이 페이지에서는 Security Command Center에 적용되는 데이터와 인프라 보안을 설명합니다.
데이터 처리
Security Command Center에 등록하면 Google Cloud에서 다음을 포함한 사용하는 Google Cloud 서비스와 관련된 정보를 처리합니다.
- Google Cloud 리소스와 관련된 구성 및 메타데이터
- Identity and Access Management(IAM) 정책 및 사용자 구성 및 메타데이터
- Google Cloud 수준 API 액세스 패턴 및 사용
- Google Cloud 조직의 Cloud Logging 콘텐츠
- 서비스 설정과 보안 발견 항목을 포함한 Security Command Center 메타데이터
Security Command Center는 클라우드 로그 및 원격 분석과 기타 데이터 등을 스캔하거나 모니터링하도록 구성한 애셋과 관련된 데이터를 처리하여 발견 항목을 제공하고 서비스를 개선합니다.
Security Command Center는 새로운 위협과 진화하는 위협으로부터 애셋을 보호하기 위해 잘못 구성된 애셋, 로그의 침해 지표, 공격 벡터와 관련된 데이터를 분석합니다. 이러한 활동에는 서비스 모델을 개선하기 위한 처리, 고객 환경 강화를 위한 권장사항, 서비스 효과와 품질, 사용자 환경이 포함될 수 있습니다. 서비스 개선을 위한 데이터를 처리하지 않고 서비스를 사용하려면 Google Cloud 지원팀에 문의하여 선택 해제하면 됩니다. 선택 해제하면 보안 원격 분석과 관련된 특정 기능을 사용하지 못할 수 있습니다. 이러한 예시로는 사용자 환경에 맞게 맞춤설정된 감지, 서비스 구성을 통합한 서비스 개선 등이 있습니다.
저장 데이터와 내부 시스템 간에 전송 중 데이터는 암호화됩니다. 또한 Security Command Center의 데이터 액세스 제어는 건강 보험 이동성 및 책임법(HIPAA)과 기타 Google Cloud 규정 준수 서비스를 준수합니다.
민감한 정보 제한
조직의 관리자와 기타 권한이 있는 사용자는 Security Command Center에 데이터를 추가할 때 적절한 주의를 기울여야 합니다.
Security Command Center에서는 권한이 있는 사용자가 Google Cloud 리소스와 검사에서 생성된 발견 항목에 설명 정보를 추가할 수 있습니다. 경우에 따라 사용자가 제품을 사용할 때 실수로 민감한 정보를 전달할 수도 있습니다(예: 발견 항목에 고객 이름이나 계좌 번호 추가). 데이터를 보호하려면 애셋의 이름을 지정하거나 주석을 작성할 때 민감한 정보를 추가하지 않는 것이 좋습니다.
보안이 강화되도록 Security Command Center와 Sensitive Data Protection을 통합할 수 있습니다. Sensitive Data Protection은 신용카드 번호, 주민등록번호, Google Cloud 사용자 인증 정보와 같은 민감한 정보와 개인정보를 검색하고 분류하며 마스킹합니다.
정보의 양에 따라 Sensitive Data Protection 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리를 위한 권장사항을 따릅니다.
리소스 관리를 포함한 Security Command Center 설정에 대한 안내는 Security Command Center 최적화를 참조하세요.
데이터 보관
Security Command Center가 처리하는 데이터는 조직, 폴더, 프로젝트 내의 리소스 및 애셋에서 위협, 취약점, 잘못된 구성을 식별하는 발견 항목에 캡처되고 저장됩니다. 발견 항목에는 매일 발견 항목의 상태와 속성을 캡처하는 일련의 일일 스냅샷이 포함됩니다.
프리미엄 및 엔터프라이즈 등급의 경우 Security Command Center는 발견 항목 스냅샷을 13개월 동안 저장합니다. 표준 등급의 경우 Security Command Center는 발견 항목 스냅샷을 35일 동안 저장합니다. 보관 기간이 지나면 Security Command Center 데이터베이스에서 스냅샷과 해당 데이터가 삭제되며 복구할 수 없습니다. 이렇게 하면 발견 항목의 스냅샷 수가 줄어들어 발견 내역의 기록 및 시간이 지남에 따라 바뀌는 방식을 볼 수 있는 기능이 제한됩니다.
적용 가능한 보관 기간 내에 남아 있는 스냅샷이 하나 이상 포함된다면 발견 항목은 Security Command Center에서 유지됩니다. 발견 항목 및 모든 데이터를 더 오랜 기간 동안 보관하려면 다른 스토리지 위치로 내보냅니다. 자세한 내용은 Security Command Center 데이터 내보내기를 참조하세요.
Google Cloud에서 조직을 삭제하면 모든 등급에서 보관 기간에 대한 예외가 적용됩니다. 조직이 삭제되면 조직에서 파생된 모든 발견 항목과 해당 폴더 및 프로젝트가 Google Cloud의 데이터 감지에 설명된 보관 기간 내에 삭제됩니다.
Security Command Center가 조직 전체가 아니라 조직 내 하나 이상의 프로젝트에서 활성화된 경우 각 개별 프로젝트의 발견 항목은 프리미엄 등급의 경우 13개월, 표준 등급의 경우 35일 동안 보관됩니다. Enterprise 등급은 프로젝트 수준 활성화를 지원하지 않습니다. 프로젝트가 삭제되면 프로젝트의 발견 항목이 동시에 삭제되지는 않고 대신 삭제된 프로젝트가 포함된 조직의 감사 가능성을 위해 보관됩니다. 보관 기간은 삭제된 프로젝트에서 활성 상태였던 등급에 따라 다릅니다. 프리미엄 등급의 경우 13개월, 표준 등급의 경우 35일입니다.
프로젝트를 삭제하고 프로젝트의 모든 발견 항목을 동시에 삭제해야 하는 경우 프로젝트의 모든 발견 항목에 대한 조기 삭제를 시작할 수 있는 Cloud Customer Care에 문의하세요.
인프라 보안
Security Command Center는 Google에서 자체 소비자 및 엔터프라이즈 서비스에 사용하는 인프라와 동일한 인프라를 기반으로 빌드되었습니다. Google 인프라의 계층형 보안은 Google Cloud의 모든 서비스, 데이터, 통신, 작업을 보호하도록 설계되었습니다.
Google 인프라 보안에 대해 자세히 알아보려면 Google 인프라 보안 설계 개요를 참조하세요.
다음 단계
Security Command Center의 기능과 이점을 알아보려면 Security Command Center 개요 참조하기
Security Command Center 사용 자세히 알아보기