URL 목록을 사용하여 정책 만들기

이 페이지에서는 URL 목록을 사용하여 보안 웹 프록시 인스턴스 내에서 아웃바운드 웹 트래픽에 대한 세분화된 액세스 정책을 만들고 관리하는 방법을 설명합니다. URL 목록을 사용하면 모든 웹사이트에 대해 개별 규칙을 만드는 대신 재사용 가능한 중앙 집중식 도메인, 호스트 이름, 특정 URL 패턴 모음을 정의할 수 있습니다.

URL 목록을 사용하면 다음과 같은 주요 이점이 있습니다.

  • 정책 관리 간소화: 보안 정책에서 단일 참조를 사용하여 대규모 allow 또는 deny 규칙을 적용할 수 있습니다.

  • 정확한 제어 적용: 특정 구문을 사용하여 전체 도메인, 하위 도메인 또는 정확한 URL 경로를 일치시킬 수 있습니다. 이렇게 하면 워크로드가 승인된 대상에만 액세스할 수 있습니다.

  • 안전한 웹 액세스: Google Cloud 환경 전반에서 웹 액세스를 효율적으로 보호하고 감사할 수 있습니다.

시작하기 전에

  • 초기 설정 단계를 완료합니다.

  • Google Cloud CLI 버전 406.0.0 이상이 설치되었는지 확인합니다.

    gcloud version | head -n1

    이전 gcloud CLI 버전이 설치되어 있는 경우 버전을 업데이트합니다.

    gcloud components update --version=406.0.0

빈 정책으로 보안 웹 프록시 인스턴스 만들기

보안 웹 프록시 인스턴스를 만들려면 먼저 빈 보안 정책을 만든 다음 정책을 사용하는 웹 프록시를 만들어야 합니다.

빈 보안 정책 만들기

콘솔

  1. Google Cloud 콘솔에서 SWP 정책 페이지로 이동합니다.

    SWP 정책으로 이동

  2. 정책 만들기를 클릭합니다.

  3. 이름 필드에 정책 이름(예: myswppolicy)을 입력합니다.

  4. 설명 필드에 정책에 대한 설명을 입력합니다(예: My new swp policy).

  5. 리전에서 정책을 만들 리전(예: us-central1)을 선택합니다.

  6. 만들기를 클릭합니다.

Cloud Shell

  1. 원하는 텍스트 편집기를 사용하여 policy.yaml 파일을 만듭니다.

  2. 만든 policy.yaml 파일에 다음을 추가합니다.

    name: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
description: POLICY_DESCRIPTION

    다음을 바꿉니다.

    • PROJECT_NAME: 프로젝트 이름

    • REGION: 정책이 생성된 리전(예: us-central1)

    • POLICY_NAME: 정책 이름

    • POLICY_DESCRIPTION: 정책에 대한 설명

  3. gcloud network-security gateway-security-policies import 명령어를 사용하여 보안 정책을 가져옵니다.

    gcloud network-security gateway-security-policies import POLICY_NAME \
    --source=POLICY_FILE.yaml \
    --location=REGION

웹 프록시 만들기

콘솔

  1. Google Cloud 콘솔에서 웹 프록시 페이지로 이동합니다.

    웹 프록시로 이동

  2. 보안 웹 프록시 만들기를 클릭합니다.

  3. 이름 필드에 웹 프록시의 이름(예: myswp)을 입력합니다.

  4. 설명 필드에 웹 프록시에 대한 설명(예: My new swp)을 입력합니다.

  5. 라우팅 모드에서 명시적 옵션을 선택합니다.

  6. 리전에서 웹 프록시를 만들 리전을 선택합니다(예: us-central1).

  7. 네트워크에서 웹 프록시를 만들 네트워크를 선택합니다.

  8. 서브네트워크에서 이전에 초기 설정 단계의 일부로 만든 VPC 서브넷을 선택합니다.

  9. (선택사항) 웹 프록시 IP 주소 필드에 보안 웹 프록시 IP 주소를 입력합니다.

    이전 단계에서 만든 서브네트워크에 있는 보안 웹 프록시 IP 주소 범위의 IP 주소를 입력할 수 있습니다. IP 주소를 입력하지 않으면 보안 웹 프록시 인스턴스가 선택한 서브네트워크에서 IP 주소를 자동으로 선택합니다.

  10. 인증서에서 웹 프록시를 만드는 데 사용할 인증서를 선택합니다.

  11. 정책에서 웹 프록시를 연결하기 위해 만든 정책을 선택합니다.

  12. 만들기를 클릭합니다.

Cloud Shell

  1. 원하는 텍스트 편집기를 사용하여 gateway.yaml 파일을 만듭니다.

