Google SecOps 인스턴스 온보딩
이 문서에서는 Google SecOps (SIEM 및 SOAR) 인스턴스를 온보딩(배포)하고 Google SecOps 패키지 등급 및 권한에 따라 Google SecOps 기능을 사용 설정하는 방법을 설명합니다. 이 온보딩 단계는 Standard, Enterprise, Enterprise Plus 등 다음 Google SecOps 패키지에 적용됩니다.
지정된 온보딩 SME(Google SecOps SME 또는 결제 관리자라고도 함)가 온보딩 프로세스를 실행합니다. 이 사용자는 Google SecOps의 조직 기본 연락처 역할을 합니다.
기본 요건
새 Google SecOps 인스턴스를 온보딩하기 전에 조직이 다음 기본 요건을 충족하는지 확인하세요.
Standard, Enterprise 또는 Enterprise Plus 중 하나의 Google SecOps 패키지에 대한 활성 등록
조직에서 서명한 Google SecOps 계약 이 계약을 통해 각 새 Google SecOps 인스턴스를 프로비저닝할 수 있습니다.
새 Google SecOps 인스턴스 배포
새 Google SecOps 인스턴스를 배포하려면 다음 단계를 따르세요.
Google SecOps 계약에 서명합니다.
조직에서 Google SecOps 계약에 서명하면 새 Google SecOps 인스턴스 프로비저닝이 시작됩니다. 이 작업을 통해 Google의 내부 온보딩 워크플로가 트리거되고 결제 계정 및 온보딩 SME의 이메일 주소를 비롯한 계약 세부정보가 Google 시스템에 등록됩니다.
-
온보딩 SME는 새 Google SecOps 인스턴스를 온보딩하기 전에 환경을 준비해야 합니다.
(선택사항) 추가 인스턴스를 배포하려면 지원팀에 문의하세요.
온보딩을 위한 환경 준비
온보딩 SME는 다음 섹션에 설명된 대로 Google SecOps 인스턴스를 온보딩하기 전에 환경을 준비해야 합니다.
- 온보딩을 실행할 수 있는 권한을 부여합니다.
- Assured Workloads 폴더 설정 (선택사항)
- Google Cloud 프로젝트 만들기 (선택사항)
- Google Cloud 프로젝트 구성
- ID 공급업체 구성
온보딩을 실행할 권한 부여
새 Google SecOps 인스턴스마다 필수 역할 및 권한에 설명된 대로 온보딩 SME에게 필요한 온보딩 역할과 권한을 부여합니다.
Assured Workloads 폴더 설정 (선택사항)
Assured Workloads 폴더를 만들려면 다음 단계를 따르세요.
- 새 Assured Workloads 폴더 만들기 페이지로 이동합니다.
- 목록에서 Assured Workloads 폴더에 적용할 제어 패키지* 유형을 선택합니다.
- 필수 IAM 역할 섹션에 나열된 필수 권한이 있는지 확인합니다.
...용 Assured Workloads 폴더 만들기 섹션의 단계를 따릅니다.
폴더를 설정할 때 다음 가이드라인을 고려하세요.
규정 준수 제어 테넌트 (인스턴스)는 FedRAMP, FedRAMP_MODERATE, HIPAA, PCI_DSS, FedRAMP_HIGH, IL4, IL5, CMEK_V1, DRZ_ADVANCED 중 하나 이상의 규정 준수 제어 표준을 준수해야 하는 테넌트입니다.
규정 준수 제어 테넌트와 연결된 모든 파일은 적절한 규정 준수 제어 표준에 맞게 구성된 Assured Workloads 폴더에 있어야 합니다.
Assured Workloads 폴더는 조직 수준에서 생성됩니다.
조직은 요구사항에 따라 각각 특정 규정 준수 제어 패키지에 전용인 여러 Assured Workloads 폴더를 만들 수 있습니다. 예를 들어 한 폴더는 FedRAMP_MODERATE 인스턴스를 지원하고 다른 폴더는 FedRAMP_HIGH 인스턴스를 지원할 수 있습니다.
