달빛이 비추는 궁전에서

GCE, GCS, Bigquery Audit Log 확인

대표적인 GCP서비스인 GCE, GCS, Bigquery 감사 로그를 “Cloud Logging”에서 확인하는 방안입니다. GCE 자원접근 확인방안GCE 인스턴스 생성, 자원에 대한 로깅 확인GCE에 대한 로그만 확인하기 위해서는 아래 쿼리문을 사용합니다.protoPayload.serviceName="compute.googleapis.com" 그외 특정 활동에 대해 확인하기 위해서는 아래와 같습니다.- 인스턴스 생성resource.type="gce_instance"protoPayload.methodName:"compute.instances.insert"log_id("cloudaudit.googleapis.com/activity")- 인스턴스 삭제resource.type="gce_instance" pr..

목적 : 도메인을 사용하여, 조직에 속하게 되면 사용자들에게 로그인시 2단계 인증을 강제할 수 있습니다.단순히 ID/Password 보다 2차인증(문자, 앱, 통화등)을 받을 수 있으므로, 보안성 향상에 도움을 받을 수 있습니다.무엇보다 Cloud ID(Free)를 사용해도 무료로 지원됩니다.  조직설정admin.google.com 접속하여 아래의 메뉴로 접근합니다.메뉴 → 보안 → 인증 → 2단계 인증을 선택합니다. 조직을 볼 수 있으며, 오른쪽 탭에서 인증 사용여부를 알 수 있습니다. 각 기능 옵션은 다음과 같습니다.→ 사용자가 2단계 인증을 사용하도록 허용체크시 : 사용자들은 2단계 인증을 자율적으로 설정 진행할 수 있습니다.체크해제시 : 사용자들은 2단계 인증 자체를 사용할 수 없습니다. → 사용..

문서의 목적Site To Site VPN은 Public망이 아닌 Private 한 통신을 하기 위해 만들어진 방식GCP, AWS간 VPN 구성 후 통신을 하는 것이 본 문서의 목적이며인터넷에 있는 문서들이 2021년경 작성 되어있으며, 2025년 현재 AWS, GCP메뉴가 달라져서 작성하게 되었습니다.주의사항AWS VPN은 기본적으로 HA로 구성되게 되어 있습니다.VPN 생성시 기본적으로 Tunnel이 2개 생성 되며 삭제는 불가능 합니다. GCP에서 HA VPN은 NIC Interface 2개를 사용하여 터널을 맺습니다. AWS에서는 자기의 IP들은 2개지만, 상대편(Peer IP)는 한개만 지정할 수 있습니다. AWS적용하자면 GCP Interface 2개, AWS VPN연결을 2개 생성하여 총 4개..

목적 : 개인 Gmail이나, 조직 없이 진행하던 프로젝트를 ORG(조직)으로 이전하는 것을 테스트 후 정리 유의사항 : GCP의 리소스 계층 구조는 조직→폴더→ 프로젝트 → 리소스 입니다.즉 프로젝트는 상위 폴더, 조직(ORG)에 영향을 받습니다.조직에서 조직정책을 사용하고 있었다면 마이그레이션 된 이후부터는 상위의 조직정책 영향을 받으므로, 조직정책을 사용하시는지 사용한다면 해당 프로젝트에 영향받을 정책이 있는지 확인이 필요합니다.  본 문서의 참고사항입니다.No-ORG : Gmail(개인)ORG(조직) : seonggi-test.p-e.kr 1. 개인 Gmail로 생성한 프로젝트의 IAM및관리자 → IAM 으로 이동하여, 조직ORG에 속한 사용자에게 소유자 권한을 부여합니다. 소유자 권한 부여시에는..

서비스 제공시 플렛폼에서개발 → 검증 → 운영 각 스테이지을 거치도록 합니다.on-premise때는 배포툴을 이용하던가, vm이면 이미지 복사 여러 방안을 이용 했었습니다.Cloud에서는 권한을 이용하면 다른 프로젝트, 계정으로 이동이 가능합니다.AWS는 이미지를 AMI (Amazon Machine Image)라 하는데, 계정간 비공개로 공유가 가능하고이번 문서의 목표는 GCP의 image 공유 방안입니다.AWS는 계정베이스, GCP는 도메인 베이스라 이부분의 차이가 있습니다.구성은 아래와 같습니다.아래 실습에서는검증 프로젝트 : vpc subnet test운영 프로젝트 : My-20241124사용자는 운영 프로젝트의 onwer 입니다. GCP Console로 접근하여검증 프로젝트의 IAM에서 운영 프로..

