개요

Google Cloud를 위한 Gemini는 상시 사용 가능한 AI 파트너로, 기술 수준과 관계없이 모든 사용자에게 필요한 도움을 제공합니다. 이 실습에서는 Security Command Center의 Gemini 기능을 사용하여 Google Cloud 환경에서 보안과 관련된 구성 오류를 식별하고 해결하는 방법을 알아봅니다.

참고: Duet AI의 이름이 Google의 차세대 모델인 Gemini로 변경되었습니다. 이 같은 변경사항을 반영하도록 실습을 업데이트했습니다. 실습 안내를 따르는 동안 사용자 인터페이스 또는 문서에 Duet AI가 언급되면 이를 Gemini와 동일하게 취급하세요. 참고: Gemini는 아직 초기 단계의 기술로, 그럴듯해 보이지만 실제로는 잘못된 출력을 생성할 수 있습니다. Gemini의 모든 출력을 사용 전에 미리 검사하는 것이 좋습니다. 자세한 내용은 Google Cloud를 위한 Gemini와 책임감 있는 AI를 참조하세요.

목표

이 실습에서는 다음 작업을 실행하는 방법을 알아봅니다.

• Google Cloud 프로젝트에서 Gemini 사용 설정
• Google Cloud 환경에 예시 워크로드 배포
• Gemini를 사용해 보안 구성 오류 식별
• Gemini를 사용해 보안 구성 오류 해결

시나리오

보안 상황을 개선하기 위한 방법을 찾기 위해 인프라를 모니터링할 때 Gemini를 사용하면 인프라 또는 구성 변경사항을 식별하여 앞으로 발생할 문제를 예방하는 데 도움을 받을 수 있습니다.

이 예시에서는 관리형 Kubernetes 클러스터가 정기적으로 배포되는 어느 전자상거래 업체의 보안 엔지니어라고 가정하고 문제를 해결해 보겠습니다. 보안 엔지니어로서 구성 오류가 있는지 여부를 파악하는 방법을 알아야 하며, 클라우드 환경에서 그러한 문제를 해결하는 데 도움이 되는 간단한 안내를 살펴봐야 합니다.

설정 및 요건

각 실습에서는 정해진 기간 동안 새 Google Cloud 프로젝트와 리소스 집합이 무료로 제공됩니다.

1. 시크릿 창을 사용하여 Qwiklabs에 로그인합니다.

2. 실습 사용 가능 시간(예: 1:15:00)을 참고하여 해당 시간 내에 완료합니다.
   일시중지 기능은 없습니다. 필요한 경우 다시 시작할 수 있지만 처음부터 시작해야 합니다.

3. 준비가 되면 실습 시작을 클릭합니다.

4. 실습 사용자 인증 정보(사용자 이름 및 비밀번호)를 기록해 두세요. Google Cloud Console에 로그인합니다.

5. Google Console 열기를 클릭합니다.

6. 다른 계정 사용을 클릭한 다음, 안내 메시지에 이 실습에 대한 사용자 인증 정보를 복사하여 붙여넣습니다.
   다른 사용자 인증 정보를 사용하는 경우 오류가 발생하거나 요금이 부과됩니다.

7. 약관에 동의하고 리소스 복구 페이지를 건너뜁니다.

작업 1. Gemini 사용 설정

우선 Google Cloud 프로젝트에서 Gemini를 사용 설정하고 Google Cloud Qwiklabs 사용자 계정에 필요한 권한을 구성합니다.

1. Google Cloud 콘솔 툴바의 오른쪽 상단에 있는 Cloud Shell 아이콘()을 클릭합니다.

2. 프로젝트 ID와 리전 환경 변수를 설정하려면 다음 명령어를 실행합니다.

PROJECT_ID=$(gcloud config get-value project) REGION={{{project_0.default_region|lab region}}} echo "PROJECT_ID=${PROJECT_ID}" echo "REGION=${REGION}"

3. 로그인한 Google 사용자 계정을 환경 변수에 저장하려면 다음 명령어를 실행합니다.

USER=$(gcloud config get-value account 2> /dev/null) echo "USER=${USER}"

4. 메시지가 표시되면 승인을 클릭합니다.

5. Gemini용 Cloud AI Companion API를 사용 설정합니다.

gcloud services enable cloudaicompanion.googleapis.com --project ${PROJECT_ID}

6. Gemini를 사용하려면 필요한 IAM 역할을 Google Cloud Qwiklabs 사용자 계정에 부여합니다.

gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/cloudaicompanion.user gcloud projects add-iam-policy-binding ${PROJECT_ID} --member user:${USER} --role=roles/serviceusage.serviceUsageViewer

이러한 역할을 추가하면 사용자가 Gemini 지원을 받을 수 있습니다.

