액세스 투명성을 위한 '감사 전용' 모드 소개
Alexander Harrison
Product Manager, Google Cloud Security
해당 블로그의 원문은 2025년 8월 2일 Google Cloud 블로그(영문)에 게재되었습니다.
클라우드 워크로드 보안 및 투명성에 대한 노력의 일환으로, 구글은 오늘 액세스 승인을 위한 새로운 경량의 감사 전용 모드를 출시하여, "주문형(on demand)" 모델로 액세스 승인이 가능하게 되었습니다. 이 새로운 기능은 Google Cloud Console의 보안 섹션에서 추가 비용 없이 이용할 수 있습니다.
이전에는 액세스 승인이 모든 Google Cloud 액세스에 대한 검토를 보장함으로써 강력한 보안을 제공했습니다. 이는 훌륭한 완화 제어책이었지만, 관리자는 민감한 데이터와 비민감 데이터를 모두 자주 검토해야 했기 때문에 관리 오버헤드가 발생할 수 있었습니다. 또한, 많은 고객들이 요청했던 감사 로그 기반의 사후 대응 제어 전략을 쉽게 구현하도록 특별히 설계되지 않았습니다. 새로운 감사 전용 모드는 이러한 강력한 토대 위에 구축되어, 고객의 특정 제품 요구 사항 및 보안 워크플로우에 맞춰 액세스 승인을 맞춤 설정할 수 있는 유연성을 제공합니다.
새로운 액세스 승인은 기존 액세스 승인의 장점(액세스 알림, 취소 가능한 액세스 승인 이벤트, Cloud Console 또는 API 기반 사용자 경험)과 감사 모드에서 실행되고 특정 제품에 대한 승인을 제한하는 새로운 기능을 결합했습니다.
또한, 워크로드 관리자는 언제든지 액세스 승인 정책을 쉽게 전환하여 일시적으로 정책을 변경할 수 있습니다. 예를 들어, 중요한 출시 주간에는 승인 없이 Google Cloud 액세스를 방지할 수 있습니다.
사용 방법은 다음과 같습니다.
-
액세스 투명성 로그 분석을 통해 발견 사항(예: 쓰기 작업)을 감지합니다.
-
액세스 승인으로 이동합니다.
- 액세스 투명성 로그에 제공된 '승인 ID(approvalID)'를 통해 이벤트를 찾습니다.
-
액세스 이벤트와 관련된 데이터에 대한 액세스를 취소하여 액세스 승인을 추가합니다.
-
이제 Google은 해당 액세스 이벤트의 리소스에 액세스하기 위해 고객의 승인을 요청합니다.
고객들은 완화 워크플로우에 연결된 감사 로그 데이터의 추가 소스를 확보하는 것이 매우 중요하다고 말합니다. 예를 들어, 엄격한 변경 관리 프로세스를 갖춘 조직의 경우 액세스 승인 전체를 활성화하는 것이 워크로드에 대한 적절한 제어 수단입니다. 다른 조직의 경우, Google Cloud의 액세스 승인 감사 모드와 액세스 완화 기능은 일반적인 관리 워크플로우를 방해하지 않고 주문형으로 이용할 수 있는 포괄적인 재해 완화 계획의 일부가 됩니다.
액세스 승인의 새로운 감사 전용 모드 정책을 통해 이제 워크로드 관리자는 액세스 이벤트에 대한 추가 운영 부담 없이 주문형 보안 완화 계획에 액세스 승인을 추가할 수 있습니다. 액세스 승인을 통해 고객은 원하는 시점에 적용하여 Google Cloud의 관리 및 지원 액세스를 데이터에 한정할 수 있는 제어 옵션을 보유하게 됩니다.
액세스 승인의 '투명성' 감사 모드를 바로 시작하려면, 설정 가이드를 참고하세요.
