Google Security Operations 인스턴스 온보딩 또는 마이그레이션

다음에서 지원:

Google Security Operations는 Identity and Access Management, Cloud Monitoring, Cloud 감사 로그와 같은 Google Cloud 서비스와 더 긴밀하게 통합되도록 고객이 제공한 Google Cloud 프로젝트에 연결합니다. 고객은 IAM 및 직원 ID 제휴를 통해 기존 ID 공급업체를 사용하여 인증할 수 있습니다.

다음 문서에서는 새 Google Security Operations 인스턴스를 온보딩하거나 기존 Google Security Operations 인스턴스를 마이그레이션하는 과정을 안내합니다.

  1. Google Security Operations의 Google Cloud 프로젝트 구성
  2. Google Security Operations의 서드 파티 ID 공급업체 구성
  3. Google Security Operations를 Google Cloud 서비스에 연결
  4. IAM을 사용하여 기능 액세스 제어 구성
  5. 데이터 액세스 제어 구성
  6. Google Cloud 설정 체크리스트 완료

필요한 역할

다음 섹션에서는 이전 섹션에 언급한 각 온보딩 프로세스 단계에 필요한 권한에 대해 설명합니다.

Google Security Operations의 Google Cloud 프로젝트 구성

Google Security Operations의 Google Cloud 프로젝트 구성 단계를 완료하려면 다음 IAM 권한이 필요합니다.

조직 수준에서 프로젝트 생성자(resourcemanager.projects.create) 권한이 있으면 프로젝트를 만들고 Chronicle API를 사용 설정하는 데 추가 권한이 필요하지 않습니다.

이 권한이 없으면 프로젝트 수준에서 다음 권한이 필요합니다.

ID 공급업체 구성

Cloud ID, Google Workspace, 서드 파티 ID 공급업체(예: Okta 또는 Azure AD)를 사용하여 사용자, 그룹, 인증을 관리할 수 있습니다.

Cloud ID 또는 Google Workspace 구성 권한

Cloud ID를 사용하는 경우 프로젝트, 폴더, 조직에 대한 액세스 관리에 설명된 역할 및 권한이 있어야 합니다.

Google Workspace를 사용하는 경우 Cloud ID 관리자 계정이 있어야 하며 관리 콘솔에 로그인할 수 있어야 합니다.

Cloud ID 또는 Google Workspace를 ID 공급업체로 사용하는 방법에 대한 자세한 내용은 Google Cloud ID 공급업체 구성을 참조하세요.

서드 파티 ID 공급업체 구성 권한

서드 파티 ID 공급업체를 사용하는 경우 직원 ID 제휴 및 직원 ID 풀을 구성합니다.

Google Security Operations의 서드 파티 ID 공급업체 구성 단계를 완료하려면 다음 IAM 권한이 필요합니다.

  • 이전에 만든 Google Security Operations에 바인딩된 프로젝트에 대한 프로젝트 편집자 권한

  • 조직 수준의 IAM 직원 풀 관리자(roles/iam.workforcePoolAdmin) 권한

    다음 명령어를 예시로 사용해서 roles/iam.workforcePoolAdmin 역할을 설정합니다.

    gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member "user:USER_EMAIL" \
    --role roles/iam.workforcePoolAdmin
    

    다음을 바꿉니다.

    • ORGANIZATION_ID: 숫자로 된 조직 ID입니다.
    • USER_EMAIL: 관리자의 이메일 주소입니다.
  • 조직 수준의 조직 뷰어(resourcemanager.organizations.get) 권한

자세한 내용은 서드 파티 ID 공급업체 구성을 참조하세요.

Google Security Operations를 Google Cloud 서비스에 연결 단계를 완료하려면 Google Security Operations의 Google Cloud 프로젝트 구성 섹션에서 정의된 권한과 같은 권한이 필요합니다.

기존 Google SecOps 인스턴스를 마이그레이션하려는 경우 Google SecOps에 대한 액세스 권한이 필요합니다. 사전 정의된 역할 목록은 IAM의 Google SecOps 사전 정의된 역할을 참조하세요.

IAM을 사용하여 기능 액세스 제어 구성

IAM을 사용하여 기능 액세스 제어 구성의 단계를 완료하려면 프로젝트의 IAM 역할 바인딩을 부여하고 수정하기 위해 프로젝트 수준에서 다음 IAM 권한이 필요합니다.

이를 수행하는 방법 예시는 사용자 및 그룹에 역할 할당을 참조하세요.

기존 Google Security Operations 인스턴스를 IAM으로 마이그레이션하려면 서드 파티 ID 공급업체 Google Security Operations 구성 섹션에서 정의된 권한과 같은 권한이 필요합니다.

데이터 액세스 제어 구성

사용자의 데이터 RBAC를 구성하려면 Chronicle API 관리자(roles/chronicle.admin) 및 역할 뷰어(roles/iam.roleViewer) 역할이 필요합니다. 사용자에게 범위를 할당하려면 프로젝트 IAM 관리자(roles/resourcemanager.projectIamAdmin) 또는 보안 관리자(roles/iam.securityAdmin) 역할이 필요합니다.

필요한 역할이 없는 경우 IAM에서 역할을 할당합니다.

Google Security Operations 고급 기능 요구사항

다음 표에는 고객 제공 Google Cloud 프로젝트와 Google 직원 ID 제휴에 대한 Google Security Operations 고급 기능과 종속 항목이 나와 있습니다.

기능 Google Cloud 기반 Google Cloud 프로젝트가 필요한가요? IAM 통합이 필요한가요?
Cloud 감사 로그: 관리 활동 Cloud 감사 로그
Cloud 감사 로그: 데이터 액세스 Cloud 감사 로그
Cloud Billing: 온라인 구독 또는 사용한 만큼만 지불 Cloud Billing 아니요
Chronicle API: 일반 액세스, 서드 파티 IdP를 사용하여 사용자 인증 정보 발급 및 관리 Google Cloud API
Chronicle API: 일반 액세스, Cloud ID를 사용하여 사용자 인증 정보 발급 및 관리 Google Cloud API, Cloud ID
규정 준수 제어: CMEK Cloud Key Management Service 또는 Cloud 외부 키 관리자 아니요
규정 준수 제어: FedRAMP 높음 이상 Assured Workloads
규정 준수 제어: 조직 정책 서비스 조직 정책 서비스 아니요
규정 준수 제어: VPC 서비스 제어 VPC 서비스 제어 아니요
연락처 관리: 법적 정보 공개 필수 연락처 아니요
상태 모니터링: 수집 파이프라인 중단 Cloud Monitoring 아니요
수집: 웹훅, Pub/Sub, Azure Event Hub, Amazon Kinesis Data Firehose Identity and Access Management 아니요
역할 기반 액세스 제어: 데이터 Identity and Access Management
역할 기반 액세스 제어: 기능 또는 리소스 Identity and Access Management
지원 액세스: 케이스 제출, 추적 Cloud Customer Care 아니요
통합 SecOps 인증 Google 직원 ID 제휴 아니요