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. Gemini 사용 설정

작업 2. GKE 클러스터 만들기 및 웹 앱 배포

이제 몇 가지 마이크로서비스를 실행하는 Google Kubernetes Engine(GKE) 클러스터를 만듭니다.

1. 다음 명령어를 실행하여 test라는 GKE 클러스터를 만듭니다.

gcloud container clusters create test --region={{{project_0.default_region|lab region}}} --num-nodes=1

이 작업에는 몇 분 정도 걸릴 수 있습니다. 작업이 완료되면 다음과 유사한 결과가 표시됩니다.

Creating cluster test in {{{project_0.default_region|lab region}}}... Cluster is being health-checked (master is healthy)...done. Created [https://container.googleapis.com/v1/projects/agmsb-gke-lab/zones/us-central1/clusters/test]. To inspect the contents of your cluster, go to: https://console.cloud.google.com/kubernetes/workload_/gcloud/us-central1/test?project=agmsb-gke-lab kubeconfig entry generated for test. NAME: test LOCATION: {{{project_0.default_region|lab region}}} MASTER_VERSION: 1.27.3-gke.100 MASTER_IP: 34.66.224.143 MACHINE_TYPE: e2-medium NODE_VERSION: 1.27.3-gke.100 NUM_NODES: 3 STATUS: RUNNING

2. 이제 웹 앱용 코드가 포함된 저장소를 클론합니다.

git clone https://github.com/GoogleCloudPlatform/microservices-demo && cd microservices-demo

3. kubectl을 사용하여 일련의 마이크로서비스를 GKE 클러스터에 배포합니다.

kubectl apply -f ./release/kubernetes-manifests.yaml

4. 몇 분 후에 다음 명령어를 실행하여 브라우저에서 웹 앱에 액세스하기 위한 공개 IP 주소를 받습니다.

kubectl get service frontend-external | awk '{print $4}'

5. 위 명령어의 결과에서 IP 주소를 복사하여 새 브라우저 탭에 붙여넣습니다.

다음과 유사한 웹 앱이 나타납니다.

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. GKE 클러스터 만들기 및 웹 앱 배포

작업 3. Gemini를 사용해 보안 구성 오류 식별

전자상거래 앱을 실행하는 기존 GKE 클러스터가 있습니다. 이 상황에서 Gemini를 사용해 보안 상황을 개선할 수 있는 영역을 식별해 보겠습니다.

1. Google Cloud 콘솔이 있는 탭으로 돌아갑니다.

2. Google Cloud 콘솔 페이지를 새로고침합니다.

3. Cloud Shell 창을 최소화합니다.

4. Google Cloud 콘솔 툴바의 오른쪽 상단에 있는 Gemini 아이콘()을 클릭합니다.

5. 채팅 시작을 클릭합니다.

6. 다음 프롬프트를 입력합니다.

GKE 클러스터를 실행하는 일련의 마이크로서비스에 대한 보안 개선 영역을 식별하는 데 도움이 되는 Google Cloud 서비스는?

Gemini가 다음과 유사한 대답을 표시합니다.

GKE 클러스터를 실행하는 일련의 마이크로서비스에 대한 보안 개선 영역을 식별하는 데 도움이 되는 Google Cloud 서비스에는 여러 가지가 있습니다. 예를 들면 다음과 같습니다.

• Security Command Center는 GKE 클러스터를 포함한 Google Cloud 환경 전반에서 보안 위험을 식별하고 우선순위를 정하는 데 도움을 줄 수 있습니다.
• Cloud 애셋 인벤토리는 GKE 클러스터를 포함한 Google Cloud 리소스를 추적하고 관리하는 데 도움을 줄 수 있습니다.
• Cloud Logging은 GKE 클러스터의 로그를 수집하고 분석하는 데 도움을 줄 수 있습니다.
• Cloud Monitoring은 GKE 클러스터의 성능과 상태를 모니터링하는 데 도움을 줄 수 있습니다.

이는 마이크로서비스의 보안을 개선하는 데 도움을 줄 수 있는 여러 가지 Google Cloud 서비스 중 일부에 불과합니다. 이러한 서비스를 사용하면 무단 액세스로부터 데이터를 보호할 뿐만 아니라 시간이 지남에 따라 보안 상황을 개선할 수 있습니다.

이 시나리오에서는 Security Command Center로 시작하는 것이 좋을 것 같습니다.

7. 탐색 메뉴를 열고 보안 > 위험 개요를 선택합니다.

취약점에 대해 설명하는 여러 시각 자료가 보입니다. 이 상황에서 Security Command Center에서 취약점으로 분류되는 항목을 빠르게 파악할 수 있도록 도와달라고 Gemini에 요청하고자 합니다.

