이 페이지에서는 Google Cloud 콘솔에서 ID 및 액세스와 관련된 보안 문제의 발견 항목(ID 및 액세스 발견 항목)을 사용하여 잠재적인 구성 오류를 조사하고 식별하는 방법을 설명합니다.
Enterprise 등급에서 제공되는 클라우드 인프라 사용 권한 관리(CIEM) 기능의 일부인 Security Command Center는 ID 및 액세스 발견 항목을 생성하고 Security Command Center 위험 개요 페이지에서 해당 발견 항목에 쉽게 액세스할 수 있게 해줍니다. 이러한 발견 항목은 ID 및 액세스 발견 항목 창에서 선별되고 분류됩니다.
시작하기 전에
계속하기 전에 다음 작업을 완료합니다.
- Security Command Center의 CIEM 기능에 대해 알아봅니다.
- CIEM 권한을 설정합니다.
- AWS용 CIEM 감지 서비스를 사용 설정합니다.
ID 및 액세스 발견 항목 요약 보기
Security Command Center 위험 개요 페이지의 ID 및 액세스 발견 항목 창에서는 Google Cloud 및 Amazon Web Services(AWS)와 같은 클라우드 환경의 주요 ID 및 액세스 발견 항목을 간략하게 보여줍니다. 이 창은 3개의 열에 발견 항목을 정리하는 테이블로 구성됩니다.
- 심각도: 발견 항목 심각도는 발견 항목 카테고리를 해결하는 것이 얼마나 중요한지 보여주는 일반 지표이며
Critical,High,Medium또는Low로 분류될 수 있습니다. - 발견 항목 카테고리: 발견된 ID 및 액세스 구성 오류 유형입니다.
- 총 발견 항목: 지정된 심각도 분류의 카테고리에서 발견된 총 ID 및 액세스 구성 오류 수입니다.
창에서 발견 항목을 탐색하려면 각 헤더를 클릭하여 심각도, 발견 항목 카테고리 또는 총 발견 항목 수별로 발견 항목을 정렬하면 됩니다. 또한 창에 표시되는 행 수(최대 200개)를 수정하고 테이블 하단의 탐색 화살표를 사용하여 페이지 간에 이동할 수도 있습니다.
Security Command Center 발견 항목 페이지에서 카테고리 제목 또는 해당 총 발견 항목 수를 클릭하여 특정 발견 항목을 자세히 조사할 수 있습니다. 자세한 내용은 ID 및 액세스 발견 항목 자세히 검사하기를 참조하세요.
발견 항목 테이블 아래의 다음 구성요소는 ID 및 액세스 발견 항목에 대한 추가 컨텍스트를 제공하는 데 도움이 됩니다.
- 소스 라벨은 Security Command Center가 발견 항목을 생성하기 위해 데이터를 수집하는 소스를 나타냅니다. ID 및 액세스 발견 항목은 Google Cloud 및 AWS 환경 모두에 적용될 수 있습니다. Security Command Center에서는 AWS 인스턴스를 연결하고 CIEM에 대한 AWS 로그 수집을 구성한 경우에만 AWS의 ID 및 액세스 발견 항목을 표시합니다.
- 모든 ID 및 액세스 발견 항목 보기 링크를 사용하면 Security Command Center 발견 항목 페이지로 이동하여 카테고리 또는 심각도에 상관없이 모든 감지된 ID 및 액세스 구성 오류를 볼 수 있습니다.
- 정책 분석 도구로 액세스 권한 검토 링크를 사용하면 IAM 허용 정책에 따라 어떤 리소스에 누가 액세스할 수 있는지 확인할 수 있는 정책 분석 도구에 빠르게 액세스할 수 있습니다.
발견 항목 페이지에서 ID 및 액세스 발견 항목 보기
ID 및 액세스 발견 항목을 자세히 검사할 수 있도록 ID 및 액세스 발견 항목 창에서는 Security Command Center 발견 항목 페이지로 연결되는 여러 진입점을 제공합니다.
