이 페이지에서는 Security Command Center Risk Engine 기능이 지원하는 서비스 및 발견 항목과 여기에 적용되는 지원 한도를 설명합니다.
Risk Engine은 다음에 대한 공격 노출 점수와 경로를 생성합니다.
Vulnerability
및Misconfiguration
발견 항목 클래스에서 지원되는 발견 항목 카테고리. 자세한 내용은 지원되는 발견 항목 카테고리를 참조하세요.Toxic combination
클래스 발견 항목- 높은 가치로 지정하는 지원되는 리소스 유형의 리소스 인스턴스. 자세한 내용은 고가치 리소스 세트에서 지원되는 리소스 유형을 참조하세요.
다음 섹션은 Risk Engine에서 지원되는 Security Command Center 서비스 및 발견 항목을 보여줍니다.
조직 수준 지원만
Risk Engine이 공격 노출 점수와 공격 경로를 생성하기 위해 사용하는 공격 경로 시뮬레이션을 위해서는 조직 수준에서 Security Command Center를 활성화해야 합니다. Security Command Center의 프로젝트 수준 활성화에는 공격 경로 시뮬레이션이 지원되지 않습니다.
공격 경로를 보려면 Google Cloud 콘솔 뷰를 해당 조직으로 설정해야 합니다. Google Cloud 콘솔에서 프로젝트 또는 폴더 뷰를 선택하면 공격 노출 점수를 볼 수 있지만 공격 경로는 볼 수 없습니다.
또한 사용자가 공격 경로를 보는 데 필요한 IAM 권한이 조직 수준에서 부여되어야 합니다. 사용자에게는 최소한 조직 수준에서 부여된 역할에 대한 securitycenter.attackpaths.list
권한이 있어야 합니다. 이 권한이 포함된 가장 낮은 수준의 사전 정의된 IAM 역할은 보안 센터 공격 경로 읽기 권한자(securitycenter.attackPathsViewer
)입니다.
이 권한이 포함된 다른 역할을 보려면 IAM 기본 및 사전 정의된 역할 참조를 확인하세요.
조직의 크기 한도
공격 경로 시뮬레이션에서 Risk Engine은 조직에 포함될 수 있는 활성 애셋 및 활성 발견 항목의 수를 제한합니다.
조직이 다음 표에 표시된 한도를 초과하면 공격 경로 시뮬레이션이 실행되지 않습니다.
한도 유형 | 사용량 한도 |
---|---|
최대 활성 발견 항목 수 | 250,000,000 |
최대 활성 애셋 수 | 26,000,000 |
조직의 애셋, 발견 항목 또는 둘 다 한도에 도달하거나 한도를 초과한 경우 Cloud Customer Care에 문의하여 증가 여부에 대한 조직 평가를 요청합니다.
공격 경로 시뮬레이션에 포함된 Google Cloud 서비스
Risk Engine에서 실행하는 시뮬레이션에는 다음 Google Cloud 서비스가 포함될 수 있습니다.
- Artifact Registry
- BigQuery
- Cloud Run Functions
- Cloud Key Management Service
- Cloud Load Balancing
- Cloud NAT
- Cloud Router
- Cloud SQL
- Cloud Storage
- Compute Engine
- Identity and Access Management
- Google Kubernetes Engine
- Virtual Private Cloud(서브넷 및 방화벽 구성 포함)
- Resource Manager
중요 리소스 세트 한도
중요 리소스 세트는 특정 리소스 유형만 지원하며 특정 수의 리소스 인스턴스만 포함할 수 있습니다.
중요 리소스 세트의 인스턴스 한도
클라우드 서비스 제공업체 플랫폼에 설정된 중요 리소스는 최대 1,000개까지 리소스 인스턴스를 포함할 수 있습니다.
중요 리소스 세트에서 지원되는 리소스 유형
중요 리소스 세트에는 다음 유형의 Google Cloud 리소스만 추가할 수 있습니다.
aiplatform.googleapis.com/Dataset
aiplatform.googleapis.com/Featurestore
aiplatform.googleapis.com/MetadataStore
aiplatform.googleapis.com/Model
aiplatform.googleapis.com/TrainingPipeline
bigquery.googleapis.com/Dataset
cloudfunctions.googleapis.com/CloudFunction
compute.googleapis.com/Instance
container.googleapis.com/Cluster
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
다른 클라우드 서비스 제공업체에 대해 지원되는 리소스 유형 목록은 클라우드 서비스 제공업체 지원을 참조하세요.
