공격 경로 시뮬레이션 지원

이 페이지에서는 Security Command Center Risk Engine 기능이 지원하는 서비스 및 발견 사항과 여기에 적용되는 지원 한도를 설명합니다.

Risk Engine은 다음에 대한 공격 노출 점수와 공격 경로 시뮬레이션을 생성합니다.

• Vulnerability 및 Misconfiguration 발견 사항 클래스에서 지원되는 발견 사항 카테고리.
• Toxic combination 클래스 발견 사항
• Chokepoint 클래스 발견 사항
• 높은 가치로 지정하는 지원되는 리소스 유형의 리소스 인스턴스. 자세한 내용은 고가치 리소스 세트에서 지원되는 리소스 유형을 참조하세요.

Security Command Center는 여러 클라우드 서비스 제공업체 플랫폼에 대한 공격 노출 점수와 공격 경로 시각화를 제공할 수 있습니다. 감지기 지원은 각 클라우드 서비스 제공업체에 따라 다릅니다. Risk Engine은 각 클라우드 서비스 제공업체에 특화된 취약점 및 구성 오류 감지기를 사용합니다. 다음 섹션에서는 각 클라우드 서비스 제공업체에서 지원되는 리소스를 설명합니다.

• Google Cloud
• Amazon Web Services(AWS)
• Microsoft Azure

조직 수준 지원만

Risk Engine이 공격 노출 점수와 공격 경로를 생성하기 위해 사용하는 공격 경로 시뮬레이션을 위해서는 조직 수준에서 Security Command Center를 활성화해야 합니다. Security Command Center의 프로젝트 수준 활성화에는 공격 경로 시뮬레이션이 지원되지 않습니다.

공격 경로를 보려면 Google Cloud 콘솔 뷰를 해당 조직으로 설정해야 합니다.Google Cloud 콘솔에서 프로젝트 또는 폴더 뷰를 선택하면 공격 노출 점수를 볼 수 있지만 공격 경로는 볼 수 없습니다.

필요한 역할

공격 경로는 발견 사항 및 고가치 리소스와 같은 Security Command Center의 특정 구성요소와 연결되어 있습니다. Security Command Center 공격 경로를 보려면 각 Security Command Center 리소스를 볼 수 있는 올바른 IAM 역할이 있어야 합니다.

공격 경로를 보기 위해 필요한 권한을 얻으려면 관리자에게 조직에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.

• 보안 센터 공격 경로 리더(roles/securitycenter.attackPathsViewer)
• 발견 사항 및 문제(예: 위험한 조합과 초크 포인트)에서 생성된 공격 경로를 보려면 다음 역할이 필요합니다. 보안 센터 발견 사항 뷰어(roles/securitycenter.findingsViewer)
• 고가치 리소스의 공격 경로에 대한 액세스를 허용하려면 다음 역할이 필요합니다.
  • 보안 센터 애셋 뷰어(roles/securitycenter.assetsViewer)
  • 보안 센터의 중요한 리소스 리더(roles/securitycenter.valuedResourcesViewer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

조직의 크기 한도

공격 경로 시뮬레이션에서 Risk Engine은 조직에 포함될 수 있는 활성 애셋 및 활성 발견 사항의 수를 제한합니다.

조직이 다음 표에 표시된 한도를 초과하면 공격 경로 시뮬레이션이 실행되지 않습니다.

한도 유형	사용량 한도
최대 활성 발견 사항 수	250,000,000
최대 활성 애셋 수	26,000,000

조직의 애셋, 발견 사항 또는 둘 다 한도에 도달하거나 한도를 초과한 경우 Cloud Customer Care에 문의하여 증가 여부에 대한 조직 평가를 요청합니다.

고가치 리소스 세트 한도

고가치 리소스 세트는 특정 리소스 유형만 지원하며 특정 수의 리소스 인스턴스만 포함할 수 있습니다.고가치

• 클라우드 서비스 제공업체 플랫폼에 설정된 고가치 리소스는 최대 1,000개까지 리소스 인스턴스를 포함할 수 있습니다.

• Google Cloud에서 조직별로 최대 100개까지 리소스 가치 구성을 만들 수 있습니다.

사용자 인터페이스 지원

Google Cloud 콘솔, Security Operations 콘솔, Security Command Center API에서 공격 노출 점수로 작업을 수행할 수 있습니다.

보안 운영 콘솔에서만 유해한 조합 케이스에 대한 공격 노출 점수와 공격 경로 작업을 수행할 수 있습니다.

리소스 값 구성은 Google Cloud 콘솔의 Security Command Center 설정 페이지에 있는 공격 경로 시뮬레이션 탭에서만 만들 수 있습니다.

Google Cloud 지원

다음 섹션에서는 Google Cloud에 대한 Risk Engine 지원을 설명합니다.