- 발견 항목 카테고리 아래의 발견 항목 이름을 클릭하거나 총 발견 항목 아래의 총 발견 항목 수를 클릭하여 해당 특정 발견 항목 카테고리 및 심각도 등급을 자동으로 쿼리합니다.
- 모든 ID 및 액세스 발견 항목 보기를 클릭하여 특정한 순서 없이 모든 발견 항목을 쿼리합니다.
Security Command Center는 ID 및 액세스 구성 오류와 관련된 발견 항목 쿼리를 만드는 특정한 빠른 필터를 미리 선택합니다. 빠른 필터 옵션은 ID 및 액세스 발견 항목을 하나 또는 모두 쿼리하는지 여부에 따라 변경됩니다. 이러한 쿼리는 필요에 따라 수정할 수 있습니다. CIEM 용도와 관련된 특정 빠른 필터 카테고리 및 옵션은 다음과 같습니다.
- 카테고리: 자세히 알아보려는 특정 발견 항목 카테고리의 결과를 쿼리하는 필터입니다. 이 카테고리에 나열된 빠른 필터 옵션은 ID 및 액세스 발견 항목을 하나 또는 모두 쿼리하는지 여부에 따라 변경됩니다.
- 프로젝트 ID: 특정 프로젝트와 관련된 발견 항목의 결과를 쿼리하는 필터입니다.
- 리소스 유형: 특정 리소스 유형과 관련된 발견 항목의 결과를 쿼리하도록 필터링합니다.
- 심각도: 특정 심각도의 발견 항목에 대한 결과를 쿼리하도록 필터링합니다.
- 소스 표시 이름: 구성 오류를 감지한 특정 서비스에서 감지된 발견 항목의 결과를 쿼리하도록 필터링합니다.
- 클라우드 제공업체: 특정 클라우드 플랫폼에서 가져온 발견 항목의 결과를 쿼리하도록 필터링합니다.
발견 항목 쿼리 결과 패널은 발견 항목에 대한 세부정보를 제공하는 여러 열로 구성됩니다. 이 중에서 CIEM 용도와 관련된 열은 다음과 같습니다.
- 심각도: 해결 우선순위를 정하는 데 도움이 되도록 지정된 발견 항목의 심각도를 표시합니다.
- 리소스 표시 이름: 발견 항목이 감지된 리소스를 표시합니다.
- 소스 표시 이름: 발견 항목을 감지한 서비스를 표시합니다. ID 관련 발견 항목을 생성하는 소스에는 CIEM, IAM 추천자, Security Health Analytics가 포함됩니다.
- 클라우드 제공업체: Google Cloud 및 AWS와 같이 발견 항목이 감지된 클라우드 환경을 표시합니다.
- 문제가 되는 액세스 권한: 부적절한 역할이 부여되었을 가능성이 있는 주 구성원을 검토할 수 있는 링크를 표시합니다.
- 케이스 ID: 발견 항목과 관련된 케이스의 ID 번호를 표시합니다.
발견 항목 작업에 대한 자세한 내용은 Google Cloud 콘솔에서 발견 항목 작업을 참조하세요.
다양한 클라우드 플랫폼의 ID 및 액세스 발견 항목 조사
Security Command Center를 사용하면 Security Command Center 발견 항목 페이지에서 AWS 및 Google Cloud 환경의 ID 및 액세스 구성 오류 발견 항목을 조사할 수 있습니다.
CIEM, IAM 추천자, Security Health Analytics와 같은 여러 다양한 Security Command Center 감지 서비스에서 클라우드 플랫폼의 잠재적인 ID 및 액세스 보안 문제를 감지하는 CIEM 관련 발견 항목 카테고리를 생성합니다.
Security Command Center CIEM 감지 서비스는 AWS 환경의 특정 발견 항목을 생성하고 IAM 추천자 및 Security Health Analytics 감지 서비스는 Google Cloud 환경의 특정 발견 항목을 생성합니다.
