문서의 목적
Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 사용 여러가지 업무를 Web Console에서 지원하고 있습니다.
On-premise의 경우 지정된 위치와 단말기에서만 사용이 가능하도록 물리적으로 가능하나, 공개된 망에서 서비스하는 GCP는 WebConsole 접근자체가 오픈되어 있습니다.
하여, 정해진 장소의 IP에서만 접속하거나 VPN, interconnect 를 통해 내부 트래픽으로 전달받아 Web Console로 접근하는 방안들을 작성합니다.
GCP Web Console은 Console로 표기합니다.
참고사항
본 문서의 모든 기능은 GCP의 BeyondCorp 서비스를 사용합니다.
1. 지정된 장소에서만 접속
사무실이나 지정된 장소의 Public IP만 허용하여 Console에 접속하는 기본적인 방안입니다.
외부 사무실이나 허용되지 않는 장소에서는 Console 접속시도는 할 수 있으나, 로그인시 아래와 같이 Console서비스를 사용할 수 없습니다.
2. VPN연동 – forward proxy
1번 방법은 console 연결시 Public망으로 연결됩니다.
2번 방법부터는 VPN이나 interconnect를 통해 GCP 내부 트래픽으로 연결되어 Console 접근을 하는 방안입니다.
흐름은 사용자 -> VPN -> Squid Proxy -> NAT -> BeyondCorp 접근제어 -> Console 로 접근하는 방안입니다.
Linux VM에 오픈소스인 Squid Proxy를 설치 한 후 Cloud NAT를 통해 고정된 Public IP를 부여받아, 해당 IP만 console에 접근합니다.
Cloud NAT 이후로 다시 외부망으로 나가는 것으로 보일 수 있으나, 실제로는 GCP 내부네트워크를 이용합니다.
장점으로는 consol로 가는 트래픽도 VPN, Interconnect로 보낼 수 있습니다.
다만 별도의 VM관리와 오픈소스인 Squid Proxy 설정을 해야되는 점이 있습니다.
3. VPN연동 – Secure Web Proxy
GCP에서 제공하는 Managed 서비스인 Secure Web Proxy를 사용하는 방안입니다.
GCP외부로 나가는 HTTP/S를 보호하기 위해 나온 서비스며, console을 접속하기위해서도 사용이 가능합니다.
트래픽 흐름은 사용자 -> VPN -> Secure Web Proxy -> NAT -> BeyondCorp 접근제어 -> Console 로 접근합니다.
GCP의 Managed 서비스로 별도 구성할 필요도 없으며, URL목록만 작성하는 것으로 사용이 가능합니다. 또한 NAT 서비스도 자동으로 생성되어 적용됩니다.
Managed 서비스인 만큼 Secure Web Proxy 인스턴스의 시간당 비용과 데이터 처리량이 따로 부과됩니다.
4. VPN연동 – VM과 Private Google Access 사용
GCP에서 Public IP를 사용하지 않고, Google API와 서비스 연결시에 사용하는 서비스인 Private Google Access과 Windows VM을 사용하는 방안입니다.
이 부분이 다른 CSP와 다른 GCP의 특징인데, Private 망이지만, 다른망에 존재하는 GCP의 리소스는 사용할 수가 있습니다.
개인적으로는 Secure Web Proxy 가 운영하는 입장에서 손을 덜 타긴 하지만, 비싼 가격과 데이터 처리량에 따른 요금을 받는 다는 점에서, 해당 방법이 제일 괜찮다고 생각합니다.
하지만.. Windows VM도 가격이 꽤나 비싸니까요 ㅠㅠ
트래픽 흐름은 사용자 -> VPN -> VM -> BeyondCorp 접근제어 -> Console 로 접근합니다.
별도의 Proxy, NAT를 사용하지 않으며, 내부 IP로만 통신합니다.
사용자가 웹프록시를 설정할 필요도 없으며, Windows의 원격터미널을 통하면 되는 방식이나, 라이선스 비용을 내야하는 Windows VM가격을 생각해야 됩니다.
물론 여기서 Linux 에 Xwindows 방안도 있습니다.
본 문서에서는 console접근 자체에 대한 내용을 다루었으나, VPC Sevice Control를 사용하면 아래 그림과 같이 Console접근 후 접속위치에 따라 특정 서비스들을 사용을 허가할 수도 제약할 수도 있습니다. IAM과 같이 적절히 사용한다면 보안성 향상을 이룰 수 있습니다.
본 문서의 관련 링크들은 아래와 같습니다.
'Cloud > GCP' 카테고리의 다른 글
[GCP/OS] GCP compute engine SSH key 발급 및 접속 (0) | 2024.08.21 |
---|---|
Google Cloud Next ’24 Security 참석 (0) | 2024.08.19 |
Squid Proxy를 통한 GCP Web Console 접속 (0) | 2024.07.30 |
[GCP] On-Premise to GCP Serverless 서비스를 VPN(Private망)으로 연결하여 사용 (2) | 2024.07.28 |
[GCP / Monitoring] GCP ops Agent 설치시 에러 메시지가 발생될때 (0) | 2024.05.27 |
[GCP / Security] - VPC 서비스 제어 (2) | 2024.05.26 |
[GCP / Security] Web Console 접근제어 (0) | 2024.05.23 |