이 페이지에서는 Google Cloud 프로젝트에 Security Command Center 표준 등급이나 프리미엄 등급을 활성화하는 방법을 설명합니다.
전체 조직에 Security Command Center를 활성화하려면 다음 중 하나를 참조하세요.
기본 요건
프로젝트에서 Security Command Center를 활성화하려면 다음 하위 섹션에 설명된 다음 기본 요건을 충족해야 합니다.
- Security Command Center의 프로젝트 수준 활성화와 조직 수준 활성화의 차이점을 이해하려면 기본 요건 정보를 읽어보세요.
- 조직과 연결된 Google Cloud 프로젝트가 있어야 합니다.
- 사용자 계정에 필수 권한이 포함된 Identity and Access Management(IAM) 역할을 부여해야 합니다.
- 프로젝트가 도메인별로 ID를 제한하도록 설정된 조직 정책을 상속하는 경우 사용자 및 서비스 계정이 허용된 도메인에 있어야 합니다.
- Container Threat Detection을 사용하려면 Google Kubernetes Engine 클러스터가 Container Threat Detection을 지원해야 합니다.
기본 요건 정보
Security Command Center의 프로젝트 수준 활성화와 조직 수준 활성화의 차이점을 이해하려면 Security Command Center의 프로젝트 수준 사용 설정 개요를 참조하세요.
프로젝트 수준 활성화에서 지원되지 않는 서비스 및 Security Command Center 발견 항목에 대한 자세한 내용은 프로젝트 수준 활성화 서비스 제한사항을 참조하세요.
프로젝트 요구사항
프로젝트의 Security Command Center를 활성화하려면 프로젝트를 조직과 연결해야 합니다. 프로젝트를 만들어야 하는 경우 프로젝트 만들기 및 관리를 참조하세요.
이 태스크에 필요한 IAM 역할
Security Command Center를 설정하려면 Security Command Center를 사용 설정하는 프로젝트의 사용자 계정에 다음 IAM 역할이 부여되어야 합니다.
- 보안 센터 관리자
roles/securitycenter.admin
- 보안 관리자
roles/iam.securityAdmin
- 필요한 Security Command Center 서비스 계정이 조직 수준 활성화에서 아직 존재하지 않는 한
roles/iam.serviceAccountCreator
서비스 계정을 만듭니다.
Security Command Center 역할에 대해 자세히 알아보세요.
조직 정책 확인
프로젝트가 도메인별로 ID를 제한하도록 설정된 조직 정책을 상속하는 경우 다음 요구사항을 충족해야 합니다.
- 허용된 도메인에 있는 계정으로 Google Cloud 콘솔에 로그인해야 합니다.
- 서비스 계정은 허용된 도메인에 있거나 도메인 내 그룹의 구성원이어야 합니다. 이렇게 하면 도메인 제한 공유가 사용 설정된 경우
@*.gserviceaccount.com
서비스가 리소스에 액세스할 수 있습니다.
Container Threat Detection용 소프트웨어 버전 확인
Google Kubernetes Engine(GKE)에서 Container Threat Detection을 사용하려는 경우 클러스터가 지원되는 버전의 GKE에 있고 클러스터가 올바르게 구성되었는지 확인합니다. 자세한 내용은 Container Threat Detection 사용을 참조하세요.
프로젝트에 대한 활성화 시나리오
이 페이지에서는 다음 활성화 시나리오에 대해 설명합니다.
- Security Command Center를 활성화하지 않은 조직에서 프로젝트에 Security Command Center의 프리미엄 또는 표준 등급을 활성화합니다.
- 표준 등급을 사용하는 조직에서 프로젝트에 Security Command Center 프리미엄 등급을 활성화합니다.
- 만료되는 프리미엄 등급 구독을 사용하는 조직에서 프로젝트에 Security Command Center의 프리미엄 등급을 활성화합니다.
조직에서 Security Command Center를 사용하는지 여부에 따라 다른 방법을 사용하여 프로젝트에 Security Command Center를 활성화합니다.
조직에서 Security Command Center를 사용하지 않는 경우 Google Cloud 콘솔에서 일련의 설정 페이지를 안내합니다.
조직에서 Security Command Center를 사용하는 경우 설정 페이지의 등급 세부정보 탭을 사용하여 프로젝트에 Security Command Center 프리미엄을 활성화합니다.
Security Command Center가 조직에서 이미 활성 상태인지 확인
프로젝트에 Security Command Center를 활성화하는 방법은 Security Command Center가 조직에서 이미 활성 상태인지 여부에 따라 다릅니다.
Security Command Center가 조직에서 이미 활성 상태인지 확인하려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 Security Command Center 개요 페이지로 이동합니다.
