VPC 서비스 제어 기본 튜토리얼 II - 이그레스 위반 문제 해결

1. 소개

VPC 서비스 제어 (VPC-SC)는 기업 고객이 데이터 무단 반출 위험을 완화할 수 있도록 지원하는 Google Cloud의 조직 수준 보안 제어 기능입니다. VPC 서비스 제어는 의도적 손실과 의도하지 않은 손실을 모두 줄이기 위해 클라이언트가 인터넷 및 기타 서비스에서 멀티 테넌트 서비스에 연결하는 동시에 승인된 IP, 클라이언트 컨텍스트, 기기 매개변수에 대한 액세스를 제한할 수 있도록 하여 멀티 테넌트 서비스에 대한 제로 트러스트 스타일의 액세스를 제공합니다. VPC 서비스 제어 기본 튜토리얼 I에서 살펴본 것처럼 VPC 서비스 제어를 사용하여 명시적으로 지정하는 서비스의 리소스와 데이터를 보호하는 경계를 만들 수 있습니다.

이 가이드의 목표는 다음과 같습니다.

• VPC 서비스 제어의 기본사항 이해하기
• 서비스 경계 업데이트 및 테스트 실행 모드를 사용하여 테스트
• VPC 서비스 제어로 2개의 서비스 보호
• Cloud Storage의 객체를 나열하는 동안 VPC 서비스 제어 이그레스 위반 문제 해결

2. 설정 및 요건

이 튜토리얼에서는 다음과 같은 사전 요구사항을 충족해야 합니다.

• GCP 조직.
• 조직 아래에 있는 폴더
• 동일한 조직 내 GCP 프로젝트 2개가 폴더 아래에 있습니다.
• 조직 수준에서 필요한 권한
• 두 프로젝트의 결제 계정입니다.
• VPC 서비스 제어 기본 튜토리얼 I VPC 서비스 제어 및 Access Context Manager 설정

리소스 설정

1. '리소스 설정'에 설명된 대로 리소스를 설정합니다. VPC 서비스 제어 기본 튜토리얼 I의 섹션
2. Cloud Storage를 관리하는 데 필요한 권한이 있는지 확인합니다.
3. 이 튜토리얼에서는 Cloud 콘솔 대신 CLI를 사용하겠습니다. 개발 환경 중 하나에서 gcloud CLI를 설정합니다.

• Cloud Shell: gcloud CLI가 이미 설정된 온라인 터미널을 사용하려면 Cloud Shell을 활성화합니다.

Cloud 콘솔의 오른쪽 상단에 있는 아이콘을 클릭하여 Cloud Shell을 활성화합니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다. 자세한 내용은 Cloud Shell 가이드를 참조하세요.

• 로컬 셸: 로컬 개발 환경을 사용하려면 gcloud CLI를 설치 및 초기화합니다.

비용

Cloud 리소스/API를 사용하려면 Cloud 콘솔에서 결제를 사용 설정해야 합니다. 이 Codelab 실행에는 많은 비용이 들지 않습니다. 이 튜토리얼이 끝난 후에 요금이 청구되지 않도록 리소스를 종료하려면 만든 리소스 또는 프로젝트를 삭제하면 됩니다. 신규 Google Cloud 사용자는 $300(USD) 상당의 무료 체험판 프로그램을 이용할 수 있습니다.

비용이 발생하는 유일한 리소스는 VM 인스턴스와 Cloud Storage 객체입니다. VM 인스턴스의 예상 비용은 가격 계산기에서 확인할 수 있습니다. Cloud Storage의 예상 비용은 이 가격 목록에서 확인할 수 있습니다.

3. 스토리지 버킷 및 객체 만들기

앞서 언급했듯이 이전 튜토리얼에서 만든 리소스를 재사용할 것입니다. 따라서 계속해서 Cloud Storage 버킷 만들기를 진행하겠습니다. 이 가이드에서는 콘솔 대신 gcloud CLI를 사용하기 시작합니다.

