프레임워크 적용

프레임워크는 클라우드 환경에서 비즈니스의 보안 또는 규제 요구사항을 충족하는 데 도움이 되는 클라우드 제어로 구성됩니다. 프레임워크 적용은 두 단계 프로세스로, 먼저 비즈니스에서 보안, 규정 준수, 위험을 관리하는 데 필요한 클라우드 제어를 결정해야 합니다. 그런 다음 이러한 클라우드 컨트롤이 포함된 프레임워크를Google Cloud의 적절한 리소스에 배포할 수 있습니다. 이 페이지에서는 다음 단계를 완료하는 방법을 설명합니다.

1. 규제 및 보안 요구사항에 가장 적합한 기본 제공 프레임워크를 평가합니다. 자체 커스텀 프레임워크를 만들 수 있지만 기본 제공 프레임워크로 시작하는 것이 좋습니다.

2. 비즈니스 요구사항에 매핑되는 내장 클라우드 컨트롤을 확인합니다. 필요한 경우 맞춤 클라우드 제어를 만들 수 있습니다.

3. 프레임워크를 Google Cloud 조직에 배포할지 아니면 특정 폴더 또는 프로젝트에 배포할지 결정합니다. 각 조직, 폴더, 프로젝트에 프레임워크를 하나만 배포할 수 있습니다.

4. 기존 프레임워크를 복사하고 요구사항에 맞게 수정합니다. 필요한 경우 커스텀 프레임워크를 만들 수 있습니다.

5. 적절한 리소스에 프레임워크를 배포합니다.

시작하기 전에

다음 Identity and Access Management 역할 중 하나가 있어야 합니다.

• 보안 규정 준수 관리자(roles/cloudsecuritycompliance.admin)는 규정 준수 관리자를 구성합니다.

• 보안 규정 준수 뷰어(roles/cloudsecuritycompliance.viewer)는 규정 준수 관리자 및 규정 준수 관리자 설정에 관한 발견 항목 대시보드를 확인합니다.

프레임워크 보기

기본 제공 프레임워크 또는 이미 만든 다른 프레임워크에 대한 구성을 보려면 다음 단계를 완료하세요.

1. Google Cloud 콘솔에서 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 사용 가능한 모든 프레임워크를 보려면 구성 탭을 클릭합니다.

3. 특정 프레임워크에 관한 세부정보를 보려면 more_vert 작업 더보기 > 세부정보 보기를 클릭합니다.

클라우드 제어 보기

기본 제공 클라우드 컨트롤과 이미 만든 커스텀 클라우드 컨트롤을 보려면 다음 단계를 완료하세요.

1. Google Cloud 콘솔에서 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 구성 탭에서 클라우드 제어를 클릭합니다. 사용 가능한 클라우드 컨트롤 목록이 표시됩니다.

3. 클라우드 제어에 대한 세부정보를 보려면 제어 이름을 클릭합니다.

커스텀 클라우드 제어 만들기

이 프리뷰에는 커스텀 클라우드 제어를 만들 때 다음과 같은 제한사항이 있습니다.

• 리소스 유형은 하나만 선택할 수 있습니다.
• 지원되는 데이터 유형은 Cloud 애셋 인벤토리 리소스뿐입니다.
• Google Cloud 콘솔에서는 Common Expression Language(CEL) 구문과 시맨틱스를 확인할 수 없습니다.

1. Google Cloud 콘솔에서 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 구성 탭에서 클라우드 제어를 클릭합니다. 사용 가능한 클라우드 컨트롤 목록이 표시됩니다.

3. 다음 작업 중 하나를 완료합니다.

프레임워크 만들기

1. Google Cloud 콘솔에서 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 구성 탭에서 커스텀 프레임워크 만들기를 클릭합니다.

3. 기존 프레임워크로 시작할지 또는 커스텀 프레임워크를 만들지 선택합니다.

4. 다음 중 하나를 수행합니다.

   • 기존 프레임워크를 사용하려면 다음 단계를 완료하세요.

     1. 기존 프레임워크에서 시작을 선택합니다.

     2. 복사할 프레임워크를 선택합니다.

     3. 추가를 클릭합니다.

   • 커스텀 프레임워크를 만들려면 새로 시작을 선택합니다.

5. 프레임워크의 이름과 고유 식별자를 입력합니다.

6. 계속을 클릭합니다. 기존 프레임워크를 복사하는 경우 기존 프레임워크에 포함된 클라우드 컨트롤 목록이 표시됩니다.

