이 페이지에서는 엔터프라이즈 등급을 구독하는 경우 기본 설정을 사용하여 민감한 정보 검색을 사용 설정하고, 별도로 가격이 책정된 제품인 Sensitive Data Protection을 사용 설정하는 방법을 설명합니다. 검색을 사용 설정한 후 언제든지 설정을 맞춤설정할 수 있습니다.
검색을 사용 설정하면 Sensitive Data Protection에서 조직 전체의 데이터 민감도 및 데이터 위험 수준을 보여주는 Security Command Center 발견 항목을 생성합니다.
Security Command Center 서비스 등급에 관계없이 민감한 정보 검색을 사용 설정하는 방법에 대한 자세한 내용은 Sensitive Data Protection 문서의 다음 페이지를 참조하세요.
작동 방식
Sensitive Data Protection 검색 서비스는 민감하고 위험성이 높은 데이터가 어디에 있는지 확인하여 조직 전체의 데이터를 보호하는 데 기여합니다. Sensitive Data Protection에서 이 서비스는 다양한 세부 수준에서 데이터에 대한 측정항목과 인사이트를 제공하는 데이터 프로필을 생성합니다. Security Command Center에서 서비스는 다음을 수행합니다.
Security Command Center에서 BigQuery 및 Cloud SQL 데이터의 계산된 민감도 및 데이터 위험 수준을 보여주는 관찰 발견 항목을 생성합니다. 이러한 발견 항목을 사용하면 데이터 애셋과 관련된 위협과 취약점이 발생할 때 대응 방법을 찾는 데 도움이 됩니다. 생성되는 발견 항목 유형의 목록은 검색 서비스의 관찰 발견 항목을 참조하세요.
이러한 발견 항목은 데이터 민감도를 기준으로 고가치 리소스를 자동으로 지정하는 데 도움이 될 수 있습니다. 자세한 내용은 이 페이지의 검색 통계를 사용하여 가치가 높은 리소스 식별을 참조하세요.
Sensitive Data Protection이 Cloud Functions 환경 변수에 보안 비밀이 있음을 감지하면 Security Command Center에서 취약점 발견 항목을 생성합니다. 환경 변수가 암호화되지 않으므로 비밀번호와 같은 보안 비밀을 환경 변수에 저장하는 것은 안전하지 않습니다. Sensitive Data Protection에서 감지하는 보안 비밀 유형의 전체 목록은 사용자 인증 정보 및 보안 비밀을 참조하세요. 생성되는 발견 항목 유형의 목록은 Sensitive Data Protection 검색 서비스의 취약점 발견 항목을 참조하세요.
조직에서 민감한 정보 검색을 사용 설정하려면 스캔하려는 지원되는 리소스마다 검색 스캔 구성을 하나씩 만듭니다.
가격 책정
민감한 정보 검색은 서비스 등급에 관계없이 Security Command Center와 별도로 요금이 청구됩니다. 검색을 위한 구독을 구매하지 않으면 소비량(스캔된 바이트)을 기준으로 요금이 청구됩니다. 자세한 내용은 Sensitive Data Protection 문서의 탐색 가격 책정을 참조하세요.
시작하기 전에
이 페이지의 남은 태스크를 수행하기 전에 먼저 다음 태스크를 수행하세요.
Security Command Center Enterprise 등급 활성화
설정 가이드의 1단계와 2단계를 완료하여 Security Command Center Enterprise 등급을 활성화합니다. 자세한 내용은 Security Command Center Enterprise 등급 활성화를 참조하세요.
Sensitive Data Protection을 통합 서비스로 사용 설정
Sensitive Data Protection이 아직 통합 서비스로 사용 설정되지 않았으면 사용 설정하세요. 자세한 내용은 Google Cloud 통합 서비스 추가를 참조하세요.
권한 설정
민감한 정보 검색을 구성하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
| 목적 | 사전 정의된 역할 | 관련 권한 |
|---|---|---|
| 검색 스캔 구성 만들기 및 데이터 프로필 보기 | DLP 관리자(roles/dlp.admin)
|
|
| 서비스 에이전트 컨테이너로 사용할 프로젝트 만들기1 | 프로젝트 생성자(roles/resourcemanager.projectCreator) |
|
| 검색 액세스 권한 부여2 | 다음 중 하나:
|
|
1프로젝트 생성자(roles/resourcemanager.projectCreator) 역할이 없어도 스캔 구성을 만들 수 있지만 사용하는 서비스 에이전트 컨테이너가 기존 프로젝트여야 합니다.
2조직 관리자(roles/resourcemanager.organizationAdmin) 또는 보안 관리자(roles/iam.securityAdmin) 역할이 없어도 스캔 구성을 만들 수 있습니다. 스캔 구성을 만든 후 조직에서 이러한 역할 중 하나를 가진 사용자가 서비스 에이전트에 검색 액세스 권한을 부여해야 합니다.
역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.
커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
기본 설정으로 검색 사용 설정
검색을 사용 설정하려면 스캔할 각 데이터 소스에 대한 검색 구성을 만듭니다. 이 절차를 따르면 기본 설정을 사용하여 이러한 검색 구성을 자동으로 만들 수 있습니다. 이 절차를 수행한 후 언제든지 설정을 맞춤설정할 수 있습니다.
설정을 처음부터 맞춤설정하려면 다음 페이지를 대신 참조하세요.
