보안 상태 대시보드 정보

Autopilot Standard

이 페이지에서는 Google Cloud 콘솔의 보안 상태 대시보드에 대한 개요를 제공하며, 보안 상태를 개선하기 위한 독자적이고 활용 가능한 권장사항을 제공합니다. 대시보드를 직접 탐색하려면 Google Cloud 콘솔에서 보안 상태 페이지로 이동하세요.

보안 상태 대시보드를 사용해야 하는 경우

실행 중인 애플리케이션에 대한 중단 및 방해를 최소화하고 여러 클러스터 및 워크로드에서 일반적인 보안 문제의 감지 및 보고를 자동화하려는 클러스터 관리자 또는 보안 관리자의 경우 보안 상태 대시보드를 사용해야 합니다. 보안 상태 대시보드는 Cloud Logging, 정책 컨트롤러, Binary Authorization과 같은 제품과 통합되어 보안 상태에 대한 가시성을 향상시켜 줍니다.

VPC 서비스 제어를 사용하는 경우 containersecurity.googleapis.com를 서비스 목록에 추가하여 보안 상황 대시보드를 보호하도록 경계를 업데이트할 수도 있습니다.

보안 상황 대시보드를 사용해도 공유 책임 모델에 따른 Google 또는 사용자의 책임이 변경되지 않습니다. 워크로드 보호 책임은 여전히 사용자에게 있습니다.

광범위한 보안 전략의 일부로 사용

보안 상황 대시보드는 소프트웨어 배포 수명 주기의 런타임 단계에서 워크로드 보안 상황에 대한 유용한 정보를 제공합니다. 소스 제어부터 유지보수에 이르는 수명 주기 동안 애플리케이션에 대한 포괄적인 정보를 얻으려면 다른 보안 도구와 함께 대시보드를 사용하는 것이 좋습니다. 사용 가능한 도구와 애플리케이션의 포괄적인 보호를 위한 권장사항에 대한 자세한 내용은 소프트웨어 공급망 보호를 참조하세요.

또한 클러스터 보안 강화의 추천을 최대한 많이 구현하는 것이 좋습니다.

보안 상태 대시보드의 작동 방식

보안 상태 대시보드를 사용하려면 프로젝트에서 Container Security API를 사용 설정합니다. 대시보드에는 GKE에 내장된 기능과 프로젝트에서 실행되는 특정 Google Cloud 보안 제품에 대한 통계가 표시됩니다.

클러스터별 기능 사용 설정

보안 상태 대시보드의 GKE 관련 기능은 다음과 같이 분류됩니다.

Kubernetes 보안 상황: 포드 사양과 같은 Kubernetes 객체 및 클러스터의 보안 상황입니다. 자세한 내용은 Kubernetes 보안 상황 스캔 정보를 참조하세요.
워크로드 취약점 스캔: 컨테이너 운영체제 및 애플리케이션 언어 패키지의 보안 상황입니다. 자세한 내용은 워크로드 취약점 스캔 정보를 참조하세요.

유형	사용 설정 방법	포함된 기능
Kubernetes 보안 상태 - 표준 등급	GKE 버전 1.27 이상을 실행하는 새 Autopilot 및 Standard 클러스터에서 자동으로 사용 설정됩니다.	워크로드에서 구성 문제 자동 스캔 실행 가능한 보안 게시판 표시(미리보기)
Kubernetes 보안 상태 - 고급 등급(미리보기)	일부 버전 또는 작업 모드에서는 자동으로 사용 설정되지 않습니다. GKE Enterprise 사용자만 사용할 수 있습니다.	GKE Enterprise의 GKE Threat Detection (미리보기)
워크로드 취약점 스캔 - 표준 등급	Autopilot: 버전 1.23.5-gke.700 이상에서 사용 설정할 수 있습니다. 버전 1.27 이상을 실행하는 새 클러스터를 만들 때 자동으로 사용 설정됩니다. Standard: 버전 1.23.5-gke.700 이상에서 사용 설정할 수 있습니다. 어떤 버전에서도 자동으로 사용 설정되지 않습니다.	컨테이너 이미지에서 실행 가능한 취약점 자동 스캔
워크로드 취약점 스캔 - 고급 취약점 통계	버전 1.27 이상에서 사용 설정할 수 있습니다. 일부 버전 또는 작업 모드에서는 자동으로 사용 설정되지 않습니다.	컨테이너 이미지에서 실행 가능한 취약점 자동 스캔 애플리케이션 언어 패키지의 취약점 자동 스캔

독립형 GKE 클러스터 또는 Fleet 구성원 클러스터에 이러한 기능을 사용 설정할 수 있습니다. 보안 상태 대시보드를 사용하면 Fleet 호스트 프로젝트의 모든 Fleet 구성원을 포함하여 모든 클러스터를 동시에 관찰할 수 있습니다.