1. Google 콘솔에서 ProjectX를 선택합니다. 이 프로젝트에서는 스토리지 버킷과 객체를 생성합니다.
2. 다음 명령어를 실행하여 ProjectX를 사용하도록 Cloud Shell을 설정해야 합니다.

gcloud config set project PROJECT_ID

3. 개발 환경에서 다음 명령어를 실행하세요.

gcloud storage buckets create gs://BUCKET_NAME --location=us-central1

4. ProjectZ에 있는 VM 인스턴스에서 읽을 수 있도록 스토리지 객체를 만듭니다. .txt 파일을 만들겠습니다.

nano hello.txt 

텍스트 파일에 원하는 내용을 추가합니다.

5. 객체를 버킷에 업로드합니다.

gcloud storage cp /home/${USER}/hello.txt gs://BUCKET_NAME

6. 객체를 나열하여 버킷에 업로드되었는지 확인합니다.

gcloud storage ls gs://BUCKET_NAME

콘솔에 hello.txt 파일이 나열되어야 합니다.

4. Cloud Storage API 보호

이전 Codelab에서는 경계 및 보호된 Compute Engine API를 만들었습니다. 이 Codelab에서는 테스트 실행 모드 경계를 수정하고 Cloud Storage를 추가합니다. 이렇게 하면 감사 로그에 VPC 서비스 제어 위반을 표시하여 경계 보호의 영향을 파악할 수 있지만 경계가 시행될 때까지 리소스에 계속 액세스할 수 있습니다.

1. Google 콘솔에서 조직을 선택합니다. VPC 서비스 제어 액세스 자신이 조직 범위에 있는지 확인합니다.
2. Cloud Shell을 열고 테스트 실행 경계인 'SuperProtection'을 업데이트합니다. 만들 수 있습니다.

gcloud access-context-manager perimeters dry-run update SuperProtection --policy=POLICY --add-restricted-services=storage.googleapis.com

3. 경계를 설명하여 Cloud Storage API가 업데이트되었는지 확인

gcloud access-context-manager perimeters dry-run describe SuperProtection --policy=POLICY 

출력에서 제한된 서비스 아래에 Cloud Storage API가 나열되는 것을 확인할 수 있습니다.

Compute Engine API와 함께 '-vpcAccessibleServices: {}" 라벨'이 있습니다.

5. Cloud Storage API가 보호되었는지 확인

테스트 실행 모드에서 'SuperProtection' 경계는 ProjectZ에서 생성된 VM 인스턴스의 객체를 스토리지 버킷을 호스팅하는 ProjectX에 나열하여 거부 상태를 보여줍니다.

1. Cloud 콘솔에서 프로젝트 선택기로 이동하고 ProjectZ를 선택한 다음 Compute Engine으로 이동합니다. VM 인스턴스
2. SSH 버튼을 클릭하여 VM 인스턴스에 연결하고 명령줄에 액세스합니다.

3. 앞서 업로드한 hello.txt 파일을 나열합니다.

gcloud storage ls gs://BUCKET_NAME

Cloud Storage API는 테스트 실행 모드에서 보호되므로 리소스를 나열할 수 있지만 ProjectZ 감사 로그에 오류 메시지가 있어야 합니다.

4. ProjectZ의 Logs Explorer API에서 VPC 서비스 제어의 마지막 오류 메시지를 찾습니다. 이 필터를 사용하여 원하는 로그를 얻을 수 있습니다.

protoPayload.status.details.violations.type="VPC_SERVICE_CONTROLS"
"(Dry Run Mode) Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier:UNIQUE_ID"

이 필터는 Cloud Storage에 속한 테스트 실행 모드의 마지막 위반을 표시합니다. 다음은 로그의 모습에 대한 예입니다. ProjectX에 있는 버킷의 콘텐츠를 나열하려고 시도할 때 위반이 이그레스인지 확인할 수 있습니다.

egressViolations: [
0: {
servicePerimeter: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
source: "projects/PROJECTX_ID"
sourceType: "Network"
targetResource: "projects/PROJECTZ_ID"
}
]
resourceNames: [
0: "projects//buckets/BUCKET_NAME"
]
securityPolicyInfo: {
organizationId: "ORGANIZATION_ID"
servicePerimeterName: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
}
violationReason: "NETWORK_NOT_IN_SAME_SERVICE_PERIMETER"
vpcServiceControlsUniqueId: "UNIQUE_ID"
}
methodName: "google.storage.objects.list"

5. Cloud Storage에 대한 API 호출이 VPC 서비스 제어 위반을 생성하는 것으로 확인되었으므로 새 구성으로 경계를 적용합니다. Cloud Shell을 열고 테스트 실행 경계를 적용합니다.

gcloud access-context-manager perimeters dry-run enforce SuperProtection --policy=POLICY --async

6. SSH를 사용하여 VM 인스턴스에 연결하고 스토리지 버킷을 다시 나열하여 테스트 실행 경계가 올바르게 적용되었는지 확인합니다.

gcloud storage ls gs://BUCKET_NAME

스토리지 객체 목록 대신 VM CLI에 VPC 서비스 제어 위반이 표시됩니다.

