[GCP] Network Security - Cloud Armor

Network Security

Network Logging

기본적으로 네트워크 트래픽은 꺼져있다. 로깅은 저장용량과 비용을 발생시킬 수 있기 때문에 기본적으로 비활성화되어 있다.

 

 

 

Cloud 내 보안 솔루션

WAF

WAF는 네트워크의 트래픽을 검사하고 애플리케이션 계층에서 보안을 제공하는 방화벽이다. 웹 애플리케이션 취약성에 대한 보호를 제공하기 위해 HTTP 및 HTTPS 트래픽을 모니터링하고, 악성 코드나 공격 시도를 탐지하고 차단한다.

 

 

Cloud Armor

L3~L4 단계에서 DDoS 공격을 막는다.

그 상위의 보안을 강화하기 위해서 Web Application Firewall (WAF)를 사용하는데 이와 같은 기능을 Amor가 한다. Cloud Amor는 GLB 없이는 사용할 수 없다. 종합적인 클라우드 보안 솔루션으로서 다양한 보안 기능을 포함하는데 네트워크, 서버, 데이터베이스 등 다양한 수준에서 보안을 제공하며, 기업의 클라우드 인프라를 보호하는 데 중점을 둔다. Armor는 침입 탐지 및 방지 시스템(IDPS), 취약성 스캐닝, 웹 애플리케이션 방화벽, 로그 관리, 인증 및 액세스 제어, 데이터 보호 등 다양한 기능을 제공한다.

ex) 9 to 6 의 트래픽을 대량의 트래픽이 발생하는 리전을 학습한 후, 갑자기 중동에서 트래픽이 급증하면 이상을 감지한다.

 

 

Cloud Amor 기능

• 인프라 L3/L4 DDoS 공격 보호
• 허용, 차단, rate limit 기반 트래픽 제어 - 특정 IP, 특정한 지역, 커스텀 환경변수 기반으로 제어 제공(L3~L7)으로 패킷을 드랍시키는 설정을 할 수 있다.
• 애플리케이션 레이어 공격 방어
• 텔레메트리: LB를 통해서 트래픽이 어느 정도로 들어오고 있는지 대시보드를 통해서 다이어그램으로 제공한다.
• WAF 룰 셋(OWASPT10)
• 커스텀 룰
• 봇 공격 관리(프리뷰)
• Adaptive Protection
• Managed Protection Plus
• Edge Policy - CDN & GCS: 로드밸런서로 들어오는 트래픽 뿐만아니라 CDN, GCS endpoint 또한 보호한다.
• Rate Limiting
• CSCC 알람
• 알려진 IP 리스트 (서드파티 연계)

 

 

 

Armor 주의사항

Armor를 사용 시 불편했던 점은 범위가 서로 겹치지 않아야 한다.

매칭 컨디션을 작성하고 정책에 대한 결과를 미리보기 기능을 제공해서 진행중인 애플리케이션에 대한 영향을 검토한 뒤 변경 내용을 수행할 수 있다.

 

 

Armor 레벨

• Managed Protection Plus
• Standard

 

 

 

보안 정책 개요

• Policy
• Rule