중요:

이 실습은 데스크톱/노트북에서만 완료해야 합니다.

실습당 5회만 시도할 수 있습니다.

첫 시도에 모든 문제를 맞히지 못하거나 학습을 다시 해야 하는 것은 흔한 일이며 학습 과정의 일부입니다.

실습이 시작되면 타이머를 일시중지할 수 없습니다. 1시간 30분이 지나면 실습이 종료되므로 다시 시작해야 합니다.

자세한 내용은 실습에 관한 기술적 도움말을 참고하세요.

활동 개요

클라우드 환경 내의 애셋은 무단 액세스로부터 보호되어야 합니다. 이러한 문제를 해결하기 위해 보안 전문가는 네트워크 또는 시스템의 에지를 무단 액세스 및 사이버 위협으로부터 보호하기 위해 구현된 보안 조치인 경계 보호를 사용합니다. 경계 보호의 한 유형에는 방화벽을 사용하여 클라우드 환경에 들어오고 나가는 네트워크 트래픽을 관리하고 보호하는 것이 포함됩니다. 방화벽은 신뢰할 수 있는 내부 네트워크(예: 회사의 비공개 네트워크)를 신뢰할 수 없는 외부 네트워크(예: 인터넷)로부터 보호하는 데 도움이 됩니다. 방화벽은 미리 정의된 규칙에 따라 수신 및 발신 네트워크 트래픽을 검사하여 특정 데이터 패킷을 허용하거나 차단합니다. 이는 애플리케이션 보안, 트래픽 제어, 규정 준수, 정책 시행을 유지하는 데 매우 중요합니다.

이 실습에서는 방화벽에 액세스하고 규칙을 만들어 서버의 보안을 테스트하고 필요에 따라 수정합니다.

시나리오

Cymbal Bank에는 기존 가상 프라이빗 클라우드(VPC) 네트워크에 프로비저닝된 데모 웹 서버가 있습니다. 팀장인 클로이는 이 웹 서버의 보안 구성에 대해 우려하고 있으며, 웹 서버로의 인바운드 네트워크 트래픽을 분석하고 방화벽 규칙을 사용하여 불필요한 포트에 대한 연결을 차단하기를 원합니다. 여러분은 웹 서버의 방화벽 규칙을 분석하고 연결을 테스트하는 작업을 맡았습니다. 이 작업을 완료하려면 여러 방화벽 규칙을 만들고, 웹 서버에 연결하고, 네트워크 연결과 관련된 로그를 분석해야 합니다.

방법은 다음과 같습니다. 먼저, 네트워크 트래픽이 데모 웹 서버로 이동하도록 허용하는 방화벽 규칙을 만듭니다. 그런 다음 서버에 HTTP 네트워크 트래픽을 생성하고 네트워크 로그를 분석합니다. 다음으로 서버에 대한 HTTP 트래픽을 거부하는 새 방화벽 규칙을 만들고 테스트합니다. 마지막으로 방화벽 로그를 분석하여 새 방화벽 규칙이 의도한 대로 작동하는지 확인합니다.

참고: 이 실습에서는 리전에서 VPC 흐름 로그로 구성된 커스텀 모드 네트워크 VPC인 vpc-net과 서브넷인 vpc-subnet이 제공됩니다. 또한 영역의 vpc-subnet 내에 Apache 웹 서버가 설치되어 있고 http-server 네트워크 태그가 연결된 VM 인스턴스 web-server도 제공됩니다.

설정

'실습 시작'을 클릭하기 전에

다음 안내를 확인하세요. 실습에는 시간 제한이 있으며 일시중지할 수 없습니다. 실습 시작을 클릭하면 타이머가 시작됩니다. 이 타이머는 Google Cloud 리소스를 사용할 수 있는 시간이 얼마나 남았는지를 표시합니다.

이 실무형 실습을 통해 시뮬레이션이나 데모 환경이 아닌 실제 클라우드 환경에서 직접 실습 활동을 진행할 수 있으며, 이를 위해 실습 시간 동안 Google Cloud에 로그인하고 액세스하는 데 사용할 수 있는 새로운 임시 사용자 인증 정보가 제공됩니다.

이 실습을 완료하려면 다음을 준비해야 합니다.