ERROR: (gcloud.storage.ls) User [PROJECT_NUMBER-compute@developer.gserviceaccount.com] does not have permission to access b instance [BUCKET_NAME] (or it may not exist): Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier:"UNIQUE_ID"

Google은 VPC 서비스 제어를 사용하여 경계 외부의 리소스에서 데이터를 읽거나 해당 리소스로 데이터를 복사하지 못하도록 하여 데이터 무단 반출을 성공적으로 방지했습니다.

6. 목록 거부 문제를 해결합니다.

VM 인스턴스 CLI에서 발생한 거부 문제를 해결해 보겠습니다. 감사 로그를 확인하고 VPC 서비스 제어 고유 ID를 찾아 보겠습니다.

1. 프로젝트 선택기로 이동하여 ProjectZ를 선택합니다.
2. 로그 탐색기에서 다음 쿼리를 사용하여 감사 로그에서 VPC 서비스 제어 고유 ID를 찾습니다.

resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

그러면 모든 VPC 서비스 제어 감사 로그가 표시됩니다. 마지막 오류 로그를 찾으려고 합니다. VM 인스턴스에서 API 호출이 이루어졌으므로 주 구성원은 Compute Engine 서비스 계정("PROJECT_NUMBER-compute@developer.gserviceaccount.com")이어야 합니다.

이미 VPC 서비스 제어 고유 ID가 있으므로 이 ID로 다음 필터를 사용하여 원하는 로그를 직접 가져올 수 있습니다.

protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"

3. VPC 서비스 제어 헤더를 클릭하고 '거부 문제 해결'을 선택합니다. 그러면 VPC 서비스 제어 문제 해결 도구가 열립니다.

이 API는 친근한 UI를 통해 위반 사유, 그리고 특히 인그레스 또는 이그레스 위반인지를 보여줍니다.

이 연습에서 살펴볼 내용은 다음과 같습니다.

authenticationInfo: {
principalEmail: "PROJECT_ID-compute@developer.gserviceaccount.com"
egressViolations: [
0: {
servicePerimeter: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
source: "projects/PROJECTZ_ID"
sourceType: "Network"
targetResource: "projects/PROJECTX_ID"
}
violationReason: "NETWORK_NOT_IN_SAME_SERVICE_PERIMETER"

이 정보로 Compute Engine 서비스 계정이 ProjectZ에서 ProjectX로의 스토리지 버킷에 액세스할 수 있도록 하는 이그레스 규칙을 만들어야 한다는 사실을 알 수 있습니다. 또한 네트워크가 동일한 경계에 있지 않으므로 서비스와 VPC 통신을 허용하고 서비스 경계 간에 데이터를 공유해야 합니다.

4. Cloud Shell을 활성화하고 텍스트 편집기를 사용하여 이그레스 규칙이 있는 .yaml 파일을 만듭니다.

nano egresstorage.yaml 

- egressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECTX_ID
 egressFrom:
    identities:
    - serviceAccount:PROJECT_ID-compute@developer.gserviceaccount.com

5. ProjectZ를 보호하는 인그레스 정책을 업데이트합니다.

gcloud access-context-manager perimeters update SuperProtection --set-egress-policies=egresstorage.yaml --policy=POLICY 

이제 VM 인스턴스에서 버킷에 다시 액세스를 시도할 수 있습니다.

1. Cloud 콘솔에서 프로젝트 선택기로 이동하고 ProjectZ를 선택한 다음 Compute Engine으로 이동합니다. VM 인스턴스
2. SSH 버튼을 클릭하여 VM 인스턴스에 연결하고 명령줄에 액세스합니다.
3. VM CLI로 이동한 후 스토리지 버킷의 객체를 나열해 봅니다.

gcloud storage ls gs://BUCKET_NAME/

다음과 같은 오류 메시지가 표시됩니다.