규정 준수 제어 테넌트 (인스턴스)를 배포할 때는 다음 가이드라인을 고려하세요.
규정 준수 제어 테넌트 (인스턴스)를 Google Cloud Assured Workloads 폴더 내에 있는 프로젝트에 연결해야 합니다.
Google SecOps 인스턴스용 새 Google Cloud 프로젝트를 만들려면 필수 규정 준수 제어 패키지에 맞게 구성된 Assured Workloads 폴더 내에 프로젝트를 만들어야 합니다.
조직에 Assured Workloads 폴더가 없는 경우 폴더를 만들어야 합니다.
Google Cloud 프로젝트 만들기 (선택사항)
각 새 Google SecOps 인스턴스는Google Cloud 프로젝트에 연결되어야 합니다. 기존 Google Cloud 프로젝트를 사용하거나 새 프로젝트를 만들 수 있습니다.
새 Google Cloud 프로젝트를 만들려면 다음 단계를 따르세요.
FedRAMP 규정을 준수하는 테넌트 (인스턴스)의 경우 조직의 Assured Workloads 폴더 내에 프로젝트를 만듭니다. 조직에 필수 제어 패키지의 Assured Workloads 폴더가 없는 경우 폴더를 만듭니다.
프로젝트 만들기의 단계를 따릅니다.
Google Cloud 프로젝트 구성
Google Cloud 프로젝트는 연결된 Google SecOps 인스턴스의 제어 레이어 역할을 합니다.
제대로 설정하려면 Google SecOps용 Google Cloud 프로젝트 구성의 단계를 따르세요.
ID 공급업체 구성
Google SecOps 인스턴스의 사용자, 그룹, 인증을 관리하도록 ID 공급업체를 구성합니다.
지원되는 옵션은 두 가지입니다.
옵션 1: Google Cloud ID:
Google Workspace 계정이 있거나 IdP에서 Google Cloud로 ID를 동기화하는 경우 이 옵션을 사용하세요.
관리 사용자 계정을 만들어 Google Cloud 리소스와 Google SecOps 인스턴스에 대한 액세스 권한을 제어합니다.
사전 정의된 역할 또는 맞춤 역할을 사용하여 IAM 정책을 정의하여 사용자 및 그룹에 기능 액세스 권한을 부여합니다.
자세한 내용은 Google Cloud ID 공급업체 구성을 참고하세요.
옵션 2: 직원 ID 제휴:
서드 파티 IdP (예: Okta 또는 Azure AD)를 사용하는 경우 이 옵션을 사용합니다.
Google의 직원 ID 제휴를 구성하고 직원 ID 풀을 만듭니다. Google의 직원 ID 제휴를 사용하면 서비스 계정 키를 사용하지 않고도 온프레미스 또는 멀티 클라우드 워크로드에 Google Cloud 리소스에 대한 액세스 권한을 부여할 수 있습니다.
자세한 내용은 서드 파티 ID 공급업체 구성을 참고하세요.
새 Google SecOps 인스턴스 온보딩
Google 시스템에서 온보딩 SME에게 Google SecOps 온보딩 초대 이메일을 전송합니다. 이 이메일에는 설정 과정을 시작하기 위한 활성화 링크가 포함되어 있습니다.
온보딩을 위해 환경을 준비한 후 온보딩 SME는 다음을 수행해야 합니다.
- 초대 이메일에서 활성화 링크를 클릭합니다.
다음 섹션의 단계를 따라 Google SecOps 인스턴스를 배포합니다.
- 새 Google SecOps 인스턴스를 구성하고 Google Cloud 프로젝트에 연결합니다.
- IAM을 사용하여 기능 액세스 제어 구성
- 사용자의 데이터 RBAC 구성
- 액세스 제어 매개변수에 IdP 그룹 매핑을 클릭하여 배포를 완료합니다.
필수 역할 및 권한
이 섹션에는 Google SecOps 인스턴스를 배포하는 데 필요한 역할과 권한이 나와 있습니다. 배포 작업을 수행하는 온보딩 SME에게 다음 권한을 부여합니다.
