OS 인벤토리 관리

이 페이지에서는 OS 인벤토리 관리에 대해 간략하게 설명합니다. OS 인벤토리 관리 설정 및 사용에 대한 자세한 내용은 운영체제 세부정보 보기를 참조하세요.

OS 인벤토리 관리를 사용하여 가상 머신(VM) 인스턴스에 대해 운영체제 세부정보를 수집하고 확인합니다. 이러한 운영체제 세부정보에는 호스트 이름, 운영체제, 커널 버전과 같은 정보가 포함됩니다. 설치된 OS 패키지, 사용 가능한 OS 패키지 업데이트, Windows 애플리케이션, OS 취약점에 대한 정보도 가져올 수 있습니다.

OS 인벤토리 관리를 사용하는 경우

OS 인벤토리 관리를 사용하여 다음 작업을 완료할 수 있습니다.

  • 특정 버전의 운영체제를 실행하는 VM 식별
  • VM에 설치된 운영체제 패키지 보기
  • 각 VM에 사용 가능한 운영체제 패키지 업데이트 목록 생성
  • VM의 누락된 운영체제 패키지, 업데이트, 패치 식별
  • VM의 취약점 보고서 보기

OS 인벤토리 관리 작동 방식

OS 인벤토리 관리가 사용 설정되면 OS 구성 에이전트는 인벤토리 검사를 실행하여 데이터를 수집한 다음 이 정보를 메타데이터 서버, OS Config API 및 다양한 로그 스트림으로 전송합니다. 이 검사는 VM에서 10분마다 실행됩니다.

OS 인벤토리 관리를 사용 설정하려면 VM에서 VM Manager를 설정해야 합니다. VM Manager 설정을 참고하세요.

VM Manager를 설정한 후에는 게스트 속성 또는 OS Config API를 쿼리하여 VM에서 실행 중인 운영체제에 대한 정보를 검색할 수 있습니다. 운영체제 세부정보 보기를 참조하세요.

운영체제 데이터 수집 방법

Linux VM의 경우 OS 구성 에이전트가 VM에서 실행되고 /etc/os-release 또는 Linux 배포에서 이에 상응하는 파일을 파싱하여 운영체제 세부정보를 수집합니다. 또한 OS 구성 에이전트는 apt, yum 또는 GooGet과 같은 패키지 관리자를 사용하여 설치된 패키지와 인스턴스에 사용 가능한 업데이트 관련 정보를 수집합니다.

Windows VM의 경우 OS 구성 에이전트가 Windows 시스템 API를 사용하여 OS 세부정보를 수집합니다. Windows 업데이트 에이전트는 설치된 업데이트와 사용 가능한 업데이트를 찾는 데도 사용됩니다.

운영체제 데이터 저장 위치

인벤토리 데이터는 OS Config API에 저장됩니다. 설치된 패키지 및 패키지 업데이트의 콘텐츠는 공간 절약을 위해 gzip을 사용하여 압축된 후 base64로 인코딩됩니다.

로깅

OS 구성 에이전트는 데이터 수집 및 저장 중에 Compute Engine의 다양한 로그 스트림에 활동 로그를 씁니다. 예를 들면 다음과 같습니다.

  • 직렬 포트
  • 시스템 로그 - Windows 이벤트 로그 및 Linux syslog
  • 표준 스트림 - stdout
  • Cloud Logging 로그 - 이 로그는 VM 인스턴스에 Cloud Logging이 사용 설정된 경우에만 사용할 수 있습니다.

OS 인벤토리 관리에서 제공하는 정보

OS 인벤토리 관리는 VM 인스턴스에서 실행 중인 운영체제에 대해 다음 정보를 제공할 수 있습니다.

