Security Command Center를 사용하면 일반적인 보안 표준 및 벤치마크(통칭하여 보안 표준)를 통해 Google Cloud에서 리소스의 규정 준수를 평가, 개선, 보고할 수 있습니다.
규정 준수 평가
Google Cloud 콘솔의 규정 준수 페이지에서 클라우드 환경이 특정 보안 표준을 준수하는 정도를 한눈에 확인할 수 있습니다.
규정 준수 페이지에는 Security Command Center에서 지원하는 모든 보안 표준과 각 표준의 규정 준수 정도가 표시됩니다.
규정 준수도는 규정을 준수하는 특정 표준의 권장 사항 또는 제어 수로 측정되며, Security Command Center에서 표준을 평가한 총 제어 수의 백분율로 표시됩니다. Security Command Center에서 특정 제어의 취약점이나 잘못된 구성(통칭하여 취약점)을 찾지 못하면 제어는 통과 제어입니다.
Security Health Analytics 및 Web Security Scanner와 같은 Security Command Center 취약점 감지 서비스는 서비스의 감지기와 표준 제어 간의 최선의 매핑을 기반으로 제어를 모니터링합니다.
특정 표준의 규정 준수 평가
각 표준의 규정 준수 세부정보 페이지를 열어 Security Command Center에서 표준에 대해 확인하는 제어, 각 제어에서 감지된 위반 수, 표준에 대한 규정 준수 보고서를 내보내는 옵션에 대한 추가 세부정보를 확인할 수 있습니다.
열 헤더를 클릭하면 제어 수로 목록을 정렬하는 제어를 포함한 규칙 목록을 정렬할 수 있습니다. 규칙이 여러 제어에 해당하는 경우 제어 번호를 기준으로 정렬하면 가장 낮은 제어 번호의 규칙이 정렬됩니다.
특정 규칙 또는 제어에 해당하는 활성 Security Command Center 발견 항목을 보려면 규칙 열에서 규칙 이름을 클릭합니다. 발견 항목 페이지가 열리고 규칙에 해당하는 발견 항목 카테고리로 필터링된 발견 항목이 표시됩니다.
Security Command Center에서 규정 준수 관리를 지원하는 방법에 대한 개요는 규정 준수 관리 및 모니터링을 참조하세요.
발견 항목의 규정 준수 위반 검토
각 제어의 개별 발견 항목을 보려면 규정 준수 세부정보 페이지에서 규칙 이름을 클릭합니다. 발견 항목 페이지가 열리고 제어의 발견 항목이 표시됩니다.
문제 해결 방법에 대한 권장사항을 포함하여 특정 발견 항목에 대한 세부정보를 보려면 발견 항목 페이지에서 카테고리 열의 이름을 클릭합니다.
발견 항목 해결에 대한 자세한 내용은 Security Health Analytics 발견 항목 해결 및 Web Security Scanner 발견 항목 해결을 참조하세요.
규정 준수 보고
특정 규정 준수 표준의 규정 준수 세부정보 페이지에서 해당 표준의 규정 준수 보고서를 CSV 파일로 내보낼 수 있습니다.
보고서에는 규정 준수 세부정보 페이지에 표시된 정보가 포함되며 각 표준 제어와 해당 Security Command Center 규칙 및 발견 항목 카테고리 간의 명확한 링크를 제공합니다. 각 발견 항목 카테고리의 심각도도 포함됩니다.
이 보고서는 지정한 날짜의 특정 표준에 대한 클라우드 환경의 규정 준수도를 보여주는 특정 시점의 스냅샷입니다.
Security Command Center 규정 준수 보고서는 규정 준수 감사를 대신하지 않지만 규정 준수 상태를 유지하고 위반 사항을 조기에 발견하는 데 도움이 됩니다.
규정 준수 보고서 범위 설정
Security Command Center는 규정 준수 보고서의 범위를 Google Cloud 콘솔 페이지 상단에서 선택한 프로젝트, 폴더 또는 조직으로 자동으로 지정합니다. 예를 들어 Google Cloud 콘솔 뷰가 프로젝트로 설정된 경우 규정 준수 보고서에는 해당 프로젝트의 발견 항목만 포함됩니다.