문서의 목적Public Cloud 인 Google Cloud Platform은 리소스 생성, 삭제, 확인 여러 가지 업무를 Web Console에서 지원하고 있습니다.VPN, Interconnect를 통해 GCP의 리소스를 Public망이 아닌 Private망으로 접근은 가능합니다.다만, Web Console의 경우에는 Proxy Server를 통하여 접근하거나, 본 문서에서 작성하고자 하는 Bestion 역할이 가능한 VM을 이용하는 방안이 있습니다.Windows VM의 경우 사용이 간편하고 좋지만, 비교적 큰 자원의 VM을 사용하는 것과 라이선스 비용이 있습니다.본 문서에서는 linux에 X-windows(GUI)를 사용하여, 사용자가 Private망으로 GCP의 VM 원격터미널에 접근 후 Webco..

WebConsole에서 사용하는 Bigquery Studio가 아닌 toad, HeidiSQL, DBeaver등 DB TOOL로 접속이 필요할 경우가 있습니다. 이중 2024년 DBeaver은 Bigquery를 지원하는 것을 확인하였습니다. SA키를 발급받아, DBeaver에서 Bigquery를 접속하는 방안에 대해 기술합니다. 서비스 계정 생성Console > IAM & Admin > Service Accounts“CREATE SERVICE ACCOUNT” 선택 SA키를 생성합니다.적절한 account name과 description을 설정합니다.Role은 환경에 맞도록 설정합니다.본 테스트 문서에서는 연결 테스트 이므로 BigQuery Admin으로 설정하였습니다.사용자에게 SA 계정에 대한 액세스가..

목적 : SSH(Secure Shell)는 원격 호스트에 접속하기 위해 사용되는 보안 프로토콜입니다.기본으로 22 Port를 사용하며, 이미 알려진 well-known port 이므로, 무작위 대입 공격을 방지 하는 방법 중 하나로 포트를 변경해서 사용합니다. 본 문서에서는 기운영 중인 OS의 config파일을 변경하여 적용하는 방법과 GCP의 템플릿, 메타데이터를 사용하여 프로젝트 전체에 적용하는 방법을 기술합니다. 유의사항 : 이번 문서에서 GCP 메타데이터, 시작 스크립트를 통한 SSH Port를 변경하는 방법은 다양하게 있습니다.기본적인 이해를 위해 확인하되, Docs를 참고하여 고객사 상황에 맞게 적용하는 것이 좋습니다. 또한 SSH 접속포트가 변경 되었으므로,  변경한 포트에 대한 방화벽 규칙..

목적 : On-premise에서 전체를 총괄하는 책임자도 있지만, 네트워크 관리자, 서버, 각 솔루션 관리자들이 있습니다.네트워크 관리자가 모든 서브넷, 라우팅을 관리하고 네트워크보안 관리자가 방화벽, WAF, IPS등을 관리합니다.네트워크 관리자와 보안관리자가 각 서버에 IP도 부여하고, 방화벽 설정도 하지요.그래서 네트워크 관리자가 알려주지 않으면, 서버 관리자는 본인이 관리하는 서버외 다른 네트워크에 대해서는 모르는게 일반적 이었습니다.알필요도 없었으니까요. 즉 권한이 분산되어 사용되는 것이 보안적인 측면에서 좋다고 생각합니다.Cloud는 Shared VPC, VPC Peering 처럼 VPC를 연결하는 기술이 있습니다.중앙집중화인 Shared VPC와 분산형 VPC Peering 이 있습니다.그 ..

개요사무실, IDC에서 public망이 아닌 DX, VPN망을 이용하여 S3를 사용하기 위한 방안작성 입니다.S3외에도 DynamoDB 같은 SaaS형 서비스에는 적용됩니다.일반적으로 iaas 서비스는 VPN을 구성하면 그것으로 통신을 하지만, SaaS형 서비스들은 내가 서비스를 설치, 구성하는 것이 아닌 AWS에서 제공해주기에 Public망을 통해서만 연결할 수 있기 때문입니다.안전한 데이터 흐름을 위한 방안 중 하나라고 볼 수 있습니다.전체 구성도구성 특징On-Premise에서 S3에 Upload가 가능하도록 설정하며네트워크 구간의 보안을 위해 Direct Connect, VPN HA구성하여 설계S3는 보안성을 강화하기 위해 Access Log용  S3 Bucket을 별도로 설정Private Subn..