공격 노출 기능 지원

이 페이지에서는 공격 노출 기능이 지원하는 서비스 및 발견 항목과 여기에 적용되는 지원 한도를 설명합니다.

Security Command Center는 다음에 대한 공격 노출 점수와 경로를 생성합니다.

다음 섹션에는 공격 노출 점수에서 지원하는 Security Command Center 서비스와 발견 항목이 나와 있습니다.

조직 수준 지원만

공격 노출 점수와 공격 경로를 생성하는 공격 경로 시뮬레이션을 위해서는 조직 수준에서 Security Command Center를 활성화해야 합니다. Security Command Center의 프로젝트 수준 활성화에는 공격 경로 시뮬레이션이 지원되지 않습니다.

공격 경로를 보려면 Google Cloud 콘솔 뷰를 해당 조직으로 설정해야 합니다. Google Cloud Console에서 프로젝트 또는 폴더 뷰를 선택하면 공격 노출 점수를 볼 수 있지만 공격 경로는 볼 수 없습니다.

또한 사용자가 공격 경로를 보는 데 필요한 IAM 권한이 조직 수준에서 부여되어야 합니다. 사용자에게는 최소한 조직 수준에서 부여된 역할에 대한 securitycenter.attackpaths.list 권한이 있어야 합니다. 이 권한이 포함된 가장 낮은 수준의 사전 정의된 IAM 역할은 보안 센터 공격 경로 읽기 권한자(securitycenter.attackPathsViewer)입니다.

이 권한이 포함된 다른 역할을 보려면 IAM 기본 및 사전 정의된 역할 참조를 확인하세요.

조직의 크기 한도

Security Command Center는 공격 경로 시뮬레이션에서 조직에 포함할 수 있는 활성 애셋 및 활성 발견 항목의 수를 제한합니다.

조직이 다음 표에 표시된 한도를 초과하면 공격 경로 시뮬레이션이 실행되지 않습니다.

한도 유형 사용량 한도
최대 활성 발견 항목 수 250,000,000
최대 활성 애셋 수 26,000,000

조직의 애셋, 발견 항목 또는 둘 다 한도에 도달하거나 한도를 초과한 경우 Cloud Customer Care에 문의하여 증가 여부에 대한 조직 평가를 요청합니다.

공격 경로 시뮬레이션에 포함된 Google Cloud 서비스

시뮬레이션에는 다음 Google Cloud 서비스가 포함될 수 있습니다.

  • Artifact Registry
  • BigQuery
  • Cloud Functions
  • Cloud Key Management Service
  • Cloud Load Balancing
  • Cloud NAT
  • Cloud Router
  • Cloud SQL
  • Cloud Storage
  • Compute Engine
  • Identity and Access Management
  • Google Kubernetes Engine
  • Virtual Private Cloud(서브넷 및 방화벽 구성 포함)
  • Resource Manager

중요 리소스 세트 한도

중요 리소스 세트는 특정 리소스 유형만 지원하며 특정 수의 리소스 인스턴스만 포함할 수 있습니다.

중요 리소스 세트의 인스턴스 한도

클라우드 서비스 제공업체 플랫폼에 설정된 중요 리소스는 최대 1,000개까지 리소스 인스턴스를 포함할 수 있습니다.

중요 리소스 세트에서 지원되는 리소스 유형

중요 리소스 세트에는 다음 유형의 Google Cloud 리소스만 추가할 수 있습니다.

  • aiplatform.googleapis.com/Dataset
  • aiplatform.googleapis.com/Featurestore
  • aiplatform.googleapis.com/MetadataStore
  • aiplatform.googleapis.com/Model
  • aiplatform.googleapis.com/TrainingPipeline
  • bigquery.googleapis.com/Dataset
  • cloudfunctions.googleapis.com/CloudFunction
  • compute.googleapis.com/Instance
  • container.googleapis.com/Cluster
  • sqladmin.googleapis.com/Instance
  • storage.googleapis.com/Bucket

다른 클라우드 서비스 제공업체에 대해 지원되는 리소스 유형 목록은 클라우드 서비스 제공업체 지원을 참조하세요.

리소스 값 구성 한도

Google Cloud에서 조직별로 최대 100개까지 리소스 값 구성을 만들 수 있습니다.

데이터 민감도 분류에서 지원되는 리소스 유형

공격 경로 시뮬레이션은 다음 데이터 리소스 유형에 대해서만 Sensitive Data Protection의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.

