보안 표준 규정 준수 평가 및 보고

Security Command Center는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.

Security Command Center는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 항목 목록이 표시됩니다.

CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.

Security Command Center는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.

보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.

지원되는 보안 표준

Google Cloud

Security Command Center는 Google Cloud의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

• Center for Information Security(CIS) 제어 8.0
• CIS Google Cloud Computing Foundations 벤치마크 v2.0.0, v1.3.0, v1.2.0, v1.1.0, v1.0.0
• CIS Kubernetes 벤치마크 v1.5.1
• Cloud Controls Matrix(CCM) 4
• 건강 보험 이동성 및 책임법(HIPAA)
• 국제표준화기구(ISO) 27001, 2022, 2013
• 미국 국립 표준 기술 연구소(NIST) 800-53 R5 및 R4
• NIST CSF 1.0
• Open Web Application Security Project(OWASP) 상위 10개, 2021년 및 2017년
• 결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 및 3.2.1
• 시스템 및 조직 제어(SOC) 2 2017 Trusted Services Criteria(TSC)

AWS

Security Command Center는 Amazon Web Services(AWS)의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

• CIS Amazon Web Services Foundations 2.0.0
• CIS Controls 8.0
• CCM 4
• HIPAA
• ISO 27001 2022
• NIST 800-53 R5
• NIST CSF 1.0
• PCI DSS 4.0 및 3.2.1
• SOC 2 2017 TSC

감지기 및 발견 항목이 규정 준수 제어에 매핑되는 방법

Security Health Analytics 및 Web Security Scanner와 같은 Security Command Center 감지 서비스는 감지 모듈(감지기)을 사용하여 클라우드 환경의 취약점 및 잘못된 구성을 확인합니다.

취약점이 발견되면 감지기가 발견 항목을 생성합니다. 발견 항목은 취약점 또는 기타 보안 문제에 대한 기록으로 다음과 같은 정보가 포함됩니다.

• 취약점에 대한 설명

• 제어가 규정을 준수하도록 하는 취약점 해결을 위한 권장사항

• 발견 항목에 해당하는 제어의 숫자 ID

• 취약점 해결을 위한 권장 단계

표준의 모든 제어가 Security Command Center 발견 항목에 매핑될 수 있는 것은 아닙니다. 일반적으로 특정 제어를 자동화할 수 없기 때문이지만 다른 이유로 인해서도 발생할 수 있습니다. 따라서 Security Command Center에서 확인하는 총 제어 수는 일반적으로 표준에서 정의하는 총 제어 수보다 적습니다.

CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.

Security Health Analytics 및 Web Security Scanner 발견 항목 및 지원되는 감지기와 규정 준수 표준 간의 매핑에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

규정 준수 평가

Google Cloud 콘솔의 규정 준수 페이지에서 클라우드 환경이 특정 보안 표준을 준수하는 정도를 한눈에 확인할 수 있습니다. 각 보안 표준에는 선택한 범위(조직, 폴더 또는 프로젝트 수준)에서 통과 등급을 받은 구성요소 컨트롤의 비율이 표시됩니다.

Security Command Center가 활성화된 위치에 따라 표시되는 내용이 달라집니다.

• 프로젝트 수준: 활성화된 프로젝트의 규정 준수 통계만 볼 수 있습니다. Google Cloud 콘솔에서 프로젝트가 속한 폴더 또는 조직으로 전환하면 규정 준수 페이지가 표시되지 않습니다.

• 조직 수준: Google Cloud 콘솔에서 활성화된 조직으로 전환하면 규정 준수 페이지에 폴더 및 프로젝트를 포함한 전체 조직의 규정 준수 통계가 표시됩니다.

  조직 내 개별 폴더 및 프로젝트의 규정 준수 통계를 보려면 Google Cloud 콘솔에서 해당 리소스 수준으로 전환하세요.

규정 준수 보고서는 매일 생성됩니다. 보고서는 24시간이 지난 후에는 오래된 정보가 될 수 있으며, 생성되지 않은 경우 보고서가 누락될 수 있습니다.

특정 표준에 대한 규정 준수 평가

1. Google Cloud 콘솔의 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 규정 준수를 확인하려는 프로젝트, 폴더 또는 조직을 선택합니다.

3. 표준 카드 중 하나에서 세부정보 보기를 클릭하여 규정 준수 세부정보 페이지를 엽니다.

이 페이지에서 다음을 수행할 수 있습니다.

• 특정 날짜에 선택한 표준의 규정 준수 여부를 확인합니다.

• 세부정보를 확인하는 규정 준수 표준을 전환합니다.

• 규정 준수 세부정보 보고서를 CSV 파일로 내보냅니다.

• 동향 차트를 사용하여 시간 경과에 따른 규정 준수 진행 상황을 추적합니다.

• 보안 표준 제어를 펼쳐 구성 규칙과 규칙 심각도를 확인합니다.

• 규칙을 클릭하여 정책을 준수하지 않는 리소스의 발견 항목을 확인하고 적절한 경우 문제를 해결합니다. 발견 항목 해결에 대한 자세한 내용은 Security Health Analytics 발견 항목 해결 및 Web Security Scanner 발견 항목 해결을 참조하세요.