이 페이지에서는 Security Command Center를 사용 설정할 때 수행되는 활성화 프로세스를 간략히 설명합니다. 다음과 같은 일반적인 질문에 대한 답변을 제공합니다.
- Security Command Center를 사용 설정하면 어떻게 되나요?
- 첫 번째 스캔이 시작되기 전에 지연이 발생하는 이유는 무엇인가요?
- 첫 번째 스캔 및 지속적인 스캔의 예상 실행 시간은 얼마인가요?
- 리소스 및 설정을 변경하면 성능에 어떤 영향을 미치나요?
개요
Security Command Center를 처음 사용 설정할 때는 Security Command Center가 리소스 스캔을 시작하기 전에 활성화 프로세스를 완료해야 합니다. 그런 다음 Google Cloud 환경에 대한 전체 발견 항목 집합을 확인하기 전에 스캔을 완료해야 합니다.
활성화 프로세스와 스캔을 완료하는 데 걸리는 시간은 환경의 애셋 및 리소스 수와 Security Command Center가 조직 수준에서 활성화되어 있는지 또는 프로젝트 수준에서 활성화되어 있는지 여부 등 다양한 요소에 따라 달라집니다.
조직 수준 활성화의 경우 Security Command Center에서 조직의 각 프로젝트에 대해 특정 활성화 프로세스 단계를 반복해야 합니다. 조직의 프로젝트 수에 따라 활성화 프로세스에 필요한 시간 범위는 분에서 시간까지 다양합니다. 100,000개 이상의 프로젝트를 보유하고 각 프로젝트에 많은 리소스가 있으며 기타 복잡한 요인을 가진 조직의 경우 사용 설정 및 초기 스캔을 완료하는 데 최대 24시간 이상이 걸릴 수 있습니다.
Security Command Center의 프로젝트 수준 활성화를 사용하면 프로세스가 Security Command Center가 활성화된 단일 프로젝트로 제한되므로 활성화 프로세스가 훨씬 더 빠릅니다.
다음 섹션에서는 스캔 시작, 설정 변경 처리, 스캔 런타임을 지연시킬 수 있는 요소에 대해 설명합니다.
토폴로지
아래 그림은 온보딩 및 사용 설정 프로세스를 개략적으로 보여줍니다.
온보딩 지연 시간
스캔이 시작되기 전에 Security Command Center는 리소스를 검색하고 색인을 생성합니다.
색인이 생성된 서비스에는 App Engine, BigQuery, Cloud SQL, Cloud Storage, Compute Engine, Identity and Access Management, Google Kubernetes Engine이 포함됩니다.
Security Command Center의 프로젝트 수준 활성화의 경우 탐색 및 색인 생성은 Security Command Center가 활성화된 단일 프로젝트로 제한됩니다.
조직 수준 활성화의 경우 Security Command Center가 조직 전체의 리소스를 검색하고 색인을 생성합니다.
이 온보딩 프로세스에서는 두 가지 중요한 단계가 진행됩니다.
애셋 스캔
Security Command Center는 초기 애셋 스캔을 수행하여 프로젝트, 폴더, 파일, 클러스터, ID, 액세스 정책, 등록된 사용자, 기타 리소스의 총 개수, 위치, 상태를 식별합니다. 이 프로세스는 일반적으로 몇 분 안에 완료됩니다.
API 활성화
리소스가 검색되면 Security Command Center에서 Google Cloud의 Security Health Analytics, Event Threat Detection, Container Threat Detection, Web Security Scanner 작동에 필요한 부분을 지원합니다. 일부 감지 서비스의 경우 보호된 프로젝트가 작동하려면 특정 API를 사용 설정해야 합니다.
프로젝트 수준에서 Security Command Center를 활성화하면 일반적으로 API 활성화가 1분 미만이 걸립니다.
Security Command Center는 조직 수준 활성화를 사용하여 필요한 API를 사용 설정하기 위해 스캔하도록 선택한 모든 프로젝트를 반복합니다.
조직의 프로젝트 수는 대부분 온보딩 및 사용 설정 프로세스의 길이를 결정합니다. API는 프로젝트에 하나씩 활성화되어야 하므로 일반적으로 프로젝트가 100,000개를 초과하는 조직에서는 시간 소모가 가장 많은 작업입니다.
여러 프로젝트에서 서비스를 사용 설정하는 데 필요한 시간은 선형적으로 확장됩니다. 즉, 30,000개의 프로젝트가 있는 조직이 15,000개의 프로젝트가 있는 조직보다 서비스 및 보안 설정을 사용 설정하는 데 일반적으로 두 배 정도의 시간이 더 소요됩니다.