특정 서비스에서 감지된 발견 항목만 보려면 소스 표시 이름 빠른 필터 카테고리에서 해당 서비스를 선택합니다. 예를 들어 CIEM 감지 서비스에서 감지된 발견 항목만 보려면 CIEM을 선택합니다.
다음 표에는 Security Command Center의 CIEM 기능의 일부로 간주되는 모든 발견 항목이 설명되어 있습니다.
| Cloud Platform | 발견 항목 카테고리 | 설명 | 소스 |
|---|---|---|---|
| AWS | Assumed identity has excessive permissions(ASSUMED_IDENTITY_HAS_EXCESSIVE_PERMISSIONS) | 가정된 IAM 역할로서 AWS 환경에서 매우 허용적인 정책으로 감지됩니다. 자세한 내용은 CIEM 발견 항목을 참조하세요. | CIEM |
| AWS | Group has excessive permissions(GROUP_HAS_EXCESSIVE_PERMISSIONS) | AWS 환경에서 매우 허용적인 정책으로 감지된 IAM 그룹입니다. 자세한 내용은 CIEM 발견 항목을 참조하세요. | CIEM |
| AWS | User has excessive permissions(USER_HAS_EXCESSIVE_PERMISSIONS) | AWS 환경에서 매우 허용적인 정책으로 감지된 IAM 사용자입니다. 자세한 내용은 CIEM 발견 항목을 참조하세요. | CIEM |
| Google Cloud | MFA not enforced(MFA_NOT_ENFORCED) | 2단계 인증을 사용하지 않는 사용자가 있습니다. 자세한 내용은 다중 인증(MFA) 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Custom role not monitored(CUSTOM_ROLE_NOT_MONITORED) | 로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다. 자세한 내용은 Monitoring 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | KMS role separation(KMS_ROLE_SEPARATION) | 업무 분리가 시행되지 않으며 CryptoKey 암호화/복호화, 암호화, 복호화와 같은 Cloud Key Management Service 역할을 동시에 갖는 사용자가 존재합니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Primitive roles used(PRIMITIVE_ROLES_USED) | 사용자에게 소유자(roles/owner), 편집자(roles/editor) 또는 뷰어(roles/viewer) 중 하나의 기본 역할이 있습니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Redis role used on org(REDIS_ROLE_USED_ON_ORG) | Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Service account role separation(SERVICE_ACCOUNT_ROLE_SEPARATION) | 사용자에게 서비스 계정 관리자 및 서비스 계정 사용자 역할이 할당되었습니다. 이는 '업무 분장' 원칙을 위반하는 것입니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Non org IAM member(NON_ORG_IAM_MEMBER) | 조직 사용자 인증 정보를 사용하지 않는 사용자가 있습니다. CIS Google Cloud Foundations 1.0에 따라 @gmail.com 이메일 주소가 있는 ID만 이 감지기를 트리거합니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Open group IAM member(OPEN_GROUP_IAM_MEMBER) | 승인 없이 결합할 수 있는 Google 그룹스 계정이 IAM 허용 정책 주 구성원으로 사용됩니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Unused IAM role(UNUSED_IAM_ROLE) | IAM 추천자가 지난 90일 동안 사용되지 않은 IAM 역할이 있는 사용자 계정을 감지했습니다. 자세한 내용은 IAM 추천자 발견 항목을 참조하세요. | IAM 추천자 |
| Google Cloud | IAM role has excessive permissions(IAM_ROLE_HAS_EXCESSIVE_PERMISSIONS) | IAM 추천자가 사용자 계정에 과도한 권한을 부여하는 하나 이상의 IAM 역할이 있는 서비스 계정을 감지했습니다. 자세한 내용은 IAM 추천자 발견 항목을 참조하세요. | IAM 추천자 |
| Google Cloud | Service agent role replaced with basic
role(SERVICE_AGENT_ROLE_REPLACED_WITH_BASIC_ROLE) |
