이 페이지에서는 조직에서 Security Command Center 표준 등급 또는 프리미엄 등급을 활성화하는 방법을 설명합니다. 조직에 Security Command Center가 이미 설정되어 있는 경우 Security Command Center 사용 가이드를 참조하세요.
Security Command Center는 표준, 프리미엄, Enterprise의 세 가지 서비스 등급을 제공합니다. 선택한 등급에 따라 사용할 수 있는 기능과 Security Command Center 사용 비용이 결정됩니다. Enterprise 등급을 활성화하려면 Security Command Center Enterprise 등급 활성화를 참고하세요.
조직 수준에서 Security Command Center 프리미엄 등급을 활성화하려면 Google Cloud 콘솔에서 셀프서비스 사용한 만큼만 지불 가격 책정 옵션을 선택합니다.
Security Command Center를 처음 활성화할 때 데이터 상주 제어를 사용 설정할 수 있습니다. 활성화 후에는 데이터 상주 제어를 사용 설정하거나 사용 중지할 수 없습니다. 자세한 내용은 데이터 상주 지원을 참조하세요.
각 등급에서 사용 가능한 기본 제공되는 Security Command Center 서비스에 대한 자세한 내용은 Security Command Center 등급을 참조하세요.
Security Command Center 사용과 관련된 비용에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.
프로젝트의 Security Command Center를 활성화하려면 프로젝트의 Security Command Center 활성화를 참조하세요.
기본 요건
Security Command Center를 활성화하기 전에 조직, 적절한 Identity and Access Management(IAM) 권한, 적절한 조직 정책이 필요합니다.
조직 만들기
Security Command Center에는 도메인과 연결된 조직 리소스가 필요합니다. 조직을 만들지 않은 경우 조직 만들기 및 관리를 참조하세요.
권한 설정
Security Command Center를 설정하려면 다음 IAM 역할이 필요합니다.
- 조직 관리자
roles/resourcemanager.organizationAdmin
- 보안 센터 관리자
roles/securitycenter.admin
- 보안 관리자
roles/iam.securityAdmin
- 서비스 계정 만들기
roles/iam.serviceAccountCreator
Security Command Center 역할에 대해 자세히 알아보세요.
조직 정책 확인
조직 정책이 도메인별로 ID 제한으로 설정된 경우:
- 허용된 도메인에 있는 계정으로 Google Cloud 콘솔에 로그인해야 합니다.
- 서비스 계정은 허용된 도메인에 있거나 도메인 내 그룹의 구성원이어야 합니다. 따라서 도메인 제한 공유가 사용 설정된 경우
@*.gserviceaccount.com
서비스 계정을 사용하는 서비스가 리소스에 액세스하도록 허용할 수 있습니다.
조직 정책이 리소스 사용량을 제한하도록 설정된 경우 securitycenter.googleapis.com
이 허용되는지 확인합니다.
조직 활성화 시나리오
이 페이지에서는 다음 활성화 시나리오에 대해 설명합니다.
- Security Command Center를 활성화하지 않은 조직의 경우 조직에 Security Command Center 프리미엄 등급 또는 표준 등급을 활성화합니다.
- 표준 등급을 사용하는 조직의 경우 조직에 Security Command Center 프리미엄 등급을 활성화합니다.
- 만료되는 프리미엄 등급 구독을 사용하는 조직의 경우 사용한 만큼만 지불 가격 책정 옵션으로 변경합니다.
처음으로 조직에 Security Command Center 활성화
조직에 Security Command Center를 처음으로 활성화하려면 Google Cloud 콘솔의 활성화 안내 프로세스를 따라 서비스 등급을 선택하고, 데이터 상주 제어를 사용 설정하고, 필요한 감지 서비스를 사용 설정합니다. 그런 다음 리소스 또는 애셋을 선택하여 권한을 모니터링하고 필요한 서비스 계정에 부여합니다.
조직 수준에서 Security Command Center 프리미엄 등급을 활성화하려면 다음 단계를 완료합니다.
Google Cloud 콘솔에서 Security Command Center로 이동합니다.
조직 목록에서 Security Command Center를 사용 설정할 조직을 선택한 다음 선택을 클릭합니다.
Security Command Center 가져오기 창이 열립니다.
등급 선택에서 등급을 선택합니다.
다음을 클릭합니다. 서비스 선택 페이지가 열립니다.
선택사항: 다음 옵션을 선택하여 Security Command Center 데이터 상주 제어를 사용 설정합니다.
데이터 상주에서 데이터 상주 사용 설정을 선택합니다.
데이터 상주가 사용 설정되었으면 Security Command Center 서비스가 Security Command Center 지원 데이터 위치에 있는 리소스에서 보안 문제를 감지했을 때 Security Command Center가 영향을 받는 리소스가 있는 동일한 Security Command Center 위치에 결과 발견 항목 레코드를 자동으로 저장합니다.