프로젝트가 100,000개인 조직의 경우 프리미엄 등급 온보딩 및 사용 설정을 5시간 이내에 완료해야 합니다. 사용 중인 프로젝트 또는 컨테이너 수와 사용 설정하기 위해 선택한 Security Command Center 서비스 수 등 다양한 요소에 따라 시간이 달라질 수 있습니다.
스캔 지연 시간
Security Command Center를 설정할 때는 사용 설정할 기본 제공 및 통합 서비스를 결정하고 위협과 취약점을 분석하거나 스캔할 Google Cloud 리소스를 선택합니다. 프로젝트에 API가 활성화되면 선택한 서비스가 스캔을 시작합니다. 이러한 스캔 기간은 조직의 프로젝트 수에 따라 다릅니다.
기본 제공 서비스의 발견 항목은 초기 스캔이 완료되면 사용할 수 있습니다. 아래의 설명과 같은 서비스 지연 시간이 발생합니다.
- Container Threat Detection의 지연 시간은 다음과 같습니다.
- 새로 온보딩된 프로젝트 또는 조직에 대한 활성화 지연 시간은 최대 3.5시간입니다.
- 새로 생성된 클러스터의 활성화 지연 시간(분)입니다.
- 활성화된 클러스터의 위협에 대한 감지 지연 시간(분)입니다.
Event Threat Detection 활성화는 기본 제공 감지기의 경우 몇 초 내에 실행됩니다. 신규 또는 업데이트된 커스텀 감지기의 경우 변경사항이 적용되는 데 최대 15분이 걸릴 수 있습니다. 실제로 5분 미만이 소요됩니다.
기본 제공 및 커스텀 감지기의 경우 감지 지연 시간은 일반적으로 로그가 작성되는 시간부터 Security Command Center에서 발견 항목을 사용할 수 있을 때까지의 시간으로 15분 미만입니다.
Rapid Vulnerability Detection은 프로젝트 스캔을 시작하고 프로젝트에 대해 사용 설정된 후 24시간 내에 발견 항목을 반환합니다.
Security Health Analytics 스캔은 서비스가 사용 설정된 후 약 1시간 뒤에 시작됩니다. 첫 번째 Security Health Analytics를 완료하는 데 최대 12시간이 걸릴 수 있습니다. 그런 다음 대부분의 감지가 애셋 구성 변경에 대해 실시간으로 실행됩니다(예외 사항은 Security Health Analytics 감지 지연 시간에 자세히 설명되어 있음).
VM Threat Detection의 새로 온보딩된 조직에 대한 활성화 지연 시간은 최대 48시간입니다. 프로젝트의 경우 활성화 지연 시간은 최대 15분입니다.
Web Security Scanner 스캔은 서비스가 사용 설정된 후 시작되고 첫 번째 스캔 후에 매주 실행되는 데 최대 24시간이 소요될 수 있습니다.
Security Command Center는 Security Command Center 및 해당 서비스와 관련된 구성 오류를 감지하는 오류 감지기를 실행합니다. 이러한 오류 감지기는 기본적으로 활성화되며 중지할 수 없습니다. 감지 지연 시간은 오류 감지기에 따라 다릅니다. 자세한 내용은 Security Command Center 오류를 참조하세요.
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
사전 발견 항목
초기 스캔이 진행되는 동안 온보딩 프로세스가 완료되기 전까지 Google Cloud 콘솔에 몇 가지 발견 항목이 표시될 수 있습니다.
사전 발견 항목은 정확하고 실행 가능하지만 포괄적이지는 않습니다. 이러한 발견 항목을 처음 24시간 이내에 규정 준수 평가에 사용하는 것은 권장하지 않습니다.
후속 스캔
리소스 이동 또는 조직 수준 활성화, 새 폴더 및 프로젝트 추가와 같은 조직 또는 프로젝트 내의 변경사항은 일반적으로 리소스 검색 시간 또는 스캔의 런타임에 큰 영향을 미치지 않습니다. 그러나 일부 스캔은 Security Command Center가 변경사항을 감지하는 속도를 결정하는 설정 일정에 따라 진행됩니다.
- Event Threat Detection 및 Container Threat Detection: 이러한 서비스는 사용 설정되면 실시간으로 실행되고 사용 설정된 프로젝트에서 클러스터, 버킷, 로그와 같은 신규 또는 변경된 리소스를 즉시 감지합니다.
