데이터 상주 계획

데이터 상주를 사용하면 Security Command Center 데이터가 저장되는 위치를 더 세부적으로 제어할 수 있습니다. 이 페이지에서는 Security Command Center에서 데이터 상주를 지원하는 방법에 관한 필수 정보를 제공합니다.

이 페이지에는 다음 정의가 적용됩니다.

• 위치는 데이터가 상주하는 위치에 해당하는 Google Cloud 리전 또는 멀티 리전입니다.
• 사용자 데이터라는 용어의 의미는 Google Cloud 일반 서비스 약관에서 데이터 위치 항목에 있는 '고객 데이터'라는 용어의 의미와 동일합니다.

지원되는 데이터 위치

Security Command Center는 다음 Google Cloud 멀티 리전만 데이터 위치로 지원합니다.

유럽 연합(eu)

데이터가 유럽 연합 회원국 내의 Google Cloud 리전에 상주합니다.

미국(us)

데이터가 미국의 Google Cloud 리전에 상주합니다.

사우디아라비아 왕국(KSA)(sa)

데이터가 KSA의 Google Cloud 리전에 상주합니다.

전역(global)

데이터가 모든 Google Cloud 리전에 상주할 수 있습니다. 데이터 상주가 사용 설정되지 않았으면 전역(global)이 지원되는 유일한 위치입니다.

Security Command Center 위치에 대한 자세한 내용은 위치별 제공 제품을 참조하세요.

Security Command Center가 지원하지 않는 데이터 상주 기본 위치를 지정해야 하는 경우 계정 담당자 또는 Google Cloud 영업 전문가에게 문의하세요.

데이터 상주 요구사항

조직에서 Security Command Center의 표준 또는 프리미엄 등급을 처음 활성화할 때만 데이터 상주를 사용 설정할 수 있습니다. 엔터프라이즈 등급은 데이터 상주를 지원하지 않습니다.

데이터 상주가 사용 설정된 후에는 이를 사용 중지하거나 기본 위치를 변경할 수 없습니다. 또한 발견 항목 및 공격 경로에 대한 Gemini 요약 정보도 사용할 수 없습니다.

데이터 상주를 위해서는 Security Command Center v2 API를 사용해야 합니다. 데이터 상주가 사용 설정되었으면 이전 버전의 Security Command Center API를 사용할 수 없습니다.

Security Command Center를 활성화할 때 데이터 상주를 사용 설정하지 않으면 Security Command Center가 데이터를 특정 위치로 제한하지 않으며 Google Cloud Platform 서비스 약관에 따라 저장됩니다.

리전별 URL

사우디아라비아 왕국(KSA) 위치의 경우 위치별 URL을 사용하여 관할권 Google Cloud 콘솔과 gcloud CLI, Cloud 클라이언트 라이브러리, Security Command Center API의 일부 메서드 및 명령어에 액세스해야 합니다.

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud config unset api_endpoint_overrides/securitycenter

데이터 상주가 적용되는 경우

Security Command Center에 데이터 상주를 사용 설정하면 다음 상태 중 하나일 때 일부 Security Command Center 데이터가 지정된 위치 내에 유지됩니다.

• 저장: 지원되는 모든 위치
• 사용 중: KSA(sa)만 해당
• 전송 중: KSA(sa)만 해당

저장 데이터의 저장 위치

다음 기준을 모두 충족하는 경우 데이터는 저장 상태입니다.

• 이 데이터는 데이터 상주 제어가 적용되는 리소스 유형에 관한 데이터입니다.
• 데이터에 액세스해야 하는 작업을 요청하지 않았습니다.
• 감사 로그 또는 액세스 투명성 로그를 생성하는 방식으로 데이터에 액세스하지 않습니다.

데이터 상주를 사용 설정하면 Security Command Center가 다음을 수행합니다.

사용 중 상태의 데이터 상주 위치

다음 기준이 모두 충족되면 데이터가 사용 중 상태입니다.

