규정 준수 의무 관리

Google Cloud 아키텍처 프레임워크의 이 문서에서는 규정 준수 의무를 관리하기 위한 권장사항을 제공합니다.

클라우드 규제 요구사항은 다음 요소들의 조합에 따라 달라집니다.

• 조직의 물리적 위치에 적용되는 법률 및 규정
• 고객의 물리적 위치에 적용되는 법률 및 규정
• 업계의 규제 요구사항

이러한 요구사항은 Google Cloud에서 워크로드에 사용 설정할 보안 제어에 대해 결정해야 하는 여러 가지 사항을 좌우합니다.

일반적인 규정 준수는 평가, 간격 해결, 지속적인 모니터링의 세 가지 단계로 진행됩니다. 이 섹션에서는 각 단계에서 사용할 수 있는 권장사항을 설명합니다.

규정 준수 요구사항 평가

규정 준수 평가는 모든 규제 의무와 비즈니스가 이를 구현하는 방식을 철저하게 검토합니다. Google Cloud 서비스 평가에 도움이 되도록 규정 준수 리소스 센터를 사용하세요. 이 사이트에서 제공되는 세부정보는 다음과 같습니다.

• 다양한 규정 서비스 지원
• Google Cloud 인증 및 증명

Google 규정 준수 전문가와의 상담을 요청하면 Google의 규정 준수 수명 주기와 요구사항을 충족하는 방법을 더 잘 이해할 수 있습니다.

자세한 내용은 클라우드에서 규정 준수 보장(PDF)을 참조하세요.

Assured Workloads 배포

Assured Workloads는 Google Cloud 내의 제어를 기반으로 하는 Google Cloud 도구이며, 규정 준수 의무를 이행하는 데 도움이 됩니다. Assured Workloads를 사용하면 다음을 수행할 수 있습니다.

• 규정 준수 체계를 선택합니다. 그런 다음 이 도구는 기준 직원 액세스 제어를 자동으로 설정합니다.
• 조직 정책을 통해 데이터 위치를 설정하여 저장 데이터와 리소스가 해당 리전에만 유지되도록 합니다.
• 보안 및 규정 준수 요구사항에 가장 적합한 키 관리 옵션(예: 키 순환 기간)을 선택합니다.
• FedRAMP Moderate과 같은 특정 규제 요건에 따라 Google 지원 담당자의 액세스 기준(예: 적절한 백그라운드 확인 완료 여부)을 선택하세요.
• Google 관리 암호화 키가 FIPS-140-2를 준수하고 FedRAMP 중간 수준 규정 준수를 지원하는지 확인합니다. 추가적인 제어 레이어와 업무 분리를 위해 고객 관리 암호화 키(CMEK)를 사용할 수 있습니다. 키에 대한 자세한 내용은 데이터 암호화를 참조하세요.

규정 준수 체계에 적용되는 템플릿 및 권장사항의 청사진 검토

Google은 권장사항을 설명하고 규정 준수를 달성하는 데 도움이 되는 환경을 배포할 수 있는 Terraform 모듈을 제공하는 청사진 및 솔루션 가이드를 게시했습니다. 다음 표에는 보안 문제를 해결하고 규정 준수 요구사항에 부합하는 청사진이 나열되어 있습니다.

표준	설명
PCI	보안 청사진: PCI on GKE PCI 데이터 보안 표준 규정 준수 Google Cloud의 PCI 환경 규정 준수 범위 제한 GKE의 PCI DSS 규정 준수
FedRAMP	Google Cloud FedRAMP 구현 가이드(PDF) Google Cloud에서 FedRAMP 정렬 3계층 워크로드 설정
HIPAA	Google Cloud의 의료 데이터 보호(PDF) Data Protection Toolkit을 사용한 HIPAA 지원 워크로드 설정(PDF)

규정 준수 모니터링

대부분의 규정에서는 액세스 제어를 비롯한 특정 활동을 모니터링해야 합니다. 모니터링에 도움이 되려면 다음을 사용합니다.

• 액세스 투명성: Google Cloud 관리자가 콘텐츠에 액세스할 때 거의 실시간 수준의 로그를 제공합니다.
• 방화벽 규칙 로깅: 직접 만든 규칙에 대한 VPC 네트워크 내부의 TCP 및 UDP 연결을 기록합니다. 이러한 로그는 네트워크 액세스를 감사하거나 네트워크가 승인되지 않은 방식으로 사용되고 있음을 미리 경고하는 데 유용할 수 있습니다.
• VPC 흐름 로그: VM 인스턴스에서 전송 또는 수신되는 네트워크 트래픽 흐름을 기록합니다.
• Security Command Center 프리미엄: 다양한 표준을 준수하는지 여부를 모니터링합니다.
• OSSEC(또는 다른 오픈소스 도구): 환경에 대한 관리자 액세스 권한이 있는 개별 사용자의 활동을 로깅합니다.
• 키 액세스 근거: 키 액세스 요청의 이유를 봅니다.

규정 준수 자동화

변화하는 규정을 계속 준수할 수 있도록 보안 정책을 코드 배포로 인프라에 통합하여 보안 정책을 자동화할 수 있는 방법이 있는지 확인합니다. 예를 들어, 다음 사항을 고려해 보세요.

• 보안 청사진을 사용하여 인프라 배포에 보안 정책을 구축합니다.

• Security Command Center를 구성하여 규정 준수 문제가 발생하면 알리도록 합니다. 예를 들어 사용자가 2단계 인증 또는 권한이 높은 서비스 계정을 사용 중지하는 것과 같은 문제를 모니터링합니다. 자세한 내용은 발견 항목 알림 설정을 참조하세요.

• 특정 알림에 대한 자동 구제 조치를 설정합니다. 자세한 내용은 Cloud Functions 코드를 참조하세요.

규정 준수 자동화에 대한 자세한 내용은 코드형 위험 및 규정 준수(RCaC) 솔루션을 참조하세요.

다음 단계

다음 리소스의 규정 준수에 대해 자세히 알아보세요.

• 데이터 보존 및 주권 요구사항 구현(이 시리즈의 다음 문서)
• 규정 준수 리소스 센터
• Google 보안 백서(PDF)
• Assured Workloads