크로스 프로덕트 특성

보안 상태 대시보드에서는 프로젝트에서 실행 중인 다른 Google Cloud 보안 제품의 유용한 정보를 표시할 수 있습니다. 이를 통해 단일 Fleet 또는 특정 프로젝트에 있는 클러스터의 보안 상태를 간략히 확인할 수 있습니다.

이름 설명 사용 설정 방법

규정 준수 문제 - 정책 컨트롤러 사전 정의된 또는 커스텀 정책 번들에 따라 워크로드를 평가합니다. 예를 들어 워크로드가 Kubernetes 포드 보안 표준을 준수하는지 확인합니다. GKE Enterprise를 사용 설정합니다.

이름	설명	사용 설정 방법
규정 준수 문제 - 정책 컨트롤러	사전 정의된 또는 커스텀 정책 번들에 따라 워크로드를 평가합니다. 예를 들어 워크로드가 Kubernetes 포드 보안 표준을 준수하는지 확인합니다.	GKE Enterprise를 사용 설정합니다.
공급망 문제 - Binary Authorization(미리보기)	실행 중인 컨테이너 이미지로 다음 문제를 확인합니다. 암시적 또는 명시적으로 `latest` 태그를 사용하는 이미지 30일이 지나기 전에 Artifact Registry 또는 Container Registry(지원 중단됨)에 업로드된 이미지(다이제스트에 의해 배포됨) 다른 프로젝트에 속하는 Artifact Registry 저장소에서 이미지를 사용하는 경우 서비스 에이전트에 관련 IAM 역할을 부여하여 Binary Authorization이 아티팩트 프로젝트에서 이미지를 읽도록 허용합니다. 자세한 내용은 gcloud CLI를 사용하여 역할 부여를 참조하세요.	프로젝트에서 Binary Authorization API를 사용 설정합니다. 자세한 내용은 Binary Authorization 서비스 사용 설정을 참조하세요. Binary Authorization API를 사용 중지하면 프로젝트에서 적용 및 지속적 검증(미리보기)을 포함하여 모든 Binary Authorization 기능이 사용 중지됩니다.

공급망 문제 - Binary Authorization(미리보기)

실행 중인 컨테이너 이미지로 다음 문제를 확인합니다.

암시적 또는 명시적으로 latest 태그를 사용하는 이미지
30일이 지나기 전에 Artifact Registry 또는 Container Registry(지원 중단됨)에 업로드된 이미지(다이제스트에 의해 배포됨)

다른 프로젝트에 속하는 Artifact Registry 저장소에서 이미지를 사용하는 경우 서비스 에이전트에 관련 IAM 역할을 부여하여 Binary Authorization이 아티팩트 프로젝트에서 이미지를 읽도록 허용합니다. 자세한 내용은 gcloud CLI를 사용하여 역할 부여를 참조하세요.

프로젝트에서 Binary Authorization API를 사용 설정합니다. 자세한 내용은 Binary Authorization 서비스 사용 설정을 참조하세요.

Security Command Center와 통합

조직이나 프로젝트에서 Security Command Center 표준 등급이나 프리미엄 등급을 사용하는 경우 Security Command Center에 보안 상황 대시보드 발견 항목이 표시됩니다. 표시되는 Security Command Center 발견 항목 유형에 대한 자세한 내용은 보안 소스를 참조하세요.

보안 상황 대시보드의 이점

보안 상태 대시보드는 적격한 GKE 클러스터에 대해 사용 설정할 수 있는 기본적인 보안 방법입니다. Google Cloud는 다음 이유로 모든 클러스터에서 보안 상황 대시보드를 사용할 것을 권장합니다.

최소한의 중단: 기능이 실행 중인 워크로드를 방해하거나 중단하지 않습니다.
실행 가능한 권장사항: 사용 가능한 경우 보안 상태 대시보드는 검색된 문제를 해결하기 위한 작업 항목을 제공합니다. 이러한 작업에는 실행할 수 있는 명령, 수행할 구성 변경사항 예시, 취약점 해결을 위해 수행할 작업에 대한 조언이 포함됩니다.
시각화: 보안 상태 대시보드는 프로젝트 전반에 걸쳐 클러스터에 영향을 주는 문제를 개략적으로 시각화하고 각 문제에 대한 진행 상황과 잠재적인 영향을 보여주는 차트 및 그래프를 포함합니다.
설득력 있는 결과: GKE는 Google 보안팀의 전문 기술 및 업계 표준을 기반으로 검색된 문제에 심각도 등급을 할당합니다.
감사 가능한 이벤트 로그: GKE는 보고 및 관측 성능 향상을 위해 모든 검색된 문제를 Logging에 추가합니다.
Fleet 관측 가능성: GKE 클러스터를 Fleet에 등록한 경우 대시보드를 사용하여 Fleet 구성원 클러스터 및 프로젝트의 독립형 GKE 클러스터를 포함한 프로젝트의 모든 클러스터를 관찰할 수 있습니다.

