규정 준수 관리자 개요

Google Cloud 의 규정 준수 관리자를 사용하여Google Cloud 인프라, 워크로드, 데이터가 조직의 보안 및 규정 요구사항을 충족하는지 확인할 수 있습니다. 규정 준수 관리자를 사용하면 다음을 수행할 수 있습니다.

• Google Cloud 환경에 규정을 준수하고 안전한 구성을 정의하여 배포
• (미리보기) 환경이 규정 준수 및 보안 요구사항에 얼마나 부합하는지 보여주는 대시보드와 평가 보고서를 확인합니다.
• (미리보기) 증거를 수집하고 보고서를 생성하는 등 클라우드 환경을 감사합니다.

규정 준수 관리자는Google Cloud 조직 내에서 여러 규정 준수 프로그램 및 보안 요구사항에 대한 지원을 평가할 수 있는 소프트웨어 정의 컨트롤을 사용합니다.

규정 준수 관리자 구성요소

다음 표에서는 규정 준수 관리자의 구성요소를 설명합니다.

규칙	규정 준수, 보안 또는 개인 정보 보호 요구사항을 충족할 수 있는 클라우드 컨트롤 내의 기술 항목입니다. 규칙은 조직 정책, IAM 정책, 클라우드 설정, Common Expression Language (CEL) 기반 감지 로직일 수 있습니다.
클라우드 제어	조직의 보안 또는 규정 준수 의도를 정의하는 데 사용할 수 있는 규칙 및 연결된 메타데이터 집합입니다. 규정 준수 관리자에는 기본 제공 클라우드 컨트롤 라이브러리가 포함되어 있으며 사용자가 직접 만들 수도 있습니다. 클라우드 제어의 메타데이터에는 해결 방법 안내와 발견 사항의 심각도가 포함됩니다. 클라우드 제어에는 다음과 같은 모드가 있습니다. 탐지: 규정 준수 관리자가 모니터링 목적으로 정의된 리소스에 클라우드 제어를 적용합니다. 위반사항이 감지되면 알림이 생성됩니다. 예방 조치는 자동으로 수행되지 않습니다. 예방: 규정 준수 관리자는 정의된 리소스에 클라우드 제어를 적용하고 규칙을 적극적으로 시행합니다. 클라우드 제어를 위반하는 리소스 활동은 차단되고 차단된 작업에 대한 알림이 생성됩니다. 일부 클라우드 제어가 작동하려면 추가 정보를 제공해야 합니다. 예를 들어 워크로드와 리소스가 특정 리전에서 실행되는지 확인하는 클라우드 컨트롤을 사용하려면 클라우드 컨트롤을 만들 때 허용된 리전을 지정해야 합니다. 감사: 규정 준수 관리자는 이 클라우드 제어를 사용하여 규정 준수 의무에 부합하는지 환경을 감사합니다. 규정 준수 관리자는 이 제어를 사용하여 규정 준수 감사에 대한 증거를 수집하고 격차를 식별합니다.
규제 제어	업계에서 정의한 보안 또는 규정 준수 요구사항입니다. 클라우드 제어와 규제 제어 간의 관계 매핑은 하나 이상의 클라우드 제어가 규제 제어 요구사항을 충족하는 방식을 정의합니다. 다음 사항을 고려하세요. 단일 클라우드 제어는 여러 규제 제어에 매핑될 수 있습니다. 단일 규제 제어는 여러 클라우드 제어에 매핑될 수 있습니다.
프레임워크	보안 권장사항 또는 FedRAMP, NIST와 같은 업계 정의 표준을 나타내는 클라우드 컨트롤 및 규제 컨트롤의 모음입니다. 프레임워크에는 클라우드 컨트롤과 규제 컨트롤 간의 매핑이 포함될 수 있습니다. 규정 준수 관리자에는 기본 제공 프레임워크 라이브러리가 포함되어 있습니다. 이러한 프레임워크를 맞춤설정하거나 직접 만들 수 있습니다.
프레임워크 배포	프레임워크를 배포할 때 특정 프레임워크와 조직, 폴더 또는 프로젝트 간의 바인딩입니다.

다음 다이어그램은 규정 준수 관리자의 구성요소를 보여줍니다.