• 이 데이터는 데이터 상주 제어가 적용되는 리소스 유형에 관한 데이터입니다.
• Google Cloud에서 개발자의 요청(예: 애플리케이션에서 Security Command Center API를 호출함)으로 시작된 작업을 완료하거나 감사 로그 또는 액세스 투명성 로그를 생성하는 작업을 완료합니다.
• Google Cloud는 데이터의 의미에 대한 지식이 필요한 방식으로 데이터를 처리할 수 있습니다(예: 구성 리소스의 특정 필드를 업데이트하는 경우). 여기에는 메모리에서 데이터가 암호화되지 않은 모든 경우가 포함됩니다.

데이터 상주를 사용 설정하면 Security Command Center가 다음을 수행합니다.

전송 중 상태의 데이터 상주 위치

다음 기준이 모두 충족되면 데이터가 전송 중 상태입니다.

• 이 데이터는 데이터 상주 제어가 적용되는 리소스 유형에 관한 데이터입니다.
• 데이터가 Google 네트워크 내에서 암호화되어 전송 중이거나 또는 Google 네트워크 내에서 전송하기 위해 암호화된 상태로 메모리에 있습니다.

데이터 상주를 사용 설정하면 Security Command Center가 다음을 수행합니다.

기본 데이터 위치

유럽연합, 미국, 전역 위치의 경우 Security Command Center 데이터 상주를 사용 설정할 때 기본 Security Command Center 위치를 지정합니다. 모든 지원되는 데이터 위치를 기본 위치로 선택할 수 있습니다.

Security Command Center는 기본 위치만 사용해서 다음 리소스 유형에 적용되는 저장 발견 항목을 저장합니다.

• Security Command Center에 지원되는 데이터 위치에 없는 리소스
• 메타데이터에 위치를 지정하지 않는 리소스

여러 위치 또는 멀티 리전에 Google Cloud 리소스를 배포하는 경우 전역(global) 위치를 기본값으로 선택할 수 있습니다.

단일 위치에만 리소스를 배포하는 경우 해당 위치를 포함하는 멀티 리전을 기본값으로 선택할 수 있습니다.

Security Command Center 리소스 및 데이터 상주

다음 목록은 Security Command Center가 Security Command Center 리소스에 데이터 상주 제어를 적용하는 방법을 설명합니다. 여기에 나열되지 않은 리소스는 데이터 상주 제어 대상이 아니며 Google Cloud Platform 서비스 약관에 따라 저장됩니다.

애셋

애셋 메타데이터는 Cloud 애셋 인벤토리에 저장되며 데이터 상주 제어가 적용되지 않습니다. 이 데이터는 Google Cloud Platform 서비스 약관에 따라 저장됩니다.

따라서 Google Cloud 콘솔의 Security Command Center 애셋 페이지에는 해당 위치 또는 Google Cloud 콘솔에서 선택하는 위치에 관계없이 항상 조직, 폴더, 프로젝트에 있는 모든 리소스가 표시됩니다. 하지만 데이터 상주가 사용 설정되어 있고 애셋 세부정보를 볼 때는 애셋에 영향을 미치는 발견 항목에 대한 정보가 애셋 페이지에 표시되지 않습니다.

공격 노출 점수 및 공격 경로

공격 노출 점수 및 공격 경로에는 데이터 상주 제어가 적용되지 않습니다. 이 데이터는 Google Cloud Platform 서비스 약관에 따라 저장됩니다.

BigQuery Export

BigQuery Export 구성에는 데이터 상주 제어가 적용됩니다.

유럽연합, 미국, 전역

이러한 리소스를 만들 때 리소스가 있는 위치를 지정합니다. 이러한 구성은 동일한 위치에 있는 발견 항목에만 적용됩니다.

KSA

리전별 URL을 사용하여 이러한 구성 리소스를 만들고 관리합니다. KSA 위치에 있으며 발견 항목과 함께 저장됩니다.

Security Command Center API는 BigQuery Export 구성을 BiqQueryExport 리소스로 나타냅니다.

