Security Command Center에 데이터 프로필 게시

이 페이지에서는 데이터 프로필이 Security Command Center에서 발견 항목을 생성하려는 경우 수행해야 하는 작업에 대한 대략적인 개요를 제공합니다. 이 페이지에서는 생성된 발견 항목을 찾는 데 사용할 수 있는 쿼리 예시도 제공합니다.

Security Command Center Enterprise 고객인 경우 Security Command Center 문서의 Enterprise 등급에서 민감한 정보 검색 사용 설정을 참고하세요.

데이터 프로필 정보

Sensitive Data Protection을 구성하여 조직, 폴더 또는 프로젝트 전체에서 데이터에 대한 프로필을 자동으로 생성할 수 있습니다. 데이터 프로필은 데이터에 대한 측정항목과 메타데이터를 포함하며 민감한 정보와 고위험 데이터를 저장할 위치를 결정하는 데 도움이 됩니다. Sensitive Data Protection은 이러한 측정항목을 다양한 세부 수준에서 보고합니다. 프로파일링할 수 있는 데이터 유형에 관한 자세한 내용은 지원되는 리소스를 참고하세요.

Security Command Center에 데이터 프로필을 게시하는 이점

이 기능은 Security Command Center에서 다음과 같은 이점을 제공합니다.

  • Sensitive Data Protection 결과를 사용하여 민감한 정보를 대중이나 악의적인 행위자에게 노출할 수 있는 리소스의 취약점을 식별하고 해결할 수 있습니다.

  • 이러한 발견사항을 사용하여 분류 프로세스에 컨텍스트를 추가하고 민감한 정보가 포함된 리소스를 타겟팅하는 위협의 우선순위를 지정할 수 있습니다.

  • 리소스에 포함된 데이터의 민감도에 따라 공격 경로 시뮬레이션 기능의 리소스에 자동으로 우선순위를 지정하도록 Security Command Center를 구성할 수 있습니다. 자세한 내용은 데이터 민감도에 따라 리소스 우선순위 값 자동 설정을 참고하세요.

생성된 Security Command Center 발견 항목

Security Command Center에 데이터 프로필을 게시하도록 디스커버리 서비스를 구성하면 각 테이블 데이터 프로필 또는 파일 저장소 데이터 프로필에서 다음 Security Command Center 발견 항목을 생성합니다.

검색 서비스의 취약점 발견 항목

Sensitive Data Protection 검색 서비스를 사용하면 보호되지 않는 매우 민감한 정보를 저장하고 있는지 확인할 수 있습니다.

카테고리 요약

Public sensitive data

API의 카테고리 이름:

PUBLIC_SENSITIVE_DATA

발견 항목 설명: 지정된 리소스에 모든 사용자가 인터넷에서 액세스할 수 있는 매우 민감한 정보가 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

Google Cloud 데이터의 경우 데이터 애셋의 IAM 정책에서 allUsersallAuthenticatedUsers를 삭제합니다.

Amazon S3 데이터의 경우 공개 액세스 차단 설정을 구성하거나 객체의 ACL을 업데이트하여 공개 읽기 액세스를 거부합니다.

규정 준수 표준: 매핑되지 않음

Secrets in environment variables

API의 카테고리 이름:

SECRETS_IN_ENVIRONMENT_VARIABLES

발견 항목 설명: 환경 변수에 비밀번호, 인증 토큰, Google Cloud 사용자 인증 정보와 같은 보안 비밀이 있습니다.

이 감지기를 사용 설정하려면 Sensitive Data Protection 문서의 Security Command Center에 환경 변수의 보안 비밀 보고를 참조하세요.

지원되는 애셋:

해결:

Cloud Run Functions 환경 변수의 경우 환경 변수에서 보안 비밀을 삭제하고 대신 Secret Manager에 저장합니다.

Cloud Run 서비스 버전 환경 변수의 경우 모든 트래픽을 버전 외부로 이동한 후 버전을 삭제합니다.

규정 준수 표준:

  • CIS GCP Foundation 1.3: 1.18
  • CIS GCP Foundation 2.0: 1.18

Secrets in storage

API의 카테고리 이름:

SECRETS_IN_STORAGE

발견 항목 설명: 지정된 리소스에 비밀번호, 인증 토큰, 클라우드 사용자 인증 정보와 같은 보안 비밀이 있습니다.

지원되는 애셋:

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket
  • Amazon S3 버킷

해결:

  1. Google Cloud 데이터의 경우 Sensitive Data Protection을 사용하여 지정된 리소스에 심층 검사 스캔을 실행하여 영향을 받는 모든 리소스를 식별합니다. Cloud SQL 데이터의 경우 데이터를 Cloud Storage 버킷의 CSV 또는 AVRO 파일로 내보내고 버킷 심층 검사 스캔을 실행합니다.

    Amazon S3 데이터의 경우 지정된 버킷을 수동으로 검사합니다.