• 표준 인터넷 브라우저 액세스 권한(Chrome 브라우저 권장)

참고: 이 실습을 실행하려면 시크릿 모드 또는 시크릿 브라우저 창을 사용하세요. 개인 계정과 학습자 계정 간의 충돌로 개인 계정에 추가 요금이 발생하는 일을 방지해 줍니다.

• 실습을 완료하기에 충분한 시간. 실습을 시작하고 나면 일시중지할 수 없습니다.

참고: 계정에 추가 요금이 발생하지 않도록 하려면 개인용 Google Cloud 계정이나 프로젝트가 이미 있어도 이 실습에서는 사용하지 마세요.

실습을 시작하고 Google Cloud 콘솔에 로그인하는 방법

1. 실습 시작 버튼을 클릭합니다. 왼쪽에는 다음과 같은 항목이 포함된 실습 세부정보 패널이 있습니다.

   • 남은 시간
   • Google Cloud 콘솔 열기 버튼
   • 이 실습에 사용해야 하는 임시 사용자 인증 정보
   • 필요한 경우 실습 진행을 위한 기타 정보
   참고: 실습 비용을 결제해야 하는 경우 결제 수단을 선택할 수 있는 팝업이 열립니다.

2. Google Cloud 콘솔 열기를 클릭합니다(Chrome 브라우저를 실행 중인 경우 마우스 오른쪽 버튼으로 클릭하고 시크릿 창에서 링크 열기를 선택합니다). 새 브라우저 탭에서 로그인 페이지가 열립니다.

   도움말: 두 개의 탭을 각각 별도의 창으로 나란히 정렬하면 탭 간에 쉽게 전환할 수 있습니다.

   참고: 계정 선택 대화상자가 표시되면 다른 계정 사용을 클릭합니다.

3. 필요한 경우 아래의 Google Cloud 사용자 이름을 복사하여 로그인 대화상자에 붙여넣습니다. 다음을 클릭합니다.

{{{user_0.username | "Google Cloud username"}}}

실습 세부정보 패널에서도 Google Cloud 사용자 이름을 확인할 수 있습니다.

4. 아래의 Google Cloud 비밀번호를 복사하여 시작하기 대화상자에 붙여넣고, 다음을 클릭합니다.

{{{user_0.password | "Google Cloud password"}}}

실습 세부정보 패널에서도 Google Cloud 비밀번호를 확인할 수 있습니다.

중요: 실습에서 제공하는 사용자 인증 정보를 사용해야 합니다. Google Cloud 계정 사용자 인증 정보를 사용하지 마세요. 참고: 이 실습에 자신의 Google Cloud 계정을 사용하면 추가 요금이 발생할 수 있습니다.

5. 이후에 표시되는 페이지를 클릭하여 넘깁니다.
   • 이용약관에 동의하세요.
   • 임시 계정이므로 복구 옵션이나 2단계 인증을 추가하지 마세요.
   • 무료 체험판을 신청하지 마세요.

잠시 후 Cloud 콘솔이 이 탭에서 열립니다.

참고: 왼쪽 상단에 있는 탐색 메뉴를 클릭하면 Google Cloud 제품 및 서비스 목록이 있는 메뉴를 볼 수 있습니다.

작업 1. 방화벽 규칙 만들기

이 작업에서는 HTTP 및 SSH 연결을 허용하는 방화벽 규칙을 만듭니다. 또한 새로 생성된 방화벽 규칙의 대상 태그를 지정합니다.

Google Cloud에서 방화벽 규칙은 적용할 VM 인스턴스를 정의하기 위해 대상을 지정해야 합니다. 대상 태그를 사용하면 방화벽 규칙을 특정 VM 그룹에 적용하여 방화벽 규칙 관리를 간소화할 수 있습니다. 대상 태그를 사용하여 이 방화벽 규칙을 웹 서버에만 적용합니다.

1. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.
2. VPC 네트워크 > 방화벽을 선택합니다. 방화벽 정책 페이지가 표시됩니다.

참고: 이 프로젝트에서 상속한 방화벽 정책을 볼 권한이 없다는 메시지가 표시되면 무시하고 다음 단계를 계속 진행하면 됩니다.

