보안 상태 대시보드 정보


이 페이지에서는 Google Cloud 콘솔의 보안 상황 대시보드에 대한 개요를 제공하며, 보안 상황을 개선하기 위한 독자적이고 활용 가능한 권장사항을 제공합니다. 대시보드를 직접 탐색하려면 Google Cloud 콘솔에서 Security Posture 페이지로 이동합니다.

보안 상황 대시보드를 사용해야 하는 경우

실행 중인 애플리케이션에 대한 중단 및 방해를 최소화하고 여러 클러스터 및 워크로드에서 일반적인 보안 문제의 감지 및 보고를 자동화하려는 클러스터 관리자 또는 보안 관리자의 경우 보안 상태 대시보드를 사용해야 합니다. 보안 상황 대시보드는 Cloud Logging, 정책 컨트롤러, Binary Authorization과 같은 제품과 통합되어 보안 상황에 대한 가시성을 향상시킵니다.

VPC 서비스 제어를 사용하는 경우 containersecurity.googleapis.com를 서비스 목록에 추가하여 보안 상황 대시보드를 보호하도록 경계를 업데이트할 수도 있습니다.

보안 상황 대시보드를 사용해도 공유 책임 모델에 따른 Google 또는 사용자의 책임이 변경되지 않습니다. 워크로드 보호 책임은 여전히 개발자에게 있습니다.

광범위한 보안 전략의 일부로 사용

보안 상황 대시보드는 소프트웨어 배포 수명 주기의 런타임 단계에서 워크로드 보안 상황에 대한 유용한 정보를 제공합니다. 소스 제어부터 유지보수에 이르는 수명 주기 동안 애플리케이션에 대한 포괄적인 정보를 얻으려면 다른 보안 도구와 함께 대시보드를 사용하는 것이 좋습니다.

GKE는 Google Cloud 콘솔에서 보안과 규정 준수를 모니터링하도록 다음 도구를 제공합니다.

  • 보안 상황 대시보드는 GKE Standard 등급 및 GKE Enterprise 등급에서 사용 가능합니다.
  • GKE Compliance 대시보드는 GKE Enterprise 등급에서 사용 가능합니다. 자세한 내용은 GKE Compliance 대시보드 정보를 참조하세요.

사용 가능한 도구와 애플리케이션을 포괄적으로 보호할 수 있는 권장사항에 대한 자세한 내용은 소프트웨어 공급망 보호를 참조하세요.

또한 클러스터 보안 강화의 추천을 최대한 많이 구현하는 것이 좋습니다.

보안 상태 대시보드의 작동 방식

보안 상황 대시보드를 사용하려면 프로젝트에서 Container Security API를 사용 설정합니다. 대시보드에는 GKE에 내장된 기능과 프로젝트에서 실행되는 특정 Google Cloud 보안 제품에 대한 통계가 표시됩니다.

클러스터별 기능 사용 설정

보안 상황 대시보드의 GKE별 기능은 다음과 같이 분류됩니다.

  • Kubernetes 보안 상황: 포드 사양과 같은 Kubernetes 객체 및 클러스터의 보안 상황입니다. 자세한 내용은 Kubernetes 보안 상황 스캔 정보를 참조하세요.
  • 워크로드 취약점 스캔: 컨테이너 운영체제 및 애플리케이션 언어 패키지의 보안 상황입니다. 자세한 내용은 워크로드 취약점 스캔 정보를 참조하세요.

GKE Enterprise를 사용하는 경우 이러한 기능 중 일부는 새 클러스터에서 기본적으로 사용 설정됩니다. 다음 표에서는 클러스터별 기능을 설명합니다.

기능 이름 가용성 포함된 기능
Kubernetes 보안 상황 - 표준 등급

GKE 버전 1.27 이상이 필요합니다.

