Google Cloud 아키텍처 프레임워크의 이 문서에서는 애셋 관리를 위한 권장사항을 제공합니다.
애셋 관리는 비즈니스 요구사항 분석의 중요한 부분입니다. 보유한 애셋을 알고 있어야 하며 모든 애셋, 애셋의 가치, 모든 중요한 관련 경로나 프로세스를 잘 이해하고 있어야 합니다. 애셋을 보호하기 위해 보안 제어를 구축하려면 먼저 정확한 애셋 인벤토리가 있어야 합니다.
보안 이슈를 관리하고 조직의 규제 요건을 충족하려면 이전 데이터를 분석하는 방법이 포함된 정확한 최신 애셋 인벤토리가 필요합니다. 시간 경과에 따른 위험 노출 변화를 포함하여 애셋을 추적할 수 있어야 합니다.
Google Cloud로 이전한다는 것은 클라우드 환경에 맞게 애셋 관리 프로세스를 수정해야 함을 의미합니다. 예를 들어 클라우드로 이전할 경우의 이점 중 하나는 조직이 빠르게 확장할 수 있는 능력을 높이는 것입니다. 하지만 빠르게 확장할 수 있는 기능으로 인해 직원이 적절히 관리되거나 보호되지 않는 클라우드 리소스를 만드는 비공식 IT 문제가 발생할 수 있습니다. 따라서 애셋 관리 프로세스는 충분한 유연성을 제공하여 직원이 업무를 수행하며 적절한 보안 제어를 제공할 수 있도록 해야 합니다.
클라우드 애셋 관리 도구 사용
Google Cloud 애셋 관리 도구는 Google 환경과 주요 고객 사용 사례에 맞게 특별히 설계되었습니다.
이러한 도구 중 하나인 Cloud 애셋 인벤토리는 리소스의 현재 상태에 대한 실시간 정보와 5주 간의 기록을 제공합니다. 이 서비스를 사용하면 다양한 Google Cloud 리소스 및 정책에 대한 조직 전체의 인벤토리 스냅샷을 얻을 수 있습니다. 그런 다음 자동화 도구는 스냅샷을 모니터링 또는 정책 시행에 사용하거나 규정 준수 감사를 위해 스냅샷을 보관처리할 수 있습니다. 애셋 인벤토리에서는 애셋의 변경사항을 분석하는 데 사용하도록 메타데이터 기록 내보내기도 지원합니다.
Cloud 애셋 인벤토리에 대한 자세한 내용은 애셋 변경사항에 대응하기 위한 커스텀 솔루션 및 감지 제어를 참조하세요.
애셋 관리 자동화
자동화를 사용하면 지정한 보안 요구사항에 따라 애셋을 빠르게 만들고 관리할 수 있습니다. 다음과 같은 방법으로 애셋 수명 주기의 요소를 자동화할 수 있습니다.
- Terraform과 같은 자동화 도구를 사용하여 클라우드 인프라를 배포합니다. Google Cloud는 보안 권장사항을 충족하는 인프라 리소스를 설정하는 데 도움이 되는 엔터프라이즈 기반 청사진을 제공합니다. 또한 Cloud 애셋 인벤토리에서 애셋 변경사항 및 정책 규정 준수 알림을 구성합니다.
- Cloud Run 및 Artifact Registry와 같은 자동화 도구를 사용하여 애플리케이션을 배포합니다.
규정 준수 정책 위반 모니터링
애셋 수명 주기의 모든 단계에서 정책 위반이 발생할 수 있습니다. 예를 들어 적절한 보안 제어 없이 애셋이 생성되거나 권한이 에스컬레이션될 수 있습니다. 마찬가지로 애셋이 적절한 지원 종료 절차를 따르지 않고 폐기될 수도 있습니다.
이러한 시나리오를 방지하려면 애셋을 규정 준수를 위반하지 않도록 모니터링하는 것이 좋습니다. 모니터링할 애셋 세트는 위험 평가 결과와 비즈니스 요구사항에 따라 달라집니다. 애셋 모니터링에 대한 자세한 내용은 애셋 변경사항 모니터링을 참조하세요.
기존 애셋 관리 모니터링 시스템과 통합
이미 SIEM 시스템이나 다른 모니터링 시스템을 사용하고 있다면 Google Cloud 애셋을 해당 시스템과 통합합니다. 통합을 통해 조직이 환경에 관계없이 모든 리소스를 한 곳에서 종합적으로 볼 수 있습니다. 자세한 내용은 SIEM 시스템으로 Google Cloud 보안 데이터 내보내기 및 Cloud Logging 데이터 내보내기 시나리오: Splunk를 참조하세요.
데이터 분석을 사용하여 모니터링 강화
추가 분석을 위해 인벤토리를 BigQuery 테이블 또는 Cloud Storage 버킷으로 내보낼 수 있습니다.
다음 단계
다음 리소스를 사용하여 애셋 관리에 대해 자세히 알아보세요.
- ID 및 액세스 관리(이 시리즈의 다음 문서)
- 리소스 관리
- 시스템 설계