🛡️

Google Cloud Armor

보안공개 트래픽 필터링

Google Cloud Armor는 공개 서비스 앞단에서 악성 요청과 대량 공격을 걸러내는 보안 서비스입니다. 웹 트래픽이 백엔드에 닿기 전에 방어선을 세우는 엣지 보안 계층을 맡습니다.

▶아키텍처 다이어그램

🔗 관계 다이어그램

🌍Internet

⚖️Cloud LB

🛡️Cloud Armor

📏WAF Rules

🌊DDoS Filter

🤖Bot Control

🚀Backend Service

점선 애니메이션은 데이터 또는 요청의 흐름 방향을 나타냅니다

왜 필요한가요?

서비스를 인터넷에 공개하면 정상 사용자만 들어오는 것이 아니라 스캐너, 봇, 대량 공격도 함께 들어옵니다. 이 요청이 백엔드까지 그대로 도달하면 비용이 늘고 장애 복구도 더 어려워집니다.

왜 이런 방식이 등장했나요?

예전에는 방화벽 장비와 WAF 어플라이언스를 직접 운영하며 규칙을 관리해야 했습니다. 클라우드에서는 서비스 앞단이 글로벌 프런트도어로 통합되면서, 그 위치에서 L7 보안을 관리형으로 적용하는 방식이 자연스러워졌습니다.

안에서 어떻게 동작하나요?

Cloud Armor는 Cloud Load Balancing에 연결된 보안 정책으로 동작합니다. 요청이 들어오면 WAF 룰, IP와 지역 조건, rate limiting 정책을 먼저 검사하고, 허용된 요청만 백엔드 서비스로 전달합니다.

무엇과 헷갈리나요?

Cloud Armor와 Cloud IAM은 둘 다 접근을 제한하지만, Cloud Armor는 외부 HTTP 요청 패턴을 엣지에서 걸러내고 Cloud IAM은 사용자와 서비스 계정의 권한을 제어합니다. 인터넷 요청의 형태를 먼저 막아야 하면 Cloud Armor, 주체의 권한 자체를 정해야 하면 IAM이 맞습니다.

🔐

Cloud IAM

리소스 접근 권한 제어

둘 다 접근을 제한하지만, Cloud Armor는 인터넷 요청을 엣지에서 차단하고 Cloud IAM은 주체의 권한을 리소스/API 수준에서 제어합니다.

언제 쓰나요?

공개 API, 웹 애플리케이션, 멀티 리전 서비스의 앞단 보호에 적합합니다. 내부 호출 인증이나 서비스 계정 권한 관리 같은 주체 기반 보안 문제를 대신 해결해 주지는 않습니다.

OWASP 방어L7 DDoS 완화지역 제한봇 제어