  • GKE Enterprise 버전: 모든 새 클러스터에서 기본적으로 사용 설정됩니다.
  • GKE Standard 버전: 모든 새 클러스터에서 기본적으로 사용 설정됩니다.
Kubernetes 보안 상태 - 고급 등급(미리보기) 일부 버전 또는 작업 모드에서는 자동으로 사용 설정되지 않습니다. GKE Enterprise 버전이 필요합니다.
워크로드 취약점 스캔 - 표준 등급
  • GKE Enterprise 에디션: 버전 1.27 이상을 실행하는 모든 새 클러스터에서 기본적으로 활성화됩니다.
  • GKE Standard 에디션: 버전 1.27 이상을 실행하는 모든 새 Autopilot 모드 클러스터에서 기본적으로 활성화됩니다. 모든 새로운 Standard 모드 클러스터에서 기본적으로 비활성화됩니다.
워크로드 취약점 스캔 - Advanced Vulnerability Insights
  • GKE Enterprise 에디션: 버전 1.27 이상을 실행하는 모든 새 클러스터에서 기본적으로 활성화됩니다.
  • GKE Standard 에디션: 모든 새 클러스터에서 기본적으로 비활성화됩니다.

이러한 기능을 독립형 GKE 클러스터나 Fleet 구성원 클러스터에 사용 설정할 수 있습니다. 보안 상황 대시보드를 사용하면 Fleet 호스트 프로젝트의 모든 Fleet 구성원을 포함한 모든 클러스터를 동시에 관찰할 수 있습니다.

크로스 프로덕트 특성

보안 상황 대시보드에 프로젝트에서 실행 중인 다른 Google Cloud 보안 제품의 유용한 정보가 표시될 수 있습니다. 단일 Fleet 또는 특정 프로젝트에 있는 클러스터의 보안 상황을 간략하게 보여줍니다.

이름 설명 사용 설정 방법
공급망 문제 - Binary Authorization(미리보기)

실행 중인 컨테이너 이미지로 다음 문제를 확인합니다.

  • 암시적 또는 명시적으로 latest 태그를 사용하는 이미지
  • 30일이 지나기 전에 Artifact Registry 또는 Container Registry(지원 중단됨)에 업로드된 이미지(다이제스트에 의해 배포됨)

다른 프로젝트에 속하는 Artifact Registry 저장소에서 이미지를 사용하는 경우 서비스 에이전트에 관련 IAM 역할을 부여하여 Binary Authorization이 아티팩트 프로젝트에서 이미지를 읽도록 허용합니다. 자세한 내용은 gcloud CLI를 사용하여 역할 부여를 참조하세요.

프로젝트에서 Binary Authorization API를 사용 설정합니다. 자세한 내용은 Binary Authorization 서비스 사용 설정을 참조하세요.

Security Command Center와 통합

조직이나 프로젝트에서 Security Command Center 표준 등급이나 프리미엄 등급을 사용하는 경우 Security Command Center에 보안 상황 대시보드 발견 항목이 표시됩니다. 표시되는 Security Command Center 발견 항목 유형에 대한 자세한 내용은 보안 소스를 참조하세요.

보안 상황 대시보드의 이점

보안 상태 대시보드는 적격한 GKE 클러스터에 대해 사용 설정할 수 있는 기본적인 보안 방법입니다. Google Cloud는 다음 이유로 모든 클러스터에서 보안 상황 대시보드를 사용할 것을 권장합니다.

  • 최소한의 중단: 기능이 실행 중인 워크로드를 방해하거나 중단하지 않습니다.
  • 실행 가능한 권장사항: 사용 가능한 경우 보안 상태 대시보드는 검색된 문제를 해결하기 위한 작업 항목을 제공합니다. 이러한 작업에는 실행할 수 있는 명령, 수행할 구성 변경사항 예시, 취약점 해결을 위해 수행할 작업에 대한 조언이 포함됩니다.
  • 시각화: 보안 상태 대시보드는 프로젝트 전반에 걸쳐 클러스터에 영향을 주는 문제를 개략적으로 시각화하고 각 문제에 대한 진행 상황과 잠재적인 영향을 보여주는 차트 및 그래프를 포함합니다.
  • 설득력 있는 결과: GKE는 Google 보안팀의 전문 기술 및 업계 표준을 기반으로 검색된 문제에 심각도 등급을 할당합니다.
  • 감사 가능한 이벤트 로그: GKE는 보고 및 관측 성능 향상을 위해 모든 검색된 문제를 Logging에 추가합니다.
  • Fleet 관측 가능성: GKE 클러스터를 Fleet에 등록한 경우 대시보드를 사용하여 Fleet 구성원 클러스터 및 프로젝트의 독립형 GKE 클러스터를 포함한 프로젝트의 모든 클러스터를 관찰할 수 있습니다.