Security Command Center를 활성화해야 하는 프로젝트의 이름을 선택합니다.
프로젝트를 선택하면 다음 페이지 중 하나가 열립니다.
- Security Command Center가 조직에서 활성 상태이면 위험 개요 페이지가 열립니다.
- Security Command Center가 조직에서 활성화되지 않은 경우 프로젝트에 대한 활성화 프로세스를 시작할 수 있는 Security Command Center 설정 페이지가 열립니다.
Security Command Center가 조직에서 이미 활성 상태인 경우 현재 활성 상태인 서비스 등급을 확인합니다.
Security Command Center 설정 페이지를 엽니다.
설정 페이지에서 등급 세부정보를 클릭합니다. 등급 페이지가 열립니다.
등급 행에 프로젝트가 상속하는 서비스 등급이 나열됩니다.
프로젝트에 Security Command Center를 활성화하려면 상위 조직에서 Security Command Center의 활성화 상태 절차를 따르세요.
Security Command Center가 조직에서 활성 상태인 경우 프로젝트에 활성화
Security Command Center가 이미 조직에서 활성 상태인 경우 최소한 프로젝트는 표준 등급의 사용을 상속하므로 프로젝트 수준에서 활성화해야 하는 유일한 서비스 등급은 프리미엄 등급입니다.
각 등급에 포함된 기능을 검토하려면 Security Command Center 등급을 참조하세요.
Security Command Center가 조직에서 활성 상태인 경우 Google Cloud 콘솔에서 프로젝트를 선택한 다음 Security Command Center 설정 페이지에서 프리미엄 등급을 선택하여 프로젝트 수준 활성화 프로세스를 시작합니다.
설정 페이지에서 등급 세부정보 탭을 엽니다.
등급 세부정보 페이지로 이동하기 전에 프로젝트 선택 페이지가 열립니다.
프로젝트를 선택합니다. 등급 세부정보 페이지가 열립니다.
등급 세부정보 페이지에서 다음 옵션 중 하나를 클릭합니다.
- 프로젝트 등급 관리
- 프리미엄 가입
등급 관리 페이지가 열립니다.
등급 관리 페이지에서 프리미엄을 선택합니다.
다음을 클릭합니다. 서비스 페이지가 열립니다.
서비스 페이지에서 나열된 서비스의 왼쪽에 있는 메뉴에서 다음 값 중 하나를 선택하여 필요에 따라 기본 제공 서비스를 사용 설정하거나 사용 중지합니다.
- 상속(기본 항목)
- 사용 설정
- 사용 중지
Security Command Center의 활성화를 완료했습니다. 이제 초기 스캔이 완료될 때까지 기다립니다.
Security Command Center가 조직에서 활성 상태가 아닌 경우 프로젝트에 활성화
조직에서 Security Command Center를 사용하지 않는 경우 Google Cloud 콘솔은 프로젝트에 Security Command Center를 활성화할 때 일련의 설정 페이지를 안내합니다.
1단계: 등급 선택
Security Command Center가 조직에서 활성화되지 않은 경우 Google Cloud 콘솔에서 Security Command Center를 열면 Security Command Center 설정 페이지가 표시됩니다. 활성화 프로세스를 시작하려면 등급을 선택합니다.
Security Command Center는 표준, 프리미엄, Enterprise의 세 가지 등급으로 구성되어 있습니다. 선택한 등급에 따라 사용할 수 있는 기능과 Security Command Center 사용 비용이 결정됩니다. 조직 수준에서만 Enterprise 등급을 활성화할 수 있습니다. 자세한 내용은 Security Command Center Enterprise 등급 활성화를 참조하세요.
각 등급에 포함된 기능을 검토하려면 Security Command Center 등급을 참조하세요.
등급을 선택하고 Security Command Center 활성화 프로세스를 시작하려면 다음 단계를 완료하세요.
Google Cloud 콘솔에서 Security Command Center 개요 페이지로 이동합니다.
Security Command Center를 활성화해야 하는 프로젝트의 이름을 선택합니다.
프로젝트를 선택하면 Security Command Center에 Security Command Center 설정 페이지가 열리므로 여기서 등급을 선택하여 활성화 프로세스를 시작합니다. Security Command Center 콘솔이 열리면 Security Command Center가 조직 또는 프로젝트에서 이미 활성 상태입니다.
필요한 서비스에 따라 프리미엄 또는 표준 등급을 선택합니다.
다음을 클릭합니다. 서비스 선택 페이지가 열립니다.
다음 섹션에서 프로젝트에 사용 설정하려는 기본 제공 서비스를 선택합니다.
2단계: 서비스 선택
서비스 선택 페이지에 Security Command Center의 기본 제공 서비스가 모두 표시됩니다.