7. 필요한 클라우드 제어를 추가하려면 다음 단계를 완료하세요.

   • 기존 클라우드 제어를 추가하려면 클라우드 제어 추가를 클릭합니다. 필요한 모든 클라우드 컨트롤을 선택한 다음 추가를 클릭합니다.

   • 커스텀 클라우드 제어를 만들려면 커스텀 클라우드 제어 만들기를 클릭합니다. 커스텀 클라우드 제어를 만드는 방법에 관한 안내는 커스텀 클라우드 제어 만들기를 참조하세요.

8. 계속을 클릭합니다.

9. 클라우드 제어에 필요한 추가 매개변수를 추가합니다. 예를 들어 Cloud Logging 규정 준수 설정 클라우드 제어를 사용하여 데이터 상주 클라우드 제어를 사용 설정하려면 Cloud Logging에서 사용해야 하는 위치를 지정해야 합니다.

10. 만들기를 클릭합니다.

조직, 폴더 또는 프로젝트에 프레임워크 배포

조직, 폴더 또는 프로젝트에 프레임워크를 적용하여 프레임워크의 클라우드 제어를 사용하여 해당 리소스를 제어하고 모니터링할 수 있습니다. 각 조직, 폴더, 프로젝트에 프레임워크를 하나만 배포할 수 있습니다.

프레임워크는 하위 폴더 및 프로젝트에서 상속됩니다. 따라서 조직 수준 및 프로젝트 수준에서 프레임워크를 배포하면 두 프레임워크 내의 모든 클라우드 제어가 해당 프로젝트의 리소스에 적용됩니다. 클라우드 제어 정의에 차이가 있는 경우(예: 클라우드 제어 규칙이 조직 수준에서는 허용으로 설정되었고 프로젝트 수준에서는 거부로 설정된 경우) 프로젝트의 리소스에 하위 수준의 클라우드 제어가 사용됩니다.

권장사항에 따라 전체 비즈니스에 적용될 수 있는 클라우드 컨트롤을 포함하는 조직 수준에서 프레임워크를 배포하는 것이 좋습니다. 그런 후 폴더 및 프로젝트에 필요에 따라 보다 엄격한 프레임워크를 적용할 수 있습니다.

1. Google Cloud 콘솔에서 규정 준수 페이지로 이동합니다.

   규정 준수로 이동

2. 구성 탭에서 적용할 프레임워크에 대해 more_vert 작업 더보기 > 리소스에 적용을 클릭합니다.

3. 다음 옵션 중 하나를 선택합니다.

   • 드리프트만 모니터링하려면 모니터링을 선택합니다.

   • 드리프트를 모니터링하고 위반을 적극적으로 방지하려면 모니터링 및 방지를 선택합니다.

4. 프레임워크를 배포할 리소스를 선택합니다. 기존 조직, 프로젝트 또는 폴더를 선택할 수 있습니다. 위반을 적극적으로 방지하기로 선택한 경우 새 프로젝트나 폴더를 만들고 프레임워크를 적용할 수 있습니다.

5. 다음 중 하나를 수행합니다.

   • 모니터링을 선택한 경우 모니터링을 클릭합니다.

   • 모니터링 및 방지를 선택한 경우 다음을 완료합니다.

     1. 다음을 클릭합니다.
     2. 강제 적용할 예방적 클라우드 제어를 선택합니다.
     3. 계속을 클릭합니다.
     4. 선택사항을 검토한 다음 적용을 클릭합니다.

프레임워크를 적용한 후에는 정의된 클라우드 제어로부터 드리프트에 대한 환경을 모니터링할 수 있습니다. 규정 준수 페이지의 요약 탭에 있는 규정 준수 대시보드는 사용자 환경이 적용된 프레임워크에 얼마나 잘 부합하는지 보여줍니다.

Security Command Center는 드리프트 인스턴스를 사용자가 검토, 필터링, 해결할 수 있는 발견 항목으로 보고합니다. 클라우드 제어와 관련된 발견 항목이 나타나려면 프레임워크를 적용한 후 약 6시간이 소요될 수 있습니다. 자세한 내용은 콘솔에서 발견 항목 검토 및 관리를 참조하세요.

이러한 발견 항목은 Security Command Center에서 기타 발견 항목을 내보내는 것과 동일한 방식으로 내보낼 수 있습니다. 자세한 내용은 Security Command Center 데이터 내보내기를 참조하세요.