GCP Cloud Engineer - 36

조직 액세스 제한 (Organization Restrictions)

• 조직 액세스 제한의 목적:

  • ㅁ 피싱 또는 내부자 공격을 통한 데이터 무단 반출 방지.

  • ㅁ 승인된 Google Cloud 조직의 리소스에만 액세스를 제한하여 보안 강화.

• 적용 대상 및 구성 요소:

  • ㅁ 관리 기기: 조직 정책에 따라 승인된 리소스로만 액세스가 허용됩니다.

  • ㅁ 이그레스 프록시 관리자: 관리 기기에서 시작된 모든 요청에 조직 액세스 제한 헤더를 추가하도록 프록시를 구성합니다.

• 조직 액세스 제한의 구현:

  • ㅁ Google Cloud 관리자와 이그레스 프록시 관리자가 협력하여 조직 액세스 제한을 구성.

  • ㅁ 프록시 구성을 통해 사용자가 승인되지 않은 조직의 리소스에는 액세스(X)할 수 없도록 함.

• 작동 원리:

  • ㅁ Google Cloud의 조직 액세스 제한 기능은 모든 요청의 조직 액세스 제한 헤더를 검사.

  • ㅁ 액세스 중인 조직을 기반으로 요청을 허용하거나 거부합니다.

• 액세스 제한의 활용:

  • ㅁ 직원이 사용자의 Google Cloud 조직의 리소스에만 액세스할 수 있도록 내부 권한을 제한.

  • ㅁ 예외적으로 직원이 Google Cloud 조직 외의 공급업체 조직에도 액세스할 수 있도록 허용 가능.

• 적용 사례:

  • ㅁ Cloud Storage 리소스에서 읽기를 허용하되, Google Cloud 조직 내 리소스에만 액세스를 제한하여 데이터 보안 유지.

---

IAM 모범사례 (IAM Best Practices)

• 리소스 계층 구조 활용:

  • ㅁ 리소스 계층 구조 이해: 프로젝트 사용하여 동일한 신뢰 경계를 공유하는 리소스를 그룹화.

  • ㅁ 정책 상속 이해: 각 리소스에 부여된 정책과 상속 방식을 파악.

• 최소 권한의 원칙 적용:

  • ㅁ 역할을 부여할 때는 최소 권한의 원칙을 적용하여 불필요한 권한 부여(X) 방지.

• 감사 및 모니터링:

  • ㅁ Cloud 감사(Audit) 로그(Log) 사용: 정책과 그룹 멤버십 변경사항을 감사.

  • ㅁ 개인이 아닌 그룹에 역할 부여: 그룹 멤버십을 업데이트하여 쉽게 액세스 권한을 조정.

• 서비스 계정 관리:

  • ㅁ 서비스 계정 사용자 역할 부여 시 주의: 이 역할은 서비스 계정이 액세스할 수 있는 모든 리소스에 대한 액세스 권한 제공.

  • ㅁ 서비스 계정의 이름 지정 규칙 사용: 목적을 명확하게 식별할 수 있는 표시 이름 지정.

  • ㅁ 키 순환 정책 및 메서드 설정: serviceAccount.keys.list() 메서드로 키를 감사하고 순환 정책 적용.

• Cloud IAP 활용:

  • ㅁ Cloud IAP로 중앙 승인 레이어 설정: HTTPS로 액세스되는 애플리케이션에 대해 애플리케이션 수준의 액세스 제어 모델 적용.

  • ㅁ Cloud IAP 보호 리소스에 대한 액세스: 올바른 Cloud IAM 역할을 가진 사용자 및 그룹만 프록시를 통해 액세스 가능.

---

모르는 단어

Cloud IAP 란

Cloud IAP(Identity-Aware Proxy)는 Google Cloud Platform(GCP)의 서비스 중 하나로, 사용자의 신원을 확인하고 특정 GCP 리소스에 대한 액세스를 제어하는 역할을 합니다.

Cloud IAP는 VPN이나 디지털 사설 네트워크를 사용하지 않고도, 인터넷을 통해 GCP 애플리케이션에 안전하게 액세스할 수 있게 해줍니다.

이는 Cloud IAP가 사용자의 신원을 확인하고 해당 사용자가 요청한 리소스에 액세스할 권한이 있는지 확인하기 때문입니다.

Cloud IAP는 웹 애플리케이션 뿐만 아니라, GCP의 Compute Engine과 App Engine 등의 리소스에 대한 SSH와 RDP 연결도 보호합니다.

이를 통해 기업은 사용자와 서비스 계정의 액세스를 세밀하게 제어하고, 애플리케이션에 대한 안전한 액세스를 제공할 수 있습니다.