IAM 추천자에서 서비스 에이전트에 부여된 원래 기본 IAM 역할이 기본 IAM 역할(소유자, 편집자 또는 뷰어) 중 하나로 대체되었음을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여해서는 안 됩니다. 자세한 내용은 IAM 추천자 발견 항목을 참조하세요. | IAM 추천자 |
| Google Cloud | Service agent granted basic role(SERVICE_AGENT_GRANTED_BASIC_ROLE) | IAM 추천자가 서비스 에이전트에 기본 IAM 역할(소유자, 편집자 또는 뷰어) 중 하나가 부여된 IAM을 감지했습니다. 기본 역할은 과도하게 권한이 부여된 기존 역할이며 서비스 에이전트에 부여해서는 안 됩니다. 자세한 내용은 IAM 추천자 발견 항목을 참조하세요. | IAM 추천자 |
| Google Cloud | Admin service account(ADMIN_SERVICE_ACCOUNT) | 서비스 계정에 관리자, 소유자 또는 편집자 권한이 있습니다. 이러한 역할은 사용자가 만든 서비스 계정에 할당해서는 안 됩니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Default service account used(DEFAULT_SERVICE_ACCOUNT_USED) | 인스턴스가 기본 서비스 계정을 사용하도록 구성되었습니다. 자세한 내용은 Compute 인스턴스 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Over privileged account(OVER_PRIVILEGED_ACCOUNT) | 서비스 계정의 클러스터에 지나치게 광범위한 프로젝트 액세스 권한이 있습니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Over privileged service account
user(OVER_PRIVILEGED_SERVICE_ACCOUNT_USER) | 사용자에게 특정 서비스 계정 대신 프로젝트 수준의 서비스 계정 사용자 또는 서비스 계정 토큰 생성자 역할이 있습니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Service account key not rotated(SERVICE_ACCOUNT_KEY_NOT_ROTATED) | 서비스 계정 키가 90일 이상 순환되지 않았습니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Over privileged scopes(OVER_PRIVILEGED_SCOPES) | 노드 서비스 계정에 광범위한 액세스 범위가 있습니다. 자세한 내용은 컨테이너 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | KMS public key(KMS_PUBLIC_KEY) | Cloud KMS 암호화 키에 공개적으로 액세스할 수 있습니다. 자세한 내용은 KMS 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Public bucket ACL(PUBLIC_BUCKET_ACL) | Cloud Storage 버킷에 공개적으로 액세스할 수 있습니다. 자세한 내용은 스토리지 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Public log bucket(PUBLIC_LOG_BUCKET) | 로그 싱크로 사용되는 스토리지 버킷에 공개적으로 액세스할 수 있습니다. 자세한 내용은 스토리지 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | User managed service account key(USER_MANAGED_SERVICE_ACCOUNT_KEY) | 사용자가 서비스 계정 키를 관리합니다. 자세한 내용은 IAM 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Too many KMS users(TOO_MANY_KMS_USERS) | 암호화 키 사용자가 4명 이상입니다. 자세한 내용은 KMS 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | KMS project has owner(KMS_PROJECT_HAS_OWNER) | 사용자에게 암호화 키가 있는 프로젝트에 대한 소유자 권한이 있습니다. 자세한 내용은 KMS 취약점 발견 항목을 참조하세요. | Security Health Analytics |
| Google Cloud | Owner not monitored(OWNER_NOT_MONITORED) | 로그 측정항목 및 알림이 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않았습니다. 자세한 내용은 Monitoring 취약점 발견 항목을 참조하세요. | Security Health Analytics |
클라우드 플랫폼별 ID 및 액세스 발견 항목 필터링
발견 항목 쿼리 결과 창에서 클라우드 제공업체, 리소스 표시 이름 또는 리소스 유형 열의 콘텐츠를 조사하여 특정 클라우드 플랫폼과 관련된 발견 항목을 파악할 수 있습니다.
