GCP

GCP 개요

GCP 프로젝트 및 GCP 폴더

Multicloud Defense 현재는 GCP 프로젝트 및 GCP 폴더를 모두 지원합니다. 단 이러한 구성 요소는 별도로 지원됩니다. 이러한 두 옵션에 대해 다음과 같은 제한 및 예외를 참고하십시오.

GCP 프로젝트에는 가상 머신, 스토리지 버킷, 데이터베이스 등과 같은 GCP 리소스가 포함되어야 합니다. 모든 Google Cloud 서비스를 생성, 활성화, 사용하는 데 사용할 수 있습니다.

  • 프로젝트는 Terraform, 수동 온보딩, 스크립트 온보딩을 통해 온보딩할 수 있습니다.

  • 프로젝트는 검색 및 조사 등 오케스트레이션이 필요한 환경에 적합합니다.

  • Multicloud Defense 대시보드를 통해 각 프로젝트와 개별적으로 상호 작용할 수 있습니다.

버전 23.10부터는 GCP 폴더를 Terraform에 연결할 수 있습니다. GCP 폴더에는 프로젝트, 다른 폴더 또는 이 둘의 조합이 포함됩니다. 조직 리소스는 폴더를 사용하여 계층 구조의 조직 리소스 노드 아래에 프로젝트를 그룹화할 수 있습니다.

  • roles/compute.admin 권한이 활성화되지 않은 폴더는 비어 있는 것으로 간주하여 사용하지 않습니다.

  • 온보딩된 폴더와 연결된 프로젝트는 에셋 및 트래픽 검색에만 사용됩니다.

  • 온보딩된 폴더와 연결된 프로젝트에서는 오케스트레이션 서비스 VPC 또는 게이트웨이 생성을 수용하지 않습니다.

  • GCP 콘솔에서 폴더에 만든 권한은 폴더 레벨에서 만들어야 합니다. 따라서 폴더 수준에서 Multicloud Defense 작업을 수행합니다.

GCP 폴더를 온보딩하려는 경우 Terraform 저장소를 참조하십시오.

개요 절차

다음은 GCP 프로젝트를 연결하는 방법에 대한 개요입니다. 셸 스크립트Multicloud Defense에서 제공하며 마법사의 일부로 간편한 연결 프로세스를 지원합니다. 스크립트는 다음 단계를 자동화하므로 사용자가 수행할 필요가 없습니다.

  1. 2개의 서비스 어카운트를 생성합니다.

  2. 다음 API(Compute Engine, Secret Manager)를 활성화합니다.

  3. 다음 2개의 VPC(management, datapath)를 생성합니다.

  4. 데이터 경로 VPC에서 Multicloud Defense 게이트웨이(앱 트래픽)에 대한 트래픽을 허용하는 방화벽 규칙을 생성합니다.

  5. 관리 VPC에서 관리 트래픽이 Multicloud Defense 게이트웨이에서 Multicloud Defense 컨트롤러(으)로 이동할 수 있도록 방화벽 규칙을 생성합니다.

스크립트가 작동하지 않거나 설정을 수동으로 변경해야 하는 경우 GCP 클라우드 콘솔 웹 UI 또는 gcloud CLI를 사용하여 이러한 작업을 실행할 수 있습니다. 여기에서 프로젝트를 연결하는 다른 방법를 참조하십시오.

GCP 컨트롤러 서비스 어카운트 생성 개요

Multicloud Defense 컨트롤러 서비스 어카운트는 GCP 프로젝트에서 리소스에 액세스하고 관리하는 데 사용됩니다. 어카운트를 생성하고 키를 생성해야 합니다. 키는 컨트롤러에 어카운트를 온보딩할 때 컨트롤러에 추가됩니다.

프로시저

단계 1

GCP 대시보드에서 GCP 프로젝트의 IAM을 엽니다.

단계 2

Service Accounts(서비스 어카운트)를 클릭합니다.

단계 3

Service Account(서비스 어카운트)를 생성합니다.

단계 4

이름과 ID(예: multicloud-firewall)를 입력한 후 Create(생성)를 클릭합니다.

단계 5

컴퓨팅 관리자서비스 어카운트 사용자 역할을 추가합니다.

단계 6

Continue(계속)를 클릭합니다.

단계 7

Done(완료)을 클릭합니다.

단계 8

새로 생성된 어카운트를 클릭하고 키가 나올 때까지 아래로 스크롤한 다음 키 추가 드롭다운에서 Create New Key(새 키 생성)를 선택합니다.

단계 9

JSON(기본 옵션)을 선택하고 Create(생성)를 클릭합니다.

단계 10

파일이 컴퓨터에 다운로드됩니다. 파일을 로컬 드라이브에 저장합니다.

GCP 방화벽 서비스 어카운트를 생성합니다.

