Cloud Logging에서 알아야 할 다섯 가지 보안 및 규정 준수 기능
Collin Frierson
Product Manager, Google Cloud
Afrina M
Product Manager, Google Cloud
* 본 아티클의 원문은 2022년 8월 4일 Google Cloud 블로그(영문)에 게재되었습니다.
기업 및 공공 부문에서 클라우드 채택이 계속 가속화됨에 따라 클라우드 환경에서 누가 무엇을 했는지 정확하게 파악하는 것이 클라우드 환경의 보안 및 규정 준수를 위해 중요해졌습니다. 로그는 보안 침해를 감지하거나 현재 일어나고 있는 보안 문제를 조사하거나 포렌식 조사를 수행할 때 매우 중요합니다. 다음 Cloud Logging에서 알아야 할 다섯 가지 보안 및 규정 준수 기능은 고객이 보안 감사를 가장 잘 수행할 수 있도록 로그를 생성하는 데 도움이 됩니다. 첫 세 가지 기능은 2022년에 출시되었으며 나머지 두 기능은 그 이전부터 사용되어 왔습니다.
1. Cloud Logging은 Assured Workloads의 일부입니다.
Google Cloud의 Assured Workloads는 고객이 소프트웨어 정의 커뮤니티 클라우드를 통해 규정 준수 요건을 충족할 수 있도록 지원합니다. Cloud Logging 및 외부 로그 데이터는 다양한 규정에 포함되어 있습니다. 이에 따라 Cloud Logging은 이제 Assured Workloads의 일부가 되었습니다. Assured Workloads로 Cloud Logging을 사용하면 고객은 NIST 800-53 및 지원되는 기타 프레임워크의 로그 보관 및 감사 요건을 훨씬 더 수월하게 충족할 수 있습니다. 이 문서에서 시작하는 방법을 알아보세요.
2. Cloud Logging은 이제 FedRAMP 높음 인증을 받았습니다.
FedRAMP는 클라우드 기술을 채택하는 연방 기관에 보안 및 위험 평가에 대한 표준화된 접근 방식을 제공하여 안전한 클라우드 서비스의 채택을 촉진하는 미국 정부 프로그램입니다. Cloud Logging팀은 High Baseline 수준으로 FedRAMP를 준수하는 데 필요한 제어를 구현하는 데 대한 인증을 받았습니다. 고객은 이 인증을 통해 민감한 정보를 클라우드 로그에 저장하고 Cloud Logging을 사용하여 자체 규정 준수 제어 요건을 충족할 수 있습니다.
아래는 이 인증을 위해 NIST의 요건에 따라 Cloud Logging이 구현한 제어입니다. 괄호 안에는 기능에 대한 예시 제어 매핑이 포함되어 있습니다.
- 이벤트 로깅(AU-2) - 다양한 이벤트를 캡처합니다. 지정된 이벤트의 예로는 비밀번호 변경, 시스템과 관련된 로그온 실패 또는 액세스 실패, 보안 또는 개인 정보 보호 속성 변경, 관리 권한 사용, PIV(Personal Identity Verification) 자격 증명 사용, 데이터 작업 변경, 쿼리 매개변수 또는 외부 자격 증명 사용 등이 있습니다.
- 편리해진 감사(AU-3) - 사용자에게 감사에 필요한 모든 정보를 제공하기 위해 이벤트 유형, 발생 시간, 이벤트 위치, 이벤트 출처, 이벤트 결과 및 신원 정보를 캡처합니다.
- 연장된 로그 보관(AU-4) - 사건의 사후 조사를 지원하기 위해 로그 저장 용량 및 보관에 대한 개요 정책을 지원합니다. 고객이 규정 및 조직 정보 보관 요건을 충족할 수 있도록 보관 기간 구성을 돕습니다.
- 로그 실패에 대한 경고(AU-5) - 고객은 로그 오류가 발생할 때 경고를 만들 수 있습니다.
- 증거 생성(AU-16) - 표준화된 형식의 감사 기록으로 구성된 논리적 또는 물리적 시스템 전체 감사 추적을 캡처합니다. 조직 간 감사 기능을 활성화할 수 있습니다.
이 웹 세미나에서 Assured Workloads가 FedRAMP 규정 준수 노력을 지원하는 방법을 자세히 알아보세요.
3. 고객 관리 암호화 키(CMEK)로도 알려진 '자체 키 관리'로 Cloud Logging 로그 버킷을 암호화할 수 있습니다.
특정 암호화 요구사항이 있는 고객을 위해 Cloud Logging은 이제 Cloud KMS를 통해 CMEK를 지원합니다. CMEK는 개별 로그 버킷에 적용할 수 있으며 로그 라우터와 함께 사용할 수 있습니다. Cloud Logging은 필요한 경우 단일 버킷과 라우터에 조직의 모든 로그를 중앙 집중화하도록 구성할 수 있으므로 조직의 로그 스토리지에 CMEK를 간단하게 적용할 수 있습니다.
여기에서 Cloud Logging 버킷에 CMEK를 사용 설정하는 방법을 알아보세요.
4. 액세스 투명성으로 클라우드 제공업체 투명성을 위한 높은 기준을 설정합니다.
액세스 투명성 로그는 콘텐츠에 대해 Google 직원이 수행한 작업을 감사하는 데 도움이 될 수 있으며, 기존 SIEM(보안 정보 및 이벤트 관리) 도구와 통합하여 Google 직원이 콘텐츠에 액세스할 수 있게 되는 드문 상황에 대한 감사를 자동화할 수 있습니다. Cloud 감사 로그는 조직의 누가 Google Cloud의 데이터에 액세스했는지 알려주는 반면, 액세스 투명성 로그는 Google 직원이 데이터에 액세스했는지 여부를 알려줍니다.
이러한 액세스 투명성 로그는 다음 작업에 도움이 될 수 있습니다.
- Google 직원이 서비스 중단 해결 또는 지원 요청 응답과 같은 업무적으로 타당한 이유로만 콘텐츠에 액세스하고 있는지 확인
- 액세스가 승인되었을 때 직원이 실제로 취한 조치 검토
- Assured Workload Support가 법적 또는 규제상 의무를 준수하는지 확인 및 추적
여기에서 조직을 위해 액세스 투명성을 사용 설정하는 방법을 알아보세요.
5. 액세스 승인 로그를 사용하여 누가 로그 데이터에 액세스하는지 추적합니다.
액세스 승인을 사용하면 사전 정의된 특성에 따라 Google 직원의 콘텐츠 액세스를 제한할 수 있습니다. 로깅 관련 기능은 아니지만 많은 고객이 궁금해하는 기능입니다. Google 지원 담당자 또는 엔지니어가 디버깅 목적의 지원을 위해 콘텐츠에 액세스해야 하는 경우(서비스 요청이 생성된 경우) 액세스 승인 도구를 사용하여 요청을 승인하거나 거부할 수 있습니다.
여기에서 액세스 승인을 설정하는 방법을 알아보세요.
Google은 이러한 기능이 관련 규정을 준수하는 동시에 Cloud Logging을 더 쉽고 안전하게 채택하고 사용하는 데 도움이 되기를 바랍니다. 더 많은 기능이 개발되는 중이므로 어떻게 하면 추가적인 보안 또는 규정 준수 의무를 충족하는 데 Cloud Logging이 도움이 될지 의견을 보내 주세요.
qwiklab 퀘스트를 통해 Cloud Logging에 대해 자세히 알아보고 토론 포럼에 참여해 보세요. 언제나 그렇듯이, 의견이 있으면 알려주시기 바랍니다. 나누고 싶은 의견이 있으면 여기로 알려주세요.