사용자의 데이터 RBAC 구성

다음에서 지원:

이 페이지에서는 데이터 역할 기반 액세스 제어(데이터 RBAC) 관리자가 Google Security Operations 내에서 데이터 RBAC를 구성하는 방법을 설명합니다. 라벨로 정의된 데이터 범위를 만들고 할당하면 승인된 사용자만 데이터에 액세스할 수 있게 할 수 있습니다.

데이터 RBAC는 사전 정의된 역할, 커스텀 역할, IAM 조건을 포함한 IAM 개념을 사용합니다.

다음에서는 구성 프로세스를 간략하게 설명합니다.

  1. 구현 계획: 사용자 액세스를 제한하려는 다양한 유형의 데이터를 식별합니다. 조직 내 다양한 역할을 파악하고 각 역할의 데이터 액세스 요구사항을 결정합니다.

  2. 선택사항: 커스텀 라벨 만들기: 기본 라벨 외에 커스텀 라벨을 만들어 데이터를 분류합니다.

  3. 데이터 범위 만들기: 관련 라벨을 결합하여 범위를 정의합니다.

  4. 사용자에게 범위 할당: 사용자 책임에 따라 IAM의 사용자 역할에 범위를 할당합니다.

시작하기 전에

커스텀 라벨 만들기 및 관리

커스텀 라벨은 SIEM에서 수집한 Google SecOps 데이터에 추가하여 UDM 정규화 값을 기준으로 분류하고 구성할 수 있는 메타데이터입니다.

예를 들어 네트워크 활동을 모니터링하려고 한다고 가정해 보겠습니다. 손상되었을 가능성이 있는 특정 IP 주소(10.0.0.1)에서 동적 호스트 구성 프로토콜(DHCP) 이벤트를 추적하려고 합니다.

이러한 특정 이벤트를 필터링하고 식별하려면 다음 정의와 함께 Suspicious DHCP Activity라는 커스텀 라벨을 만들면 됩니다.

metadata.event_type = "NETWORK_DHCP" AND principal.ip = "10.0.0.1"

커스텀 라벨은 다음과 같은 방식으로 작동합니다.

Google SecOps는 지속적으로 네트워크 로그와 이벤트를 UDM으로 수집합니다. DHCP 이벤트가 수집되면 Google SecOps에서 커스텀 라벨 기준과 일치하는지 확인합니다. metadata.event_type 필드가 NETWORK_DHCP이고 principal.ip 필드(DHCP 임대를 요청하는 기기의 IP 주소)가 10.0.0.1인 경우 Google SecOps는 이벤트에 커스텀 라벨을 적용합니다.

Suspicious DHCP Activity 라벨을 사용하여 범위를 만들고 관련 사용자에게 범위를 할당할 수 있습니다. 범위 할당을 사용하면 이러한 이벤트에 대한 액세스 권한을 조직 내 특정 사용자나 역할로 제한할 수 있습니다.

라벨 요구사항 및 제한사항

  • 라벨 이름은 고유해야 하며 최대 63자(영문 기준)여야 합니다. 소문자, 숫자, 하이픈만 포함할 수 있습니다. 삭제한 후에는 재사용될 수 없습니다.
  • 라벨은 참조 목록을 사용할 수 없습니다.
  • 라벨은 보강 필드를 사용할 수 없습니다.
  • 라벨은 정규 표현식을 지원하지 않습니다.

커스텀 라벨 만들기

커스텀 라벨을 만들려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  3. 커스텀 라벨 탭에서 커스텀 라벨 만들기를 클릭합니다.

  4. UDM 검색 창에 쿼리를 입력하고 검색 실행을 클릭합니다.

    쿼리를 미세 조정하고 라벨을 지정할 데이터가 결과에 표시될 때까지 검색 실행을 클릭할 수 있습니다. 쿼리 실행에 대한 자세한 내용은 UDM 검색 입력을 참조하세요.

  5. 라벨 만들기를 클릭합니다.

  6. 라벨 만들기 창에서 새 라벨로 저장을 선택한 후 라벨 이름과 설명을 입력합니다.

  7. 라벨 만들기를 클릭합니다.

    새 커스텀 라벨이 생성됩니다. 데이터 수집 중에 이 라벨은 UDM 쿼리와 일치하는 데이터에 적용됩니다. 이미 수집된 데이터에는 라벨이 적용되지 않습니다.

커스텀 라벨 수정

라벨 설명과 라벨과 연결된 쿼리만 수정할 수 있습니다. 라벨 이름을 업데이트할 수 없습니다. 커스텀 라벨을 수정하면 변경사항은 새 데이터에만 적용되고 이미 수집된 데이터에는 적용되지 않습니다.

라벨을 수정하려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  3. 커스텀 라벨 탭에서 수정하려는 라벨의 메뉴를 클릭하고 수정을 선택합니다.