발견 항목 쿼리 결과에는 기본적으로 Google Cloud 및 AWS 환경 모두에 대한 ID 및 액세스 발견 항목이 표시됩니다. 특정 클라우드 플랫폼의 발견 항목만 표시하도록 기본 발견 항목 쿼리 결과를 수정하려면 클라우드 제공업체 빠른 필터 카테고리에서 Amazon Web Services 또는 Google Cloud Platform을 선택합니다.
ID 및 액세스 발견 항목 자세히 검사하기
ID 및 액세스 발견 항목에 대해 자세히 알아보려면 발견 항목 쿼리 결과 패널의 카테고리 열에서 발견 항목 이름을 클릭하여 발견항목의 세부정보 뷰를 엽니다. 발견 항목 세부정보 뷰에 대한 자세한 내용은 발견 항목 세부정보 보기를 참조하세요.
세부정보 뷰의 요약 탭에 있는 다음 섹션을 참고하면 ID 및 액세스 발견 항목을 조사하는 데 유용합니다.
문제가 되는 액세스 권한
발견 항목의 세부정보 창에 있는 요약 탭에서 문제가 되는 액세스 권한 행을 참고하면 Google Cloud 및 서드 파티 주 구성원과 해당 주 구성원의 리소스 액세스를 빠르게 검사할 수 있습니다. 이 정보는 IAM 추천자가 Google Cloud 리소스에서 높은 권한이 있고 사용되지 않는 기본 역할을 가진 주 구성원을 감지할 때 발견 항목에 대해서만 표시됩니다.
문제가 되는 액세스 권한 검토를 클릭하여 다음 정보가 포함된 문제가 되는 액세스 권한 검토 창을 엽니다.
- 주 구성원의 이름입니다. 이 열에 표시된 주 구성원에는 Google Cloud 사용자 계정(
user:example-user@example.com), 그룹, 다른 ID 공급업체의 ID(//iam.googleapis.com/locations/global/workforcePools/example-pool/subject/example-user@example.com), 서비스 계정이 섞여 있을 수 있습니다. - 주 구성원에게 부여된 역할의 이름입니다.
- 문제가 되는 액세스 권한 문제를 해결하기 위해 취할 수 있는 추천 조치입니다.
케이스 정보
발견 항목 세부정보 페이지의 요약 탭에서 특정 발견 항목에 해당하는 케이스나 티켓이 있으면 케이스 정보 섹션이 표시됩니다. 케이스 및 티켓은 심각도가 Critical 또는 High로 분류된 발견 항목에 대해 자동으로 생성됩니다.
케이스 정보 섹션에서는 특정 발견 항목의 해결 작업을 추적하는 방법을 제공합니다. 해당 케이스 및 티켓팅 시스템(Jira 또는 ServiceNow) 티켓에 대한 링크, 담당자, 케이스 상태, 케이스 우선순위 등 해당 케이스에 대한 세부정보를 제공합니다.
발견 항목에 해당하는 케이스에 액세스하려면 케이스 ID 행에서 케이스 ID 번호를 클릭합니다.
발견 항목에 해당하는 Jira 또는 ServiceNow 티켓에 액세스하려면 티켓 ID 행에서 티켓 ID 번호를 클릭합니다.
티켓팅 시스템을 Security Command Center Enterprise와 연결하려면 티켓팅 시스템과 Security Command Center Enterprise 통합을 참조하세요.
해당 케이스 검토에 대한 자세한 내용은 ID 및 액세스 발견 항목 케이스 검토를 참조하세요.
다음 단계
발견 항목 세부정보 페이지의 요약 탭에 있는 다음 단계 섹션에서 감지된 문제를 즉시 해결하는 방법에 대한 단계별 안내를 제공합니다. 이러한 추천은 표시 중인 특정 발견 항목에 맞게 조정됩니다.
다음 단계
- 발견 항목 작업 방법 알아보기
- ID 및 액세스 발견 항목 케이스 검토 방법 알아보기
- AWS 발견 항목을 생성하는 CIEM 감지기 알아보기