기본 제공 프레임워크

규정 준수 관리자는Google Cloud의 기본 제공 프레임워크를 지원합니다. 이러한 프레임워크를 그대로 배포하거나 특정 요구사항에 맞게 맞춤설정할 수 있습니다.

Google Cloud프레임워크

다음 프레임워크를 사용할 수 있습니다.

• AI 보호
• Center for Information Security(CIS) 제어 8.0
• CIS Google Cloud 컴퓨팅 플랫폼 3.0
• CIS Kubernetes 벤치마크 v1.1.7
• Cloud Controls Matrix(CCM) 4
• 데이터 보안 및 개인 정보 보호 기본
• 국제표준화기구(ISO) 27001, 2022
• 미국 국립 표준 기술 연구소 (NIST) 800-53 R5
• NIST 사이버 보안 프레임워크 (CSF) 1.1
• Security Essentials

Security Command Center 서비스 및 기능과 함께 규정 준수 관리자 사용

규정 준수 관리자를 사용 설정한 동일한 조직에서 다른 Security Command Center 서비스 및 기능을 사용 설정하여 사용할 수 있습니다. 다음 사항을 고려하세요.

• 대부분의 Security Health Analytics 감지기는 Compliance Manager에서 클라우드 컨트롤로도 사용할 수 있습니다. 자세한 내용은 Security Health Analytics 감지기와 클라우드 컨트롤 간의 매핑을 참고하세요.

• 대부분의 Security Health Analytics 감지기는 기본적으로 사용 설정되어 있습니다. 규정 준수 관리자를 사용 설정하면 특정 기본 프레임워크가Google Cloud 조직에 자동으로 적용됩니다. 필요에 따라 더 많은 클라우드 제어를 사용하여 프레임워크를 추가로 배포할 수 있습니다.

• Security Health Analytics 감지기를 사용 중지할 수 있습니다. 클라우드 컨트롤을 사용 중지하려면 해당 컨트롤이 포함된 맞춤 프레임워크에서 클라우드 컨트롤을 삭제하거나 배포된 기본 제공 프레임워크를 할당 해제해야 합니다.

• Security Health Analytics와 규정 준수 관리자는 모두 발견 항목을 생성합니다. 하지만 Security Health Analytics는 securitycenter.googleapis.com API를 사용하여 발견 항목을 생성하고 Compliance Manager는 cloudsecuritycompliance.googleapis.com API를 사용합니다. 동일한 리소스에서 Security Health Analytics와 Compliance Manager를 사용 설정하면 중복된 발견 항목이 생성될 수 있습니다. Security Health Analytics 감지기와 Compliance Manager 클라우드 컨트롤이 동일한 구성을 확인하는 경우 (예: 둘 다 특정 서비스에 CMEK가 사용 설정되어 있는지 확인) 중복 발견 항목이 발생합니다. 발견 사항 대시보드에서 중복 발견 사항은 제공업체 ID가 다르게 표시됩니다. 중복된 발견 사항을 방지하려면 다음 중 하나를 완료하세요.

  • 배포한 프레임워크에 환경에 적용되는 모든 Security Health Analytics 감지기에 매핑되는 클라우드 컨트롤이 포함된 경우 프로젝트 또는 폴더에 대해 Security Health Analytics를 사용 중지합니다.

  • 프레임워크에 필요한 Security Health Analytics 감지기가 포함되어 있지 않으면 중복된 Security Health Analytics 감지기 발견 항목을 뮤트합니다.

• 보안 상황 서비스를 사용하여 보안 상황을 배포한 경우 규정 준수 관리자를 사용 설정하면 중복된 발견 항목이 표시될 수 있습니다. 보안 상태와 일치하는 프레임워크를 배포하고 상황 배포를 삭제하는 것이 좋습니다.

• Compliance Manager는 Security Command Center에 대해 데이터 상주를 사용 설정할 때 지정할 수 있는 엔드포인트가 아닌 전역 엔드포인트를 사용합니다. 하지만 환경을 감사할 위치를 지정할 수 있습니다. 자세한 내용은 규정 준수 관리자로 환경 감사하기 (미리보기)를 참고하세요.

다음 단계

• 규정 준수 관리자 사용 설정