3. 툴바에서 + 방화벽 규칙 만들기를 클릭합니다. 방화벽 규칙 만들기 대화상자가 표시됩니다.

4. 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

필드	값
이름	allow-http-ssh
로그	사용
네트워크	vpc-net
대상	지정된 대상 태그
대상 태그	http-server
소스 필터	IPv4 범위
소스 IPv4 범위	0.0.0.0/0
프로토콜 및 포트 섹션	지정된 프로토콜 및 포트를 선택합니다. TCP 체크박스를 선택합니다. 포트 필드에 80, 22를 입력합니다.

5. 만들기를 클릭합니다.

참고: 계속 진행하기 전에 'allow-http-ssh' 방화벽 규칙을 만들었습니다 메시지가 표시될 때까지 기다립니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 방화벽 규칙 만들기

작업 2. HTTP 네트워크 트래픽 생성

이 작업에서는 외부 IP 주소를 방문하여 웹 서버에 HTTP 네트워크 트래픽을 생성합니다. 그러면 생성한 네트워크 트래픽이 로그로 기록되어 로그 탐색기에서 분석할 수 있습니다.

먼저 네트워크 트래픽을 생성해야 합니다.

1. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.

2. Compute Engine > VM 인스턴스를 선택합니다. VM 인스턴스 페이지가 열립니다.

3. web-server의 경우 외부 IP 링크를 클릭하여 서버에 액세스합니다.

(또는 새 브라우저 창이나 탭에서 외부 IP 값을 http://EXTERNAL_IP/에 추가할 수도 있습니다.) 기본 웹페이지가 표시됩니다.

다음으로 사용 중인 컴퓨터의 IP 주소를 찾아야 합니다.

4. whatismyip.com 링크를 사용하여 IP 주소에 액세스합니다. 그러면 IP가 바로 표시됩니다.

참고: IP 주소는 숫자(IPv4)만 포함하고 16진수(IPv6)로 표현되지 않아야 합니다.

5. IP 주소를 복사하여 메모장에 저장합니다. 다음 작업에서 이 정보를 사용해야 합니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. HTTP 네트워크 트래픽 생성

작업 3. 웹 서버 흐름 로그 분석

이 작업에서는 로그 탐색기를 사용하여 웹 서버의 VPC 흐름 로그에 액세스하고 분석합니다.

1. Google Cloud 콘솔 제목 표시줄의 검색창에 로그 탐색기를 입력한 다음 검색 결과에서 로그 탐색기를 클릭합니다.

2. 모니터링 가능성 로깅 옆에 있는 고정을 클릭합니다.

3. 로그 탐색기 페이지의 왼쪽에 필드 창이 표시됩니다. 심각도 및 리소스 유형 섹션을 사용할 수 있습니다. 리소스 유형 섹션에서 서브네트워크를 선택합니다.

서브네트워크 로그의 항목이 필드 창 오른쪽에 있는 쿼리 결과 창에 표시됩니다.

4. 필드 창의 로그 이름 섹션에서 compute.googleapis.com/vpc_flows를 선택하여 네트워크의 VPC 흐름 로그에 액세스합니다. 이 옵션이 표시되지 않으면 몇 분 정도 기다려 이 로그 유형이 표시되도록 합니다.

선택하면 VPC 흐름 로그의 항목이 쿼리 결과 창에 표시됩니다.

5. 페이지 상단의 쿼리 빌더에서 2번째 줄의 끝에 ENTER 키를 눌러 새 줄을 만듭니다.

6. 3번째 줄에 다음을 입력합니다.

jsonPayload.connection.src_ip=YOUR_IP

쿼리는 다음과 유사해야 합니다.

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Fvpc_flows" jsonPayload.connection.src_ip=YOUR_IP

7. YOUR_IP를 작업 2에서 저장한 IP 주소로 바꿉니다. 이 쿼리는 이전 작업에서 생성한 IP 주소에서 시작된 네트워크 트래픽 로그를 검색합니다.

8. 쿼리 실행을 클릭합니다. 쿼리 결과가 쿼리 결과 창에 표시됩니다.