  4. UDM 검색 창에서 쿼리를 업데이트하고 검색 실행을 클릭합니다.

    쿼리를 미세 조정하고 라벨을 지정할 데이터가 결과에 표시될 때까지 검색 실행을 클릭할 수 있습니다. 쿼리 실행에 대한 자세한 내용은 UDM 검색 입력을 참조하세요.

  5. 변경사항 저장을 클릭합니다.

커스텀 라벨이 수정됩니다.

커스텀 라벨 삭제

라벨을 삭제하면 새 데이터가 라벨과 연결되지 않습니다. 이미 라벨과 연결된 데이터는 라벨과 연결된 상태로 유지됩니다. 삭제 후에는 커스텀 라벨을 복구하거나 라벨 이름을 재사용하여 새 라벨을 만들 수 없습니다.

  1. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  2. 커스텀 라벨 탭에서 삭제하려는 라벨의 메뉴를 클릭하고 삭제를 선택합니다.

  3. 삭제를 클릭합니다.

  4. 확인 창에서 확인을 클릭합니다.

커스텀 라벨이 삭제됩니다.

커스텀 라벨 보기

커스텀 라벨 세부정보를 보려면 다음을 수행합니다.

  1. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  2. 커스텀 라벨 탭에서 수정하려는 라벨의 메뉴를 클릭하고 보기를 선택합니다.

    라벨 세부정보가 표시됩니다.

범위 만들기 및 관리

Google SecOps 사용자 인터페이스 내에서 데이터 범위를 만들고 관리한 후 IAM을 통해 이러한 범위를 사용자나 그룹에 할당할 수 있습니다. 범위가 있는 사용자가 액세스할 수 있는 데이터를 정의하는 라벨을 적용하여 범위를 만들 수 있습니다.

범위 만들기

범위를 만들려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  3. 범위 탭에서 범위 만들기를 클릭합니다.

  4. 새 범위 만들기 창에서 다음을 수행합니다.

    1. 범위 이름설명을 입력합니다.

    2. 라벨로 범위 액세스 정의 > 액세스 허용에서 다음을 수행합니다.

      • 사용자에게 액세스 권한을 부여할 라벨과 해당 값을 선택하려면 특정 라벨 허용을 클릭합니다.

        범위 정의에서 같은 유형의 라벨(예: 로그 유형)은 OR 연산자를 통해 결합되지만 다른 유형의 라벨(예: 로그 유형 및 네임스페이스)은 AND 연산자를 통해 결합됩니다. 라벨이 범위에서 데이터 액세스를 정의하는 방법에 대한 자세한 내용은 허용 및 거부 라벨과 데이터 공개 상태를 참조하세요.

      • 모든 데이터에 대한 액세스 권한을 부여하려면 모든 항목에 대한 액세스 허용을 선택합니다.

    3. 일부 라벨에 대한 액세스를 제외하려면 특정 라벨 제외를 선택한 후 라벨 유형과 사용자의 액세스 권한을 거부하려는 해당 값을 선택합니다.

      범위 내에서 액세스 거부 라벨이 여러 개 적용된 경우 이러한 라벨 중 하나라도 일치하면 액세스가 거부됩니다.

    4. 범위 테스트를 클릭하여 라벨이 범위에 적용되는 방식을 확인합니다.

    5. UDM 검색 창에 쿼리를 입력하고 검색 실행을 클릭합니다.

      쿼리를 미세 조정하고 라벨을 지정할 데이터가 결과에 표시될 때까지 검색 실행을 클릭할 수 있습니다. 쿼리 실행에 대한 자세한 내용은 UDM 검색 입력을 참조하세요.

    6. 범위 만들기를 클릭합니다.

    7. 범위 만들기 창에서 범위 이름과 설명을 확인하고 범위 만들기를 클릭합니다.

범위가 생성됩니다. 사용자에게 범위에 있는 데이터에 액세스할 수 있는 권한을 부여하려면 사용자에게 범위를 할당해야 합니다.

범위 수정

범위 설명과 연결된 라벨만 수정할 수 있습니다. 범위 이름을 업데이트할 수 없습니다. 범위를 업데이트하면 범위와 연결된 사용자는 새 라벨에 따라 제한됩니다. 범위에 바인딩된 규칙은 업데이트된 규칙과 다시 일치되지 않습니다.

범위를 수정하려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  3. 범위 탭에서 수정하려는 범위에 해당하는 메뉴를 클릭하고 수정을 선택합니다.

  4. 수정을 클릭하여 범위 설명을 수정합니다.

  5. 라벨로 범위 액세스 정의 섹션에서 필요에 따라 라벨과 해당 값을 업데이트합니다.

  6. 범위 테스트를 클릭하여 새 라벨이 범위에 적용되는 방식을 확인합니다.

  7. UDM 검색 창에 쿼리를 입력하고 검색 실행을 클릭합니다.

    쿼리를 미세 조정하고 라벨을 지정할 데이터가 결과에 표시될 때까지 검색 실행을 클릭할 수 있습니다. 쿼리 실행에 대한 자세한 내용은 UDM 검색 입력을 참조하세요.