  • bigquery.googleapis.com/Dataset
  • sqladmin.googleapis.com/Instance

지원되는 발견 항목 카테고리

공격 경로 시뮬레이션은 이 섹션에 나열된 Security Command Center 감지 서비스의 Security Command Center 발견 항목 카테고리에 대해서만 공격 노출 점수와 공격 경로를 생성합니다.

Mandiant 공격 표면 관리 발견 항목

공격 경로 시뮬레이션에서 다음과 같은 Mandiant 공격 표면 관리 발견 항목 카테고리가 지원됩니다.

  • 소프트웨어 취약점

Security Health Analytics 발견 항목

Google Cloud의 공격 경로 시뮬레이션에서 다음과 같은 Security Health Analytics 발견 항목이 지원됩니다.

  • 관리자 서비스 계정
  • 자동 복구 중지됨
  • 자동 업그레이드 중지됨
  • Binary Authorization 중지됨
  • 버킷 전용 정책 중지됨
  • 클러스터 비공개 Google 액세스 중지됨
  • 클러스터 보안 비밀 암호화 중지됨
  • 클러스터 보안 노드 중지됨
  • 컴퓨팅 프로젝트 차원의 SSH 키 허용됨
  • 컴퓨팅 보안 부팅 중지됨
  • 컴퓨팅 직렬 포트 사용 설정됨
  • COS 사용되지 않음
  • 기본 서비스 계정 사용됨
  • 전체 API 액세스
  • 마스터 승인 네트워크 중지됨
  • MFA 적용되지 않음
  • 네트워크 정책 사용 중지됨
  • 노드 풀 보안 부팅 중지됨
  • 개방형 Cassandra 포트
  • 개방형 CiscoSecure WebSM 포트
  • 개방형 디렉터리 서비스 포트
  • 개방형 DNS 포트
  • 개방형 Elasticsearch 포트
  • 개방형 방화벽
  • 개방형 FTP 포트
  • 개방형 HTTP 포트
  • 개방형 LDAP 포트
  • 개방형 Memcached 포트
  • 개방형 MongoDB 포트
  • 개방형 MySQL 포트
  • 개방형 NetBIOS 포트
  • 개방형 OracleDB 포트
  • 개방형 POP3 포트
  • 개방형 PostgreSQL 포트
  • 개방형 RDP 포트
  • 개방형 Redis 포트
  • 개방형 SMTP 포트
  • 개방형 SSH 포트
  • 개방형 Telnet 포트
  • 권한이 과도하게 부여된 계정
  • 권한이 과도하게 부여된 범위
  • 권한이 과도하게 부여된 서비스 계정 사용자
  • 기본 역할 사용됨
  • 비공개 클러스터 사용 중지됨
  • 공개 버킷 ACL
  • 공개 IP 주소
  • 공개 로그 버킷
  • 출시 채널 중지됨
  • 서비스 계정 키 순환되지 않음
  • 사용자 관리 서비스 계정 키
  • 워크로드 아이덴티티 중지됨

Rapid Vulnerability Detection 발견 항목

공격 경로 시뮬레이션에서는 다음 Rapid Vulnerability Detection 발견 항목이 지원됩니다.

  • 약한 사용자 인증 정보
  • Elasticsearch Api 노출
  • Grafana 엔드포인트 노출
  • Metabase 노출
  • Spring Boot 액추에이터 엔드포인트 노출
  • Hadoop Yarn 인증되지 않은 Resource Manager API
  • Java Jmx Rmi 노출
  • Jupyter Notebook 노출된 UI
  • Kubernetes API 노출
  • Wordpress 설치 미완료
  • Jenkins 새 항목 콘솔 미인증
  • Apache Httpd Rce
  • Apache Httpd Ssrf
  • Consul Rce
  • Druid Rce
  • Drupal Rce
  • Flink 파일 공개
  • Gitlab Rce
  • Go Cd Rce
  • Jenkins Rce
  • Joomla Rce
  • Log4j Rce
  • Mantisbt 권한 에스컬레이션
  • Ognl Rce
  • Openam Rce
  • Oracle Weblogic Rce
  • Php Unit Rce
  • Php Cgi Rce
  • Portal Rce
  • Redis Rce
  • Solr 파일 노출
  • Solr Rce
  • Struts Rce
  • Tomcat 파일 공개
  • Vbulletin Rce
  • Vcenter Rce
  • Weblogic Rce

VM Manager 발견 항목

VM Manager에서 실행하는 OS Vulnerability 발견 항목 카테고리는 공격 노출 점수를 지원합니다.

Pub/Sub 알림 지원

공격 노출 점수 변경사항을 Pub/Sub에 대한 알림 트리거로 사용할 수 없습니다.

