콘텐츠로 이동하기
보안 & 아이덴티티

안전한 클라우드 환경을 위한 사용자 인증 정보의 자동 탐색 도구 소개

2024년 1월 19일
Scott Ellis

Senior Product Manager

Tim Wingerter

Product Manager

Try Gemini 1.5 Pro

Google's most advanced multimodal model in Vertex AI

Try it

*본 아티클의 원문은 2023년 12월 20일 Google Cloud 블로그(영문)에 게재되었습니다.

일반 텍스트에 사용자 인증 정보를 저장하면 조직의 보안이 약화될 수 있습니다. 위협 행위자를 비롯해 승인되지 않은 사용자에게 사용자 인증 정보를 노출할 위험이 있습니다. 보안이 제대로 이루어지지 않으면 사용자 인증 정보가 로그 또는 인벤토리 시스템과 같은 다양한 시스템에서 수집, 전파되어 추가로 노출될 수도 있습니다.

Google Cloud에서는 조직에 Secret Manager와 같은 도구를 사용해 저장된 사용자 인증 정보를 보호하도록 권장하고 있습니다. 이 도구는 비밀번호와 API 키 같은 보안 비밀의 사용을 암호화하고 승인하여 보안을 한층 더 강화해 줍니다. 하지만 일반 텍스트에 저장되었다가 노출된 사용자 인증 정보를 정확히 파악하기란 모래사장에서 바늘 찾기만큼이나 어려울 수 있습니다. 조직의 보안 개선을 돕기 위해 Google Cloud는 오늘 Sensitive Data Protection 제품으로 환경 변수에 저장된 일반 텍스트 사용자 인증 정보를 찾고 모니터링할 수 있는 무료 보안 비밀 탐색 도구를 출시합니다.

노출된 보안 비밀 탐색하기

보안 비밀 탐색을 사용 설정하면 Sensitive Data Protection이 보안 위반을 계속 모니터링하고 Google Cloud의 기본 제공 보안 및 위험 관리 솔루션인 Security Command Center에 직접 보고합니다. 환경 변수에 보안 비밀이 포함되어 있지 않은지 확인하는 것도 CIS 벤치마크 보안 규정 준수 및 상황 보고를 통해 측정합니다. 보안 비밀 탐색 서비스를 프로젝트 또는 조직 수준에서 사용 설정할 수 있어 고객에게 포괄적이고 지속적인 적용 범위를 제공할 수 있습니다.

아래 예시는 처리되지 않은 원시 보안 비밀이 Google Cloud 함수의 런타임 환경 변수에 키-값이 쌍으로 추가된 상태를 보여줍니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/image1_ui9Qpd1.max-1000x1000.png

다운스트림 로그 또는 메타데이터 카탈로그에서 이 함수의 정의를 읽을 수 있는 액세스 권한이 있는 모든 사용자는 노출된 이 사용자 인증 정보를 볼 수 있습니다.

Sensitive Data Protection에서 이처럼 노출된 사용자 인증 정보의 증거를 발견하면 아래 그림과 같이 Security Command Center에 취약점으로 보고합니다.

https://storage.googleapis.com/gweb-cloudblog-publish/images/image2_SmnWNoH.max-2000x2000.png

Firebase Functions에서 보안 비밀에 더 안전하게 액세스하는 방법

Secret Manager를 사용해 보안 비밀 관리를 중앙 집중화하면 액세스 제어, 감사, 액세스 로그를 쉽게 관리할 수 있습니다. Firebase Functions에서 API 키 및 비밀번호와 같은 보안 비밀에 안전하게 액세스하는 방법에는 2가지가 있습니다.

  1. 보안 비밀을 볼륨으로 마운트: 이렇게 하면 보안 비밀을 파일로 함수에 제공하여 디스크에서 파일을 읽을 때마다 Secret Manager에서 보안 비밀 값에 액세스할 수 있습니다. 보안 비밀의 고정된 버전 대신 최신 버전을 참조하려는 경우 볼륨으로 마운트하는 것이 좋습니다.
  2. 보안 비밀을 환경 변수로 '안전하게' 전달: 일반 텍스트 값을 저장하고 사용하는 대신 Secret Manger의 보호 기능이 추가된 상태에서 다른 환경 변수처럼 보안 비밀에 액세스할 수 있습니다. 이렇게 하면 보안 비밀 값이 인스턴스 시작 시간에 결정되므로 보안 비밀의 고정된 버전을 참조할 수 있습니다.

다음 단계

콘솔 UI에서 직접 보안 비밀 스캔을 사용 설정하면 지금 바로 보안 비밀 탐색을 사용할 수 있습니다. Sensitive Data Protection 및 보안 비밀 탐색에 대해 자세히 알아보려면 문서를 검토하세요.

이 기능은 Sensitive Data Protection를 통해 무료로 이용할 수 있습니다. Sensitive Data Protection 및 보안 비밀 탐색은 Security Command Center 표준 및 프리미엄 등급 모두와 연동됩니다. Security Command Center 표준 등급은 무료로 사용할 수 있습니다.

게시 위치