Security Command Center가 조직 수준에서 활성화되고 뷰가 조직으로 설정된 경우 규정 준수 보고서에는 포함된 모든 프로젝트를 포함한 전체 조직의 발견 항목이 포함됩니다. Security Command Center가 프로젝트 수준에서 활성화된 경우 조직 또는 폴더를 선택하면 규정 준수 페이지가 표시되지 않습니다.
규정 준수 보고서 내보내기
Google Cloud 콘솔에서 규정 준수 보고서를 내보내려면 Security Center 발견 항목 뷰어(roles/securitycenter.findingsViewer
) 역할이 필요합니다.
특정 규정 준수 표준에 대해 위반 발견 항목을 집계하는 CSV 보고서를 내보내려면 다음 단계를 수행합니다.
Google Cloud 콘솔의 규정 준수 페이지로 이동합니다.
Google Cloud 콘솔에서 프로젝트 선택기를 사용하여 규정 준수 보고서를 확인해야 하는 프로젝트, 폴더 또는 조직을 선택합니다.
규정 준수 페이지에서 보고서가 필요한 표준을 찾습니다.
표준 이름 옆의 세부정보 보기를 클릭합니다. 규정 준수 세부정보 페이지가 열립니다.
규정 준수 세부정보 페이지에서 보고서 내보내기를 클릭합니다. 규정 준수 보고서 내보내기 페이지가 열립니다.
규정 준수 보고서 내보내기 페이지에서 보고서가 필요한 날짜를 선택합니다. 보고서는 해당 날짜의 규정 준수에 대한 스냅샷입니다.
내보내기를 클릭합니다. 보고서가 CSV 파일로 워크스테이션에 다운로드됩니다.
감지기 및 발견 항목이 규정 준수 제어에 매핑되는 방법
Security Health Analytics 및 Web Security Scanner와 같은 Security Command Center 감지 서비스는 감지 모듈(감지기)을 사용하여 클라우드 환경의 취약점 및 잘못된 구성을 확인합니다.
취약점이 발견되면 감지기가 발견 항목을 생성합니다. 발견 항목은 취약점 또는 기타 보안 문제에 대한 기록으로 다음과 같은 정보가 포함됩니다.
- 취약점 설명
- 제어가 규정을 준수하도록 하는 취약점 해결을 위한 권장사항
- 발견 항목에 해당하는 제어의 숫자 ID
- 취약점 해결을 위한 권장 단계
표준의 모든 제어가 Security Command Center 발견 항목에 매핑될 수 있는 것은 아닙니다. 일반적으로 특정 제어를 자동화할 수 없기 때문이지만 다른 이유로 인해서도 발생할 수 있습니다. 따라서 Security Command Center에서 확인하는 총 제어 수는 일반적으로 표준에서 정의하는 총 제어 수보다 적습니다.
CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.
Security Health Analytics 및 Web Security Scanner 발견 항목 및 지원되는 감지기와 규정 준수 표준 간의 매핑에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.
지원되는 표준 및 벤치마크
Security Command Center는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.
Security Command Center는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 항목 목록이 표시됩니다.
CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Command Center 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.
Security Command Center는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.
보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.
규정 준수 관리에 대한 자세한 내용은 보안 표준 준수 평가 및 보고를 참조하세요.
Google Cloud에서 지원되는 보안 표준
Security Command Center는 Google Cloud의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.
- Center for Information Security(CIS) 제어 8.0
- CIS Google Cloud Computing Foundations 벤치마크 v2.0.0, v1.3.0, v1.2.0, v1.1.0, v1.0.0
- CIS Kubernetes 벤치마크 v1.5.1
- Cloud Controls Matrix(CCM) 4
- 건강 보험 이동성 및 책임법(HIPAA)
- 국제표준화기구(ISO) 27001, 2022, 2013
- 미국 국립 표준 기술 연구소(NIST) 800-53 R5 및 R4
- NIST CSF 1.0
- Open Web Application Security Project(OWASP) 상위 10개, 2021년 및 2017년
- 결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 및 3.2.1
- 시스템 및 조직 제어(SOC) 2 2017 Trusted Services Criteria(TSC)
AWS에서 지원되는 보안 표준
Security Command Center는 Amazon Web Services(AWS)의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.
- CIS Amazon Web Services Foundations 2.0.0
- CIS Controls 8.0
- CCM 4
- HIPAA
- ISO 27001 2022
- NIST 800-53 R5
- NIST CSF 1.0
- PCI DSS 4.0 및 3.2.1
- SOC 2 2017 TSC