VPC 서비스 제어 기본 튜토리얼 II - 이그레스 위반 문제 해결

1. 소개

VPC 서비스 제어 (VPC-SC)는 엔터프라이즈 고객이 데이터 무단 반출 위험을 완화할 수 있는 Google Cloud의 조직 수준 보안 제어입니다. VPC 서비스 제어는 클라이언트가 인터넷 및 기타 서비스에서 멀티 테넌트 서비스로 연결하는 동안 승인된 IP, 클라이언트 컨텍스트, 기기 매개변수로 액세스를 제한하여 의도적 및 비의도적 손실을 모두 줄일 수 있도록 지원함으로써 멀티 테넌트 서비스에 대한 제로 트러스트 방식의 액세스를 제공합니다. VPC 서비스 제어 기본 튜토리얼 I에서 살펴본 바와 같이 VPC 서비스 제어를 사용하여 명시적으로 지정한 서비스의 리소스와 데이터를 보호하는 경계를 만들 수 있습니다.

이 튜토리얼의 목표는 다음과 같습니다.

  • VPC 서비스 제어의 기본사항 알아보기
  • 테스트 실행 모드를 사용하여 서비스 경계 업데이트 및 테스트
  • VPC 서비스 제어로 두 서비스 보호
  • Cloud Storage에서 객체를 나열하는 동안 VPC 서비스 제어 이그레스 위반 문제 해결하기

2. 설정 및 요건

이 튜토리얼에서는 다음 사전 요구사항이 필요합니다.

  • GCP 조직입니다.
  • 조직 아래의 폴더입니다.
  • 동일한 조직 내에 있으며 폴더 아래에 있는 2개의 GCP 프로젝트
  • 조직 수준에서 필요한 권한
  • 두 프로젝트의 결제 계정
  • VPC 서비스 제어 기본 튜토리얼 I VPC 서비스 제어 및 액세스 컨텍스트 관리자 설정

dbec101f41102ca2.png

Resources-setup

  1. VPC 서비스 제어 기본 튜토리얼 I의 '리소스 설정' 섹션에 설명된 대로 리소스를 설정합니다.
  2. Cloud Storage를 관리하는 데 필요한 권한이 있는지 확인합니다.
  3. 이 튜토리얼에서는 클라우드 콘솔 대신 CLI를 사용합니다. 개발 환경 중 하나에서 gcloud CLI를 설정합니다.
  • Cloud Shell: gcloud CLI가 이미 설정된 온라인 터미널을 사용하려면 Cloud Shell을 활성화합니다.

클라우드 콘솔의 오른쪽 상단에 있는 아이콘을 클릭하여 Cloud Shell을 활성화합니다. 세션이 초기화되는 데 몇 초 정도 걸릴 수 있습니다. 자세한 내용은 Cloud Shell 가이드를 참고하세요.

a0ceb29950db4eac.png

  • 로컬 셸: 로컬 개발 환경을 사용하려면 gcloud CLI를 설치하고 초기화합니다.

비용

Cloud 리소스/API를 사용하려면 Cloud 콘솔에서 결제를 사용 설정해야 합니다. 이 Codelab 실행에는 많은 비용이 들지 않습니다. 이 튜토리얼이 끝난 후에 요금이 청구되지 않도록 리소스를 종료하려면 만든 리소스 또는 프로젝트를 삭제하면 됩니다. Google Cloud 신규 사용자는 미화 300달러 상당의 무료 체험판 프로그램에 참여할 수 있습니다.

비용이 발생하는 유일한 리소스는 VM 인스턴스와 Cloud Storage 객체입니다. VM 인스턴스의 예상 비용은 가격 계산기에서 확인할 수 있습니다. Cloud Storage의 예상 비용은 이 가격 목록에서 확인할 수 있습니다.

3. 스토리지 버킷 및 객체 만들기

앞서 언급한 것처럼 이전 튜토리얼에서 만든 리소스를 재사용합니다. 이제 Cloud Storage 버킷을 계속 만들어 보겠습니다. 이 튜토리얼에서는 콘솔 대신 gcloud CLI를 사용합니다.