리소스 값 구성 한도
Google Cloud에서 조직별로 최대 100개까지 리소스 값 구성을 만들 수 있습니다.
데이터 민감도 분류에서 지원되는 Google Cloud 리소스 유형
공격 경로 시뮬레이션은 다음 데이터 리소스 유형에 대해서만 Sensitive Data Protection 탐색의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.
bigquery.googleapis.com/Dataset
sqladmin.googleapis.com/Instance
storage.googleapis.com/Bucket
지원되는 발견 항목 카테고리
공격 경로 시뮬레이션은 이 섹션에 나열된 Security Command Center 감지 서비스의 Security Command Center 발견 항목 카테고리에 대해서만 공격 노출 점수와 공격 경로를 생성합니다.
GKE 보안 상황 발견 항목
공격 경로 시뮬레이션에서 다음과 같은 GKE 보안 상황 발견 항목 카테고리가 지원됩니다.
- GKE 런타임 OS 취약점
Mandiant 공격 표면 관리 발견 항목
공격 경로 시뮬레이션에서 다음과 같은 Mandiant 공격 표면 관리 발견 항목 카테고리가 지원됩니다.
- 소프트웨어 취약점
Risk Engine 발견 항목
Risk Engine에서 실행하는 Toxic combination
발견 항목 카테고리는 공격 노출 점수를 지원합니다.
Security Health Analytics 발견 항목
Google Cloud의 공격 경로 시뮬레이션에서 다음과 같은 Security Health Analytics 발견 항목이 지원됩니다.
- 관리자 서비스 계정
- 자동 복구 중지됨
- 자동 업그레이드 중지됨
- Binary Authorization 중지됨
- 버킷 전용 정책 중지됨
- 클러스터 비공개 Google 액세스 중지됨
- 클러스터 보안 비밀 암호화 중지됨
- 클러스터 보안 노드 중지됨
- 컴퓨팅 프로젝트 차원의 SSH 키 허용됨
- 컴퓨팅 보안 부팅 중지됨
- 컴퓨팅 직렬 포트 사용 설정됨
- COS 사용되지 않음
- 기본 서비스 계정 사용됨
- 전체 API 액세스
- 마스터 승인 네트워크 중지됨
- MFA 적용되지 않음
- 네트워크 정책 사용 중지됨
- 노드 풀 보안 부팅 중지됨
- 개방형 Cassandra 포트
- 개방형 CiscoSecure WebSM 포트
- 개방형 디렉터리 서비스 포트
- 개방형 DNS 포트
- 개방형 Elasticsearch 포트
- 개방형 방화벽
- 개방형 FTP 포트
- 개방형 HTTP 포트
- 개방형 LDAP 포트
- 개방형 Memcached 포트
- 개방형 MongoDB 포트
- 개방형 MySQL 포트
- 개방형 NetBIOS 포트
- 개방형 OracleDB 포트
- 개방형 POP3 포트
- 개방형 PostgreSQL 포트
- 개방형 RDP 포트
- 개방형 Redis 포트
- 개방형 SMTP 포트
- 개방형 SSH 포트
- 개방형 Telnet 포트
- 권한이 과도하게 부여된 계정
- 권한이 과도하게 부여된 범위
- 권한이 과도하게 부여된 서비스 계정 사용자
- 기본 역할 사용됨
- 비공개 클러스터 사용 중지됨
- 공개 버킷 ACL
- 공개 IP 주소
- 공개 로그 버킷
- 출시 채널 중지됨
- 서비스 계정 키 순환되지 않음
- 사용자 관리 서비스 계정 키
- 워크로드 아이덴티티 중지됨
VM Manager 발견 항목
VM Manager에서 실행하는 OS Vulnerability
발견 항목 카테고리는 공격 노출 점수를 지원합니다.
Pub/Sub 알림 지원
공격 노출 점수 변경사항을 Pub/Sub에 대한 알림 트리거로 사용할 수 없습니다.
또한 발견 항목이 생성될 때 Pub/Sub로 전송된 발견 항목은 점수를 계산하기 전에 전송되기 때문에 공격 노출 점수가 포함되지 않습니다.
멀티 클라우드 지원
Security Command Center는 다음 클라우드 서비스 제공업체에 대해 공격 노출 점수 및 공격 경로 시각화를 제공할 수 있습니다.
공격 경로 시뮬레이션이 다른 클라우드 서비스 제공업체 플랫폼에 대해 지원하는 취약점 및 구성 오류 감지기는 Security Command Center 감지 서비스가 플랫폼에서 지원하는 감지 기능에 따라 달라집니다.
