보안 상황을 사용하면 클라우드 네트워크 및 클라우드 서비스를 포함하여 클라우드 애셋의 보안 상태를 정의하고 관리할 수 있습니다. 보안 상황을 사용하여 정의된 벤치마크에 따라 현재 클라우드 보안을 평가하고 조직에 필요한 보안 수준을 유지보수할 수 있습니다. 보안 상황은 정의된 벤치마크로부터 드리프트를 감지하고 해결하는 데 도움이 됩니다. 비즈니스 보안 요구와 일치하는 보안 상황을 정의하고 유지보수함으로써 조직에 대한 사이버 보안 위험을 줄이고 공격이 발생하지 않도록 방지할 수 있습니다.
Google Cloud에서는 Security Command Center의 보안 상황 서비스를 사용해서 보안 상황을 정의 및 배포하고, Google Cloud 리소스의 보안 상태를 모니터링하고, 정의된 상황으로부터 모든 드리프트(또는 승인되지 않은 변경사항)를 처리할 수 있습니다.
보안 상황 서비스 개요
보안 상황 서비스는 Google Cloud에서 전체 보안 상태를 정의, 평가, 모니터링할 수 있게 해주는 Security Command Center의 기본 제공 서비스입니다. 보안 상황 서비스는 Security Command Center 프리미엄 등급 또는 엔터프라이즈 등급 구독을 구입하고 조직 수준에서 Security Command Center를 활성화하는 경우에만 사용할 수 있습니다.
보안 상황 서비스를 사용하여 다음 목표를 달성할 수 있습니다.
워크로드가 보안 표준, 규정 준수 규정, 조직의 커스텀 보안 요구사항을 준수하는지 확인합니다.
워크로드를 배포하기 전에 Google Cloud 프로젝트, 폴더, 조직에 보안 제어를 적용합니다.
정의된 보안 제어로부터 드리프트를 지속적으로 모니터링하고 해결합니다.
보안 상황 서비스는 조직 수준에서 Security Command Center를 활성화할 때 자동으로 사용 설정됩니다.
보안 상황 서비스 구성요소
보안 상황 서비스에는 다음 구성요소가 포함됩니다.
상황: 보안 표준을 충족시키기 위해 조직에 필요한 예방 및 감지 제어를 적용하는 하나 이상의 정책 집합입니다. 조직 수준, 폴더 수준, 프로젝트 수준에서 상황을 배포할 수 있습니다. 상황 템플릿 목록은 사전 정의된 상황 템플릿을 참조하세요.
정책 집합: Google Cloud에서 보안 요구사항 및 관련 제어가 포함된 집합입니다. 일반적으로 정책 집합은 특정 보안 표준 또는 규정 준수 규정의 요구사항을 충족시킬 수 있게 해주는 모든 정책들로 구성됩니다.
정책: Google Cloud에서 리소스의 동작을 제어 또는 모니터링하는 특정 제약조건 또는 제한 사항입니다. 정책은 예방(예: 조직 정책 제약조건) 또는 감지(예: Security Health Analytics 감지기)를 위한 정책일 수 있습니다. 지원되는 정책은 다음과 같습니다.
상황 배포: 상황을 만든 후 상황을 사용하여 관리하려는 조직, 폴더, 프로젝트에 상황을 적용할 수 있도록 배포합니다.
다음 다이어그램은 보안 상황 예시의 구성요소를 보여줍니다.
사전 정의된 상황 템플릿
보안 상황 서비스에는 규정 준수 표준 또는 엔터프라이즈 기반 청사진 권장사항과 같은 Google 권장 표준을 준수하는 사전 정의된 상황 템플릿이 포함됩니다. 이러한 템플릿을 사용하여 비즈니스에 적용되는 보안 상황을 만들 수 있습니다. 다음 표에서는 상황 템플릿을 설명합니다.