  1. Google 콘솔에서 ProjectX를 선택합니다. 이 프로젝트에서는 스토리지 버킷과 객체를 만듭니다.
  2. 다음 명령어를 실행하여 Cloud Shell이 ProjectX를 사용하도록 설정해야 합니다.
gcloud config set project PROJECT_ID
  1. 개발 환경에서 다음 명령어를 실행하세요.
gcloud storage buckets create gs://BUCKET_NAME --location=us-central1
  1. ProjectZ에 있는 VM 인스턴스에서 읽을 수 있도록 스토리지 객체를 만듭니다. .txt 파일이 생성됩니다.
nano hello.txt

텍스트 파일에 원하는 내용을 추가합니다.

  1. 버킷에 객체를 업로드합니다.
gcloud storage cp /home/${USER}/hello.txt gs://BUCKET_NAME
  1. 객체를 나열하여 버킷에 업로드되었는지 확인합니다.
gcloud storage ls gs://BUCKET_NAME

콘솔에 hello.txt 파일이 표시되어야 합니다.

4. Cloud Storage API 보호

이전 Codelab에서는 경계를 만들고 Compute Engine API를 보호했습니다. 이 Codelab에서는 드라이 런 모드 경계를 수정하고 Cloud Storage를 추가합니다. 이렇게 하면 감사 로그에 VPC 서비스 제어 위반사항이 표시되어 경계 보호의 영향을 파악할 수 있지만, 경계를 시행할 때까지는 리소스에 계속 액세스할 수 있습니다.

  1. Google 콘솔에서 조직을 선택하고 VPC 서비스 제어에 액세스합니다. 조직 범위에 있는지 확인합니다.
  2. Cloud Shell을 열고 이전 실습에서 만든 드라이런 경계 'SuperProtection'을 업데이트합니다.
gcloud access-context-manager perimeters dry-run update SuperProtection --policy=POLICY --add-restricted-services=storage.googleapis.com
  1. 경계를 설명하여 Cloud Storage API가 업데이트되었는지 확인합니다.
gcloud access-context-manager perimeters dry-run describe SuperProtection --policy=POLICY

출력에서 Cloud Storage API가 제한된 서비스 아래에 나열되어 있는 것을 확인할 수 있습니다.

Compute Engine API와 함께 사용되지만 '-vpcAccessibleServices: {}"' 라벨이 있습니다.

2025ddc01a2e9a81.png

5. Cloud Storage API가 보호되었는지 확인

드라이런 모드에서 'SuperProtection' 경계가 스토리지 버킷을 호스팅하는 ProjectX에 ProjectZ에서 생성된 VM 인스턴스의 객체를 나열하여 거부를 표시하는지 확인합니다.

  1. Cloud 콘솔에서 프로젝트 선택기로 이동하여 ProjectZ를 선택한 다음 Compute Engine > VM 인스턴스로 이동합니다.
  2. SSH 버튼을 클릭하여 VM 인스턴스에 연결하고 명령줄에 액세스합니다.

5ca02149b78c11f9.png

  1. 앞서 업로드한 hello.txt 파일을 나열합니다.
gcloud storage ls gs://BUCKET_NAME

Cloud Storage API는 드라이런 모드에서 보호되므로 리소스를 나열할 수 있지만 ProjectZ 감사 로그에 오류 메시지가 있어야 합니다.

  1. ProjectZ의 로그 탐색기 API로 이동하여 VPC 서비스 제어 마지막 오류 메시지를 찾습니다. 이 필터를 사용하여 원하는 로그를 가져올 수 있습니다.
protoPayload.status.details.violations.type="VPC_SERVICE_CONTROLS"
"(Dry Run Mode) Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier:UNIQUE_ID"

이 필터를 사용하면 드라이런 모드에서 Cloud Storage에 속하는 마지막 위반이 표시됩니다. 다음은 로그의 모양을 보여주는 예시이며 ProjectX에 있는 버킷의 콘텐츠를 나열하려고 할 때 위반이 이그레스 위반임을 확인할 수 있습니다.

egressViolations: [
0: {
servicePerimeter: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
source: "projects/PROJECTX_ID"
sourceType: "Network"
targetResource: "projects/PROJECTZ_ID"
}
]
resourceNames: [
0: "projects//buckets/BUCKET_NAME"
]
securityPolicyInfo: {
organizationId: "ORGANIZATION_ID"
servicePerimeterName: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
}
violationReason: "NETWORK_NOT_IN_SAME_SERVICE_PERIMETER"
vpcServiceControlsUniqueId: "UNIQUE_ID"
}
methodName: "google.storage.objects.list"
  1. Cloud Storage에 대한 API 호출이 VPC 서비스 제어 위반을 생성하는 것으로 확인되었으므로 새 구성으로 경계를 적용합니다. Cloud Shell을 열고 드라이런 경계를 적용합니다.
gcloud access-context-manager perimeters dry-run enforce SuperProtection --policy=POLICY --async
  1. SSH를 사용하여 VM 인스턴스에 연결하고 스토리지 버킷을 다시 나열하여 드라이런 경계가 올바르게 적용되었는지 확인합니다.
gcloud storage ls gs://BUCKET_NAME

스토리지 객체 목록 대신 VM CLI에 VPC 서비스 제어 위반이 표시됩니다.