Multicloud Defense 게이트웨이 방화벽 서비스 어카운트는 GCP 프로젝트 내부에서 실행 중인 인스턴스에서 사용합니다. 게이트웨이는 (사용자가 구성한 경우) PCAP 파일 등을 저장하기 위해 TLS 해독 및 액세스 스토리지를 위해 SecretManager에 저장된 개인 키에 액세스해야 할 수 있습니다. 또한 여러 게이트웨이에는 (사용자가 구성한 경우) Multicloud Defense 게이트웨이에서 GCP 기록 인스턴스로 로그를 전송하려면 로그 작성자 권한이 필요합니다.

서비스 어카운트를 생성하려면 다음 단계를 수행합니다.

프로시저

단계 1

GCP 대시보드에서 GCP 프로젝트의 IAM을 엽니다.

단계 2

Service Accounts(서비스 어카운트)를 클릭합니다.

단계 3

Service Account(서비스 어카운트)를 생성합니다.

단계 4

이름과 ID(예: multicloud-firewall)를 입력한 후 Create(생성)를 클릭합니다.

단계 5

Secret Manager Secret Accessor(암호 관리자 암호 접속자)Logs Writer roles(로그 작성자) 역할을 추가합니다.

단계 6

Continue(계속)를 클릭합니다.

단계 7

Done(완료)을 클릭합니다.

Multicloud Defense 대시보드에서 Multicloud Defense 컨트롤러에 GCP 프로젝트 연결

이전 섹션에서 설명한 대로 GCP 프로젝트를 준비했다면, Multicloud Defense 컨트롤러에 연결할 수 있습니다.

Before you begin

Google Cloud Platform(GCP) 프로젝트를 이미 생성했고 VPC, 서브넷, 서비스 어카운트를 생성할 수 있는 권한이 있어야 합니다.

Procedure

Step 1

Security Cloud Control의 왼쪽 창에서 Multicloud Defense를 클릭합니다.

Step 2

Multicloud Defense 컨트롤러 버튼을 클릭합니다.

Step 3

Cloud Accounts(클라우드 어카운트) 창에서 Add Account(어카운트 추가)를 클릭합니다.

Step 4

General Information(일반 정보) 페이지에 있는 Account Type(어카운트 유형) 목록 상자에서 GCP를 선택합니다.

Step 5

Multicloud Defense 대시보드에 로그인합니다.

Step 6

Manage(관리), Accounts(어카운트)를 클릭합니다.

Step 7

Add Account(어카운트 추가)를 클릭합니다.

Step 8

1단계에서 링크를 클릭하여 Google Cloud Platform Cloud Shell을 엽니다.

Step 9

2단계에서 Copy(복사) 버튼을 클릭합니다.

Step 10

Google Cloud Platform Cloud Shell에서 bash 스크립트를 실행합니다.

Step 11

이 GCP 어카운트의 이름을 입력합니다. GCP 프로젝트 이름과 동일하게 이름을 지정할 수 있습니다. 이 이름은 Multicloud Defense 컨트롤러에서만 표시됩니다.

Step 12

(선택 사항) 설명을 입력합니다.

Step 13

GCP 프로젝트의 프로젝트 ID를 입력합니다.

Step 14

Multicloud Defense 컨트롤러에 대해 생성된 서비스 어카운트의 Client Email(클라이언트 이메일)을 입력합니다.

Step 15

서비스 어카운트의 개인 키를 입력합니다.

Step 16

Save & Continue(저장 후 계속)를 클릭합니다.

What to do next

트래픽 가시성을 활성화합니다.

역할 생성자: Multicloud Defense

제공된 스크립트를 사용하여 클라우드 서비스 어카운트를 Multicloud Defense 컨트롤러에 온보딩할 경우 서비스 간 통신이 보호되도록 클라우드 통신 사업자의 매개변수 내에서 사용자 역할이 생성됩니다. 클라우드 통신 사업자에 따라 서로 다른 역할 및 권한이 생성됩니다.

어카운트를 온보딩할 때 다음 역할이 생성됩니다.

GCP IAM 역할

이 문서에서는 이전 섹션에서 사용된 CloudFormation 템플릿으로 생성된 서비스 어카운트에 대해 자세히 설명합니다.

CloudFormation 템플릿은 다음 어카운트를 생성합니다.

  • ciscomcd-controller service account - 이 어카운트는 Multicloud Defense 컨트롤러가 GCP 프로젝트에 액세스하여 게이트웨이에 대한 리소스(Multicloud Defense 게이트웨이), 로드 밸런서를 생성하고 VPC, 서브넷, 보안 그룹 태그 등에 대한 정보를 읽는 데 사용됩니다. 자세한 내용은 GCP 컨트롤러 서비스 어카운트 생성 개요를 참조하십시오.

  • ciscomcd-firewall 서비스 어카운트 - 이 어카운트는 Multicloud Defense 게이트웨이(컴퓨팅 VM 인스턴스)에 할당됩니다. 어카운트는 Secret Manager(TLS 암호 해독용 개인 키) 및 스토리지에 대한 액세스를 제공합니다. 또한 여러 게이트웨이에는 (사용자가 구성한 경우) Multicloud Defense 게이트웨이에서 GCP 로그를 전송하려면 로그 작성자 권한이 필요합니다. 자세한 내용은 GCP 방화벽 서비스 어카운트를 생성합니다.를 참조하십시오.