참고: vpc_flows 필터 옵션이 표시되지 않거나 로그가 없는 경우 몇 분 정도 기다렸다가 새로고침해야 할 수 있습니다. 몇 분 후에도 vpc_flows 필터 옵션이 표시되지 않으면 Compute Engine 페이지로 이동하여 웹 서버의 외부 IP를 몇 번 클릭하여 트래픽을 더 많이 생성한 다음 vpc_flows 필터 옵션을 다시 확인합니다.

9. 쿼리 결과 창에서 로그 항목 중 하나를 펼칩니다.

10. 항목 안에서 펼치기 화살표 >를 클릭하여 jsonPayload를 펼칩니다. 그런 다음 connection 필드를 펼칩니다.

여기에서 웹 서버에 대한 네트워크 연결에 관한 세부정보를 검토할 수 있습니다.

• dest_ip - 웹 서버의 대상 IP 주소입니다.
• dest_port - 웹 서버의 목적지 포트 번호로, HTTP 포트 80입니다.
• protocol - 프로토콜은 6이며 이는 TCP 트래픽에 대한 IANA 프로토콜입니다.
• src_ip - 컴퓨터의 소스 IP 주소입니다.
• src_port - 컴퓨터에 할당된 소스 포트 번호입니다. 인터넷 할당 번호 관리기구(IANA) 표준에 따르면 일반적으로 49152~65535 사이의 임의 포트 번호입니다.

이 로그 항목의 세부정보를 분석한 후에는 이전에 만든 방화벽 규칙 allow-http-ssh로 인해 생성한 네트워크 트래픽(HTTP 포트 80)이 허용되었다는 것을 알 수 있습니다. 이 규칙은 포트 80과 22로 수신되는 트래픽을 허용했습니다.

작업 4. HTTP 트래픽을 거부하는 방화벽 규칙 만들기

이 작업에서는 포트 80의 트래픽을 거부하는 새 방화벽 규칙을 만듭니다.

1. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.

2. VPC 네트워크 > 방화벽을 선택합니다. 방화벽 정책 페이지가 표시됩니다.

3. 툴바에서 + 방화벽 규칙 만들기를 클릭합니다.

4. 방화벽 규칙 만들기 대화상자에서 다음을 지정하고 나머지 설정은 기본값으로 둡니다.

필드	값
이름	deny-http
로그	사용
네트워크	vpc-net
일치 시 작업	거부
대상	지정된 대상 태그
대상 태그	http-server
소스 필터	IPv4 범위
소스 IPv4 범위	0.0.0.0/0
프로토콜 및 포트 섹션	지정된 프로토콜 및 포트를 선택합니다. TCP 체크박스를 선택합니다. 포트 필드에 80을 입력합니다.

5. 만들기를 클릭합니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. HTTP 트래픽을 거부하는 방화벽 만들기

작업 5. 방화벽 로그 분석

이 작업에서는 이전 작업에서 만든 deny-http 방화벽 규칙을 테스트합니다.

먼저 웹 서버에 연결을 시도합니다.

1. 탐색 메뉴()를 클릭합니다.
2. Compute Engine > VM 인스턴스를 선택합니다. VM 인스턴스 페이지가 열립니다.
3. web-server의 경우 외부 IP 링크를 클릭하여 서버에 액세스합니다.

페이지에 다음 오류 메시지가 표시됩니다.

이 오류는 이전 작업에서 만든 deny-http 방화벽 규칙 때문에 발생했습니다. 이를 확인하려면 로그 탐색기에 액세스하여 웹 서버의 방화벽 로그를 분석합니다.

4. Google Cloud 콘솔에서 탐색 메뉴()를 클릭합니다.

5. Logging > 로그 탐색기를 선택합니다. 로그 탐색기 페이지가 열립니다.

6. 리소스 유형 섹션에서 서브네트워크를 선택합니다.

7. 로그 필드 창의 로그 이름 섹션에서 compute.googleapis.com/firewall을 선택하여 네트워크의 방화벽 로그에 액세스합니다.

8. 페이지 상단의 쿼리 빌더에서 2번째 줄의 끝에 ENTER 키를 눌러 새 줄을 만듭니다.