ERROR: (gcloud.storage.ls) User [PROJECT_NUMBER-compute@developer.gserviceaccount.com] does not have permission to access b instance [BUCKET_NAME] (or it may not exist): Request is prohibited by organization's policy. vpcServiceControlsUniqueIdentifier:"UNIQUE_ID"

VPC 서비스 제어를 사용하여 경계 외부의 리소스에서 데이터를 읽거나 경계 외부의 리소스로 데이터를 복사하는 것을 방지하여 데이터 무단 반출을 방지했습니다.

6. 목록 거부 문제 해결

VM 인스턴스 CLI에서 거부된 문제를 해결할 것입니다. 감사 로그를 확인하고 VPC 서비스 제어 고유 ID를 찾아보겠습니다.

  1. 프로젝트 선택기로 이동하여 ProjectZ를 선택합니다.
  2. 로그 탐색기에서 다음 쿼리를 사용하여 감사 로그에서 VPC 서비스 제어 고유 ID를 찾습니다.
resource.type="audited_resource"
protoPayload.metadata."@type"="type.googleapis.com/google.cloud.audit.VpcServiceControlAuditMetadata"

그러면 모든 VPC 서비스 제어 감사 로그가 표시됩니다. 마지막 오류 로그를 찾습니다. VM 인스턴스에서 API 호출이 이루어졌으므로 주 구성원은 Compute Engine 서비스 계정 'PROJECT_NUMBER-compute@developer.gserviceaccount.com"'이어야 합니다.

VPC 서비스 제어 고유 ID가 이미 있으므로 이 필터를 사용하여 원하는 로그를 직접 가져올 수 있습니다.

protoPayload.metadata.vpcServiceControlsUniqueId="UNIQUE_ID"
  1. VPC 서비스 제어 헤더를 클릭하고 '거부 문제 해결'을 선택하면 VPC 서비스 제어 문제 해결 도구가 열립니다.

이 API는 위반 사유, 인그레스 위반인지 이그레스 위반인지 등 유용한 정보를 친근한 UI로 표시합니다.

이 연습에서는 다음을 확인합니다.

authenticationInfo: {
principalEmail: "PROJECT_ID-compute@developer.gserviceaccount.com"
egressViolations: [
0: {
servicePerimeter: "accessPolicies/POLICY/servicePerimeters/SuperProtection"
source: "projects/PROJECTZ_ID"
sourceType: "Network"
targetResource: "projects/PROJECTX_ID"
}
violationReason: "NETWORK_NOT_IN_SAME_SERVICE_PERIMETER"

이 정보만으로도 Compute Engine 서비스 계정이 ProjectZ에서 ProjectX의 스토리지 버킷에 액세스할 수 있도록 인그레스 규칙을 만들어야 한다는 것을 알 수 있습니다. 또한 네트워크가 동일한 경계에 있지 않으므로 서비스에 대한 VPC 통신을 허용하고 서비스 경계 간에 데이터를 공유해야 합니다.

  1. Cloud Shell을 활성화하고 텍스트 편집기를 사용하여 이그레스 규칙이 포함된 .yaml 파일을 만듭니다.
nano egresstorage.yaml 

- egressTo:
    operations:
    - serviceName: storage.googleapis.com
      methodSelectors:
      - method: \"*\"
    resources:
    - projects/PROJECTX_ID
 egressFrom:
    identities:
    - serviceAccount:PROJECT_ID-compute@developer.gserviceaccount.com
  1. ProjectZ를 보호하는 인그레스 정책을 업데이트합니다.
gcloud access-context-manager perimeters update SuperProtection --set-egress-policies=egresstorage.yaml --policy=POLICY

이제 VM 인스턴스에서 버킷에 다시 액세스해 볼 수 있습니다.