GKE 보안 상황 대시보드 가격 책정

보안 상황 대시보드 기능의 가격 책정은 다음과 같으며 독립형 GKE 클러스터 및 Fleet GKE 클러스터에 적용됩니다.

GKE 보안 상황 대시보드 가격 책정
워크로드 구성 감사 추가 요금 없음
보안 게시판 표시 추가 요금 없음
GKE Threat Detection(미리보기) GKE Enterprise 비용에 포함됩니다. 자세한 내용은 GKE 가격 책정 페이지의 Enterprise 버전을 참조하세요.
컨테이너 OS 취약점 스캔 추가 요금 없음
Advanced Vulnerability Insights

Artifact Analysis 가격 책정을 사용합니다.

Artifact Analysis 가격 책정 페이지에 대한 자세한 내용은 Advanced Vulnerability Insights를 참조하세요.

공급망 - Binary Authorization(미리보기) 보안 상황 대시보드 문제에는 추가 요금이 부과되지 않습니다. 하지만 적용과 같은 다른 Binary Authorization 기능 사용은 대시보드 기능과 별개이며 GKE용 Binary Authorization 가격 책정을 따릅니다.

Cloud Logging에 추가되는 항목에는 Cloud Logging 가격 책정이 사용됩니다. 그러나 환경의 규모와 발견된 문제 수에 따라 Logging의 무료 수집 및 스토리지 할당량이 초과되지 않을 수도 있습니다. 자세한 내용은 Logging 가격 책정을 참조하세요.

Fleet 보안 상황 관리

Google Kubernetes Engine(GKE) Enterprise 버전에서 Fleet을 사용하는 경우 gcloud CLI를 사용하여 Fleet 수준에서 GKE 보안 상태 기능을 구성할 수 있습니다. 클러스터를 만드는 동안 Fleet 구성원으로 등록하는 GKE 클러스터는 자동으로 보안 상황 구성을 상속합니다. 보안 상황 구성을 변경하기 전에 이미 Fleet 구성원이었던 클러스터는 새 구성을 상속하지 않습니다. 이 상속 구성은 GKE에서 새 클러스터에 적용하는 기본 설정을 재정의합니다.

GKE Enterprise를 사용 설정하면 보안 상황 대시보드에 규정 준수 감사 결과가 표시됩니다. 규정 준수 감사는 클러스터와 워크로드를 포드 보안 표준과 같은 업계 권장사항과 비교합니다. 자세한 내용은 정책 컨트롤러 번들을 참조하세요.

Fleet 수준 보안 상황 구성을 변경하는 방법은 Fleet 수준에서 GKE 보안 상황 대시보드 구성을 참조하세요.

보안 상태 페이지 정보

Google Cloud 콘솔의 보안 상태 페이지에는 다음 탭이 포함되어 있습니다.

  • 대시보드: 스캔 결과를 개략적으로 보여줍니다. 차트 및 기능별 정보가 포함됩니다.
  • 문제: 클러스터 및 워크로드에 걸쳐 GKE에서 발견된 문제를 필터링 가능한 방식으로 자세히 보여줍니다. 개별 문제를 선택하여 세부정보 및 해결 옵션을 확인할 수 있습니다.
  • 설정: 개별 클러스터나 Fleet의 보안 상황 기능 구성을 관리합니다.

대시보드

대시보드 탭에서는 다양한 GKE 보안 상황 스캔 결과 및 프로젝트에서 사용 설정된 다른 Google Cloud 보안 제품의 정보를 시각적으로 보여줍니다. 사용 가능한 스캔 기능과 기타 지원되는 보안 제품에 대한 자세한 내용은 이 문서의 보안 상황 대시보드 작동 방식을 참조하세요.

GKE Enterprise에서 Fleet을 사용하면 대시보드에 프로젝트의 Fleet 및 독립형 클러스터의 클러스터를 포함한 클러스터에서 발견된 모든 문제도 표시됩니다. 특정 Fleet의 상황을 표시하도록 대시보드를 전환하려면 Google Cloud 콘솔의 프로젝트 선택기 드롭다운 메뉴에서 해당 Fleet의 호스트 프로젝트를 선택하세요. 선택한 프로젝트에 Container Security API가 사용 설정되었으면 대시보드에 해당 프로젝트 Fleet의 모든 구성원 클러스터에 대한 결과가 표시됩니다.