감지기 지원은 각 클라우드 서비스 제공업체에 따라 다릅니다.
AWS 지원
Security Command Center는 AWS의 리소스에 대해 공격 노출 점수 및 공격 경로 시각화를 계산할 수 있습니다.
공격 경로 시뮬레이션으로 지원되는 AWS 서비스
시뮬레이션에는 다음과 같은 AWS 서비스가 포함될 수 있습니다.
- Identity and Access Management(IAM)
- 보안 토큰 서비스(STS)
- Simple Storage Service(S3)
- 웹 애플리케이션 방화벽(WAFv2)
- Elastic Compute Cloud(EC2)
- Elastic Load Balancing(ELB 및 ELBv2)
- 관계형 데이터베이스 서비스(RDS)
- 키 관리 서비스(KMS)
- Elastic Container Registry(ECR)
- Elastic Container Service(ECS)
- ApiGateway 및 ApiGatewayv2
- 조직(계정 관리 서비스)
- CloudFront
- AutoScaling
- Lambda
- DynamoDB
중요 리소스 세트에서 지원되는 AWS 리소스 유형
중요 리소스 세트에는 다음 유형의 AWS 리소스만 추가할 수 있습니다.
- DynamoDB 테이블
- EC2 인스턴스
- Lambda 함수
- RDS DBCluster
- RDS DBInstance
- S3 버킷
데이터 민감도 분류에서 지원되는 AWS 리소스 유형
공격 경로 시뮬레이션은 다음 AWS 데이터 리소스 유형에 대해서만 Sensitive Data Protection 탐색의 데이터 민감도 분류를 기준으로 우선순위 값을 자동으로 설정할 수 있습니다.
- Amazon S3 버킷
AWS용 Security Health Analytics의 발견 항목 지원
공격 경로 시뮬레이션은 다음 Security Health Analytics 발견 항목 카테고리에 대해 점수 및 공격 경로 시각화를 제공합니다.
- 순환 주기가 90일 미만인 액세스 키
- 45일 넘게 사용되지 않은 사용자 인증 정보가 사용 중지됨
- 기본 보안 그룹 VPC가 모든 트래픽을 제한함
- EC2 인스턴스에 공개 IP 없음
- IAM 비밀번호 정책
- IAM 비밀번호 정책이 비밀번호 재사용 방지
- IAM 비밀번호 정책이 최소 14자(영문 기준) 이상 요구
- IAM 사용자가 사용되지 않은 사용자 인증 정보 확인
- IAM 사용자가 권한 그룹 수신
- KMS CMK에 삭제가 예약되지 않음
- MFA 삭제가 사용 설정된 S3 버킷
- 루트 사용자 계정에 MFA가 사용 설정됨
- 모든 IAM 사용자 콘솔에 다중 인증(MFA)이 사용 설정됨
- 루트 사용자 계정 액세스 키가 없음
- 보안 그룹이 인그레스 0 원격 서버 관리를 허용하지 않음
- 보안 그룹이 인그레스 0 0 0 0 원격 서버 관리를 허용하지 않음
- 단일 IAM 사용자가 활성 액세스 키 1개를 사용할 수 있음
- RDS 인스턴스에 공개 액세스 권한이 부여됨
- 공용 포트가 제한됨
- SSH가 제한됨
- 고객이 만든 CMK에 순환이 사용 설정됨
- 고객이 만든 대칭 CMK에 순환이 사용 설정됨
- S3 버킷에 공개 액세스 차단 버킷 설정이 구성됨
- S3 버킷 정책으로 HTTP 요청 거부가 설정됨
- S3 기본 암호화 KMS
- VPC 기본 보안 그룹 닫힘
EC2 취약점 평가 발견 항목
EC2 취약점 평가에서 실행하는 Software vulnerability
발견 항목 카테고리는 공격 노출 점수를 지원합니다.
사용자 인터페이스 지원
Google Cloud 콘솔, Security Operations 콘솔, Security Command Center API에서 공격 노출 점수로 작업을 수행할 수 있습니다.
보안 운영 콘솔에서만 유해한 조합 케이스에 대한 공격 노출 점수와 공격 경로 작업을 수행할 수 있습니다.
리소스 값 구성은 Google Cloud 콘솔의 Security Command Center 설정 페이지에 있는 공격 경로 시뮬레이션 탭에서만 만들 수 있습니다.