기본 설정으로 검색을 사용 설정하려면 다음 단계를 따르세요.
Google Cloud 콘솔에서 Sensitive Data Protection 검색 사용 설정 페이지로 이동합니다.
표시된 조직이 Security Command Center를 활성화한 조직인지 확인합니다.
서비스 에이전트 컨테이너 필드에서 서비스 에이전트 컨테이너로 사용할 프로젝트를 설정합니다. 이 프로젝트 내에서 시스템은 서비스 에이전트를 만들고 필요한 검색 권한을 여기에 자동으로 부여합니다.
이전에 조직에서 검색 서비스를 사용한 경우 재사용할 수 있는 서비스 에이전트 컨테이너 프로젝트가 이미 있을 수도 있습니다.
- 서비스 에이전트 컨테이너로 사용할 프로젝트를 자동으로 만들려면 제안된 프로젝트 ID를 검토하고 필요에 따라 수정합니다. 그런 다음 만들기를 클릭합니다. 새 프로젝트의 서비스 에이전트에 권한이 부여되는 데 몇 분 정도 걸릴 수 있습니다.
- 기존 프로젝트를 선택하려면 서비스 에이전트 컨테이너 필드를 클릭하고 프로젝트를 선택합니다.
기본 설정을 검토하려면 펼치기 아이콘을 클릭합니다.
검색 사용 설정 섹션에서 사용 설정할 각 검색 유형에 대해 사용 설정을 클릭합니다. 검색 유형을 사용 설정하면 다음 작업이 수행됩니다.
- BigQuery: 조직 전반의 BigQuery 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 BigQuery 데이터 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.
- Cloud SQL: 조직 전반의 Cloud SQL 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 각 Cloud SQL 인스턴스의 기본 연결을 만들기 시작합니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 기본 연결이 준비되면 적절한 데이터베이스 사용자 인증 정보로 각 연결을 업데이트하여 Cloud SQL 인스턴스에 Sensitive Data Protection 액세스 권한을 부여해야 합니다.
- 보안 비밀/사용자 인증 정보 취약점: Cloud Functions 환경 변수에서 암호화되지 않은 보안 비밀을 감지하고 보고하는 검색 구성을 만듭니다. Sensitive Data Protection에서 환경 변수 스캔을 시작합니다.
새로 생성된 검색 구성을 보려면 탐색 구성으로 이동을 클릭합니다.
Cloud SQL 검색을 사용 설정하면 사용자 인증 정보가 없음을 나타내는 오류와 함께 검색 구성이 일시중지 모드로 생성됩니다. 디스커버리에 사용할 연결 관리를 참조하여 서비스 에이전트에 필요한 IAM 역할을 부여하고 각 Cloud SQL 인스턴스에 데이터베이스 사용자 인증 정보를 제공하세요.
창을 닫습니다.
Sensitive Data Protection이 데이터 프로필을 생성한 시간부터 연결된 Data sensitivity 및 Data risk 발견 항목이 Security Command Center에 표시될 때까지 최대 6시간까지 걸릴 수 있습니다.
Sensitive Data Protection에서 보안 비밀 검색을 사용 설정한 후 환경 변수의 초기 스캔이 완료되고 Secrets in environment variables 발견 항목이 Security Command Center에 표시되기까지는 최대 12시간이 걸릴 수 있습니다. 이후 Sensitive Data Protection은 24시간마다 환경 변수를 스캔합니다. 실제로는 스캔이 이보다 더 자주 실행될 수 있습니다.
Sensitive Data Protection에서 생성한 발견 항목을 보려면 Google Cloud 콘솔에서 Sensitive Data Protection 발견 항목 검토를 참조하세요.
검색 통계를 사용하여 가치가 높은 리소스 식별
공격 경로 시뮬레이션 기능에 대한 리소스 값 구성을 만들 때 Sensitive Data Protection 검색 통계 옵션을 사용 설정하여 Security Command Center가 민감도 또는 중간 민감도 데이터가 포함된 BigQuery 데이터 세트를 고가치 리소스로 자동 지정하도록 할 수 있습니다.
고가치 리소스의 경우 Security Command Center는 민감한 정보가 포함된 리소스의 보안에 우선순위를 정하는 데 사용할 수 있는 공격 노출 점수 및 공격 경로 시각화를 제공합니다.
공격 경로 시뮬레이션은 다음 데이터 리소스 유형에 대해서만 Sensitive Data Protection의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.
bigquery.googleapis.com/Datasetsqladmin.googleapis.com/Instance
스캔 구성 맞춤설정
스캔 구성을 만든 후 맞춤설정할 수 있습니다. 예를 들어 다음과 같은 작업이 가능합니다.
- 스캔 빈도를 조정합니다.
- 다시 프로파일링하지 않을 데이터 애셋의 필터를 지정합니다.
- Sensitive Data Protection에서 스캔하는 정보 유형을 정의하는 검사 템플릿을 변경합니다.
- 생성된 데이터 프로필을 다른 Google Cloud 서비스에 게시합니다.
- 서비스 에이전트 컨테이너를 변경합니다.
스캔 구성을 맞춤설정하려면 다음 단계를 따르세요.
- 수정하기 위해 스캔 구성을 엽니다.
필요에 따라 설정을 업데이트합니다. 스캔 구성 수정 페이지의 옵션에 대한 자세한 내용은 다음 페이지를 참조하세요.