Risk Engine에서 지원하는Google Cloud 서비스

Risk Engine에서 실행하는 시뮬레이션에는 다음 Google Cloud 서비스가 포함될 수 있습니다.

• Artifact Registry
• BigQuery
• Cloud Run Functions
• Cloud Key Management Service
• Cloud Load Balancing
• Cloud NAT
• Cloud Router
• Cloud SQL
• Cloud Storage
• Compute Engine
• Identity and Access Management
• Google Kubernetes Engine
• 가상 프라이빗 클라우드(서브넷 및 방화벽 구성 포함)
• Resource Manager

고가치 리소스 세트에서 지원되는Google Cloud 리소스 유형

고가치 리소스 세트에는 다음 유형의 Google Cloud 리소스만 추가할 수 있습니다.

• aiplatform.googleapis.com/Dataset
• aiplatform.googleapis.com/Featurestore
• aiplatform.googleapis.com/MetadataStore
• aiplatform.googleapis.com/TrainingPipeline

• aiplatform.googleapis.com/Model
• artifactregistry.googleapis.com/Repository
• bigquery.googleapis.com/Dataset
• cloudfunctions.googleapis.com/CloudFunction
• compute.googleapis.com/Instance

• container.googleapis.com/Cluster

• spanner.googleapis.com/Instance
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

데이터 민감도 분류에서 지원되는Google Cloud 리소스 유형

공격 경로 시뮬레이션은 다음 데이터 리소스 유형에 대해서만 Sensitive Data Protection 탐색의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.

• aiplatform.googleapis.com/Dataset
• bigquery.googleapis.com/Dataset
• sqladmin.googleapis.com/Instance
• storage.googleapis.com/Bucket

지원되는 발견 사항 카테고리

공격 경로 시뮬레이션은 이 섹션에 나열된 Security Command Center 감지 서비스의 Security Command Center 발견 사항 카테고리에 대해서만 공격 노출 점수와 공격 경로를 생성합니다.

GKE 보안 상황 발견 사항

공격 경로 시뮬레이션에서 다음과 같은 GKE 보안 상황 발견 사항 카테고리가 지원됩니다.

• GKE 런타임 OS 취약점

Mandiant 공격 표면 관리 발견 사항

공격 경로 시뮬레이션에서 다음과 같은 Mandiant 공격 표면 관리 발견 사항 카테고리가 지원됩니다.

• 소프트웨어 취약점

Risk Engine 발견 사항

Risk Engine에서 생성되는 Toxic combination 발견 사항 카테고리는 공격 노출 점수를 지원합니다.

VM Manager 발견 사항

VM Manager에서 생성되는 OS Vulnerability 발견 사항 카테고리는 공격 노출 점수를 지원합니다.

Pub/Sub 알림 지원

공격 노출 점수 변경사항을 Pub/Sub에 대한 알림 트리거로 사용할 수 없습니다.

또한 발견 사항이 생성될 때 Pub/Sub로 전송된 발견 사항은 점수를 계산하기 전에 전송되기 때문에 공격 노출 점수가 포함되지 않습니다.

AWS 지원

Security Command Center는 AWS의 리소스에 대해 공격 노출 점수 및 공격 경로 시각화를 계산할 수 있습니다.

Risk Engine에서 지원하는 AWS 서비스

시뮬레이션에는 다음과 같은 AWS 서비스가 포함될 수 있습니다.

• Identity and Access Management(IAM)
• 보안 토큰 서비스(STS)
• Simple Storage Service(S3)
• 웹 애플리케이션 방화벽(WAFv2)
• Elastic Compute Cloud(EC2)
• Elastic Load Balancing(ELB 및 ELBv2)
• 관계형 데이터베이스 서비스(RDS)
• 키 관리 서비스(KMS)
• Elastic Container Registry(ECR)
• Elastic Container Service(ECS)
• ApiGateway 및 ApiGatewayv2
• 조직(계정 관리 서비스)
• CloudFront
• AutoScaling
• Lambda
• DynamoDB

고가치 리소스 세트에서 지원되는 AWS 리소스 유형

고가치 리소스 세트에는 다음 유형의 AWS 리소스만 추가할 수 있습니다.

• DynamoDB 테이블
• EC2 인스턴스
• Lambda 함수
• RDS DBCluster
• RDS DBInstance
• S3 버킷

데이터 민감도 분류에서 지원되는 AWS 리소스 유형

공격 경로 시뮬레이션은 다음 AWS 데이터 리소스 유형에 대해서만 Sensitive Data Protection 탐색의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.

• Amazon S3 버킷

AWS용 Security Health Analytics의 발견 사항 지원

Risk Engine은 다음 Security Health Analytics 발견 사항 카테고리에 대해 점수 및 공격 경로 시각화를 제공합니다.

