[GCP] VPC-SC (Service Control)

VPC-SC (Service Control)

VPC-SC: 구글에서 사용하고 있는 API에 대한 보안 설정을 해준다.

VPC와 관계없다. IDS, 패킷 미러링 등의 기능을 제공한다.

• IDS(탐지 시스템)을 통해서 인스턴스들이 주고받는 트래픽을 감지하고, 이상을 보이는 트래픽들에 대해서 알린다.
• 패킷 미러링: 네트워크의 통신은 휘발성이라는 특징이 있다. 중간에 패킷이 손실이 되더라도 확인할 수 있는 방법이 없다. 따라서 패킷을 복제해서 사용한다. 클라우드 로그에서 로깅을 보는 게 아니라, 패킷 자체에서 특정 VM에 넣어놓고 나중에 분석하는 용도로 사용한다. (통신 중의 VM A → 복제된 VM B)

 

 

Packet Mirroring

Packet Mirroring은 VPC 내에서 특정 인스턴스의 트래픽을 점검할 수 있는 Compute Engine Controller에게 전송한다. 페이로드 및 헤더와 같은 모든 수신 및 발신 트래픽과 패킷 데이터를 캡처한다. ex) 와이어샤크

미러링 된 패킷을 IDS 도구를 이용해서 이상 징후를 감지한다.

비정상적인 네트워크 트래픽 식별, 측면 이동들을 식별한다.

Packet Mirroring을 이용해서 특정 위치에서 통신이 안 될 때 클라우드 상에서도 패킷을 열어서 패킷의 드롭 여부, 스토밍 여부, 페이로드를 통해 악성 코드 유무 알 수 있다.

 

 

 

 

Cloud IDS

클라우드 상에서 사용할 수 있는 opensource로 멀웨어, 스파이웨어 등을 감지하기 위해 사용하는 팔로아토 기반의 네트워크 보안 서비스이다.

VM에 설치하기에 최적화된 솔루션이다. VM은 네트워크 인터페이스가 8개까지 밖에 지원되지 않기 때문에 VM에 Cloud IDS를 사용하면 패킷 미러링 등의 보안 장비를 연결하려고 할 때 해당 VPC 내에서만 감지된다.

 

 

 

VPC Service Control

특정 사용자에게 GCS의 리소스에 대한 접근만 못하게 설정하고 싶을 때, IAM으로 접근하기에 까다롭다. 따라서 서비스 경계 기능을 사용한다.

서비스 경계: 리소스들에게 막을 싸서 데이터의 외부 유출을 막고 Google API 접근을 통제한다.

특정 사용자에게 또는 특정 위치에서 리소스에 대한 접근을 차단하기 위해서 서비스 경계를 만든다.

 

 

https://xebia.com/blog/vpc-service-controls-explained/

 

 

• PerimeterPerimeter(범위): 하나 이상의 프로젝트와 관련된 GCP 리소스를 그룹화하여 하나의 perimeter로 정의한다.
• Access Level: IP 주소, 특정 리전, 특정 유저, device policy(유료) 등으로 경계 액세스 허용 기준. 즉, 액세스 권한 수준

이 경계 내에서 특정 IP의 리소스들의 인그레스/이그레스 규칙을 설정하고 승인되지 않은 네트워크로부터의 접근을 제어한다.

Ex) BigQuery 같은 경우는 권한이 없어도 viewer 권한만 있어도 열람 가능하기 때문에 BigQuery를 경계 안에 넣어서 리소스에 대한 접근을 제어할 수 있다.

 

• Access Context Manager: Access Level을 설정하고 정의하는 곳