BeyondProd는 Google 인프라에서 워크로드 보호를 위해 함께 작동하는 서비스 및 제어를 나타냅니다. BeyondProd는 Google의 코드 변경 방법과 Google의 서비스 격리 보장 방법을 포함하여 자체 환경에서 Google이 실행하는 애플리케이션 서비스를 보호하는 데 도움이 됩니다. BeyondProd 백서에서는 Google이 고객들에게 노출되지 않는 자체 인프라를 관리하기 위해 사용하는 특정 기술들이 언급되지만 BeyondProd의 보안 원칙은 고객 애플리케이션에도 적용될 수 있습니다.
BeyondProd에는 청사진에 적용되는 몇 가지 주요 보안 원칙이 포함되어 있습니다. 다음 표에서는 BeyondProd 원칙을 청사진에 매핑합니다.
| 보안 원칙 | 청사진에 매핑 | 보안 기능 |
|---|---|---|
네트워크 에지 보호 |
Cloud Load Balancing |
UDP 플러드 및 SYN 플러드와 같은 다양한 DDoS 공격 유형으로부터 보호합니다. |
Google Cloud Armor |
상시 보호 및 맞춤설정 가능한 보안 정책을 통해 웹 애플리케이션 공격, DDoS 공격, 봇으로부터 보호를 제공합니다. |
|
Cloud CDN |
콘텐츠를 직접 제공하여 노출된 서비스에서 부하를 제거하여 DDoS 공격 완화 기능을 제공합니다. |
|
Private Service Connect를 포함하는 GKE 클러스터는 비공개 IP 주소만 사용하는 클러스터에 대해 제어 영역 및 비공개 노드 풀에 액세스합니다. |
공개 인터넷 위협으로부터 보호하고 클러스터 액세스를 보다 세부적으로 제어합니다. |
|
방화벽 정책 |
Cloud Load Balancing에서 GKE 서비스로의 인바운드 트래픽에 대한 허용 목록을 제한적으로 정의합니다. |
|
서비스 간 내재된 상호 신뢰 관계 없음 |
Anthos Service Mesh |
승인된 서비스만 서로 통신할 수 있도록 인증 및 승인을 적용합니다. |
워크로드 아이덴티티 |
워크로드에 대한 인증 및 승인 프로세스 자동화를 통해 사용자 인증 정보 도난 위험을 줄여서 보안을 강화하고, 사용자 인증 정보를 관리 및 저장할 필요가 없습니다. |
|
방화벽 정책 |
GKE 클러스터에 대해 승인된 통신 채널만 Google Cloud 네트워크 내에서 허용되도록 보장합니다. |
|
알려진 출처의 코드를 실행하는 신뢰할 수 있는 머신입니다. |
Binary Authorization |
배포 중 이미지 서명 및 서명 검증을 적용하여 신뢰할 수 있는 이미지만 GKE에 배포되도록 보장합니다. |
서비스 전반의 일관적인 정책 적용 |
정책 컨트롤러 |
GKE 클러스터를 제어하는 정책을 정의하고 적용할 수 있습니다. |
자동화되고 표준화된 간단한 변경사항 배포 |
|
기본 제공되는 규정 준수 및 검증과 함께 자동화되고 제어된 배포 프로세스를 제공하여 리소스 및 애플리케이션을 빌드합니다. |
구성 동기화 |
중앙 집중식 구성 관리 및 자동화된 구성 조정을 제공하여 클러스터 보안을 향상시켜 줍니다. |
|
운영체제를 공유하는 워크로드 간 격리 |
Container-Optimized OS |
Container-Optimized OS에는 Docker 컨테이너를 실행하는 데 필요한 필수 구성요소만 포함되므로, 악용 및 멀웨어에 대한 취약성이 저하됩니다. |
신뢰할 수 있는 하드웨어 및 증명 |
보안 GKE 노드 |
노드가 부팅될 때 신뢰할 수 있는 소프트웨어만 로드되도록 보장합니다. 노드의 소프트웨어 스택을 지속적으로 모니터링하여 변경사항이 감지될 경우 알림을 표시합니다. |
다음 단계
- 청사진 배포(이 시리즈의 다음 문서) 읽어보기