• 순환 주기가 90일 미만인 액세스 키
• 45일 넘게 사용되지 않은 사용자 인증 정보가 사용 중지됨
• 기본 보안 그룹 VPC가 모든 트래픽을 제한함
• EC2 인스턴스에 공개 IP 없음
• IAM 비밀번호 정책
• IAM 비밀번호 정책이 비밀번호 재사용 방지
• IAM 비밀번호 정책이 최소 14자(영문 기준) 이상 요구
• IAM 사용자가 사용되지 않은 사용자 인증 정보 확인
• IAM 사용자가 권한 그룹 수신
• KMS CMK에 삭제가 예약되지 않음
• MFA 삭제가 사용 설정된 S3 버킷
• 루트 사용자 계정에 MFA가 사용 설정됨
• 모든 IAM 사용자 콘솔에 다중 인증(MFA)이 사용 설정됨
• 루트 사용자 계정 액세스 키가 없음
• 보안 그룹이 인그레스 0 원격 서버 관리를 허용하지 않음
• 보안 그룹이 인그레스 0 0 0 0 원격 서버 관리를 허용하지 않음
• 단일 IAM 사용자가 활성 액세스 키 1개를 사용할 수 있음
• RDS 인스턴스에 공개 액세스 권한이 부여됨
• 공용 포트가 제한됨
• SSH가 제한됨
• 고객이 만든 CMK에 순환이 사용 설정됨
• 고객이 만든 대칭 CMK에 순환이 사용 설정됨
• S3 버킷에 공개 액세스 차단 버킷 설정이 구성됨
• S3 버킷 정책으로 HTTP 요청 거부가 설정됨
• S3 기본 암호화 KMS
• VPC 기본 보안 그룹 닫힘

Amazon Web Services 발견 사항에 대한 취약점 평가

EC2 취약점 평가에서 생성되는 Software vulnerability 발견 사항 카테고리는 공격 노출 점수를 지원합니다.

Azure 지원

Risk Engine은 Microsoft Azure의 리소스에 대해 공격 노출 점수 및 공격 경로 시각화를 생성할 수 있습니다.

Azure에 연결을 설정한 후에는 Google Cloud 및 AWS의 리소스와 마찬가지로 리소스 가치 구성을 만들어 Azure 고가치 리소스를 지정할 수 있습니다. 자세한 내용은 고가치 리소스 세트 정의 및 관리 섹션을 참조하세요.

Azure의 첫 번째 리소스 가치 구성을 만들기 전에 Security Command Center는 클라우드 서비스 제공업체별로 고유한 기본 고가치 리소스 세트를 사용합니다.

Security Command Center는 각 클라우드 플랫폼에 대해 다른 플랫폼에서 실행되는 시뮬레이션과는 독립적인 시뮬레이션을 실행합니다.

Risk Engine에서 지원하는 Azure 서비스

공격 경로 시뮬레이션에는 다음 Azure 서비스가 포함될 수 있습니다.

• 앱 서비스
• Azure Kubernetes Service(AKS)
• 가상 네트워크
• Container Registry
• Cosmos DB
• Functions
• Key Vault
• MySQL 데이터베이스
• 네트워크 보안 그룹
• PostgreSQL 데이터베이스
• 역할 기반 액세스 제어(RBAC)
• Service Bus
• SQL Database
• 저장소 계정
• 가상 머신 확장 집합
• 가상 머신

고가치 리소스 집합에서 지정할 수 있는 Azure 리소스 유형

고가치 리소스 집합에는 다음 유형의 AWS 리소스만 추가할 수 있습니다.

• Microsoft.Compute/virtualMachines
  • Linux VM
  • Windows VM
• Microsoft.ContainerService/managedClusters
  • Kubernetes 클러스터
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL 데이터베이스
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL 데이터베이스
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB 계정
• Microsoft.Sql/servers/databases
  • SQL Database
• Microsoft.Storage/storageAccounts
  • 저장소 계정
• Microsoft.Web/sites
  • 앱 서비스
  • 함수 앱

기본 고가치 리소스 집합에 포함된 Azure 리소스

기본 고가치 리소스 집합에 포함된 리소스는 다음과 같습니다.

• Microsoft.Compute/virtualMachines
  • Linux VM
  • Windows VM
• Microsoft.DBforPostgreSQL/flexibleServers/databases
  • PostgreSQL 데이터베이스
• Microsoft.DBforMySQL/flexibleServers/databases
  • MySQL 데이터베이스
• Microsoft.DocumentDB/databaseAccounts
  • Cosmos DB 계정
• Microsoft.Sql/servers/databases
  • SQL Database
• Microsoft.Storage/storageAccounts
  • 저장소 계정
• Microsoft.Web/sites
  • 앱 서비스
  • 함수 앱