민감한 작업 알림 개요

클라우드 환경을 보호하려면 Identity and Access Management 계정을 손상으로부터 보호해야 합니다. 권한이 있는 사용자 계정이 손상되면 공격자가 클라우드 환경을 변경할 수 있으므로 잠재적인 손상을 감지하는 것은 모든 규모의 조직을 보호하는 데 필수적입니다. 조직의 보안을 유지하기 위해Google Cloud 는 IAM 사용자 계정에서 수행한 민감한 작업을 기록하고, 이러한 작업을 조직 관리자에게 고문 알림을 통해 직접 알립니다.

민감한 작업은 도용된 계정을 사용하는 악의적인 행위자가 수행할 경우 Google Cloud 조직에 상당한 부정적인 영향을 줄 수 있는 작업입니다. 이러한 작업 자체는 반드시 조직에 위협이 되거나 계정이 도용되었음을 나타내는 것은 아닙니다. 하지만 사용자가 합법적인 목적으로 이 조치를 취했는지 확인하는 것이 좋습니다.

민감한 작업 알림을 받는 대상

Google Cloud 는 보안을 위해 조직 수준의 필수 연락처에 이메일 알림을 보내 민감한 작업을 조직에 알립니다. 필수 연락처가 구성되어 있지 않으면 조직 수준에서 조직 관리자 IAM 역할을 가진 모든 계정으로 이메일 알림이 전송됩니다.

선택 해제

조직에서 민감한 작업 알림을 받지 않으려면 이러한 알림을 선택 해제할 수 있습니다. 자세한 내용은 알림 구성을 참고하세요. 민감한 작업 알림을 선택 해제하면 고지 알림을 통해 전송되는 알림에만 영향을 미칩니다. 민감한 작업 로그는 항상 생성되며 알림을 선택 해제해도 영향을 받지 않습니다. Security Command Center를 사용하는 경우 민감한 작업 알림을 선택 해제해도 민감한 작업 서비스는 영향을 받지 않습니다.

민감한 작업 작동 방식

Google Cloud 는 조직의 관리자 활동 감사 로그를 모니터링하여 민감한 작업을 감지합니다. 민감한 작업이 감지되면 Google Cloud 활동이 발생한 동일한 리소스의 민감한 작업 서비스 플랫폼 로그에 작업을 기록합니다. Google Cloud 또한 Advisory Notifications를 통해 전송되는 알림에 이벤트를 포함합니다.

알림 빈도

조직에서 민감한 작업이 처음 발견되면 초기 작업과 그 후 1시간 이내에 발생한 다른 작업이 포함된 보고서가 전송됩니다. 최초 신고 후에는 조직에서 발생한 새로운 민감한 작업에 대한 신고가 최대 30일마다 한 번 전송됩니다. 조직에서 오랫동안 민감한 작업이 없었던 경우 다음에 민감한 작업이 감지되면 1시간 보고서가 전송될 수 있습니다.

민감한 작업이 생성되지 않는 경우

Google Cloud 는 작업을 실행하는 주 구성원이 사용자 계정인 경우에만 민감한 작업을 보고합니다. 서비스 계정에서 실행한 작업은 보고되지 않습니다. Google은 최종 사용자 사용자 인증 정보에 액세스하여 이를 사용하여 클라우드 환경에서 원치 않는 작업을 실행하는 공격으로부터 보호하기 위해 이 기능을 개발했습니다. 이러한 작업의 대부분은 서비스 계정의 일반적인 동작이므로 이러한 ID에 대해서는 로그와 조언 알림이 생성되지 않습니다.

관리자 활동 감사 로그가 특정 리전 (global 리전이 아님)에 위치하도록 구성한 경우 민감한 작업을 감지할 수 없습니다. 예를 들어 특정 리소스의 _Required 로그 버킷에 대해 스토리지 리전을 지정한 경우 해당 리소스의 로그는 민감한 작업이 있는지 검사할 수 없습니다.

관리자 활동 감사 로그를 고객 관리 암호화 키로 암호화하도록 구성한 경우 로그에서 민감한 작업을 검사할 수 없습니다.

Security Command Center의 민감한 작업

Security Command Center를 사용하는 경우 민감한 작업 서비스를 통해 민감한 작업을 발견 항목으로 받을 수 있습니다.

민감한 작업 로그 및 고지 알림은 조직의 계정 동작에 대한 한 가지 관점을 제공하지만 Security Command Center는 더 복잡하거나 규모가 크거나 중요한 워크로드와 환경을 보호하는 보안팀에 추가적인 통계 및 관리 기능을 제공합니다. 민감한 작업을 전반적인 보안 모니터링 전략의 일부로 모니터링하는 것이 좋습니다.

Security Command Center에 대한 자세한 내용은 다음을 참고하세요.

가격 책정

고지 알림의 민감한 작업 알림은 추가 비용 없이 제공됩니다. Cloud Logging의 민감한 작업 로그에는 Logging 가격 책정에 따라 처리 및 저장소 비용이 발생합니다. 민감한 작업 로그 항목의 양은 조직의 사용자 계정이 민감한 작업을 실행하는 빈도에 따라 다릅니다. 이러한 작업은 일반적이지 않습니다.

민감한 작업 유형

Google Cloud 는 다음과 같은 유형의 민감한 작업을 알려줍니다.

Sensitive Roles Added

소유자 (roles/owner) 또는 편집자 (roles/editor) IAM 역할이 있는 사용자에게 조직 수준에서 권한이 부여되었습니다. 이러한 역할은 조직 전반에서 수많은 작업을 허용합니다.

Billing Admin Removed

조직 수준에서 결제 계정 관리자 (roles/billing.admin) IAM 역할이 삭제되었습니다. 이 역할을 삭제하면 사용자가 가시성을 갖지 못하게 되고 공격자가 감지되지 않도록 하는 메커니즘이 제공될 수 있습니다.

Organization Policy Changed

조직 수준에서 조직 정책이 생성, 업데이트 또는 삭제되었습니다. 이 수준의 조직 정책은 조직의 모든Google Cloud 리소스의 보안에 영향을 미칠 수 있습니다.

Project-level SSH Key Added

이전에 이러한 키가 없었던 Google Cloud 프로젝트에 프로젝트 수준 SSH 키가 추가되었습니다. 프로젝트 수준 SSH 키는 프로젝트의 모든 가상 머신 (VM)에 대한 액세스 권한을 부여할 수 있습니다.

GPU Instance Created

최근에 해당 프로젝트에서 GPU 인스턴스를 만들지 않은 사용자가 프로젝트에 GPU가 있는 VM을 만들었습니다. GPU가 있는 Compute Engine 인스턴스는 암호화폐 채굴과 같은 워크로드를 호스팅할 수 있습니다.

Many Instances Created

사용자가 특정 프로젝트에서 여러 VM 인스턴스를 만들었습니다. 대량의 VM 인스턴스는 암호화폐 채굴 또는 서비스 거부 공격과 같은 예상치 못한 워크로드에 사용될 수 있습니다.

Many Instances Deleted

사용자가 특정 프로젝트에서 여러 VM 인스턴스를 삭제했습니다. 인스턴스를 대량으로 삭제하면 비즈니스에 지장을 줄 수 있습니다.

다음 단계