이 콘텐츠는 2023년 12월에 마지막으로 업데이트되었으며 작성된 당시의 상황을 나타냅니다. Google의 보안 정책 및 시스템은 고객 보호를 지속적으로 개선함에 따라 앞으로도 계속 변경될 수 있습니다.
이 문서에서는 Google Cloud에서 기반 리소스 집합을 배포할 수 있게 해주는 권장사항을 설명합니다. 클라우드 기반은 기업이 비즈니스 요구에 맞게 Google Cloud를 채택할 수 있게 해주는 리소스, 구성, 기능의 기준입니다. 잘 설계된 기반을 사용하면 Google Cloud 환경의 모든 워크로드에서 일관된 거버넌스, 보안 제어, 확장, 가시성, 공유 서비스 액세스가 가능합니다. 이 문서에 설명된 제어 및 거버넌스를 배포한 후 Google Cloud에 워크로드를 배포할 수 있습니다.
엔터프라이즈 기반 청사진(이전의 보안 기반 청사진)은 Google Cloud의 엔터프라이즈급 환경 설계를 담당하는 설계자, 보안 실무자, 플랫폼 엔지니어링팀을 대상으로 합니다. 이 청사진은 다음으로 구성됩니다.
- 배포 가능한 Terraform 애셋이 포함된 terraform-example-foundation GitHub 저장소
- 청사진(이 문서)으로 구현하는 아키텍처, 디자인, 제어를 설명하는 가이드
이 가이드는 다음 두 가지 방법 중 하나로 사용할 수 있습니다.
- Google의 권장사항을 기반으로 완전한 기반을 만들기 위해. 이 가이드의 모든 권장사항을 시작점으로 배포한 후 비즈니스의 특정 요구사항을 충족하도록 환경을 맞춤설정할 수 있습니다.
- Google Cloud의 기존 환경 검토하기 위해. 설계의 특정 구성요소를 Google 추천 권장사항과 비교할 수 있습니다.
지원되는 사용 사례
엔터프라이즈 기반 청사진은 Google Cloud에서 모든 유형의 워크로드를 사용 설정하는 데 도움이 되는 리소스 및 구성의 기준 레이어를 제공합니다. 기존 컴퓨팅 워크로드를 Google Cloud로 마이그레이션하든, 컨테이너화된 웹 애플리케이션을 빌드하든, 빅데이터 및 머신러닝 워크로드를 생성하든 엔터프라이즈 기반 청사진은 엔터프라이즈 워크로드를 규모에 맞게 지원하는 환경을 구축하도록 도와줍니다.
엔터프라이즈 기반 청사진을 배포한 후 워크로드를 직접 배포하거나 추가 기능이 필요한 복잡한 워크로드를 지원하기 위해 추가 청사진을 배포할 수 있습니다.
심층 방어 보안 모델
Google Cloud 서비스는 기본적인 Google 인프라 보안 설계의 이점을 제공합니다. Google Cloud 위에 구축하는 시스템에 보안을 설계하는 것은 사용자의 책임입니다. 엔터프라이즈 기반 청사진은 Google Cloud 서비스 및 워크로드에 대해 심층 방어 보안 모델을 구현할 수 있게 도와줍니다.
다음 다이어그램은 아키텍처 제어, 정책 제어, 감지 제어가 조합된 Google Cloud 조직을 위한 심층 방어 보안 모델을 보여줍니다.
이 다이어그램은 다음과 같은 설정을 설명합니다.
- 정책 제어는 허용되는 리소스 구성을 적용하고 위험한 구성을 방지하는 프로그래매틱 방식의 제약조건입니다. 청사진은 파이프라인 및 조직 정책 제약 조건에서 코드형 인프라(IaC) 검증을 포함한 정책 제어를 조합해서 사용합니다.
- 아키텍처 제어는 네트워크 및 리소스 계층 구조와 같은 Google Cloud 리소스 구성입니다. 청사진 아키텍처는 보안 권장사항을 기반으로 합니다.