  2. 감지된 보안 비밀을 삭제합니다.
  3. 사용자 인증 정보를 재설정하는 것이 좋습니다.
  4. Google Cloud 데이터의 경우 감지된 보안 비밀을 대신 Secret Manager에 저장하는 것이 좋습니다.

규정 준수 표준: 매핑되지 않음

검색 서비스의 관찰 발견 항목

Data sensitivity
특정 데이터 애셋의 데이터 민감도 수준을 나타냅니다. PII 또는 추가 제어나 관리가 필요할 수 있는 기타 요소가 포함된 데이터는 민감한 정보입니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection으로 계산한 민감도 수준입니다.
Data risk
현재 상태의 데이터와 관련된 위험입니다. 데이터 위험을 계산할 때 Sensitive Data Protection은 데이터 애셋에 있는 데이터의 민감도 수준과 해당 데이터를 보호하기 위한 액세스 제어의 존재 여부를 고려합니다. 발견 항목의 심각도는 데이터 프로필을 생성할 때 Sensitive Data Protection이 계산한 데이터 위험 수준입니다.

발견 항목 생성 지연 시간

Sensitive Data Protection에서 데이터 프로필을 생성한 시간부터 연결된 관련 발견 항목이 Security Command Center에 표시되는 데 최대 6시간이 걸릴 수 있습니다.

Security Command Center로 데이터 프로필 전송

다음은 Security Command Center에 데이터 프로필을 게시하기 위한 대략적인 워크플로입니다.

  1. 조직의 Security Command Center 활성화 수준을 확인합니다. 데이터 프로필을 Security Command Center로 전송하려면 모든 서비스 등급에서 조직 수준으로 Security Command Center를 활성화해야 합니다.

    Security Command Center가 프로젝트 수준에서만 활성화된 경우 Sensitive Data Protection 발견 항목의 결과가 Security Command Center에 표시되지 않습니다.

  2. Security Command Center가 조직에서 활성화되지 않은 경우 이를 활성화해야 합니다. 자세한 내용은 Security Command Center 서비스 등급에 따라 다음 중 하나를 참고하세요.

  3. Sensitive Data Protection이 통합 서비스로 사용 설정되어 있는지 확인합니다. 자세한 내용은 Google Cloud 통합 서비스 추가를 참고하세요.

  4. 스캔하려는 각 데이터 소스에 대한 검색 스캔 구성을 만들어 검색을 사용 설정합니다. 스캔 구성에서 Security Command Center에 게시 옵션을 사용 설정된 상태로 유지합니다.

    Security Command Center에 데이터 프로필을 게시하지 않는 기존 디스커버리 스캔 구성이 있는 경우 이 페이지의 기존 구성에서 Security Command Center에 게시 사용 설정을 참고하세요.

기본 설정으로 검색 사용 설정

검색을 사용 설정하려면 스캔할 각 데이터 소스에 대한 검색 구성을 만듭니다. 이 절차를 따르면 기본 설정을 사용하여 이러한 검색 구성을 자동으로 만들 수 있습니다. 이 절차를 수행한 후 언제든지 설정을 맞춤설정할 수 있습니다.

설정을 처음부터 맞춤설정하려면 다음 페이지를 대신 참조하세요.

기본 설정으로 검색을 사용 설정하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 Sensitive Data Protection 검색 사용 설정 페이지로 이동합니다.

    검색 사용 설정으로 이동

  2. 표시된 조직이 Security Command Center를 활성화한 조직인지 확인합니다.

  3. 서비스 에이전트 컨테이너 필드에서 서비스 에이전트 컨테이너로 사용할 프로젝트를 설정합니다. 이 프로젝트 내에서 시스템은 서비스 에이전트를 만들고 필요한 검색 권한을 여기에 자동으로 부여합니다.

    이전에 조직에서 검색 서비스를 사용한 경우 재사용할 수 있는 서비스 에이전트 컨테이너 프로젝트가 이미 있을 수도 있습니다.

    • 서비스 에이전트 컨테이너로 사용할 프로젝트를 자동으로 만들려면 제안된 프로젝트 ID를 검토하고 필요에 따라 수정합니다. 그런 다음 만들기를 클릭합니다. 새 프로젝트의 서비스 에이전트에 권한이 부여되는 데 몇 분 정도 걸릴 수 있습니다.
    • 기존 프로젝트를 선택하려면 서비스 에이전트 컨테이너 필드를 클릭하고 프로젝트를 선택합니다.

  4. 기본 설정을 검토하려면 펼치기 아이콘을 클릭합니다.

  5. 검색 사용 설정 섹션에서 사용 설정할 각 검색 유형에 대해 사용 설정을 클릭합니다. 검색 유형을 사용 설정하면 다음 작업이 수행됩니다.