  • 호스트 이름
  • LongName - 자세한 운영체제 이름입니다. 예를 들면 Microsoft Windows Server 2016 Datacenter입니다.
  • ShortName - 짧은 형식의 운영체제 이름입니다. 예를 들면 Windows입니다.
  • 커널 버전
  • OS 아키텍처
  • OS 버전
  • OS 구성 에이전트 버전
  • 최종 업데이트 - 에이전트가 성공적으로 시스템을 검사하고 OS 인벤토리 데이터로 게스트 속성을 업데이트한 마지막 시간의 타임스탬프입니다.

설치된 운영체제 패키지 및 애플리케이션 정보

다음 표에서는 OS 인벤토리 관리에서 Linux 및 Windows VM에 설치된 운영체제 패키지에 제공하는 정보를 요약 설명합니다. 또한 Windows에서 실행 중인 애플리케이션에 사용할 수 있는 정보도 간략하게 설명합니다.

운영체제 패키지 관리자 사용 가능한 필드
Linux 및 Windows Server 설치된 패키지 정보는 다음 패키지 관리자가 제공합니다.
  • Red Hat Enterprise Linux(RHEL)용 RPM
  • Debian 및 Ubuntu용 DEB
  • Windows Server용 GooGet
설치된 각 패키지에는 다음 정보가 제공됩니다.
  • 패키지 이름
  • 아키텍처
  • 버전
Windows Server Windows 업데이트 에이전트 Windows 업데이트에는 다음 필드가 나열됩니다.
  • 제목
  • 설명
  • 카테고리
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime
Windows Server Windows Quick Fix Engineering 업데이트 QuickFixEngineering 패키지에는 다음 필드가 나열됩니다.
  • 캡션
  • 설명
  • HotFixID
  • InstalledOn
Windows Server Windows(설치 프로그램)2 Windows 설치 프로그램에는 다음 필드가 나열됩니다.
  • DisplayName
  • DisplayVersion
  • Publisher
  • InstallDate
  • HelpLink

1이 필드는 기본 gcloud compute instances os-inventory describe 명령줄 출력에 숨겨져 있습니다. 이 필드를 보려면 출력을 JSON 형식으로 표시해야 합니다. 출력을 JSON 형식으로 표시하려면 gcloud 명령어에 --format=JSON을 추가하세요. 출력 형식에 대한 자세한 내용은 gcloud topic formats을 검토하세요.

2Windows 애플리케이션의 설치 프로그램 속성을 보려면 OS 구성 에이전트 버전 20210811 이상이 필요합니다. 에이전트 버전을 보려면 OS 구성 에이전트 버전 보기를 참조하세요.

사용 가능한 운영체제 패키지 업데이트 정보

다음 표에는 OS 인벤토리 관리가 설치된 운영체제 패키지에 대해 제공하는 업데이트 정보가 요약되어 있습니다.

운영체제 패키지 관리자 사용 가능한 필드
Linux 및 Windows Server 패키지 업데이트 정보는 다음 패키지 관리자가 제공합니다.
  • Red Hat Enterprise Linux(RHEL)용 Yum
  • Debian 및 Ubuntu용 Apt
  • Windows Server용 GooGet
사용 가능한 각 패키지 업데이트에는 다음 정보가 제공됩니다.
  • 패키지 이름
  • 아키텍처
  • 버전
Windows Server Windows 업데이트 에이전트 Windows 업데이트에는 다음 필드가 나열됩니다.
  • 제목
  • 설명
  • 카테고리
  • CategoryIDs1
  • KBArticleIDs
  • SupportURL
  • UpdateID1
  • RevisionNumber1
  • LastDeploymentChangeTime

1이 필드는 기본 gcloud compute instances os-inventory describe 명령줄 출력에 숨겨져 있습니다. 이 필드를 보려면 출력을 JSON 형식으로 표시해야 합니다. 출력을 JSON 형식으로 표시하려면 gcloud 명령어에 --format=JSON을 추가하세요. 출력 형식에 대한 자세한 내용은 gcloud topic formats을 검토하세요.

