Print
카테고리: [ Cloud Computing & MSA ]
조회수: 12969

1. 개요

GCP에서 "IAP(Identity-Aware Proxy) 중요 보안 업데이트" 라는 메일 옴


2. 내용

Google Cloud Platform 고객님께,
 
중요한 IAP(Identity-Aware Proxy) 보안 업데이트 내용을 알려드리고자 합니다. Google은 최근 IAP가 HTTP 요청을 승인하는 방식을 변경하여 앱과 서비스를 더욱 안전하게 보호하고 있습니다. 이를 통해 Google의 취약성 발견 보상 프로그램에서 보고된 문제를 다룹니다.
 
이러한 업데이트는 HTTP(S) 부하 분산기용 IAP에만 적용되고 TCP용 IAP에는 적용되지 않으며 2021년 9월 17일부터 시행되고 있습니다.
 
변경사항
 
IAP가 승인된 호스트에 대해서만 쿠키를 발행하도록 업데이트되었습니다. 호스트는 부하 분산기에 설치된 인증서 중 하나에서 1개 이상의 주체 대체 이름(SAN)과 일치하는 경우 승인된 호스트로 간주됩니다. 승인된 호스트만 쿠키를 발행받았는지 확인하면 앱과 서비스를 더 안전하게 보호할 수 있습니다.
 
확인 가능한 로그를 살펴본 결과, 이번 업데이트에서 다루는 문제를 악용한 사례는 찾을 수 없었습니다. 따라서 현재 귀하께서 취해야 할 조치는 없습니다. 하지만 일부 사용자는 이번 업데이트로 서비스 또는 앱에 액세스하는 데 문제를 겪을 수 있으며 시스템 관리자가 조치를 취해야 할 수 있습니다. 아래 취해야 할 조치를 참고하세요.
 
이번 업데이트 관련 Google Cloud 보안 게시판에서 변경사항에 대해 자세히 알아보시기 바랍니다.
 
취해야 할 조치
 
일부 사용자의 경우 앱이나 서비스에 액세스하려는 동안 IAP 오류 코드 52와 함께 HTTP 401 Unauthorized 응답 오류가 발생할 수 있습니다. 이러한 오류 코드는 클라이언트가 부하 분산기의 SSL 인증서와 연결된 주체 대체 이름(SAN)과 일치하지 않는 Host 헤더를 보냈음을 의미합니다. 시스템 관리자는 사용자가 IAP로 보호되는 앱 또는 서비스에 액세스하는 데 사용하는 모든 호스트 이름이 주체 대체 이름(SAN) 목록에 포함되도록 SSL 인증서를 업데이트해야 합니다. IAP 오류 코드에 대해 자세히 알아보세요.
 
도움이 필요하세요?
 
Google 서비스를 이용해 주셔서 감사드리며 불편을 끼쳐 드려 죄송합니다. 질문이 있거나 지원이 필요하시면 본 이메일에 회신하여 Google Cloud 지원팀에 문의하시기 바랍니다.