GKE 보안 상황 대시보드 가격 책정

보안 상황 대시보드 기능의 가격 책정은 다음과 같으며 독립형 GKE 클러스터 및 Fleet GKE 클러스터에 적용됩니다.

GKE 보안 상황 대시보드 가격 책정
워크로드 구성 감사	추가 요금 없음
보안 게시판 표시	추가 요금 없음
GKE Threat Detection(미리보기)	GKE Enterprise 비용에 포함됩니다. 자세한 내용은 GKE 가격 책정 페이지에서 Enterprise 버전을 참조하세요.
컨테이너 OS 취약점 스캔	추가 요금 없음
Advanced Vulnerability Insights	Artifact Analysis 가격 책정을 사용합니다. Artifact Analysis 가격 책정 페이지에 대한 자세한 내용은 Advanced Vulnerability Insights를 참조하세요.
규정 준수 - 정책 컨트롤러	GKE Enterprise 가격 책정
공급망 - Binary Authorization(미리보기)	보안 상황 대시보드 문제에는 추가 요금이 부과되지 않습니다. 하지만 적용과 같은 다른 Binary Authorization 기능 사용은 대시보드 기능과 별개이며 GKE용 Binary Authorization 가격 책정을 따릅니다.

Cloud Logging에 추가되는 항목에는 Cloud Logging 가격 책정이 사용됩니다. 그러나 환경의 규모와 발견된 문제 수에 따라 Logging의 무료 수집 및 스토리지 할당량이 초과되지 않을 수도 있습니다. 자세한 내용은 Logging 가격 책정을 참조하세요.

Fleet 보안 상태 관리

Google Kubernetes Engine(GKE) Enterprise 버전에서 Fleet을 사용하는 경우 gcloud CLI를 사용하여 Fleet 수준에서 GKE 보안 상태 기능을 구성할 수 있습니다. 클러스터 생성 중에 Fleet 구성원으로 등록하는 GKE 클러스터는 보안 상태 구성을 자동으로 상속합니다. 보안 상태 구성을 변경하기 전에 이미 Fleet 구성원인 클러스터는 새 구성을 상속하지 않습니다.

GKE Enterprise를 사용 설정하면 보안 상태 대시보드에 규정 준수 감사 결과가 표시됩니다. 규정 준수 감사는 클러스터와 워크로드를 포드 보안 표준과 같은 업계 권장사항과 비교합니다. 자세한 내용은 정책 컨트롤러 번들을 참조하세요.

Fleet 수준 보안 상태 구성을 변경하는 방법은 Fleet 수준에서 GKE 보안 상태 대시보드 기능 구성을 참조하세요.

보안 상태 페이지 정보

Google Cloud 콘솔의 보안 상태 페이지에는 다음 탭이 포함되어 있습니다.

대시보드: 스캔 결과를 개략적으로 보여줍니다. 차트 및 기능별 정보가 포함됩니다.
문제: 클러스터 및 워크로드에 걸쳐 GKE에서 발견된 문제를 필터링 가능한 방식으로 자세히 보여줍니다. 개별 문제를 선택하여 세부정보 및 해결 옵션을 확인할 수 있습니다.
설정: 개별 클러스터 또는 Fleet의 보안 상태 기능 구성을 관리합니다.

대시보드

대시보드 탭에서는 다양한 GKE 보안 상태 스캔 결과 및 프로젝트에서 사용 설정된 다른 Google Cloud 보안 제품의 정보를 시각적으로 보여줍니다. 사용 가능한 스캔 기능 및 기타 지원되는 보안 제품에 대한 자세한 내용은 이 문서의 보안 상태 대시보드 작동 방식을 참조하세요.

GKE Enterprise에서 Fleet을 사용하는 경우 대시보드에 프로젝트의 Fleet 및 독립형 클러스터의 클러스터를 포함한 클러스터와 관련된 모든 문제도 표시됩니다. 특정 Fleet의 상황을 표시하도록 대시보드를 전환하려면 Google Cloud 콘솔의 프로젝트 선택기 드롭다운 메뉴에서 해당 Fleet의 호스트 프로젝트를 선택하세요. 선택한 프로젝트에 Container Security API가 사용 설정된 경우 대시보드에 해당 프로젝트 Fleet의 모든 구성원 클러스터에 대한 결과가 표시됩니다.