9. 3번째 줄에 다음을 입력합니다.

jsonPayload.connection.src_ip=YOUR_IP DENIED

YOUR_IP를 작업 2에서 저장한 IP 주소로 바꿉니다. 이 쿼리는 웹 서버에 대한 IP 주소 연결을 거부한 방화벽 로그를 검색합니다. 쿼리는 다음과 유사해야 합니다.

resource.type="gce_subnetwork" log_name="projects/{{{project_0.project_id | PROJECT_ID}}}/logs/compute.googleapis.com%2Ffirewall" jsonPayload.connection.src_ip=YOUR_IP DENIED

10. 쿼리 실행을 클릭합니다. 쿼리 결과가 쿼리 결과 창에 표시됩니다.

11. 쿼리 결과 창에서 로그 항목 중 하나를 펼칩니다.

12. 로그 항목 내에서 펼치기 화살표 >를 클릭하여 jsonPayload 필드를 펼칩니다. 그런 다음 connection 필드를 펼칩니다. 웹 서버에 대한 네트워크 연결의 세부정보를 검토하여 방화벽 규칙이 성공적으로 트리거되었는지 확인할 수 있습니다.

• dest_ip - 웹 서버의 대상 IP 주소로 10.1.3.2입니다.
• dest_port - 웹 서버의 목적지 포트 번호로, HTTP 포트 80입니다.
• protocol - 프로토콜은 6이며 이는 TCP 트래픽에 대한 IANA 프로토콜입니다.
• src_ip - 컴퓨터의 소스 IP 주소입니다.
• src_port - 컴퓨터에 할당된 소스 포트 번호입니다.
• disposition - 이 필드는 연결이 허용되었는지 거부되었는지 나타냅니다. 여기서는 denied로 표시되어 서버에 대한 연결이 거부되었음을 나타냅니다.

13. 로그 항목 내에서 펼치기 화살표 >를 클릭하여 rule_details 필드를 펼칩니다. 방화벽 규칙에 관한 세부정보를 검토할 수 있습니다. 또한 로그 항목에서 다음 필드를 확장하여 더 많은 정보를 추출할 수 있습니다.

• action - 규칙에 의해 취해진 조치로, 이 경우에는 DENY입니다.
• direction - 규칙의 트래픽 방향은 인그레스 또는 이그레스일 수 있습니다. 여기서는 INGRESS로, 이는 작업이 수신 트래픽에 적용됨을 의미합니다.
• ip_port_info - 이 규칙이 제어하는 프로토콜 및 포트입니다. ip_protocol 및 port_range 목록에 TCP 포트 80이 있습니다.
• source_range - 방화벽 규칙이 적용되는 트래픽 소스입니다. 여기서는0.0.0.0/0입니다.
• target_tag - 방화벽 규칙이 적용되는 모든 대상 태그를 나열합니다. 여기서는 이전 작업에서 방화벽 규칙에 추가한 대상 태그인 http-server입니다.

이 방화벽 로그 항목의 세부정보를 살펴보면 HTTP 트래픽을 거부하기 위해 설정한 방화벽 규칙 deny-http가 성공적으로 트리거되었음을 알 수 있습니다. 이 규칙은 포트 80에서 수신되는 네트워크 트래픽을 거부했습니다.

내 진행 상황 확인하기를 클릭하여 이 작업을 올바르게 완료했음을 확인합니다. 방화벽 로그 분석

결론

수고하셨습니다.

이제 클라우드 환경에서 웹 서버의 방화벽 규칙을 만들고 테스트하는 실무 경험을 쌓았습니다. 방화벽 규칙을 만들고 로그 항목을 분석하여 경계 보호의 복잡성을 잘 이해하게 되었습니다. 이는 보안 분석가의 핵심 역할인 잠재적인 보안 사고나 위협을 모니터링하고 분석하는 데 유용합니다.

방화벽 규칙을 수정하여 네트워크 보안을 극대화하는 방법을 이해하는 데 도움이 되었기를 바랍니다.

실습 종료하기

실습을 종료하기 전에 모든 작업을 완료했는지 확인하세요. 준비가 되면 실습 종료를 클릭한 다음 제출을 클릭합니다.

실습을 종료하면 실습 환경에 대한 액세스 권한이 삭제되며, 실습에서 완료한 작업에 다시 액세스할 수 없습니다.

Copyright 2020 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.