안녕하세요, 

베스핀글로벌 GCP Support팀입니다.


이번 아티클에서는 주제로 "VPC Service Control"을 다루고자 합니다.



VPC Service Control


VPC Service Control[1]이란 Google 관리 서비스의 리소스 주의의 서비스 경계를 정의하는 방식으로 서비스에 대한 통신 및 서비스간 통신을 제어하여 경계 내의 리소스와 데이터를 보호하는 기술입니다.



VPC Service Control가 사용하는 제어방식은 다음과 같습니다.


1. Google Cloud 리소스를 서비스 경계로 분리


 

 - 보호하고자 하는 범위의 프로젝트를 1개의 서비스 경계(Service Perimeter)로 묶습니다.

 - 리소스에 대한 비공개 액세스 권한이 있는 경계 내 클라이언트는 경계 외부에 있는 권한이 없는(잠재적으로 공개) 리소스에 액세스하지 못합니다.

 - 서비스 경계로 분리된 클라이언트 및 리소스 간의 데이터 교환은 인그레스 및 이그레스 규칙을 사용하여 보호됩니다.

(동일한 서비스 경계 내에 있다면 인그레스 및 이그레스 규칙을 설정하지 않아도 리소스 사이의 통신이 가능합니다.)


2. 승인된 VPN 또는 Cloud Interconnect로 경계 확장


 - 비공개 Google 액세스의 온프레미스 확장을 사용하여 하이브리드 환경에 이르는 VPC 네트워크에서 Google Cloud 리소스에 대한 비공개 통신을 구성할 수 있습니다. 

 - VPC 네트워크는 동일한 네트워크의 VM이 속하는 서비스 경계 내에 있어야 동일한 서비스 경계 내에 있는 관리형 Google Cloud 리소스에 비공개로 액세스할 수 있습니다.


3. 인터넷에서 Google Cloud 리소스 액세스 제어



 - 인터넷에서 서비스 경계 내에 있는 관리형 리소스에 액세스하는 것은 기본적으로 거부됩니다. 

 - 필요한 경우 소스 IP 주소와 같은 다양한 속성을 기반으로 액세스를 제어하는 액세스 수준을 만들어 설정합니다.



VPC Service Control의 장점


VPC Service Control은 다음과 같은 장점이 있습니다.

  • Google Cloud 리소스에 대한 보안 강화
  • 서비스 경계 간 데이터 이그레스 제어
  • IAM과 함께 사용하여 심층 방어 구현


VPC Service Control의 제한 사항


VPC Service Control은 모든 Google Service에 대해 지원을 하는 것은 아닙니다.

미지원 서비스 및 제한사항은 Google 문서[2]에서 확인할 수 있습니다.



참조 링크


[1] VPC Service Controls 개요 

https://cloud.google.com/vpc-service-controls/docs/overview 

[2] VPC Service Controls 미지원 서비스 및 제한사항 

https://cloud.google.com/vpc-service-controls/docs/supported-products#unsupported_services



관련 문의사항이 있으시면 Support Portal에 문의해 주시기 바랍니다.


감사합니다.