    • BigQuery: 조직 전반의 BigQuery 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 BigQuery 데이터 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.
    • Cloud SQL: 조직 전반의 Cloud SQL 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 각 Cloud SQL 인스턴스의 기본 연결을 만들기 시작합니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 기본 연결이 준비되면 적절한 데이터베이스 사용자 인증 정보로 각 연결을 업데이트하여 Cloud SQL 인스턴스에 Sensitive Data Protection 액세스 권한을 부여해야 합니다.
    • 보안 비밀/사용자 인증 정보 취약점: Cloud Run 환경 변수에서 암호화되지 않은 보안 비밀을 감지하고 보고하는 탐색 구성을 만듭니다. Sensitive Data Protection에서 환경 변수 스캔을 시작합니다.
    • Cloud Storage: 조직 전체에서 Cloud Storage 버킷을 프로파일링하기 위한 검색 구성을 만듭니다. Sensitive Data Protection에서 Cloud Storage 데이터 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.
    • Vertex AI 데이터 세트: 조직 전체에서 Vertex AI 데이터 세트를 프로파일링하기 위한 검색 구성을 만듭니다. Sensitive Data Protection에서 Vertex AI 데이터 세트 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.

    • Amazon S3: 조직 전반, 단일 S3 계정 또는 단일 버킷에서 Amazon S3 데이터를 프로파일링하기 위한 탐색 구성을 만듭니다.

  6. 새로 생성된 검색 구성을 보려면 탐색 구성으로 이동을 클릭합니다.

    Cloud SQL 검색을 사용 설정하면 사용자 인증 정보가 없음을 나타내는 오류와 함께 검색 구성이 일시중지 모드로 생성됩니다. 디스커버리에 사용할 연결 관리를 참조하여 서비스 에이전트에 필요한 IAM 역할을 부여하고 각 Cloud SQL 인스턴스에 데이터베이스 사용자 인증 정보를 제공하세요.

  7. 창을 닫습니다.

기존 구성에서 Security Command Center에 게시 사용 설정

검색 결과를 Security Command Center에 게시하도록 설정되지 않은 기존 검색 스캔 구성이 있는 경우 다음 단계를 따르세요.

  1. 수정하기 위해 스캔 구성을 엽니다.

  2. 작업 섹션에서 Security Command Center에 게시를 사용 설정합니다.

  3. 저장을 클릭합니다.

데이터 프로필과 관련된 Security Command Center 발견 항목 쿼리

다음은 Security Command Center에서 관련 Data sensitivityData risk 발견 항목을 찾는 데 사용할 수 있는 쿼리의 예시입니다. 쿼리 편집기 필드에 이러한 쿼리를 입력할 수 있습니다. 쿼리 편집기에 대한 자세한 내용은 Security Command Center 대시보드에서 발견 항목 쿼리 수정을 참조하세요.

특정 BigQuery 테이블에 대한 모든 Data sensitivityData risk 발견 항목 나열

이 쿼리는 예를 들어 Security Command Center에서 BigQuery 테이블이 다른 프로젝트에 저장된 이벤트를 감지하는 경우에 유용합니다. 이 경우 Exfiltration: BigQuery Data Exfiltration 발견 항목이 생성되며 여기에는 유출된 테이블의 전체 표시 이름이 포함됩니다. 테이블과 관련된 Data sensitivityData risk 발견 항목을 검색할 수 있습니다. 테이블에 대해 계산된 민감도 및 데이터 위험 수준을 확인하고 그에 따라 응답을 계획합니다.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.display_name="PROJECT_ID:DATASET_ID.TABLE_ID"

다음을 바꿉니다.

  • PROJECT_ID: BigQuery 테이블이 포함된 프로젝트의 ID입니다.
  • DATASET_ID: 테이블의 데이터 세트 ID
  • TABLE_ID: 테이블 ID

특정 Cloud SQL 인스턴스에 대한 모든 Data sensitivityData risk 발견 항목 나열

이 쿼리는 예를 들어 Security Command Center에서 실시간 Cloud SQL 인스턴스 데이터가 조직 외부의 Cloud Storage 버킷으로 내보낸 이벤트를 감지하는 경우에 유용합니다. 이 경우 Exfiltration: Cloud SQL Data Exfiltration 발견 항목이 생성되며 여기에는 유출된 인스턴스의 전체 리소스 이름이 포함됩니다. 인스턴스와 관련된 Data sensitivityData risk 발견 항목을 검색할 수 있습니다. 인스턴스에 대해 계산된 민감도 및 데이터 위험 수준을 확인하고 그에 따라 응답을 계획합니다.

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND resource.name:"INSTANCE_NAME"

다음을 바꿉니다.

  • INSTANCE_NAME: Cloud SQL 인스턴스 이름의 일부

High 심각도 수준이 지정된 모든 Data riskData sensitivity 발견 항목 나열

state="ACTIVE"
AND NOT mute="MUTED"
AND category="DATA_RISK" OR category="DATA_SENSITIVITY"
AND severity="HIGH"

다음 단계