기본 위치 선택 필드에서 Security Command Center가 지원하는 위치에 없거나 해당 메타데이터에 위치가 지정되지 않은 리소스에 대해 발견 항목을 저장할 기본 Security Command Center 위치를 선택합니다.
서비스 섹션에서 필요한 기본 제공되는 Security Command Center 서비스를 사용 설정합니다. 사용 설정된 서비스는 각기 지원되는 모든 리소스를 스캔하고 전체 조직에 대한 발견 항목을 보고합니다. 서비스 사용을 중지하려면 서비스 이름 옆의 목록을 클릭하고 중지를 선택합니다.
표준 등급이 사용 설정되었으면 프리미엄 등급을 활성화하기 전에 프리미엄 서비스의 사용 설정을 구성할 수 있습니다. 나중에 조직에 프리미엄 등급을 활성화할 때까지 구성이 적용되지 않습니다.
다음은 특정 서비스에 대한 참고사항입니다.
Container Threat Detection이 제대로 작동하려면 클러스터가 지원되는 Google Kubernetes Engine(GKE) 버전에 있고 GKE 클러스터가 올바르게 구성되어 있는지 확인해야 합니다. 자세한 내용은 Container Threat Detection 사용을 참조하세요.
Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. Event Threat Detection을 사용하려면 조직, 폴더, 프로젝트의 로그를 사용 설정합니다.
Security Command Center에서 이상 감지 발견 항목을 자동으로 사용할 수 있습니다. Security Command Center 서비스 구성의 단계에 따라 온보딩 후에 이상 감지 기능을 사용 중지할 수 있습니다.
나열되지 않더라도 보안 상황 서비스는 프리미엄 등급을 선택할 때 자동으로 사용 설정됩니다.
역할 부여에서 Security Command Center의 서비스 에이전트에 필요한 IAM 역할을 부여합니다.
서비스 에이전트에 역할을 부여하여 Security Command Center 및 감지 서비스에서 기능을 수행하는 데 필요한 권한을 제공합니다.
서비스 계정 이름의 형식은 다음과 같습니다.
service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
.이 서비스 계정에
securitycenter.serviceAgent
IAM 역할을 부여합니다.service-org-ORGANIZATION_ID@gcp-sa-ktd-hpsa.iam.gserviceaccount.com
.이 서비스 계정에
roles/containerthreatdetection.serviceAgent
IAM 역할을 부여합니다.
서비스 계정에서는
ORGANIZATION_ID
대신 조직의 숫자 식별자가 포함됩니다.역할을 추가하려면 역할 부여를 클릭합니다.
또는 다음 단계를 완료하여 역할을 수동으로 부여할 수 있습니다.
- 수동으로 역할 부여 섹션을 펼치고 gcloud CLI 명령어를 복사합니다.
- Google Cloud 콘솔 툴바에서 Cloud Shell 활성화를 클릭합니다.
- 표시된 터미널 창에서 복사한 gcloud CLI 명령어를 붙여넣은 후 Enter 키를 누릅니다.
이러한 역할과 관련된 권한을 자세히 알아보려면 액세스 제어를 참조하세요. 다음 항목 중 하나를 완료합니다.
설정 완료에서 정보를 검토하고 마침을 클릭합니다.
설정을 완료하면 Security Command Center가 초기 애셋 스캔을 시작하고Google Cloud 콘솔을 사용하여 프로젝트 전체의 Google Cloud 보안 및 데이터 위험을 검토하고 해결할 수 있습니다.
일부 제품의 스캔이 시작되기 전에 지연이 발생할 수 있습니다. 활성화 프로세스에 대한 자세한 내용은 Security Command Center 지연 시간 개요를 참조하세요.
각 서비스의 문서를 확인하여 서비스를 추가로 테스트하거나 최적화할 수 있는지 확인합니다.
예를 들어 Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. 일부 로그는 항상 사용 설정되어 있으므로 Event Threat Detection이 사용 설정되는 즉시 스캔을 시작할 수 있습니다. 대부분의 데이터 액세스 감사 로그와 같은 다른 로그는 Event Threat Detection에서 스캔하기 전에 활성화해야 합니다. 자세한 내용은 로그 유형 및 활성화 요구사항을 참조하세요.
각 기본 제공 서비스 테스트 및 사용에 대한 자세한 내용은 다음 페이지를 참조하세요.
표준 등급에서 프리미엄 등급으로 업그레이드
Security Command Center 표준 등급에서 Security Command Center 프리미엄 등급으로 업그레이드하려면 다음 단계를 완료합니다. 구독을 사용하려면 먼저 Google Cloud 영업팀에 문의하세요.
조직에 Security Command Center 프리미엄 등급에서 제공하는 추가 위협 감지 및 보안 상황 기능이 필요한 경우 이 작업을 완료하세요.
Google Cloud 콘솔에서 Security Command Center로 이동합니다.
조직 목록에서 Security Command Center 프리미엄 등급으로 업그레이드할 조직을 선택한 다음 선택을 클릭합니다.