취약점 보고서

소프트웨어 취약점은 우발적인 시스템 오류를 일으키거나 악성 활동을 유발할 수 있는 약점을 말합니다. VM의 경우 취약점은 운영체제 패키지 또는 소프트웨어 애플리케이션의 코드 또는 작업 로직에서 문제가 될 수 있습니다.

설치된 운영체제 패키지와 관련된 취약점은 일반적으로 취약점 소스 저장소에 저장됩니다. 이러한 취약점 소스에 대한 자세한 내용은 취약점 소스를 참조하세요. OS 인벤토리 관리를 사용하여 설치된 OS 패키지 문제에 대한 취약점 보고서를 볼 수 있습니다.

VM의 취약점 데이터를 가져오려면 VM Manager를 설정해야 하며 VM 버전 20201110 이상에서 OS 구성 에이전트 버전이 실행 중이어야 합니다. VM Manager 설정을 참조하세요.

OS 구성 에이전트를 설정하고 인벤토리를 보고하면 OS Config API 서비스가 운영체제의 취약점 소스를 사용 가능한 인벤토리 데이터와 비교하여 지속적으로 스캔하고 검사합니다. 운영체제 패키지에서 취약점이 감지되면 서비스에서 취약점 보고서를 생성합니다. 이러한 보고서는 다음과 같이 생성됩니다.

  • 패키지가 VM 운영체제에 설치되거나 업데이트되면 VM Manager, Security Command Center, Cloud 애셋 인벤토리에서 VM에 대한 CVE(Common Vulnerabilities and Exposures) 정보가 변경 2시간 후 표시될 수 있습니다.
  • 운영체제에 대한 새로운 보안 권고가 게시되면 일반적으로 운영체제 공급업체가 권고를 게시한 후 24시간 내에 업데이트된 CVE가 제공됩니다.

이러한 취약점 보고서를 보려면 취약점 보고서 보기를 참조하세요.

취약점 보고서 생성 방법

VM Manager는 주기적으로 다음 태스크를 완료합니다.

  1. VM의 OS 인벤토리 데이터에서 수집된 보고서를 읽습니다.
  2. 각 운영체제의 취약점 소스에서 분류 데이터를 스캔하고 하루에 한 번 이상 이 데이터를 심각도를 기준으로 (내림차순으로) 정렬합니다.
  3. Google Cloud 콘솔에 VM의 CVE 데이터를 표시합니다. Security Command Center 또는 Cloud 애셋 인벤토리를 사용하여 취약점 보고서를 볼 수도 있습니다.

취약점 소스

다음 표에는 각 운영체제에 사용되는 취약점 소스가 요약되어 있습니다. 지원되는 운영체제와 버전의 전체 목록은 운영체제 세부정보를 참조하세요.

운영체제 취약점 소스 패키지
RHEL, CentOS https://access.redhat.com/security/data
Debian https://security-tracker.debian.org/tracker
Ubuntu https://launchpad.net/ubuntu-cve-tracker
SLES https://ftp.suse.com/pub/projects/security/oval/
Rocky Linux 해당 사항 없음

Rocky Linux에서는 취약점 보고가 지원되지 않습니다.

Windows Microsoft 보안 대응 센터(Microsoft Security Response Center)에서 게시한 취약점 데이터

데이터 보관

VM이 삭제될 때까지 OS 인벤토리 및 취약점 보고서 데이터가 저장됩니다. 그러나 OS 구성 에이전트에서 며칠 동안 OS Config API 서비스에 대한 보고를 중지하면 VM Manager는 해당 시점까지 수집된 사용 가능한 OS 인벤토리 및 취약점 보고서 데이터를 삭제합니다. OS 구성 에이전트가 다시 실행되기 전까지 해당 VM에 사용할 수 있는 데이터가 없습니다.

가격 책정

가격 책정에 대한 자세한 내용은 VM Manager 가격 책정을 참조하세요.

다음 단계