달빛이 비추는 궁전에서

Model Armor 실시간 알림 설정 방안

개요Google Cloud의 Model Armor는 LLM(대규모 언어 모델) 서비스 이용 시 발생할 수 있는 보안 위협을 실시간으로 탐지하고 차단하는 핵심 보안 솔루션입니다. 프롬프트 인젝션, 탈옥(Jailbreak) 시도, 개인정보(PII) 유출 및 부적절한 콘텐츠 생성 등의 위협은 기업의 데이터 자산과 서비스 신뢰도에 직접적인 타격을 줄 수 있습니다. 본 가이드는 Model Armor를 통해 생성되는 SanitizeOperation 로그를 실시간으로 탐지하고 , 복잡한 JSON 형식의 감사 로그를 파싱하여 운영자가 즉시 위협 상황을 인지할 수 있도록 알림 체계를 구축하는 방안을 제시합니다. 구성도Log Explorer 이동 Log 검색resource.type="modelarmor.googleapis..

GCP OAuth(인증)을 PSC (Private Service Connect)를 통해 사설망으로 연결하는 방안

목적 : GCP 계정인증을 PSC로 사용하기인증 트래픽의 사설 경로화: 온프레미스(On-Premise) 환경에서 GCP 계정 인증 요청 시, 공인 인터넷이 아닌 Cloud VPN과 PSC를 거치는 사설망 경로를 통해 Google OAuth Server에 도달하도록 구성하는 것 계정 유형별 호환성 검증: 개인 계정(gmail.com)뿐만 아니라 조직 계정(예: mz.co.kr) 등 다양한 도메인의 계정들이 PSC 경로를 통해 문제없이 인증되는지 확인하는 것이 주요 테스트 방안 보안성 강화: 내부 서버가 인터넷 게이트웨이를 통하지 않고도 외부 구글 API 서버와 안전하게 통신할 수 있는 환경을 구축 구성도테스트 방안DNS 조작: 온프레미스 서버의 /etc/hosts 파일을 수정하여, 구글 인증 서버 주소인 ..

개요 GCP(Google Cloud Platform) 환경에서 IAM(Identity and Access Management) 권한 변경은 보안 및 거버넌스 측면에서 가장 핵심적인 모니터링 대상입니다. 권한의 오남용이나 잘못된 설정은 데이터 유출 및 리소스 손상으로 직결될 수 있기 때문입니다. 본 가이드는 권한 부여 및 수정 시 발생하는 복잡한 JSON 형식의 감사 로그(Audit Log)를 실시간으로 탐지하고, 이를 운영자가 즉시 인지할 수 있도록 이메일 알림 체계를 구축하는 방안을 작성하였습니다. 시스템 구성도 및 워크플로우본 시스템은 Google Cloud의 Serverless 아키텍처를 활용하여 비용 효율적이고 확장성 있는 실시간 알림 파이프라인을 구성 합니다.탐지 (Cloud Logging): ..

목적 : 개인계정이나 테스트 및 운영중에 프로젝트를 삭제할 필요가 있을때 사용합니다. GCP 사용하지 않는 프로젝트에 대한 종료 방안정리 GCP Console에 로그인 후 IAM → Settings 메뉴로 진입합니다.종료(삭제)하고자 하는 프로젝트가 맞는지 확인하고, “Shut Down”을 선택합니다.프로젝트 ID를 입력하면 종료가 됩니다.설명대로 해당 프로젝트의 최종 종료는 30일 뒤이며, 기존까지는 삭제 중지가 가능합니다.

개요 : 서비스 계정 키 대신 GCP 워크로드 아이덴티티 사용방안 외부 신원 공급자(IdP)와 구글 클라우드 간의 신뢰 관계를 구축하여, "Keyless 인증" 환경을 실현하는 것을 목적으로 합니다. 기존 방식의 한계 극복: 외부 연동 시 보안 취약점이 될 수 있는 정적 자격 증명(SA Key)의 생성 필요성을 원천적으로 제거합니다. 운영 오버헤드 감소: 주기적인 키 로테이션, 만료 관리, 폐기 절차 등의 수동 관리 업무를 자동화된 토큰 교환 방식으로 대체합니다. 통합 신원 관리 (IdP Integration): Keycloak, Okta, AD 등 기존에 사용 중인 중앙 집중식 인증 시스템을 활용하여 클라우드 자원에 대한 액세스를 통제합니다. 규정 준수 (Compliance): 장기 자격 증명 사용을 ..