상황 템플릿 | 템플릿 이름 | 설명 |
---|---|---|
기본 보안, 필수 요소 | secure_by_default_essential |
이 템플릿은 기본 설정으로 인해 발생하는 일반적인 구성 오류 및 일반적인 보안 문제를 방지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
기본 보안, 확장 요소 | secure_by_default_extended |
이 템플릿은 기본 설정으로 인해 발생하는 일반적인 구성 오류 및 일반적인 보안 문제를 방지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿을 배포하려면 먼저 환경에 맞게 맞춤설정해야 합니다. |
보안 AI 권장사항, 필수 요소 | secure_ai_essential |
이 템플릿은 Gemini 및 Vertex AI 워크로드를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
보안 AI 권장사항, 확장 요소 | secure_ai_extended |
이 템플릿은 Gemini 및 Vertex AI 워크로드를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿을 배포하려면 먼저 환경에 맞게 맞춤설정해야 합니다. |
BigQuery 권장사항, 필수 요소 | big_query_essential |
이 템플릿은 BigQuery를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
Cloud Storage 권장사항, 필수 요소 | cloud_storage_essential |
이 템플릿은 Cloud Storage를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
Cloud Storage 권장사항, 확장 요소 | cloud_storage_extended |
이 템플릿은 Cloud Storage를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿을 배포하려면 먼저 환경에 맞게 맞춤설정해야 합니다. |
VPC 권장사항, 필수 요소 | vpc_networking_essential |
이 템플릿은 Virtual Private Cloud(VPC)를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
VPC 권장사항, 확장 요소 | vpc_networking_extended |
이 템플릿은 VPC를 보호하는 데 도움이 되는 정책을 구현합니다. 이 템플릿을 배포하려면 먼저 환경에 맞게 맞춤설정해야 합니다. |
인터넷 보안 센터(CIS) Google Cloud Computing Platform Benchmark v2.0.0 추천 | cis_2_0 |
이 템플릿은 Google Cloud 환경이 CIS Google Cloud Computing Platform Benchmark v2.0.0과 일치하지 않을 때 이를 감지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
NIST SP 800-53 표준 권장사항 | nist_800_53 |
이 템플릿은 Google Cloud 환경이 미국 국립 표준 기술 연구소(NIST) SP 800-53 표준과 일치하지 않을 때 이를 감지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
ISO 27001 표준 권장사항 | iso_27001 |
이 템플릿은 Google Cloud 환경이 국제표준화기구(ISO) 27001 표준과 일치하지 않을 때 이를 감지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
PCI DSS 표준 권장사항 | pci_dss_v_3_2_1 |
이 템플릿은 Google Cloud 환경이 결제 카드 산업 데이터 보안 표준(PCI DSS) 버전 3.2.1 및 버전 1.0과 일치하지 않을 때 이를 감지하는 데 도움이 되는 정책을 구현합니다. 이 템플릿은 변경하지 않고도 배포할 수 있습니다. |
상황 배포 및 드리프트 모니터링
Google Cloud 리소스에서 모든 정책으로 상황을 적용하려면 상황을 배포합니다. 상황이 적용되는 리소스 계층 구조의 수준(조직, 폴더, 프로젝트)을 지정할 수 있습니다. 각 조직, 폴더, 프로젝트에 상황을 하나만 배포할 수 있습니다.
상황은 하위 폴더 및 프로젝트에서 상속됩니다. 따라서 조직 수준 및 프로젝트 수준에서 상황을 배포하면 두 상황 내의 모든 정책이 해당 프로젝트의 리소스에 적용됩니다. 조직 수준에서는 정책이 허용으로 설정되었고 프로젝트 수준에서는 정책이 거부로 설정된 경우와 같이 정책 정의에 차이가 있으면 해당 프로젝트의 리소스에 하위 수준의 상황이 사용됩니다.
권장사항에 따라 전체 비즈니스에 적용될 수 있는 정책을 포함하는 조직 수준에서 상황을 배포하는 것이 좋습니다. 그런 후 폴더 또는 프로젝트에 필요에 따라 보다 엄격한 정책을 적용할 수 있습니다. 예를 들어 엔터프라이즈 기반 청사진을 사용해서 인프라를 설정하려면 한 폴더의 모든 프로젝트에 대해 암호화 키를 포함하도록 특별히 생성된 특정 프로젝트(예: prj-c-kms
)를 만듭니다. 모든 프로젝트에 키 프로젝트의 키만 사용되도록 보안 상황을 사용해서 common
폴더 및 환경 폴더(development
, nonproduction
, production
)에 constraints/gcp.restrictCmekCryptoKeyProjects
조직 정책 제약조건을 설정할 수 있습니다.
상황을 배포한 후에는 환경에서 정의된 상황으로부터 모든 드리프트를 모니터링할 수 있습니다. Security Command Center는 드리프트 인스턴스를 사용자가 검토, 필터링, 해결할 수 잇는 발견 항목으로 보고합니다. 또한 이러한 발견 항목은 Security Command Center에서 기타 발견 항목을 내보내는 것과 동일한 방식으로 내보낼 수 있습니다. 자세한 내용은 통합 옵션 및 Security Command Center 데이터 내보내기를 참조하세요.
Vertex AI 및 Gemini에서 보안 상황 사용
보안 상황을 이용해서 AI 워크로드의 보안을 유지할 수 있습니다. 보안 상황 서비스에는 다음이 포함됩니다.
AI 워크로드와 관련된 사전 정의된 상황 템플릿
AI에 적용되는 Security Health Analytics 커스텀 모듈에서 발견된 취약점을 모니터링하고 상황에 정의된 Vertex AI 조직 정책의 모든 드리프트를 볼 수 있는 개요 페이지의 창
AWS에서 보안 상황 서비스 사용
취약점 감지를 위해 AWS에 Security Command Center Enterprise를 연결하면 Security Health Analytics 서비스에 AWS 환경을 모니터링하고 발견 항목을 생성할 수 있는 감지기가 기본 제공됩니다.
상황 파일을 만들거나 수정할 때 AWS와 관련된 Security Health Analytics 감지기를 포함할 수 있습니다. 이 상황 파일은 조직 수준에서 배포해야 합니다.
보안 상황 서비스 제한
보안 상황 서비스에는 다음과 같은 제한사항이 포함됩니다.
- 한 조직에서 최대 상황 수 100개 제한
- 한 상황에서 최대 정책 수 400개 제한
- 한 조직에서 최대 상황 배포 수 1,000개 제한