  2. gateway.yaml 파일에 다음을 추가합니다.

    name: projects/PROJECT_NAME/locations/REGION/gateways/GATEWAY_NAME
type: SECURE_WEB_GATEWAY
ports: [GATEWAY_PORT_NUMBERS]
certificateUrls: [CERTIFICATE_URLS]
gatewaySecurityPolicy: projects/PROJECT_NAME/locations/REGION/gatewaySecurityPolicies/POLICY_NAME
network: projects/PROJECT_NAME/global/networks/NETWORK_NAME
subnetwork: projects/PROJECT_NAME/regions/REGION/subnetworks/SUBNETWORK
addresses: [GATEWAY_IP_ADDRESS]
scope: samplescope

    다음을 바꿉니다.

    • GATEWAY_NAME: 이 보안 웹 프록시 인스턴스의 이름

    • GATEWAY_PORT_NUMBERS: 이 게이트웨이의 포트 번호 목록(예: [80,443])

    • CERTIFICATE_URLS: SSL 인증서 URL 목록

    • SUBNETWORK: 이전에 초기 설정 단계의 일부로 만든 VPC 서브넷

    • GATEWAY_IP_ADDRESS: 이전에 초기 설정 단계에서 만든 프록시 서브넷 내의 보안 웹 프록시 인스턴스에 대한 IP 주소 목록(선택사항)

      IP 주소를 나열하지 않도록 선택한 경우 웹 프록시가 자동으로 IP 주소를 선택하도록 필드를 생략합니다.

  3. gcloud network-services gateways import 명령어를 사용하여 보안 웹 프록시 인스턴스를 만듭니다.

    gcloud network-services gateways import GATEWAY_NAME \
    --source=gateway.yaml \
    --location=REGION

연결 테스트

연결을 테스트하려면 Virtual Private Cloud (VPC) 네트워크 내의 모든 가상 머신 (VM) 인스턴스에서 curl 명령어를 사용합니다.

  curl -x https://GATEWAY_IP_ADDRESS:PORT_NUMBER https://www.example.com --proxy-insecure

모든 것이 올바르게 작동하면 보안 웹 프록시 인스턴스가 403 Forbidden 상태 코드를 반환합니다. 이 오류는 다음을 확인합니다.

  • 보안 웹 프록시 인스턴스가 성공적으로 배포되었으며 트래픽을 수신하고 있습니다.

  • 보안 웹 프록시 정책은 다음 섹션에서 특정 allow 규칙을 정의할 때까지 모든 트래픽을 거부하는 기본 보안 자세를 올바르게 적용합니다.

URL 목록 만들기 및 구성

콘솔

  1. Google Cloud 콘솔에서 URL 목록 페이지로 이동합니다.

    URL 목록으로 이동

  2. URL 목록 만들기를 클릭합니다. URL 목록 만들기 페이지가 열립니다.

  3. 이름 필드에 URL 목록의 이름(예: example-org-allowed-list)을 입력합니다.

  4. 설명 필드에 URL 목록에 대한 설명을 입력합니다(예: My new URL list).

  5. 리전에서 URL 목록을 만들 리전(예: us-central1)을 선택합니다.

  6. 일치시킬 호스트, URL 또는 패턴 목록을 추가하려면 URL 목록 필드에 세부정보를 입력하거나 목록 업로드를 클릭하여 맞춤 URL 목록을 업로드합니다. 자세한 내용은 UrlList 구문 참조를 참고하세요.

  7. 만들기를 클릭합니다.

Cloud Shell

  1. 원하는 텍스트 편집기를 사용하여 url_list.yaml 파일을 만듭니다.

  2. url_list.yaml 파일에 다음을 추가합니다.

      name: projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME
  values: URL_LIST

    다음을 바꿉니다.

    • PROJECT_ID: Google Cloud프로젝트의 고유 ID

    • REGION: URL 목록이 생성된 리전입니다(예: us-central1).

    • URL_LIST_NAME: URL 목록의 이름

    • URL_LIST: 일치시킬 호스트, URL 또는 패턴의 목록

    자세한 내용은 UrlList 구문 참조를 참고하세요.

    다음은 URL 목록 규칙 파일의 예시입니다.

    name: projects/PROJECT_ID/locations/REGION/urlLists/example-org-allowed-list
values:
  - www.example.com
  - about.example.com
  - "*.google.com"
  - "github.com/example-org/*"

    별표(*) 문자는 YAML에서 특별한 의미를 갖습니다. * 문자가 포함된 URL 주위에 따옴표를 추가해야 합니다.

  3. 보안 웹 프록시 규칙에서 참조할 수 있도록 gcloud network-security url-lists import 명령어를 사용하여 만든 URL 목록을 가져옵니다.

    gcloud network-security url-lists import URL_LIST_NAME \
    --location=REGION \
    --project=PROJECT_ID \
    --source=url_list.yaml

보안 웹 프록시 규칙 추가

콘솔

  1. Google Cloud 콘솔에서 SWP 정책 페이지로 이동합니다.

    SWP 정책으로 이동

  2. 정책 이름(예: myswppolicy)을 클릭합니다.