  8. 변경사항 저장을 클릭합니다.

범위가 수정됩니다.

범위 삭제

범위가 삭제되면 사용자는 범위와 연결된 데이터에 액세스할 수 없습니다. 삭제 후 범위 이름은 새 범위를 만드는 데 재사용될 수 없습니다.

범위를 삭제하려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > SIEM 설정 > 데이터 액세스를 클릭합니다.

  3. 범위 탭에서 삭제하려는 범위의 메뉴를 클릭합니다.

  4. 삭제를 클릭합니다.

  5. 확인 창에서 확인을 클릭합니다.

범위가 삭제됩니다.

범위 보기

범위 세부정보를 보려면 다음을 수행합니다.

  1. Google SecOps에 로그인합니다.

  2. 설정 > 데이터 액세스를 클릭합니다.

  3. 범위 탭에서 보려는 범위의 메뉴를 클릭하고 보기를 선택합니다.

범위 세부정보가 표시됩니다.

사용자에게 범위 할당

권한이 제한된 사용자의 데이터 액세스를 제어하려면 범위를 할당해야 합니다. 사용자에게 특정 범위를 할당하면 사용자가 보고 상호작용할 수 있는 데이터가 결정됩니다. 사용자에게 여러 범위가 할당되면 사용자는 모든 해당 범위에서 결합된 데이터에 액세스할 수 있습니다. 사용자가 모든 데이터를 보고 상호작용할 수 있게 하려면 전역 액세스가 필요한 사용자에게 적절한 범위를 할당하면 됩니다. 사용자에게 범위를 할당하려면 다음을 수행합니다.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동

  2. Google SecOps에 바인딩된 프로젝트를 선택합니다.

  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 다음과 같이 주 구성원 식별자를 추가합니다.

    principal://iam.googleapis.com/locations/global/workforcePools/POOL_ID/subject/USER_EMAIL_ADDRESS
  5. 역할 할당 > 역할 선택 메뉴에서 필요한 역할을 선택합니다. 다른 역할 추가를 클릭하여 여러 역할을 추가합니다. 추가해야 하는 역할을 알아보려면 사용자 역할을 참조하세요.

  6. 사용자에게 범위를 할당하려면 사용자에게 할당된 Chronicle 제한 데이터 액세스 역할에 조건을 추가합니다(전역 액세스 역할에는 적용되지 않음).

    1. Chronicle 제한 데이터 액세스 역할의 IAM 조건 추가를 클릭합니다. 조건 추가 창이 표시됩니다.

    2. 조건 제목을 입력하고 원하는 경우 설명을 입력합니다.

    3. 조건 표현식을 추가합니다.

      조건 작성 도구 또는 조건 편집기를 사용하여 조건 표현식을 추가할 수 있습니다.

      조건 작성 도구에서는 표현식에 대한 조건 유형, 연산자, 기타 적용 가능한 세부정보를 선택할 수 있는 대화형 인터페이스를 제공합니다. OR 연산자를 사용하여 요구사항에 따라 조건을 추가합니다. 범위를 역할에 추가하려면 다음을 수행하는 것이 좋습니다.

      1. 조건 유형에서 이름을, 연산자에서 다음으로 끝남을 선택하고 /<scopename>을 입력합니다.

      2. 여러 범위를 할당하려면 OR 연산자를 사용하여 조건을 더 추가합니다. 역할 바인딩마다 조건을 최대 12개까지 추가할 수 있습니다. 조건을 12개 넘게 추가하려면 역할 바인딩을 여러 개 만들고 이러한 각 바인딩에 조건을 최대 12개까지 추가합니다.

      조건에 대한 자세한 내용은 IAM 조건 개요를 참조하세요.

    4. 저장을 클릭합니다.

    조건 편집기에서는 CEL 구문을 사용하여 표현식을 수동으로 입력할 수 있는 텍스트 기반 인터페이스를 제공합니다.

    1. 다음 표현식을 입력합니다.

      (scope-name: resource.name.endsWith(/SCOPENAME1) || resource.name.endsWith(/SCOPENAME2) || … || resource.name.endsWith(/SCOPENAME))
    2. 린터 실행을 클릭하여 CEL 구문 유효성을 검사합니다.

    3. 저장을 클릭합니다.

      참고: 조건부 역할 바인딩은 조건이 없는 역할 바인딩을 재정의하지 않습니다. 주 구성원이 역할에 결합되어 있고 역할 결합에 조건이 없으면 항상 주 구성원이 해당 역할을 갖습니다. 같은 역할의 조건부 바인딩에 주 구성원을 추가해도 효과는 없습니다.

  7. 변경사항 테스트를 클릭하여 변경사항이 데이터에 대한 사용자 액세스 권한에 미치는 영향을 확인합니다.

  8. 저장을 클릭합니다.

이제 사용자는 범위와 연결된 데이터에 액세스할 수 있습니다.