- 감지 제어를 사용하면 조직 내에서 비정상적이거나 악의적인 동작을 감지할 수 있습니다. 청사진은 Security Command Center와 같은 플랫폼 기능을 사용하고 보안 운영 센터(SOC)와 같은 기존 감지 제어 및 워크플로와 통합되며 커스텀 감지 제어를 시행하는 기능을 제공합니다.
주요 결정사항
이 섹션에서는 청사진의 상위 수준의 아키텍처 결정사항을 요약해서 보여줍니다.
이 다이어그램은 Google Cloud 서비스가 주요 아키텍처 결정사항에 미치는 영향을 보여줍니다.
- Cloud Build: 인프라 리소스는 GitOps 모델을 사용하여 관리됩니다. 선언적 IaC는 Terraform에서 작성되며 검토 및 승인을 위해 버전 제어 시스템에서 관리되며 리소스는 Cloud Build를 사용하여 지속적 통합 및 지속적 배포(CI/CD) 자동화 도구로 배포됩니다. 또한 이 파이프라인은 배포 전 리소스가 예상 구성을 충족하는지 검증하는 코드형 정책 검사를 적용합니다.
- Cloud ID: 사용자 및 그룹 멤버십이 기존 ID 공급업체에서 동기화됩니다. 사용자 계정 수명 주기 관리 및 싱글 사인온(SSO) 제어에는 ID 공급업체의 기존 제어 및 프로세스가 사용됩니다.
- Identity and Access Management(IAM): 허용 정책(이전의 IAM 정책)은 리소스에 대한 액세스를 허용하며 직무에 따라 그룹에 적용됩니다. 기반 리소스에 대해 보기 전용 액세스 권한을 얻도록 적절한 그룹에 사용자를 추가합니다. 기반 리소스에 대한 모든 변경사항은 권한 있는 서비스 계정 ID를 사용하는 CI/CD 파이프라인을 통해 배포됩니다.
- Resource Manager: 모든 리소스는 환경에 따라 보호를 구성하는 폴더의 리소스 계층 구조를 사용하여 단일 조직 하에서 관리됩니다. 프로젝트에는 비용 기여를 포함하여 거버넌스에 대한 메타데이터로 라벨이 지정됩니다.
- 네트워킹: 네트워크 토폴로지는 공유 VPC를 사용하여 환경에 따라 분리되고 중앙에서 관리되는 여러 리전 및 영역 간의 워크로드에 대한 네트워크 리소스를 제공합니다. 온프레미스 호스트, VPC 네트워크의 Google Cloud 리소스, Google Cloud 서비스 간의 모든 네트워크 경로는 비공개입니다. 공개 인터넷에 대한 아웃바운드 또는 인바운드 트래픽은 기본적으로 허용되지 않습니다.
- Cloud Logging: 집계된 로그 싱크는 장기 보관, 분석, 외부 시스템으로 내보내기를 위해 보안 및 감사와 관련된 로그를 중앙 집중형 프로젝트로 수집하도록 구성됩니다.
- 조직 정책 서비스: 조직 정책 제약조건은 여러 위험 수준이 높은 구성을 방지하도록 구성됩니다.
- Secret Manager: 중앙 집중화된 프로젝트는 규정 준수 요구사항을 충족하기 위해 민감한 애플리케이션 보안 비밀의 사용을 관리 및 감사하는 팀을 위해 생성됩니다.
- Cloud Key Management Service(Cloud KMS): 중앙 집중화된 프로젝트는 규정 준수 요구사항을 충족하기 위해 암호화 키 관리 및 감사를 담당하는 팀을 위해 생성됩니다.
- Security Command Center: 위협 감지 및 모니터링 기능은 Security Command Center에서 기본 제공되는 보안 제어와 보안 관련 활동을 감지하고 대응할 수 있게 해주는 커스텀 솔루션의 조합을 사용하여 제공됩니다.
이러한 주요 결정사항의 대안은 대안을 참조하세요.
다음 단계
- 인증 및 승인(이 시리즈의 다음 문서) 자세히 알아보기