지원 |
|---|---|---|
| VPC 내 | 프로젝트 간(공유 VPC) | |
| VPC 간 | 피어링 링크 간(피어 VPC) | |
| VPC 간 | Private Service Connect 간 | |
| VPC 간 | Network Connectivity Center 스포크 간 |
대상 속성
Secure Web Proxy 정책은 대상 웹사이트 또는 서비스의 다음 속성을 분석하여 도착 페이지가 승인되었는지 여부를 확인합니다.
대상 도메인: 웹사이트 주소(예:
example.com)URL 목록: 정책 관리를 간소화하는 승인된 URL 또는 차단된 URL의 사전 정의된 목록입니다.
대상 포트: Secure Web Proxy 인스턴스가 트래픽을 전송하는 네트워크 포트입니다. 예를 들어 HTTPS의 경우
443입니다.전체 URL 경로: 웹사이트의 정확한 경로입니다. 특정 웹페이지의 전체 콘텐츠를 보려면 TLS 검사를 사용 설정해야 합니다.
HTTP 및 HTTPS 대상 트래픽의 경우 애플리케이션에 host 대상 속성과 다양한 request.* 대상 관련 속성(예: request.method)을 사용할 수 있습니다.
HTTP 및 HTTPS 트래픽에 사용할 수 있는 대상 속성에 대한 자세한 내용은 속성을 참고하세요.
보안 정책 만들기
게이트웨이 보안 정책을 만들기 전에 다음 초기 설정 단계를 완료해야 합니다.
정책을 만든 후 규칙을 만들어 정책에 추가할 수 있습니다. 정책을 Secure Web Proxy 인스턴스와 연결하는 방법을 자세히 알아보려면 웹 프록시 설정을 참고하세요.
콘솔
Google Cloud 콘솔에서 SWP 정책 페이지로 이동합니다.
정책 만들기를 클릭합니다.
만들려는 정책의 이름을 입력합니다(예:
policy1).정책의 설명을 입력합니다(예:
My new swp policy).리전 목록에서 정책을 만들려는 리전을 선택합니다(예:
us-central1).정책에 대한 규칙을 만들려면 규칙 추가를 클릭합니다. 자세한 내용은 Secure Web Proxy 규칙 만들기를 참고하세요.
만들기를 클릭합니다.
Cloud Shell
원하는 텍스트 편집기를 사용하여
policy.yaml파일을 만듭니다.만든
policy.yaml파일에 다음을 추가합니다.description: basic Secure Web Proxy policy name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/policy1다음을 바꿉니다.
PROJECT_ID: 프로젝트 IDREGION: 정책이 생성된 리전(예:us-central1)
Secure Web Proxy 정책을 만듭니다.
gcloud network-security gateway-security-policies import policy1 \ --source=policy.yaml \ --location=REGION