8. 다음 프롬프트를 입력합니다.

Security Command Center는 취약점을 어떻게 정의하나?

Gemini가 다음과 유사한 대답을 표시합니다.

Security Command Center는 취약점을 공격자가 액세스 권한을 얻기 위해 또는 Google Cloud 환경을 손상시키기 위해 사용할 수 있는 소프트웨어 프로그램의 결함 또는 약점으로 정의합니다.

출처: https://cloud.google.com/security-command-center/docs/finding-classes

9. 여러 발견 항목 클래스를 더 잘 구별하는 방법을 알아보려면 문서 링크를 클릭하세요.

10. 관련 내용을 읽은 다음, 탭을 닫고 Google Cloud 콘솔로 돌아갑니다.

11. Google Cloud 콘솔의 사이드바에서 발견 항목을 클릭합니다.

12. GKE 클러스터에서 발견 항목을 확인하려면 '빠른 필터' 섹션을 찾은 후, 리소스 유형 아래에서 Google 컨테이너 클러스터를 선택합니다.

보통 심각도의 발견 항목이 여러 개 표시됩니다.

13. 클러스터 보안 비밀 암호화 사용 중지됨 발견 항목을 클릭합니다.

발견 항목 패널 상단에 Gemini의 요약이 포함된 'AI 생성 요약'이라는 섹션이 표시됩니다. 다음과 유사합니다.

Security Command Center의 Security Health Analytics가 test라는 google.container.Cluster에서 CLUSTER_SECRETS_ENCRYPTION_DISABLED 유형의 MEDIUM 심각도 발견 항목을 식별했습니다...

이 발견 항목은 클러스터에 애플리케이션 계층 보안 비밀 암호화가 사용 설정되어 있지 않다는 걸 나타냅니다. 이는 민감한 정보(예: 사용자 정의 보안 비밀, 서비스 계정 키 등 클러스터 작업에 필요한 보안 비밀)가 etcd에 일반 텍스트로 저장된다는 의미입니다. etcd에 대한 액세스 권한을 얻은 공격자가 이러한 보안 비밀을 읽을 수 있으므로 보안 위험이 발생하게 됩니다.

이 발견 항목을 수정하려면 클러스터에 애플리케이션 계층 보안 비밀 암호화를 사용 설정해야 합니다. 그러려면 Google Kubernetes Engine(GKE) 콘솔로 이동한 다음 보안 탭을 클릭하면 됩니다. 애플리케이션 계층 보안 비밀 암호화에서 애플리케이션 계층 보안 비밀 암호화 수정을 클릭합니다. 애플리케이션 계층 보안 비밀 암호화 사용 설정 체크박스를 선택하고 데이터베이스 암호화 키를 선택합니다. 변경사항 저장을 클릭합니다...

이 Gemini의 요약은 발견 항목에 대한 짧은 설명을 바탕으로 확장되었으며 일반 텍스트로 보안 비밀을 저장하는 것과 관련한 문제를 자세히 설명합니다. 또한 이러한 발견 항목을 해결하기 위해 취할 수 있는 한 가지 방법에 대한 안내를 제공합니다.

14. 이 정보 패널에서 나갑니다.

15. 다음으로 권한이 과도하게 부여된 계정 발견 항목을 클릭한 다음 Gemini가 제공하는 요약을 확인합니다. 다음과 유사합니다.

Security Command Center의 Security Health Analytics가 test라는 google.container.Cluster에서 OVER_PRIVILEGED_ACCOUNT 유형의 MEDIUM 심각도 발견 항목을 식별했습니다...

이 발견 항목은 GKE 노드가 기본적으로 폭넓은 액세스 권한 보유하며 Kubernetes Engine 클러스터를 실행하기 위한 권한이 과도하게 부여되었을 수 있는 Compute Engine 기본 서비스 계정을 사용한다는 사실에서 비롯된 것입니다.

이 발견 항목은 Compute Engine 기본 서비스 계정이 GKE 클러스터를 포함한 프로젝트 내 모든 리소스에 대해 액세스 권한을 보유하고 있으므로 위험할 수 있습니다. 만약 공격자가 이 서비스 계정에 대한 액세스 권한을 얻는다면 프로젝트 내 모든 리소스에 액세스할 수 있을 것입니다...

이 요약은 GKE 클러스터에 사용할 수 있는 최소 권한의 서비스 계정을 만들어 발견 항목을 해결하는 방법에 관해 Google의 구체적인 문서를 바탕으로 정보를 제시합니다.

16. 이 정보 패널에서 나갑니다.