개요 본 문서는 GCP Workload Identity Federation(WIF)의 외부 신원 공급자(IdP)로 활용될 Keycloak의 설치 및 구성 방법을 다룹니다. Keycloak은 Red Hat에서 주도하는 오픈소스 IAM 솔루션으로, Okta, Auth0, Gluu Server와 같이 엔터프라이즈급 인증 및 인가 기능을 제공합니다. 1.1 주요 구성 요소Keycloak: OIDC 프로토콜 기반의 사용자 인증 및 ID 토큰(JWT) 발급 서버ngrok: 로컬 서버를 외부 HTTPS 엔드포인트로 노출하여 GCP WIF의 Discovery를 지원 1.2 구축 목적Keyless 인증: 정적 서비스 계정 키 없이 외부 신원을 GCP 권한과 매핑표준 준수: OIDC 표준을 활용한 확장 가능한 인증 체계 ..

목적 GCP PSC 구성 후 Vertex AI (Gemini API)에 대해 정상동작 되는지 테스트하는 방안 GCE, 외부서버 모두 가능인증은 SA키파일을 먼저 찾으며, 키가 없으면 ADC 통해 확인 후 진행 동작방식requests, google-auth, google.auth 라이브러리 설치 여부 확인 후 없으면 설치gemini_config.json 파일이 있으면 환경변수 값 가져옴 없으면, 아래의 설정을 입력- PSC IP 주소 :- 프로젝트 ID : - 리전 (Location) : [us-central1]: - 모델 ID :gemini-2.5-flash- 키 파일 경로 (없으면 엔터) []: /home/linux1547/ctu-gcp-dsa2-unit-57e5dc4dcee4.json서비스 키 (외..

https://seonggi.kr/295 AI SRE Auto-Remediator - Google Gemini AI 기반 실시간 시스템 장애 탐지 및 자동 복구 에이전트인터넷으로 글을 보다가, Claude code를 통해 Kubernetes 를 모니터링 하고, 자동으로 조치까지 해주는 SRE도구를 보았다.https://www.cloudnativedeepdive.com/kagent-claude-k8s-your-private-agentic-troubleshooter/시스템을seonggi.krWeb으로 정리해서 올렸지만, PT로 정리하면서 재업로드 결론과 향후 발전방향도 추가테스트로 만들기는 했지만, 이걸 실 시스템에서 적용도 해보고싶네..그런회사를 갈 수 있을까 ㅠhttps://github.com/Seong..

인터넷으로 글을 보다가, Claude code를 통해 Kubernetes 를 모니터링 하고, 자동으로 조치까지 해주는 SRE도구를 보았다.https://www.cloudnativedeepdive.com/kagent-claude-k8s-your-private-agentic-troubleshooter/시스템을 모니터링 하고 있다가(watch 모니터링은 기존부터 있었으니..) 문제 발생시 이걸 AI기반 LLM에 질의하고, LLM은 미리 정의된 페르소나에 의해 적절한 조치를 취할 수 있는 명령어를 찾는다.이후 LLM이 OS쉘에서 직접 해당명령을 수행하여, 시스템을 유지시키는 방안이다.AI Agent가 핵심이고, AI Agent가 직접 OS나 쿠버네티스 쉘에서 실행시킬 수 있다는 점이 포인트고그럼 당연히 나도 생..

목표 :Vscode, JetBrains IDE에서 gemini Code Assist를 사용하여 코드를 개발 및 배포하고 문제를 해결할 수 있습니다.Private망 (Cloud VPN, Interconnect)를 통해 GCP의 Gemini Code Assist를 사용하는 방안입니다. 간단한 구성방안 On-premise to GCP 간 상세 구성방안 구성에 필요햔 부분On-premise - GCP Project간 VPN, Interconnect 연결필요단순히 Gemini Code Assist 만 사용한다면 문제가 없지만, 고객사에 맞게 랜딩존 구성을 권고On-premise 에서 VPN 연결 후 GCP PGA 로 연결이 필요 On-premise to VPN 연결https://mzgcp.atlassian.net..