- Rapid Vulnerability Detection은 첫 번째 스캔 날짜로부터 매주 후속 스캔을 수행합니다. 스캔 사이에 새 리소스가 프로젝트에 추가되면 다음 스캔까지 취약점이 검색되지 않습니다.
- Security Health Analytics: Security Health Analytics가 사용 설정되면 아래 나열된 감지를 제외하고 실시간으로 실행되며 새 리소스 또는 변경된 리소스를 몇 분 내에 감지합니다.
- VM Threat Detection: 메모리 스캔의 경우 VM Threat Detection은 인스턴스가 생성된 직후 각 VM 인스턴스를 스캔합니다. 또한 VM Threat Detection은는 30분마다 각 VM 인스턴스를 스캔합니다.
- 암호화폐 채굴 감지의 경우 VM Threat Detection에서 프로세스별로 VM별로 매일 하나의 발견 항목을 생성합니다. 각 발견 항목에는 발견 항목으로 식별된 프로세스와 관련된 위협만 포함됩니다. VM Threat Detection이 위협을 발견했지만 어떠한 프로세스와도 이를 연결할 수 없는 경우 VM Threat Detection은 각 VM에 대해 연결되지 않은 모든 위협을 24시간마다 한 번씩 하나의 발견 항목으로 그룹화하여 생성합니다. 24시간 이상 지속되는 위협의 경우 VM Threat Detection이 24시간마다 한 번씩 새 발견 항목을 생성합니다.
- 미리보기 버전인 커널 모드 루트킷 감지의 경우 VM Threat Detection에서 3일마다 VM당 카테고리당 하나의 발견 항목을 생성합니다.
알려진 멀웨어가 있는지 감지하는 영구 디스크 스캔의 경우 VM Threat Detection이 각 VM 인스턴스를 최소한 매일 스캔합니다.
- Web Security Scanner: Web Security Scanner는 초기 스캔과 같은 날에 매주 실행됩니다. Web Security Scanner는 매주 실행되므로 변경사항을 실시간으로 감지하지 않습니다. 리소스를 이동하거나 애플리케이션을 변경하면 변경사항이 최대 일주일 동안 감지되지 않을 수 있습니다. 주문형 스캔을 실행하여 예약된 스캔 간에 새로 추가되었거나 변경된 리소스를 확인할 수 있습니다.
Security Command Center 오류 감지기는 일괄 모드로 주기적으로 실행됩니다. 일괄 스캔 빈도는 오류 감지기에 따라 다릅니다. 자세한 내용은 Security Command Center 오류를 참조하세요.
Security Health Analytics 감지 지연 시간
Security Health Analytics 감지는 서비스가 사용 설정된 후, 관련 애셋 구성이 변경되면 정기적으로 일괄 모드로 실행됩니다. Security Health Analytics가 사용 설정되면 관련 리소스 구성이 변경되면 잘못된 구성 결과가 업데이트됩니다. 애셋 유형 및 변경사항에 따라 업데이트에 몇 분 정도 걸리는 경우도 있습니다.
예를 들어 리소스 구성 외부의 정보에 대해 검사가 실행되는 경우 일부 Security Health Analytics 감지기는 즉시 스캔 모드를 지원하지 않습니다. 아래 표에 나열된 이러한 감지 기능은 12시간 이내에 주기적으로 실행되고 구성 오류를 식별합니다. Security Health Analytics 감지기에 대한 자세한 내용은 취약점 및 발견 항목을 읽어보세요.
| 실시간 스캔 모드를 지원하지 않는 Security Health Analytics 감지 |
|---|
| COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED |
| MFA_NOT_ENFORCED (이전의 2SV_NOT_ENFORCED) |
| OS_LOGIN_DISABLED |
| SQL_NO_ROOT_PASSWORD |
| SQL_WEAK_ROOT_PASSWORD |
공격 경로 시뮬레이션
공격 경로 시뮬레이션은 약 6시간마다 실행됩니다. Google Cloud 조직의 크기 또는 복잡성이 증가하면 간격이 늘어날 수 있습니다.
Security Command Center를 처음 활성화하면 공격 경로 시뮬레이션에서 조직의 지원되는 모든 리소스 유형이 포함된 기본 고가치 리소스 세트를 사용합니다.
리소스 값 구성을 만들어 자체 고가치 리소스 세트를 정의할 때 고가치 리소스 세트의 리소스 인스턴스 수가 기본 세트보다 크게 낮으면 시뮬레이션 간격이 줄어들 수 있습니다.