Deep Dive

VPC-SC (Service Control) VPC-SC: 구글에서 사용하고 있는 API에 대한 보안 설정을 해준다. VPC와 관계없다. IDS, 패킷 미러링 등의 기능을 제공한다. IDS(탐지 시스템)을 통해서 인스턴스들이 주고받는 트래픽을 감지하고, 이상을 보이는 트래픽들에 대해서 알린다. 패킷 미러링: 네트워크의 통신은 휘발성이라는 특징이 있다. 중간에 패킷이 손실이 되더라도 확인할 수 있는 방법이 없다. 따라서 패킷을 복제해서 사용한다. 클라우드 로그에서 로깅을 보는 게 아니라, 패킷 자체에서 특정 VM에 넣어놓고 나중에 분석하는 용도로 사용한다. (통신 중의 VM A → 복제된 VM B) Packet Mirroring Packet Mirroring은 VPC 내에서 특정 인스턴스의 트래픽을 점검할..

Network Security Network Logging 기본적으로 네트워크 트래픽은 꺼져있다. 로깅은 저장용량과 비용을 발생시킬 수 있기 때문에 기본적으로 비활성화되어 있다. Cloud 내 보안 솔루션 WAF WAF는 네트워크의 트래픽을 검사하고 애플리케이션 계층에서 보안을 제공하는 방화벽이다. 웹 애플리케이션 취약성에 대한 보호를 제공하기 위해 HTTP 및 HTTPS 트래픽을 모니터링하고, 악성 코드나 공격 시도를 탐지하고 차단한다. Cloud Armor L3~L4 단계에서 DDoS 공격을 막는다. 그 상위의 보안을 강화하기 위해서 Web Application Firewall (WAF)를 사용하는데 이와 같은 기능을 Amor가 한다. Cloud Amor는 GLB 없이는 사용할 수 없다. 종합적인 클..

2. OS Login 설정하기 OS Login 기능을 활성화하기 위해 Compute Engine의 메타데이터 항목에 아래의 Key:Value 항목을 추가한다. Key: enable-oslogin Value: TRUE 2. 1번 실습에서 했던 SSH Key로 접속하는 명령어를 입력하여 Key를 통한 로그인이 실패하는지 확인한다. 2023.07.07 - [DevOps/GCP] - [GCP] VM 로그인 옵션 설정 1 - Custom SSH Key로 로그인하기 3. Cloud Shell에서 명령어로 재시도해서 접속이 되는지 확인한다. ssh -i mykey ACCOUNT@[VM-IP] 4. 아래의 명령어로 재시도하여 접속이 되는지 확인한다. gcloud compute ssh [인스턴스 ID] --zone=[존]

1. Custom SSH Key로 로그인하기 접속 테스트를 할 VM을 하나 생성한다. Cloud Shell에 아래 명령어로 Key를 생성한다. ssh-keygen -t rsa -f mykey -C ACCOUNT 3. mykey를 콘솔에 출력한다. 4. VM 편집을 누르고 SSH 키를 추가한다. cat mykey.pub 맥북 환경에서는 PowerShell을 켜고 내컴퓨터명@컴퓨터명.local을 USER란에 넣는다. ex) HvQ0ucIgysbCP609Y8XUzRLWPO/QF1PDtJOwDq7hiedXPU= 내컴퓨터명@컴퓨터사용자명 5. 생성한 키로 접속이 되는지 확인한다. ssh -i mykey ACCOUNT@[VM-IP]

VM Security Compute Engine의 API 액세스 설정 Service Account는 API를 활성화하게 되면 구글에서 관리하는 default로 생성된다. default는 많은 권한을 가지고 있고 Compute Engine에 들어가는 default라는 계정은 Editor 권한을 가지고 있어서 사용 범위가 너무 넓다. 따라서 Compute Engine에서는 Service Account는 사용하지 않는다. 그 대신 VM 인스턴스의 API 액세스 설정으로 해당 인스턴스에 대한 API 호출을 허용 또는 제한하는 방법을 정의한다. 액세스 범위는 인스턴스에서 호출할 수 있는 특정 API의 범위를 정의한다. 이는 인스턴스에 할당된 IAM 역할 및 서비스 계정에 적용된다. 액세스 범위는 각 API에 대해..

Security Command Center 보안상으로 잘못 설정(Access All)되어 있지 않은지 일일이 수동으로 점검 해야 한다. SCC를 켜두면 자동으로 체크리스트를 스케일링한다. SCC 기능 Assets Browser: 현재 내 클라우드 콘솔에서 가진 리소스에 대한 API 리스트를 보여준다. 가진 리소스들을 알아야 보안, 고려사항 등을 점검할 수 있다. 이 브라우저는 free 버전에서도 지원한다. Prevent threats: Security Health Analytics(SHA): 현재 설정된 값을 스캔하고 보안 상 문제가 될 만한 것들을 등급을 나누어서 알람표시를 해준다. (안전-조금 위험-많이 위험) Web Security Scanner: 웹 설정을 할 때 웹 서비스를 통해 보안 취약점이 ..

1. Cloud Identity 인터넷을 통해 클라우드에 어디에서나 액세스 할 수 있다. 그러므로, 접속 제어(Controlling Access) 과정을 거쳐 보안을 강화한다. Controlling Access Authentication(인증): 계정을 확인하는 것 Authorization(인가): IAM ex) Azure AD Auditing Cloud ID가 제공하는 기능 Life Cycle 관리 2단계 인증 SSO(Signel Sion On) 사용에 대한 auditing 및 reporting Google Account Type Cloud Identity managed account: 수명주기 관리, 2단계 인증, SSO, 감사 보고서, API 제어 등의 기능을 제공한다. Google consumer..