ERROR: (gcloud.storage.ls) User [PROJECT_ID-compute@developer.gserviceaccount.com] does not have permission to access b instance [BUCKET_NAME] (or it may not exist): PROJECT_ID-compute@developer.gserviceaccount.com does not have storage.objects.list access to the Google Cloud Storage bucket. Permission 'storage.objects.list' denied on resource (or it may not exist).

4. 스토리지 버킷의 객체를 나열하려면 Compute Engine 서비스 계정에 객체 리더 권한을 부여해야 합니다.

gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=serviceAccount:PROJECT_ID-compute@developer.gserviceaccount.com --role=roles/storage.objectViewer

5. 이번에도 VM 인스턴스의 CLI에서 hello.txt 파일을 나열해 보겠습니다 .

gcloud storage ls gs://BUCKET_NAME/
.
.
gs://BUCKET_NAME/hello.txt

이제 VPC 서비스 제어 권한 위반 없이 객체를 나열할 수 있습니다. 하지만 파일을 다운로드하는 방법은 어떨까요? 한번 해 보죠.

gcloud storage cp gs://BUCKET_NAME/hello.txt /home/${USER}

그러면 다음과 같은 출력이 표시됩니다.

Copying gs://BUCKET_NAME/hello.txt to file:///home/${USER}
 Completed files 1/1 | 54.0B/54.0B  

7. 삭제

서비스를 사용하지 않을 때 VPC 서비스 제어를 사용하는 데 별도의 요금은 청구되지 않지만 이 실습에서 사용한 설정을 정리하는 것이 좋습니다. VM 인스턴스 또는 Cloud 프로젝트를 삭제하여 요금이 청구되지 않도록 할 수도 있습니다. Cloud 프로젝트를 삭제하면 프로젝트 내에서 사용되는 모든 리소스에 대한 청구가 중지됩니다.

1. VM 인스턴스를 삭제하려면 VM 인스턴스 이름 왼쪽에 있는 체크박스를 선택한 다음 삭제를 클릭합니다.

2. 경계를 삭제하려면 다음 단계를 완료하세요.

• Google Cloud 콘솔에서 보안을 클릭한 다음 조직 범위에서 VPC 서비스 제어를 클릭합니다.
• VPC 서비스 제어 페이지의 삭제하려는 경계에 해당하는 표의 행에 있는 '삭제 아이콘'을 클릭합니다.

3. 액세스 수준을 삭제하려면 다음 단계를 완료하세요.

• Google Cloud 콘솔의 폴더 범위에서 Access Context Manager 페이지를 엽니다.
• 그리드의 삭제하려는 액세스 수준 행에서 '삭제 아이콘'을 클릭한 다음 삭제를 클릭합니다.

4. 스토리지 객체 및 버킷을 삭제하려면 다음 단계를 완료하세요.

• Google Cloud 콘솔에서 Cloud Storage 버킷 페이지를 엽니다 .
• 만든 버킷 옆에 있는 확인란을 선택합니다.
• 삭제를 클릭합니다.
• 창이 열리면 버킷을 삭제할 것인지 확인합니다.
• 삭제를 클릭합니다.

5. 프로젝트를 종료하려면 다음 단계를 완료하세요.

• Google Cloud 콘솔에서 IAM 및 관리자 설정 페이지를 클릭합니다.
• IAM 및 관리자 설정 페이지에서 종료를 클릭합니다.
• 프로젝트 ID를 입력하고 무시하고 종료를 클릭합니다.

8. 축하합니다.

이 Codelab에서는 VPC 서비스 제어 테스트 실행 경계를 업데이트하고 적용하고 문제를 해결했습니다.

자세히 알아보기

• VPC 서비스 제어 문서를 참조하세요.
• Access Context Manager 문서를 참조하세요.
• VPC-SC 문제 해결 도구 문서를 참조하세요.
• 인그레스 및 이그레스 규칙 문서를 참조하세요.
• 자세한 내용은 테스트 실행 문서 를 통해 개인정보처리방침을 정의할 수 있습니다.
• Cloud Storage 문서를 참조하세요.

라이선스

이 작업물은 Creative Commons Attribution 2.0 일반 라이선스에 따라 사용이 허가되었습니다.