- 모든 역할과 권한은 프로젝트 수준에서 부여해야 합니다. 이러한 권한은 지정된 Google Cloud 프로젝트 및 연결된 Google SecOps 인스턴스에만 적용됩니다. 인스턴스를 추가로 배포하려면 지원팀에 문의하세요.
- 다른 계약에 따라 다른 Google SecOps 인스턴스를 배포하는 경우 해당 배포에 대한 새로운 역할 및 권한을 부여해야 합니다.
온보딩 SME에게 다음 섹션에 나열된 역할과 권한을 부여합니다.
- Google 결제 계정의 권한
- 사전 정의된 IAM 역할
- Assured Workloads 폴더를 만들 권한
- Google Cloud 프로젝트 추가 권한
- ID 공급업체 구성 권한
- Google SecOps 인스턴스를 Google Cloud 서비스에 연결할 권한
- IAM을 사용하여 기능 액세스 제어를 구성하는 권한
- 데이터 액세스 제어를 구성할 수 있는 권한
- Google SecOps 고급 기능 요구사항
Google 결제 계정의 권한
온보딩 SME에게 계약에 지정된 Google 결제 계정에 대한 billing.resourceAssociations.list 권한을 부여합니다. 자세한 단계는 Cloud Billing 계정의 사용자 권한 업데이트를 참고하세요.
사전 정의된 IAM 역할
온보딩 SME에게 다음과 같은 사전 정의된 IAM 역할을 부여합니다.
Assured Workloads 폴더를 만들 권한
온보딩 SME에게 Assured Workloads 폴더를 만들고 관리할 수 있는 최소 IAM 권한이 포함된 Assured Workloads 관리자 (roles/assuredworkloads.admin) 역할을 부여합니다.
Google Cloud 프로젝트 추가 권한
온보딩 SME에게 Google Cloud 프로젝트를 만들고 Chronicle API를 사용 설정하는 데 필요한 프로젝트 생성자 권한을 부여합니다.
온보딩 SME에게 조직 수준의 프로젝트 생성자(
resourcemanager.projects.create) 권한이 있는 경우 추가 권한이 필요하지 않습니다.온보딩 SME에게 조직 수준의 프로젝트 생성자 권한이 없는 경우 다음 프로젝트 수준 IAM 역할을 부여합니다.
ID 공급업체 구성 권한
IdP를 사용하여 사용자, 그룹, 인증을 관리할 수 있습니다.
온보딩 SME에게 IdP 구성에 필요한 다음 권한을 부여합니다.
Cloud ID 또는 Google Workspace를 구성할 수 있는 권한
Cloud ID의 경우:
Cloud ID를 사용하는 경우 온보딩 SME에게 프로젝트, 폴더, 조직에 대한 액세스 관리에 설명된 역할과 권한을 부여합니다.
Google Workspace:
Google Workspace를 사용하는 경우 온보딩 SME에게 Cloud ID 관리자 계정이 있어야 하며 관리 콘솔에 로그인할 수 있어야 합니다.
Cloud ID 또는 Google Workspace를 ID 공급업체로 사용하는 방법에 대한 자세한 내용은 ID 공급업체 구성을 참고하세요. Google Cloud
서드 파티 IdP 구성 권한
서드 파티 IdP (예: Okta 또는 Azure AD)를 사용하는 경우 직원 ID 제휴와 직원 ID 풀을 함께 구성하여 보안 인증을 사용 설정합니다.
온보딩 SME에게 다음 IAM 역할 및 권한을 부여합니다.
편집자 (
roles/editor): Google SecOps에 바인딩된 프로젝트에 대한 프로젝트 편집자 권한조직 수준의 IAM 직원 풀 관리자 (
roles/iam.workforcePoolAdmin) 권한다음 예시를 사용하여
roles/iam.workforcePoolAdmin역할을 설정합니다.gcloud organizations add-iam-policy-binding ORGANIZATION_ID \ --member "user:USER_EMAIL" \ --role roles/iam.workforcePoolAdmin다음을 바꿉니다.