Security Command Center 페이지에서 프리미엄 가입을 클릭합니다.
등급 변경에서 프리미엄이 선택되었는지 확인합니다. 다음을 클릭합니다.
서비스 검토에서 필요한 서비스를 사용 설정합니다.
등급 업데이트를 클릭합니다.
프리미엄 등급의 구독 옵션에서 사용한 만큼만 지불 옵션으로 변경
이전에 구독을 사용하여 Security Command Center 프리미엄 등급을 활성화한 경우 구독이 만료되기 전에 사용한 만큼만 지불 가격 책정으로 Security Command Center를 등록할 수 있습니다. 이 같은 등록을 통해 조직이 Security Command Center 프리미엄 등급이 제공하는 보안 기능을 잃지 않게 됩니다. 이 가격 책정 변경사항은 구독이 만료된 후에 적용됩니다.
Google Cloud 콘솔에서 Security Command Center로 이동합니다.
조직 목록에서 가격 책정 옵션을 변경할 조직을 선택한 다음 선택을 클릭합니다.
Security Command Center 개요 페이지에서 설정을 클릭합니다. 설정 페이지가 열리고 서비스 탭이 표시됩니다.
설정 페이지에서 등급 세부정보를 클릭합니다. 등급 페이지가 열립니다.
등급 관리를 클릭합니다.
등급 변경 페이지에서 프리미엄이 선택되어 있는지 확인하고 다음을 클릭합니다.
서비스 검토 페이지에서 사용 설정한 서비스를 검토하고 등급 업데이트를 클릭합니다.
프리미엄 등급의 사용한 만큼만 지불 옵션에서 표준 등급으로 다운그레이드
Security Command Center 프리미엄 등급의 사용한 만큼만 지불 결제 옵션에서 Security Command Center 표준 등급으로 변경하려면 다음 단계를 완료하세요. 기본적으로 구독이 있는 경우 구독이 만료되면 자동으로 표준 등급으로 다운그레이드됩니다.
Security Command Center 표준 등급으로 다운그레이드하면 프리미엄 등급 서비스 및 기능에 액세스할 수 없게 됩니다. 변경하기 전에 조직의 보안 위험 프로필에 악영향이 없는지 확인하세요.
Security Command Center 표준 등급은 무료이지만 간접적인 요금이 발생할 수 있습니다. 자세한 내용은 Security Command Center와 관련해 발생할 수 있는 간접적인 요금을 참조하세요.
이 태스크를 완료한 후 조직 수준에서 프리미엄 등급으로 다시 업그레이드하면 프리미엄 등급 서비스의 구성 설정이 복원됩니다.
Google Cloud 콘솔에서 Security Command Center로 이동합니다.
조직 목록에서 Security Command Center 등급을 다운그레이드할 조직을 선택하고 선택을 클릭합니다.
Security Command Center 개요 페이지에서 설정을 클릭합니다. 설정 페이지가 열리고 서비스 탭이 표시됩니다.
설정 페이지에서 등급 세부정보를 클릭합니다. 등급 페이지가 열립니다.
등급 관리를 클릭합니다.
등급 변경 페이지에서 표준이 선택되어 있는지 확인하고 다음을 클릭합니다.
서비스 검토 페이지에서 사용 설정한 서비스를 검토하고 등급 업데이트를 클릭합니다.
프리미엄 등급의 프로젝트 수준 활성화에서 프리미엄 등급의 조직 수준 활성화로 변경
프로젝트 수준 활성화에서 조직 수준 활성화로 변경하려면 처음으로 조직에 Security Command Center 활성화에 설명된 활성화 프로세스를 따르면 됩니다.
다음과 같은 가격 책정 변경사항이 적용됩니다.
- Security Command Center 프리미엄 등급 요금이 조직 수준 활성화에 포함됩니다.
- Security Command Center의 조직 수준 활성화에 대한 가격 책정 약관이 유효한 가격 책정 약관으로 적용됩니다. 사용량이 발생한 프로젝트에 대한 요금이 보고됩니다.
조직 수준 활성화로 변경하는 경우 프로젝트 수준에서 Security Command Center를 활성화할 때 생성된 Security Command Center 서비스 계정을 삭제하지 마세요. 서비스 계정을 삭제하면 특정 Security Health Analytics 감지기가 제대로 작동하지 않을 수 있습니다.
프리미엄 등급 비용 모니터링
Security Command Center 프리미엄 등급과 관련된 비용을 모니터링하려면 Cloud Billing을 사용하면 됩니다. 결제 데이터를 BigQuery로 내보내 세부 분석을 수행하거나 지출 알림이 있는 예산을 만들 수 있습니다. 자세한 내용은 비용 모니터링을 참조하세요.
다음 단계
- Security Command Center 구성 방법 알아보기
- Google Cloud 콘솔에서 Security Command Center를 사용하는 방법 알아보기
- Security Command Center 발견 항목 작업 방법 알아보기
- Google Cloud 보안 소스 알아보기