지속적 내보내기

지속적 내보내기 구성에는 데이터 상주 제어가 적용됩니다.

유럽연합, 미국, 전역

이러한 리소스를 만들 때 리소스가 있는 위치를 지정합니다. 이러한 구성은 동일한 위치에 있는 발견 항목에만 적용됩니다.

KSA

리전별 URL을 사용하여 이러한 구성 리소스를 만들고 관리합니다. KSA 위치에 있으며 발견 항목과 함께 저장됩니다.

Security Command Center API는 지속적 내보내기 구성을 NotificationConfig 리소스로 나타냅니다.

발견 항목

발견 항목에는 데이터 상주 제어가 적용됩니다.

유럽연합, 미국, 전역

발견 항목이 생성되면 영향을 받는 리소스가 있는 Security Command Center 위치에 상주합니다.

영향을 받는 리소스가 지원되는 위치 외부에 있거나 위치 식별자가 없으면 리소스에 대한 발견 항목이 기본 위치에 상주합니다.

KSA

KSA 위치에 있는 리소스에 대한 발견 항목이 생성되면 해당 발견 항목은 항상 KSA 위치에 상주합니다.

다른 위치에 있는 리소스에 대한 발견 항목이 생성되면 발견 항목은 결국 KSA 위치에 상주합니다. 하지만 생성 시 다른 리전에 상주할 수 있습니다.

발견 항목이 항상 KSA 위치에 상주하도록 하려면 모든 리소스를 KSA 위치에 만드세요.

숨기기 규칙

숨기기 규칙 구성에는 데이터 상주 제어가 적용됩니다.

유럽연합, 미국, 전역

이러한 리소스를 만들 때 리소스가 있는 위치를 지정합니다. 이러한 구성은 동일한 위치에 있는 발견 항목에만 적용됩니다.

KSA

리전별 URL을 사용하여 이러한 구성 리소스를 만들고 관리합니다. KSA 위치에 있으며 발견 항목과 함께 저장됩니다.

Security Command Center API는 숨기기 규칙 구성을 MuteConfig 리소스로 나타냅니다.

기타 Security Command Center 리소스 및 설정

사용 설정된 서비스 또는 활성화된 등급을 정의하는 것과 같이 여기에 나열되지 않은 Security Command Center 리소스 및 설정은 데이터 상주 제어가 적용되지 않습니다. 이 데이터는 Google Cloud Platform 서비스 약관에 따라 저장됩니다.

위치에서 데이터 만들기 또는 보기

데이터 상주가 사용 설정되었으면 데이터 상주 제어가 적용되는 데이터를 만들거나 볼 때의 위치를 지정해야 합니다. Security Command Center는 생성된 발견 항목의 위치를 자동으로 선택합니다.

한 번에 한 위치에서만 데이터를 만들거나 볼 수 있습니다. 예를 들어 전역(global) 위치에 발견 항목을 나열하면 EU(eu) 위치에는 발견 항목이 표시되지 않습니다.

Security Command Center 위치에 있는 데이터를 만들거나 보려면 다음 안내를 따르세요.

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud scc findings list ORGANIZATION_ID --location=LOCATION

gcloud config set api_endpoint_overrides/securitycenter \
    https://securitycenter.me-central2.rep.googleapis.com/

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

gcloud scc findings list ORGANIZATION_ID --location=sa

GET https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/LOCATION/findings" | Select-Object -Expand Content

GET https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings"

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securitycenter.me-central2.rep.googleapis.com/v2/organizations/ORGANIZATION_ID/sources/-/locations/sa/findings" | Select-Object -Expand Content

다음 단계

• 데이터 상주를 사용 설정하여 Security Command Center를 활성화하는 방법을 알아봅니다.
• Security Command Center에서 BigQuery로 발견 항목을 스트리밍하도록 사용 설정합니다.
• Security Command Center에서 Pub/Sub로 지속적 내보내기를 설정합니다.
• 발견 항목에 대한 숨기기 규칙을 만듭니다.