문제

문제 탭에는 클러스터 및 워크로드를 스캔할 때 GKE가 발견하는 활성 보안 문제가 나열됩니다. 이 페이지에는 이 문서의 클러스터별 기능 사용 설정에 설명된 보안 상태 기능에 대한 문제만 표시됩니다. GKE Enterprise에서 Fleet을 사용하는 경우 Fleet 구성원 클러스터 및 선택한 프로젝트가 소유한 독립형 GKE 클러스터의 문제를 확인할 수 있습니다.

심각도 등급

적용 가능한 경우 GKE가 검색된 문제에 심각도 등급을 할당합니다. 이러한 등급에 따라 조치가 필요한 발견 항목의 긴급성을 확인할 수 있습니다. GKE는 CVSS 수량적 심각도 등급 척도를 기반으로 하는 다음 심각도 등급을 사용합니다.

심각: 즉시 조치를 취합니다. 공격이 이슈로 이어집니다.
높음: 신속하게 조치를 취합니다. 공격이 이슈로 이어질 가능성이 매우 높습니다.
중간: 곧 조치를 취합니다. 공격이 이슈로 이어질 가능성이 있습니다.
낮음: 조치를 취합니다. 공격이 이슈로 이어질 수도 있습니다.

문제에 대한 정확한 응답 속도는 조직의 위협 모델 및 위험 허용 범위에 따라 달라집니다. 심각도 등급은 철저한 이슈 대응 계획을 수립하는 데 도움이 되는 정성적 가이드라인입니다.

문제 표

문제 표에는 GKE에서 검색된 모든 문제가 표시됩니다. 기본 뷰를 변경하여 문제 유형, Kubernetes 네임스페이스, 영향을 받은 워크로드에 따라 결과를 그룹으로 묶을 수 있습니다. 필터 창을 사용하여 심각도 등급, 문제 유형, Google Cloud 위치, 클러스터 이름에 따라 결과를 필터링할 수 있습니다. 특정 문제에 대한 세부정보를 보려면 해당 문제 이름을 클릭합니다.

문제 세부정보 창

문제 표에서 문제를 클릭하면 문제 세부정보 창이 열립니다. 이 창에서는 문제에 대한 자세한 설명, 취약점의 영향을 받는 OS 버전, CVE 링크, 특정 구성 문제와 관련된 위험 등과 같은 관련 정보가 제공됩니다. 세부정보 창에는 해당하는 경우 권장 작업이 제공됩니다. 예를 들어 runAsNonRoot: false를 설정하는 워크로드는 문제 해결을 위해 포드 사양에 수행할 권장 변경사항을 반환합니다.

문제 세부정보 창에서 영향을 받는 리소스 탭에는 해당 문제의 영향을 받는 등록된 클러스터의 워크로드 목록이 표시됩니다.

설정

설정 탭을 사용하면 프로젝트 또는 Fleet의 대상 GKE 클러스터에서 워크로드 취약점 스캔 또는 워크로드 구성 감사와 같은 클러스터별 보안 상태 기능을 구성할 수 있습니다. 각 클러스터에 대한 특정 기능의 사용 설정 상태를 확인하고 적격한 클러스터의 구성을 변경할 수 있습니다. Fleet을 GKE Enterprise와 함께 사용하는 경우 Fleet 구성원 클러스터의 설정이 Fleet 수준 구성과 동일한지 확인할 수도 있습니다.

워크플로 예시

이 섹션은 루트 권한과 같이 클러스터 워크로드에서 보안 구성 문제를 스캔하려는 클러스터 관리자의 워크플로 예시입니다.

Google Cloud 콘솔을 사용하여 Kubernetes 보안 상황 스캔에 클러스터를 등록하세요.
보안 상태 대시보드에서 스캔 결과를 확인합니다. 결과가 표시되려면 최대 15분까지 걸릴 수 있습니다.
문제 탭을 클릭하여 자세한 결과를 엽니다.
구성 문제 유형 필터를 선택합니다.
표에서 문제를 클릭합니다.
문제 세부정보 창에서 권장되는 구성 변경사항을 확인하고 권장사항에 따라 포드 사양을 업데이트합니다.
업데이트된 포드 사양을 클러스터에 적용합니다.

다음에 스캔을 실행하면 사용자가 해결한 문제가 보안 상태 대시보드에 더 이상 표시되지 않습니다.