클라우드 환경을 보호하려면 Identity and Access Management 계정이 유출되지 않도록 보호해야 합니다. 권한이 있는 사용자 계정이 유출되면 공격자가 클라우드 환경을 변경할 수 있으므로 잠재적인 유출을 감지하는 것은 모든 규모의 조직을 보호하는 데 필수적입니다. 조직의 보안을 유지하기 위해Google Cloud 는 IAM 사용자 계정에서 수행한 민감한 작업을 기록하고 권고 알림을 통해 조직 관리자에게 이러한 작업을 직접 알립니다.
민감한 작업은 도용된 계정을 사용하여 악의적인 행위자가 수행할 경우 Google Cloud 조직에 심각한 부정적인 영향을 미칠 수 있는 작업입니다. 이러한 행위 자체는 반드시 조직에 위협이 되거나 계정이 도용되었음을 나타내지는 않습니다. 하지만 사용자가 정당한 목적으로 조치를 취했는지 확인하는 것이 좋습니다.
민감한 작업 알림을 받는 사용자
Google Cloud 보안을 위해 조직 수준의 필수 연락처에 이메일 알림을 전송하여 조직에 민감한 작업을 알립니다. 구성된 필수 연락처가 없으면 조직 수준에서 조직 관리자 IAM 역할이 있는 모든 계정으로 이메일 알림이 전송됩니다.
선택 해제
조직에서 민감한 작업 알림을 받지 않으려면 이러한 알림을 선택 해제하면 됩니다. 자세한 내용은 알림 구성을 참고하세요. 민감한 작업 알림을 선택 해제하면 권고 알림을 통해 전송되는 알림에만 영향을 미칩니다. 민감한 작업 로그는 항상 생성되며 알림 선택 해제의 영향을 받지 않습니다. Security Command Center를 사용하는 경우 민감한 작업 알림을 선택 해제해도 민감한 작업 서비스에는 영향을 미치지 않습니다.
민감한 작업 작동 방식
Google Cloud 는 조직의 관리자 활동 감사 로그를 모니터링하여 민감한 작업을 감지합니다. 민감한 작업이 감지되면 Google Cloud 는 활동이 발생한 동일한 리소스의 민감한 작업 서비스 플랫폼 로그에 작업을 기록합니다. Google Cloud 는 권고 알림을 통해 전송되는 알림에 이벤트도 포함합니다.
알림 빈도
조직에서 민감한 작업이 처음 관찰되면 초기 작업과 다음 시간 동안 발생하는 다른 작업이 포함된 보고서가 전송됩니다. 초기 보고서 이후에는 조직의 새로운 민감한 작업에 대한 보고서가 최대 30일에 한 번 전송됩니다. 조직에서 오랫동안 민감한 작업이 없었던 경우 다음번에 민감한 작업이 관찰될 때 1시간 보고서가 전송될 수 있습니다.
민감한 작업이 생성되지 않는 경우
Google Cloud 는 작업을 실행하는 주 구성원이 사용자 계정인 경우에만 민감한 작업을 보고합니다. 서비스 계정에서 취한 작업은 보고되지 않습니다. Google은 최종 사용자 사용자 인증 정보에 액세스하여 이를 사용하여 클라우드 환경에서 원치 않는 작업을 실행하는 공격자로부터 보호하기 위해 이 기능을 개발했습니다. 이러한 작업은 서비스 계정의 일반적인 동작이므로 이러한 ID에 대해서는 로그와 권고 알림이 생성되지 않습니다.
관리자 활동 감사 로그가 특정 리전 (global 리전 아님)에 위치하도록 구성한 경우 민감한 작업을 감지할 수 없습니다. 예를 들어 특정 리소스에 있는 _Required 로그 버킷에 대해 스토리지 리전을 지정한 경우 해당 리소스의 로그는 민감한 작업이 있는지 검사할 수 없습니다.
고객 관리 암호화 키로 암호화되도록 관리자 활동 감사 로그를 구성한 경우 민감한 작업을 위해 로그를 스캔할 수 없습니다.
Security Command Center의 민감한 작업
Security Command Center를 사용하는 경우 민감한 작업 서비스를 통해 민감한 작업을 발견 항목으로 받을 수 있습니다.
민감한 작업 로그와 권고 알림은 조직의 계정 동작을 파악하는 데 도움이 되지만, Security Command Center는 더 복잡하고 크거나 중요한 워크로드와 환경을 보호하는 보안팀에 추가적인 통계와 관리 기능을 제공합니다. 전반적인 보안 모니터링 전략의 일환으로 민감한 작업을 모니터링하는 것이 좋습니다.
Security Command Center에 대한 자세한 내용은 다음을 참고하세요.
가격 책정
권고 알림의 민감한 작업 알림은 추가 비용 없이 제공됩니다. Cloud Logging의 민감한 작업 로그에는 Logging 가격 책정에 따라 수집 및 스토리지 비용이 발생합니다. 민감한 작업 로그 항목의 양은 조직의 사용자 계정이 민감한 작업을 수행하는 빈도에 따라 달라집니다. 이러한 작업은 일반적으로 흔하지 않습니다.
민감한 작업 유형
Google Cloud 에서는 다음과 같은 유형의 민감한 작업을 알려줍니다.
Sensitive Roles Added
조직 수준에서 소유자 (roles/owner) 또는 편집자 (roles/editor) IAM 역할이 있는 주 구성원에게 권한이 부여되었습니다. 이러한 역할은 조직 전체에서 다양한 작업을 허용합니다.
Billing Admin Removed
조직 수준에서 결제 계정 관리자 (roles/billing.admin) IAM 역할이 삭제되었습니다. 이 역할을 삭제하면 사용자가 가시성을 확보하지 못하게 되고 적이 감지되지 않은 상태로 유지되는 메커니즘이 제공될 수 있습니다.
Organization Policy Changed
조직 수준에서 조직 정책이 생성, 업데이트 또는 삭제되었습니다. 이 수준의 조직 정책은 조직의 모든Google Cloud 리소스의 보안에 영향을 미칠 수 있습니다.
Project-level SSH Key Added
이전에 이러한 키가 없던 Google Cloud 프로젝트에 프로젝트 수준 SSH 키가 추가되었습니다. 프로젝트 수준 SSH 키는 프로젝트의 모든 가상 머신 (VM)에 대한 액세스 권한을 부여할 수 있습니다.
GPU Instance Created
최근에 해당 프로젝트에서 GPU 인스턴스를 만들지 않은 사용자가 GPU가 있는 VM을 프로젝트에 만들었습니다. GPU가 있는 Compute Engine 인스턴스는 암호화폐 채굴과 같은 워크로드를 호스팅할 수 있습니다.
Many Instances Created
특정 프로젝트에서 사용자가 여러 VM 인스턴스를 만들었습니다. 많은 수의 VM 인스턴스는 암호화폐 채굴 또는 서비스 거부 공격과 같은 예상치 못한 워크로드에 사용될 수 있습니다.
Many Instances Deleted
특정 프로젝트에서 사용자가 여러 VM 인스턴스를 삭제했습니다. 인스턴스 삭제가 많이 발생하면 비즈니스에 지장을 줄 수 있습니다.
다음 단계
- 알림 확인 방법을 알아보세요.
- 민감한 작업 알림에 응답하는 방법을 알아보세요.
- 알림을 선택하거나 선택 해제하는 방법을 알아보세요.