문제

문제 탭에서는 클러스터와 워크로드를 스캔할 때 GKE에서 발견한 활성 보안 문제를 나열합니다. 이 페이지에는 이 문서의 클러스터별 기능 사용 설정에 설명된 보안 상황 기능에 대한 문제만 표시됩니다. GKE Enterprise에서 Fleet을 사용하면 Fleet 구성원 클러스터 및 선택한 프로젝트가 소유한 독립형 GKE 클러스터에 대한 문제를 볼 수 있습니다.

심각도 등급

적용 가능한 경우 GKE가 검색된 문제에 심각도 등급을 할당합니다. 이러한 등급에 따라 조치가 필요한 발견 항목의 긴급성을 확인할 수 있습니다. GKE는 CVSS 수량적 심각도 등급 척도를 기반으로 하는 다음 심각도 등급을 사용합니다.

  • 심각: 즉시 조치를 취합니다. 공격이 이슈로 이어집니다.
  • 높음: 신속하게 조치를 취합니다. 공격이 이슈로 이어질 가능성이 매우 높습니다.
  • 중간: 곧 조치를 취합니다. 공격이 이슈로 이어질 가능성이 있습니다.
  • 낮음: 조치를 취합니다. 공격이 이슈로 이어질 수도 있습니다.

문제에 대한 정확한 응답 속도는 조직의 위협 모델 및 위험 허용 범위에 따라 달라집니다. 심각도 등급은 철저한 이슈 대응 계획을 개발하는 데 도움이 되는 정량적 가이드라인입니다.

문제 표

문제 표에는 GKE에서 검색된 모든 문제가 표시됩니다. 기본 뷰를 변경하여 결과를 문제 유형, Kubernetes 네임스페이스 또는 영향을 받은 워크로드를 기준으로 그룹화할 수 있습니다. 필터 창을 사용하여 심각도 등급, 문제 유형, Google Cloud 위치, 클러스터 이름에 따라 결과를 필터링할 수 있습니다. 특정 문제에 대한 세부정보를 보려면 해당 문제 이름을 클릭합니다.

문제 세부정보 창

문제 테이블에서 문제를 클릭하면 문제 세부정보 창이 열립니다. 이 창에서는 문제에 대한 자세한 설명, 취약점의 영향을 받는 OS 버전, CVE 링크, 특정 구성 문제와 관련된 위험 등과 같은 관련 정보가 제공됩니다. 세부정보 창에는 해당하는 경우 권장 작업이 제공됩니다. 예를 들어 runAsNonRoot: false를 설정하는 워크로드는 문제 해결을 위해 포드 사양에 수행할 권장 변경사항을 반환합니다.

문제 세부정보 창에서 영향을 받는 리소스 탭에는 해당 문제의 영향을 받는 등록된 클러스터의 워크로드 목록이 표시됩니다.

설정

설정 탭을 사용하면 프로젝트나 Fleet의 적격한 GKE 클러스터에서 워크로드 취약점 스캔 또는 워크로드 구성 감사와 같은 클러스터별 보안 상황 기능을 구성할 수 있습니다. 각 클러스터의 특정 기능 사용 설정 상태를 보고 적격한 클러스터 구성을 변경할 수 있습니다. 또한 GKE Enterprise에서 Fleet을 사용하면 Fleet 구성원 클러스터에 Fleet 수준 구성과 동일한 설정이 있는지 확인할 수 있습니다.

워크플로 예시

이 섹션은 루트 권한과 같이 클러스터 워크로드에서 보안 구성 문제를 스캔하려는 클러스터 관리자의 워크플로 예시입니다.

  1. Google Cloud 콘솔을 사용하여 Kubernetes 보안 상황 스캔에 클러스터를 등록하세요.
  2. 보안 상황 대시보드에서 스캔 결과를 확인합니다. 결과가 표시되는 데 최대 30분이 걸릴 수 있습니다.
  3. 문제 탭을 클릭하여 자세한 결과를 엽니다.
  4. 구성 문제 유형 필터를 선택합니다.
  5. 표에서 문제를 클릭합니다.
  6. 문제 세부정보 창에서 권장되는 구성 변경사항을 확인하고 권장사항에 따라 포드 사양을 업데이트합니다.
  7. 업데이트된 포드 사양을 클러스터에 적용합니다.

다음에 스캔을 실행하면 사용자가 해결한 문제가 보안 상태 대시보드에 더 이상 표시되지 않습니다.

다음 단계