ORGANIZATION_ID: 숫자 조직 ID입니다.USER_EMAIL: 관리자의 이메일 주소입니다.
Google SecOps 인스턴스를 Google Cloud 서비스에 연결할 권한
온보딩 SME에게 Google Cloud 프로젝트 추가 권한과 동일한 권한을 부여합니다.
기존 Google SecOps 인스턴스를 마이그레이션하려는 경우 Google SecOps에 대한 액세스 권한이 필요합니다. 사전 정의된 역할 목록은 IAM의 Google SecOps 사전 정의된 역할을 참고하세요.
IAM을 사용하여 기능 액세스 제어를 구성하는 권한
온보딩 SME에게 프로젝트 수준에서 프로젝트 IAM 관리자 (
roles/resourcemanager.projectIamAdmin) 역할을 부여합니다. 이 권한은 프로젝트의 IAM 역할 바인딩을 할당하고 수정하는 데 필요합니다.사용자 책임에 따라 사용자에게 IAM 역할을 할당합니다. 예시는 사용자 및 그룹에 역할 할당을 참고하세요.
기존 Google SecOps 인스턴스를 IAM으로 마이그레이션하려면 온보딩 SME에게 ID 공급업체 구성 권한과 동일한 권한을 부여하세요.
데이터 액세스 제어를 구성할 수 있는 권한
온보딩 SME에게 다음 IAM 역할을 부여합니다.
- 사용자의 데이터 RBAC를 구성하기 위한 Chronicle API 관리자 (
roles/chronicle.admin) 및 역할 뷰어 (roles/iam.roleViewer) 역할 - 사용자에게 범위를 할당하기 위한 프로젝트 IAM 관리자 (
roles/resourcemanager.projectIamAdmin) 또는 보안 관리자 (roles/iam.securityAdmin) 역할
필요한 역할이 없으면 IAM에서 역할을 할당합니다.
Google SecOps 고급 기능 요구사항
다음 표에는 고객 제공 Google Cloud 프로젝트와 Google 직원 ID 제휴에 대한 Google SecOps 고급 기능과 종속 항목이 나와 있습니다.
| 역량 | Google Cloud 기초 | Google Cloud 프로젝트가 필요한가요? | IAM 통합이 필요한가요? |
|---|---|---|---|
| Cloud 감사 로그: 관리 활동 | Cloud 감사 로그 | 예 | 예 |
| Cloud 감사 로그: 데이터 액세스 | Cloud 감사 로그 | 예 | 예 |
| Cloud Billing: 온라인 구독 또는 사용한 만큼만 지불 | Cloud Billing | 예 | 아니요 |
| Chronicle API: 일반 액세스, 서드 파티 IdP를 사용하여 사용자 인증 정보 발급 및 관리 | Google Cloud API | 예 | 예 |
| Chronicle API: 일반 액세스, Cloud ID를 사용하여 사용자 인증 정보 발급 및 관리 | Google Cloud API, Cloud ID | 예 | 예 |
| 규정 준수 컨트롤: CMEK | Cloud Key Management Service 또는 Cloud 외부 키 관리자 | 예 | 아니요 |
| 규정 준수 제어: FedRAMP 높음 이상 | Assured Workloads | 예 | 예 |
| 규정을 준수하는 컨트롤: 조직 정책 서비스 | 조직 정책 서비스 | 예 | 아니요 |
| 연락처 관리: 법적 정보 공개 | 필수 연락처 | 예 | 아니요 |
| 상태 모니터링: 수집 파이프라인 서비스 중단 | Cloud Monitoring | 예 | 아니요 |
| 수집: 웹훅, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose | Identity and Access Management | 예 | 아니요 |
| 역할 기반 액세스 제어: 데이터 | Identity and Access Management | 예 | 예 |
| 역할 기반 액세스 제어: 기능 또는 리소스 | Identity and Access Management | 예 | 예 |
| 지원 액세스: 케이스 제출, 추적 | Cloud Customer Care | 예 | 아니요 |
| 통합 SecOps 인증 | Google 직원 ID 제휴 | 아니요 | 예 |
도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.