또한 발견 항목이 생성될 때 Pub/Sub로 전송된 발견 항목은 점수를 계산하기 전에 전송되기 때문에 공격 노출 점수가 포함되지 않습니다.

멀티 클라우드 지원

Security Command Center는 다음 클라우드 서비스 제공업체에 대해 공격 노출 점수 및 공격 경로 시각화를 제공할 수 있습니다.

  • Amazon Web Services(AWS)

다른 클라우드 서비스 제공업체에 대한 감지기 지원

공격 경로 시뮬레이션이 다른 클라우드 서비스 제공업체 플랫폼에 대해 지원하는 취약점 및 구성 오류 감지기는 Security Command Center 감지 서비스가 플랫폼에서 지원하는 감지 기능에 따라 달라집니다.

감지기 지원은 각 클라우드 서비스 제공업체에 따라 다릅니다.

AWS 지원

Security Command Center는 AWS의 리소스에 대해 공격 노출 점수 및 공격 경로 시각화를 계산할 수 있습니다.

공격 경로 시뮬레이션으로 지원되는 AWS 서비스

시뮬레이션에는 다음과 같은 AWS 서비스가 포함될 수 있습니다.

  • Identity and Access Management(IAM)
  • 보안 토큰 서비스(STS)
  • Simple Storage Service(S3)
  • 웹 애플리케이션 방화벽(WAFv2)
  • Elastic Compute Cloud(EC2)
  • Elastic Load Balancing(ELB 및 ELBv2)
  • 관계형 데이터베이스 서비스(RDS)
  • 키 관리 서비스(KMS)
  • Elastic Container Registry(ECR)
  • Elastic Container Service(ECS)
  • ApiGateway 및 ApiGatewayv2
  • 조직(계정 관리 서비스)
  • CloudFront
  • 자동 확장
  • Lambda
  • DynamoDB

중요 리소스로 지정할 수 있는 AWS 리소스 유형

중요 리소스 세트에는 다음 유형의 AWS 리소스만 추가할 수 있습니다.

  • DynamoDB 테이블
  • EC2 인스턴스
  • Lambda 함수
  • RDS DBCluster
  • RDS DBInstance
  • S3 버킷

AWS 지원 찾기

공격 경로 시뮬레이션은 다음 Security Health Analytics 발견 항목 카테고리에 대해 점수 및 공격 경로 시각화를 제공합니다.

  • 순환 주기가 90일 미만인 액세스 키
  • 45일 넘게 사용되지 않은 사용자 인증 정보가 사용 중지됨
  • 기본 보안 그룹 VPC가 모든 트래픽을 제한함
  • EC2 인스턴스에 공개 IP 없음
  • IAM 비밀번호 정책
  • IAM 비밀번호 정책이 비밀번호 재사용 방지
  • IAM 비밀번호 정책이 최소 14자(영문 기준) 이상 요구
  • IAM 사용자가 사용되지 않은 사용자 인증 정보 확인
  • IAM 사용자가 권한 그룹 수신
  • KMS CMK에 삭제가 예약되지 않음
  • MFA 삭제가 사용 설정된 S3 버킷
  • 루트 사용자 계정에 MFA가 사용 설정됨
  • 모든 IAM 사용자 콘솔에 다중 인증(MFA)이 사용 설정됨
  • 루트 사용자 계정 액세스 키가 없음
  • 보안 그룹이 인그레스 0 원격 서버 관리를 허용하지 않음
  • 보안 그룹이 인그레스 0 0 0 0 원격 서버 관리를 허용하지 않음
  • 단일 IAM 사용자가 활성 액세스 키 1개를 사용할 수 있음
  • RDS 인스턴스에 공개 액세스 권한이 부여됨
  • 공용 포트가 제한됨
  • SSH가 제한됨
  • 고객이 만든 CMK에 순환이 사용 설정됨
  • 고객이 만든 대칭 CMK에 순환이 사용 설정됨
  • S3 버킷에 공개 액세스 차단 버킷 설정이 구성됨
  • S3 버킷 정책으로 HTTP 요청 거부가 설정됨
  • S3 기본 암호화 KMS
  • VPC 기본 보안 그룹 닫힘

사용자 인터페이스 지원

Google Cloud 콘솔의 Security Command Center 또는 Security Command Center API를 사용하여 공격 노출 점수를 작업할 수 있습니다.

하지만 리소스 값 구성은 Google Cloud Console의 Security Command Center 설정 페이지에 있는 공격 경로 시뮬레이션 탭에서만 만들 수 있습니다.