서비스 페이지에서 나열된 서비스의 왼쪽에 있는 메뉴에서 다음 값 중 하나를 선택하여 필요에 따라 기본 제공 서비스를 사용 설정하거나 사용 중지합니다.
- 상속
- 사용 설정
- 사용 중지
활성화 프로세스를 완료한 후 사용 설정한 각 서비스에 대한 문서를 확인하여 각 서비스에 필요할 수 있는 추가 단계가 있는지 확인합니다.
다음을 클릭합니다. 역할 부여 페이지가 열립니다.
3단계: 서비스 에이전트 구성
Security Command Center를 처음 활성화하면 Google Cloud에서 Security Command Center 및 감지 서비스를 위한 IAM 서비스 에이전트를 자동으로 만듭니다.
다음 절차의 설명대로 Security Command Center 및 감지 서비스에서 기능을 수행하는 데 필요한 권한을 제공하는 서비스 에이전트에 IAM 역할을 부여합니다.
프로젝트 수준에서 Security Command Center를 활성화했지만 조직에서 아직 Security Command Center를 활성화하지 않은 경우에는 다음과 같은 프로젝트 수준 서비스 에이전트가 생성됩니다.
service-project-PROJECT_NUMBER@security-center-api.iam.gserviceaccount.com
. 이 서비스 계정에securitycenter.serviceAgent
IAM 역할을 부여합니다.service-project-PROJECT_NUMBER@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
. 이 서비스 계정에roles/containerthreatdetection.serviceAgent
IAM 역할을 부여합니다.
PROJECT_NUMBER
대신 서비스 계정에 프로젝트 수가 포함됩니다.
서비스 에이전트에 IAM 역할을 부여하려면 다음 단계를 수행합니다.
선택적으로 역할 부여 페이지에서 권한 검토를 클릭하여 부여할 역할 및 권한을 검토합니다.
역할 부여를 클릭하여 필요한 역할을 자동으로 부여합니다.
또는 다음 단계를 완료하여 역할을 수동으로 부여할 수 있습니다.
- 다른 방법: 수동으로 역할 부여(gcloud)를 클릭합니다.
- gcloud CLI 명령어를 복사합니다.
- Google Cloud 콘솔 툴바에서 Cloud Shell 활성화를 클릭합니다.
- 표시된 터미널 창에서 복사한 gcloud CLI 명령어를 붙여넣은 후 Enter 키를 누릅니다.
다음을 클릭합니다. 설정 완료 페이지가 열립니다.
4단계: 활성화 확인
다음 단계에 따라 Security Command Center 활성화를 완료합니다.
- 설정 완료 페이지에서 마침을 클릭합니다.
설정을 완료하면 Security Command Center가 초기 애셋 스캔을 시작하고, 콘솔을 사용하여 프로젝트 전체의 Google Cloud 보안 및 데이터 위험을 검토하고 해결할 수 있습니다.
일부 서비스의 경우 스캔이 시작되려면 시간이 걸릴 수 있습니다. 예상한 것처럼 개별 프로젝트의 서비스에 대한 지연 또는 스캔 지연 시간은 일반적으로 조직에 대한 지연 시간보다 짧지만 지연 시간에 대한 대부분의 이유는 그대로 적용됩니다. 조직에 적용되는 지연 시간에 대한 자세한 내용은 Security Command Center 지연 시간 개요를 참조하여 활성화 프로세스에 대해 자세히 알아보세요.
모든 활성화 시나리오에서 기본 제공 서비스 최적화 및 테스트
Security Command Center를 활성화한 후 각 서비스의 문서를 확인하여 서비스를 추가로 테스트하거나 최적화할 수 있는지 확인합니다.
예를 들어 Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. 일부 로그는 항상 사용 설정되어 있으므로 Event Threat Detection이 사용 설정되는 즉시 스캔을 시작할 수 있습니다. 대부분의 데이터 액세스 감사 로그와 같은 다른 로그는 Event Threat Detection에서 스캔하기 전에 활성화해야 합니다. 자세한 내용은 로그 유형 및 활성화 요구사항을 참조하세요.
각 기본 제공 서비스 테스트 및 사용에 대한 자세한 내용은 다음 페이지를 참조하세요.
- Container Threat Detection 사용
- Event Threat Detection 사용
- Security Health Analytics 사용
- 가상 머신 위협 감지 사용
- Web Security Scanner 사용
다음 단계
Security Command Center 및 기본 제공 서비스 자세히 알아보기
- Security Command Center를 사용하여 애셋, 발견 항목, 취약점을 검토하는 방법 알아보기
- Google Cloud 보안 소스 알아보기
- Security Command Center에 보안 소스를 추가하는 방법 알아보기