Access Transparency 감사 전용 모드: 안전한 클라우드 운영을 위한 새로운 접근법

해당 블로그의 원문은 2025년 8월 2일 Google Cloud 블로그(영문)에 게재되었습니다. 

클라우드 워크로드 보안 및 투명성에 대한 Google의 노력의 일환으로, 오늘, '온디맨드 전용' 모델에서 액세스 승인을 활성화할 수 있도록 Access Approval의 새로운 경량 감사 전용 모드를 도입합니다. 이 새로운 기능은 Google Cloud Console의 보안 섹션에서 추가 비용 없이 사용할 수 있습니다.

이전에는 Access Approval이 모든 Google Cloud 액세스를 검토함으로써 강력한 보안을 제공했습니다. 완화 제어 기능으로 매우 효과적이지만, 이 포괄적인 접근 방식은 관리자가 민감한 데이터와 비민감한 데이터에 대한 액세스를 모두 자주 검토해야 했기 때문에 관리 부담이 가중될 수 있었습니다. 또한 많은 고객으로부터 접수된 요구사항인, 감사 로그 기반의 대응 제어 전략을 쉽게 활성화하도록 특별히 설계되지도 않았습니다. Google의 새로운 감사 전용 모드는 이러한 강력한 토대를 기반으로 Access Approval을 특정 제품 요구사항 및 보안 워크플로에 맞게 조정할 수 있는 유연성을 제공합니다.

새로운 Access Approval은 Access Approval의 장점(액세스 알림, 취소 가능한 Access Approval 이벤트, Cloud Console 또는 API 기반 사용자 경험)과 감사 모드에서 실행하고 특정 제품에 대한 승인을 제한하는 새로운 기능을 결합합니다.

또한, 워크로드 관리자는 언제든지 Access Approval 정책을 쉽게 전환하여 일시적으로 정책을 변경할 수 있습니다. 예를 들어, 중요한 출시 주간에는 승인 없이 Google Cloud에 액세스하는 것을 방지할 수 있습니다.

사용 방법은 다음과 같습니다.

1. Access Transparency 로그 분석을 통해 발견 사항을 탐지합니다(예: 쓰기 작업).

2. Access Approval로 이동합니다.

3. Access Transparency 로그에 제공된 'approvalID'를 통해 이벤트를 찾습니다.

4. 해당 액세스 이벤트와 연결된 데이터에 대한 액세스 권한을 취소하여 Access Approval을 추가합니다.

5. 이제 Google은 해당 액세스 이벤트의 리소스에 액세스하기 위해 고객 승인을 요청합니다.

고객들은 완화 워크플로와 연결된 감사 로그 데이터의 추가 소스가 매우 유용할 수 있다고 말했습니다. 예를 들어, 엄격한 변경 관리 프로세스가 있는 조직의 경우, Access Approval을 완벽하게 활성화하는 것이 워크로드에 대한 적절한 제어 방식입니다. 다른 조직의 경우, 액세스 완화 기능이 있는 Google Cloud의 Access Approval 감사 모드는 일반 관리 워크플로를 방해하지 않고도 온디맨드로 사용할 수 있는 포괄적인 재해 완화 계획의 일부입니다.

Access Approval의 새로운 감사 전용 모드 정책을 통해 워크로드 관리자는 이제 액세스 이벤트에 추가적인 운영 부담을 주지 않고도 온디맨드 보안 완화 계획에 Access Approval을 추가할 수 있습니다. Access Approval을 사용하면 고객이 원하는 경우 Google Cloud의 관리 및 지원팀의 데이터 액세스를 온디맨드로 제한하는 제어 옵션을 직접 가질 수 있습니다.