Google Cloud 아키텍처 프레임워크의 이 문서에서는 로깅 및 감지 제어를 구현할 수 있는 권장사항을 제공합니다.
감지 제어는 원격 분석을 사용해서 잘못된 구성, 취약점, 클라우드 환경의 잠재적으로 악의적인 활동을 감지합니다. Google Cloud를 사용하면 환경에 맞게 조정된 모니터링 및 감지 제어를 만들 수 있습니다. 이 섹션에서는 이러한 추가 기능 및 사용 권장사항을 설명합니다.
네트워크 성능 모니터링
Network Intelligence Center에서는 네트워크 토폴로지와 아키텍처의 성능을 파악할 수 있습니다. 네트워크 성능에 대한 자세한 정보를 가져온 후 이 정보를 사용하여 서비스에서 병목 현상을 제거해 배포를 최적화할 수 있습니다. 연결 테스트는 네트워크 경로에 적용되는 방화벽 규칙과 정책에 대한 유용한 정보를 제공합니다.
데이터 무단 반출 모니터링 및 방지
데이터 무단 반출은 조직의 주요 관심사입니다. 데이터 무단 반출은 일반적으로 승인된 사람이 보안 시스템에서 데이터를 추출한 후 해당 데이터를 승인되지 않은 당사자와 공유하거나 안전하지 않은 시스템으로 이동하는 경우에 발생합니다.
Google Cloud에서는 데이터 무단 반출을 감지하고 방지하는 데 도움이 되는 몇 가지 기능과 도구를 제공합니다. 자세한 내용은 데이터 무단 반출 방지를 참조하세요.
모니터링 중앙 집중화
Security Command Center는 Google Cloud의 리소스와 보안 상태에 대한 가시성을 제공합니다. Security Command Center는 위협을 예방 및 감지하고 이에 대응하도록 도와줍니다. 가상 머신, 네트워크, 애플리케이션, 스토리지 버킷에서 잘못된 보안 구성을 식별하는 데 사용할 수 있는 중앙 대시보드를 제공합니다. 비즈니스 손상 또는 손실을 입기 전에 이러한 문제를 해결할 수 있습니다. Security Command Center의 기본 제공 기능으로 Cloud Logging 보안 로그에서 의심스러운 활동을 표시하거나 손상된 가상 머신을 표시할 수 있습니다.
실행 가능한 권장사항을 따르거나 로그를 SIEM 시스템으로 내보내 추가 조사를 진행하여 위협에 대응할 수 있습니다. Google Cloud에서 SIEM 시스템을 사용하는 방법에 대한 자세한 내용은 Google Cloud의 보안 로그 분석을 참조하세요.
Security Command Center에서도 인프라 보안을 분석하는 데 도움이 되는 여러 감지기를 제공합니다. 이러한 감지기에는 다음이 포함됩니다.
Google Cloud Armor 로그 등의 다른 Google Cloud 서비스도 Security Command Center에 표시할 발견 항목을 제공합니다.
워크로드에 필요한 서비스를 사용 설정한 후 중요 데이터만 모니터링하고 분석합니다. 서비스 로깅 사용 설정에 대한 자세한 내용은 Google Cloud의 보안 로그 분석에서 로그 사용 설정 섹션을 참조하세요.
위협 모니터링
Event Threat Detection은 로그 스트림의 위협을 감지하는 Security Command Center 프리미엄의 선택적 관리형 서비스입니다. Event Threat Detection을 사용하면 멀웨어, 암호화폐 채굴, 승인되지 않은 Google Cloud 리소스 액세스, DDoS 공격, SSH 무작위 공격 등 위험도가 높고 많은 비용이 드는 위협을 감지할 수 있습니다. 이 도구의 기능을 사용하여 대량의 로그 데이터를 추출함으로써 보안팀에서 고위험 이슈를 빠르게 식별하고 구제 조치를 마련하는 데 집중할 수 있습니다.
사용자 계정의 유출 가능성을 조직에서 감지할 수 있도록 민감한 작업 Cloud Platform 로그를 사용하여 민감한 작업이 수행되는 시점을 파악하고 유효한 사용자가 적합한 목적으로 작업을 수행했는지를 확인하세요. 민감한 작업이란 높은 권한의 역할 추가와 같이 악의적인 행위자가 수행했을 때 비즈니스에 피해를 줄 수 있는 작업입니다. Cloud Logging을 사용하여 민감한 작업 Cloud Platform 로그를 조회, 모니터링, 쿼리하세요. 또한 Security Command Center 프리미엄의 기본 제공 서비스인 민감한 작업 서비스로 민감한 작업 로그 항목을 볼 수 있습니다.
Chronicle은 모든 보안 데이터를 중앙에서 저장하고 분석할 수 있습니다. 공격의 전체 스팬을 볼 수 있도록 Chronicle은 로그를 공통 모델로 매핑하고 보강한 후 타임라인에 연결할 수 있습니다. 또한 Chronicle을 사용하여 감지 규칙을 만들고, 침해 지표(IoC) 일치 기준을 설정하고, 위협 탐지 활동을 수행할 수 있습니다. 감지 규칙은 YARA-L 언어로 작성합니다. YARA-L의 샘플 위협 감지 규칙은 커뮤니티 보안 분석(CSA) 저장소를 참조하세요. 자체 규칙을 작성하는 것 외에도 Chronicle의 선별된 감지를 활용할 수 있습니다. 이러한 선별된 감지는 위협을 식별하는 데 도움이 되는 사전 정의된 관리형 YARA-L 규칙 집합입니다.
보안 분석, 감사, 조사를 위해 로그를 중앙화하는 또 다른 옵션은 BigQuery를 사용하는 것입니다. BigQuery에서는 SQL 쿼리(예: CSA 저장소 쿼리)를 사용하여 권한 변경, 프로비저닝 활동, 워크로드 사용량, 데이터 액세스, 네트워크 활동을 분석하여 일반적인 위협 또는 잘못된 구성을 모니터링합니다. 설정부터 분석까지 BigQuery의 보안 로그 분석에 대한 자세한 내용은 Google Cloud의 보안 로그 분석을 참조하세요.
다음 다이어그램은 Security Command Center의 기본 제공되는 위협 감지 기능과 BigQuery, Chronicle 또는 서드 파티 SIEM에서 수행하는 위협 감지를 모두 사용하여 모니터링을 중앙 집중화하는 방법을 보여줍니다.
다이어그램에 표시된 것처럼 다양한 보안 데이터 소스를 모니터링해야 합니다. 이러한 데이터 소스에는 Cloud Logging의 로그, Cloud 애셋 인벤토리의 애셋 변경사항, Google Workspace 로그, 하이퍼바이저 또는 게스트 커널의 이벤트가 포함됩니다. 다이어그램은 Security Command Center를 사용하여 이러한 데이터 소스를 모니터링할 수 있음을 보여줍니다. 이 모니터링은 Security Command Center에서 적절한 기능과 위협 감지기를 사용 설정한 경우에 자동으로 수행됩니다. 이 다이어그램은 보안 데이터 및 Security Command Center 발견 항목을 BigQuery, Chronicle 또는 서드 파티 SIEM과 같은 분석 도구로 내보내 위협을 모니터링할 수도 있음을 보여줍니다. 분석 도구에서 이 다이어그램은 CSA에서 사용 가능한 것과 같은 쿼리 및 규칙을 사용 및 확장하여 추가 분석 및 조사를 수행할 수 있음을 보여줍니다.
다음 단계
다음 리소스를 통해 로깅 및 감지에 대해 자세히 알아보세요.