  1. Cloud 콘솔에서 프로젝트 선택기로 이동하여 ProjectZ를 선택한 다음 Compute Engine > VM 인스턴스로 이동합니다.
  2. SSH 버튼을 클릭하여 VM 인스턴스에 연결하고 명령줄에 액세스합니다.
  3. VM CLI에 액세스한 후 스토리지 버킷의 객체를 나열해 봅니다.
gcloud storage ls gs://BUCKET_NAME/

다음과 같은 오류 메시지가 표시됩니다.

ERROR: (gcloud.storage.ls) User [PROJECT_ID-compute@developer.gserviceaccount.com] does not have permission to access b instance [BUCKET_NAME] (or it may not exist): PROJECT_ID-compute@developer.gserviceaccount.com does not have storage.objects.list access to the Google Cloud Storage bucket. Permission 'storage.objects.list' denied on resource (or it may not exist).
  1. 스토리지 버킷의 객체를 나열하려면 Compute Engine 서비스 계정에 객체 읽기 권한을 부여해야 합니다.
gcloud storage buckets add-iam-policy-binding gs://BUCKET_NAME --member=serviceAccount:PROJECT_ID-compute@developer.gserviceaccount.com --role=roles/storage.objectViewer
  1. VM 인스턴스의 CLI에서 hello.txt 파일을 다시 한번 나열해 보겠습니다 .
gcloud storage ls gs://BUCKET_NAME/
.
.
gs://BUCKET_NAME/hello.txt

이제 VPC 서비스 제어 권한 위반 없이 객체를 나열할 수 있지만 파일을 다운로드하는 것은 어떤가요? 한번 해보겠습니다.

gcloud storage cp gs://BUCKET_NAME/hello.txt /home/${USER}

다음과 같은 출력이 표시됩니다.

Copying gs://BUCKET_NAME/hello.txt to file:///home/${USER}
 Completed files 1/1 | 54.0B/54.0B

7. 삭제

서비스를 사용하지 않을 때는 VPC 서비스 제어 사용에 대한 별도의 요금이 부과되지 않지만 이 실습에서 사용한 설정을 정리하는 것이 좋습니다. VM 인스턴스 또는 Cloud 프로젝트를 삭제하여 비용 청구를 방지할 수도 있습니다. Cloud 프로젝트를 삭제하면 해당 프로젝트 내에서 사용되는 모든 리소스에 대한 청구가 중단됩니다.

  1. VM 인스턴스를 삭제하려면 VM 인스턴스 이름 왼쪽에 있는 체크박스를 선택한 후 삭제를 클릭합니다.

da0abf0894fe03cd.png

  1. 경계를 삭제하려면 다음 단계를 완료하세요.
  • Google Cloud 콘솔에서 보안을 클릭한 다음 조직 범위에서 VPC 서비스 제어를 클릭합니다.
  • VPC 서비스 제어 페이지에서 삭제할 경계에 해당하는 표 행의 '삭제 아이콘'을 클릭합니다.
  1. 액세스 수준을 삭제하려면 다음 단계를 완료하세요.
  • Google Cloud 콘솔에서 폴더 범위의 Access Context Manager 페이지를 엽니다.
  • 그리드에서 삭제할 액세스 수준의 행에 있는 '삭제 아이콘'을 클릭한 후 삭제를 클릭합니다.
  1. 스토리지 객체와 버킷을 삭제하려면 다음 단계를 완료하세요.
  • Google Cloud 콘솔에서 Cloud Storage 버킷 페이지를 엽니다 .
  • 만든 버킷 옆에 있는 확인란을 선택합니다.
  • 삭제를 클릭합니다.
  • 창이 열리면 버킷을 삭제할지 확인합니다.
  • 삭제를 클릭합니다.
  1. 프로젝트를 종료하려면 다음 단계를 완료하세요.
  • Google Cloud 콘솔에서 삭제하려는 프로젝트의 IAM 및 관리자 설정 페이지로 이동합니다.
  • IAM 및 관리자 설정 페이지에서 종료를 클릭합니다.
  • 프로젝트 ID를 입력하고 무시하고 종료를 클릭합니다.

8. 축하합니다.

이 Codelab에서는 VPC 서비스 제어 테스트 실행 경계를 업데이트하고, 적용하고, 문제를 해결했습니다.

자세히 알아보기

라이선스

이 작업물은 Creative Commons Attribution 2.0 일반 라이선스에 따라 사용이 허가되었습니다.