  3. 규칙 추가를 클릭합니다.

  4. 각 규칙에 대해 다음을 수행합니다.

    1. 우선순위에 규칙의 평가 순서(번호순)를 입력합니다. 규칙은 가장 높은 우선순위에서 가장 낮은 우선순위로 평가되며 0이 가장 높은 우선순위입니다.

    2. 이름 필드에 규칙 이름(예: allow-org-url-list)을 입력합니다.

    3. 설명 필드에 규칙에 대한 설명을 입력합니다.

    4. 작업에서 다음 옵션 중 하나를 선택합니다.

      • 허용: 규칙과 일치하는 연결 요청을 허용합니다.
      • 거부: 규칙과 일치하는 연결 요청을 거부합니다.

    5. 상태 필드에서 규칙 시행에 대한 다음 옵션 중 하나를 선택합니다.

      • 사용 설정됨: 보안 웹 프록시 인스턴스에 규칙을 적용합니다.
      • 사용 중지됨: 보안 웹 프록시 인스턴스에 규칙을 적용하지 않습니다.

    6. 세션 일치 섹션에서 이전 섹션에서 만든 URL 목록의 고유 이름을 지정합니다. 예를 들면 다음과 같습니다.

        sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME)"

      SessionMatcher의 구문에 대한 자세한 내용은 CEL 일치자 언어 참조를 참고하세요.

    7. 애플리케이션 일치 섹션에서 요청을 일치시키는 기준을 지정합니다.

    8. 규칙 추가를 클릭합니다.

Cloud Shell

  1. 원하는 텍스트 편집기를 사용하여 rule.yaml 파일을 만듭니다.

  2. rule.yaml 파일에 다음을 추가합니다.

    name: projects/PROJECT_ID/locations/REGION/gatewaySecurityPolicies/POLICY_NAME/rules/RULE_NAME
basicProfile: ALLOW
enabled: true
priority: RULE_PRIORITY
description: RULE_DESCRIPTION
sessionMatcher: SESSION_CEL_EXPRESSION
applicationMatcher: APPLICATION_CEL_EXPRESSION

    다음을 바꿉니다.

    • PROJECT_ID: Google Cloud프로젝트의 고유 ID

    • REGION: 이 규칙이 적용되는 리전

    • POLICY_NAME: 보안 웹 프록시 인스턴스에서 사용하는 기존 보안 정책의 이름

    • RULE_NAME: 규칙의 이름

    • PRIORITY_VALUE: 규칙의 우선순위입니다. 숫자가 작을수록 우선순위가 높습니다.

    • RULE_DESCRIPTION: 규칙에 대한 설명

    • SESSION_CEL_EXPRESSION: Common Expression Language (CEL) 표현식입니다. 자세한 내용은 CEL 일치자 언어 참조를 참고하세요.

    • APPLICATION_CEL_EXPRESSION: 애플리케이션에 대한 CEL 표현식

    다음은 규칙 파일의 예시입니다.

    name: projects/PROJECT_ID/locations/REGION/urlLists/allow-repos
basicProfile: ALLOW
enabled: true
priority: 100
description: Allow access to our list of known code repos.
sessionMatcher: "inUrlList(host(), 'projects/PROJECT_ID/locations/REGION/urlLists/URL_LIST_NAME')"

  3. gcloud network-security gateway-security-policies rules import 명령어를 사용하여 만든 규칙을 가져옵니다.

        gcloud network-security gateway-security-policies rules import RULE_NAME \
      --location=REGION \
      --project=PROJECT_ID \
      --source=rule.yaml \
      --gateway-security-policy=POLICY_NAME

정책 구성 테스트

연결을 다시 테스트하여 URL 목록 기반 액세스 규칙이 보안 웹 프록시 인스턴스에 의해 올바르게 구성되고 적극적으로 적용되는지 확인할 수 있습니다.

연결을 테스트하려면 다음 curl 명령어를 사용합니다.

curl -x https://SWP_IP_ADDRESS:SWP_PORT_NUMBER HTTP_TEST_ADDRESS
--proxy-insecure

다음을 바꿉니다.

  • SWP_IP_ADDRESS: 보안 웹 프록시 인스턴스의 IP 주소

  • SWP_PORT_NUMBER: 웹 프록시의 포트 번호(예: 443)

  • HTTP_TEST_ADDRESS: 테스트할 주소(예: https://www.example.com) url_list의 호스트 또는 URL 항목과 일치합니다.

모든 것이 올바르게 작동하면 200 OK 응답이 수신됩니다. 이 응답은 URL 목록에 나열되고 보안 정책 규칙에서 참조하는 URL로의 아웃바운드 트래픽이 보안 웹 프록시 인스턴스를 통해 성공적으로 허용되었음을 확인합니다.

다음 단계