Cloud/GCP

[GCP] WebConsole 접근 방안

달빛궁전- 2024. 8. 5. 10:31
문서의 목적
Public Cloud Google Cloud Platform은 리소스 생성, 삭제, 사용 여러가지 업무를 Web Console에서 지원하고 있습니다.
On-premise의 경우 지정된 위치와 단말기에서만 사용이 가능하도록 물리적으로 가능하나, 공개된 망에서 서비스하는 GCPWebConsole 접근자체가 오픈되어 있습니다.
하여, 정해진 장소의 IP에서만 접속하거나 VPN, interconnect 를 통해 내부 트래픽으로 전달받아 Web Console로 접근하는 방안들을 작성합니다.
GCP Web ConsoleConsole로 표기합니다.

 

참고사항
본 문서의 모든 기능은 GCPBeyondCorp 서비스를 사용합니다.

 

 

1. 지정된 장소에서만 접속 

사무실이나 지정된 장소의 Public IP만 허용하여 Console에 접속하는 기본적인 방안입니다.

외부 사무실이나 허용되지 않는 장소에서는 Console 접속시도는 할 수 있으나, 로그인시 아래와 같이 Console서비스를 사용할 수 없습니다.

 

 

외부에서 로그인시 발생되는 메시지

 

2. VPN연동 – forward proxy

1번 방법은 console 연결시 Public망으로 연결됩니다.
2
번 방법부터는 VPN이나 interconnect를 통해 GCP 내부 트래픽으로 연결되어 Console 접근을 하는 방안입니다.

 

 

흐름은 사용자 ->  VPN -> Squid Proxy -> NAT -> BeyondCorp 접근제어 -> Console 로 접근하는 방안입니다.

Linux VM오픈소스인 Squid Proxy를 설치 한 후 Cloud NAT를 통해 고정된 Public IP부여받아, 해당 IPconsole 접근합니다.

Cloud NAT 이후로 다시 외부망으로 나가는 것으로 보일 수 있으나, 실제로는 GCP 내부네트워크를 이용합니다.

장점으로는 consol로 가는 트래픽도 VPN, Interconnect로 보낼 수 있습니다.
다만 별도의 VM관리와 오픈소스인 Squid Proxy 설정을 해야되는 점이 있습니다.

 

 

3. VPN연동 – Secure Web Proxy

GCP에서 제공하는 Managed 서비스인 Secure Web Proxy를 사용하는 방안입니다.

 


GCP외부로 나가는 HTTP/S를 보호하기 위해 나온 서비스며, console을 접속하기위해서도 사용이 가능합니다.
트래픽 흐름은 사용자 ->  VPN -> Secure Web Proxy -> NAT -> BeyondCorp 접근제어 -> Console 로 접근합니다.

GCP의 Managed 서비스로 별도 구성할 필요도 없으며, URL목록만 작성하는 것으로 사용이 가능합니다. 또한 NAT 서비스도 자동으로 생성되어 적용됩니다.

Managed 서비스인 만큼 Secure Web Proxy 인스턴스의 시간당 비용과 데이터 처리량이 따로 부과됩니다. 

 

Secure Web Proxy Docs

 

보안 웹 프록시 개요  |  Secure Web Proxy  |  Google Cloud

의견 보내기 보안 웹 프록시 개요 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. 보안 웹 프록시는 이그레스 웹 트래픽(HTTP/S)을 보호하는 데 도움이 되는 클

cloud.google.com

 

 

4. VPN연동 VMPrivate Google Access 사용

 

GCP에서 Public IP 사용하지 않고, Google API와 서비스 연결시에 사용하는 서비스인 Private Google AccessWindows VM을 사용하는 방안입니다.

이 부분이 다른 CSP와 다른 GCP의 특징인데, Private 망이지만, 다른망에 존재하는 GCP의 리소스는 사용할 수가 있습니다.

 

개인적으로는 Secure Web Proxy 가 운영하는 입장에서 손을 덜 타긴 하지만, 비싼 가격과 데이터 처리량에 따른 요금을 받는 다는 점에서, 해당 방법이 제일 괜찮다고 생각합니다.

하지만.. Windows VM도 가격이 꽤나 비싸니까요 ㅠㅠ

 

트래픽 흐름은 사용자 ->  VPN -> VM -> BeyondCorp 접근제어 -> Console 로 접근합니다.

별도의 Proxy, NAT 사용하지 않으며, 내부 IP로만 통신합니다.

사용자가 웹프록시를 설정할 필요도 없으며, Windows의 원격터미널을 통하면 되는 방식이나, 라이선스 비용을 내야하는 Windows VM가격을 생각해야 됩니다.

물론 여기서 Linux 에 Xwindows 방안도 있습니다. 

 

Private Google Access Docs

 

비공개 Google 액세스  |  VPC  |  Google Cloud

의견 보내기 컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요. 비공개 Google 액세스 외부 IP 주소 없이 내부 IP 주소만 있는 VM 인스턴스는 비공개 Google 액세스를

cloud.google.com

 

본 문서에서는 console접근 자체에 대한 내용을 다루었으나, VPC Sevice Control를 사용하면 아래 그림과 같이 Console접근 후 접속위치에 따라 특정 서비스들을 사용을 허가할 수도 제약할 수도 있습니다. IAM과 같이 적절히 사용한다면 보안성 향상을 이룰 수 있습니다.

 

본 문서의 관련 링크들은 아래와 같습니다.

 

https://seonggi.kr/230

 

[GCP / Security] Web Console 접근제어

문서의 목적GCP의 장점이자 단점은 언제 어디에서나 Web Console로 접근하여 업무를 수행할 수 있습니다.고객사 내부에서 특정 IP, 사용자만 GCP에 접속할 수 있도록 방화벽등을 통해 가능하나, 외부

seonggi.kr

 

 

https://seonggi.kr/231

 

[GCP / Security] - VPC 서비스 제어

목적 : 온프레미스는 물리적으로 분리된 환경에 있다보니 허가된 사용자와 장소에서만 접근이 가능하지만, Public Cloud GCP는 공개된 특성상 기본적으로 Console에는 모두 다 접근이 가능합니다.개인

seonggi.kr

 

https://seonggi.kr/237

 

Squid Proxy를 통한 GCP Web Console 접속

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러가지 업무를 Web Console에서 지원하고 있습니다.VPN을 통해 GCP의 리소스를 Public망이 아닌 VPN으로 접근은 가능하지만, Web Con

seonggi.kr