17. 마지막으로 마스터 승인 네트워크 사용 중지됨 발견 항목을 클릭합니다. Gemini가 패널에 다음과 유사한 대답을 표시합니다.

Security Command Center의 Security Health Analytics가 test라는 google.container.Cluster에서 MASTER_AUTHORIZED_NETWORKS_DISABLED 유형의 MEDIUM 심각도 발견 항목을 식별했습니다...

제어 영역 승인 네트워크는 지정된 IP 주소에서 클러스터의 제어 영역에 액세스할 수 없도록 차단하여 컨테이너 클러스터의 보안을 강화합니다.

이 발견 항목을 수정하려면 Kubernetes 클러스터로 이동한 다음 수정을 클릭합니다. 클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없다면 몇 분 후 다시 시도하세요. 제어 영역 승인 네트워크 드롭다운 목록에서 사용 설정됨을 선택합니다. 승인된 네트워크 추가를 클릭합니다. 사용할 승인 네트워크를 지정하세요. 저장을 클릭합니다....

18. 이 정보 패널에서 나갑니다.

이제 환경의 보안 구성 오류에 대해 어느 정도 이해하게 되었으니 Gemini의 추천을 활용하여 이를 해결해 보겠습니다.

작업 4. 보안 구성 오류 해결

GKE 클러스터의 보안을 개선할 수 있는 여러 영역을 검토할 수 있었습니다. 이제 Security Command Center에서 Gemini의 요약을 통해 제공된 안내를 사용하여 '마스터 승인 네트워크 사용 중지됨' 발견 항목을 해결해 보겠습니다.

1. 탐색 메뉴를 열고 Kubernetes Engine > 클러스터를 선택합니다.

2. 앞서 만든 클러스터의 이름('test')을 클릭합니다.

3. 네트워킹 섹션까지 아래로 스크롤합니다.

4. 제어 영역 승인 네트워크 옆에 있는 연필 아이콘을 클릭합니다.

5. 제어 영역 승인 네트워크 사용 설정 옆에 있는 체크박스를 선택합니다.

6. Google Cloud 공개 IP 주소를 통한 액세스 허용 아래에 있는 체크박스를 선택합니다.

7. 변경사항 저장을 클릭합니다.

8. 사이드바에서 클러스터를 클릭합니다.

상태 섹션의 회전 바퀴 아이콘을 통해 클러스터가 업데이트되는 것을 확인할 수 있습니다.

9. 제어 영역에 대한 네트워크 정책 업데이트가 진행되는 동안 Google Cloud 콘솔 툴바에서 Gemini를 엽니다.

10. 다음 프롬프트를 입력합니다.

GKE에서 제어 영역 승인 네트워크는 어떤 방식으로 작동하나?

Gemini가 다음과 유사한 대답을 표시합니다.

제어 영역 승인 네트워크를 사용하면 GKE 클러스터의 제어 영역에 대한 액세스를 제한할 수 있습니다. 기본적으로 제어 영역은 모든 주소에서 액세스 가능합니다. 하지만 하나 이상의 승인된 네트워크를 추가하여 해당 네트워크에만 액세스하도록 제한할 수 있습니다.

승인된 네트워크를 추가하려면 Google Cloud 콘솔의 Google Kubernetes Engine 페이지로 이동합니다. 수정할 클러스터의 이름을 클릭합니다. '네트워킹'의 '제어 영역 승인 네트워크' 필드에서 '제어 영역 승인 네트워크 수정'을 클릭합니다...

업데이트된 제어 영역 정책을 적용하는 데 몇 분 정도 걸릴 수 있습니다.

11. 클러스터 옆에 있는 상태 열에 녹색 체크표시가 나타나면 클러스터 구성이 성공적으로 업데이트된 것입니다.

내 진행 상황 확인하기를 클릭하여 실행한 작업을 확인합니다. 보안 구성 오류 해결

실습 종료

실습을 완료하면 실습 종료를 클릭합니다. Qwiklabs에서 사용된 리소스를 자동으로 삭제하고 계정을 지웁니다.

실습 경험을 평가할 수 있습니다. 해당하는 별표 수를 선택하고 의견을 입력한 후 제출을 클릭합니다.

별점의 의미는 다음과 같습니다.

• 별표 1개 = 매우 불만족
• 별표 2개 = 불만족
• 별표 3개 = 중간
• 별표 4개 = 만족
• 별표 5개 = 매우 만족

의견을 제공하고 싶지 않다면 대화상자를 닫으면 됩니다.

의견이나 제안 또는 수정할 사항이 있다면 지원 탭을 사용하세요.

Copyright 2024 Google LLC All rights reserved. Google 및 Google 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표일 수 있습니다.