이 페이지에서는 보안 시작 영역 서비스에 대한 개요를 제공합니다.
개요
Google은 보안 청사진을 통해 권장사항 가이드를 제공하여 Google Cloud에 워크로드를 배포할 때 보안 및 규정 준수 목표를 충족할 수 있도록 합니다. 청사진을 배포하고 Google Cloud 리소스를 프로비저닝할 수 있습니다. 리소스가 실시간으로 상호작용하기 시작하면 권장사항을 활용해 이러한 리소스를 안전하게 운영할 수 있습니다.
용어
보안 시작 영역 서비스를 사용하기 전에 이 주제의 나머지 부분에서 컨텍스트를 설정하는 데 도움이 되는 용어를 소개합니다.
보안 청사진
보안 청사진은 배포 및 재사용이 가능한 권장사항 구성 또는 정책 아티팩트 패키지입니다. 청사진에는 관련 문서 및 증명과 함께 독자적인 특정 시작 영역 또는 워크로드 솔루션을 구현하기 위한 권장 아키텍처도 있습니다. 개발자는 청사진을 결합하고 구성하여 더 복잡한 인프라, 플랫폼, 애플리케이션 서비스를 조합할 수 있습니다. 보안 청사진에 대한 자세한 내용은 배포 가능한 시작 영역 청사진을 참조하세요.
배포
배포는 청사진을 실제 리소스에 적용하는 것입니다.
시작 영역
시작 영역은 필요한 모든 사전 구성 및 연결된 리소스로 구성된 배포된 클라우드 환경이며 특정 워크로드를 빌드할 수 있습니다.
보안 상태의 구성요소
배포의 보안 상태는 다음 세 가지 구성요소로 구성됩니다.
- 배포된 각 리소스의 스테이트풀(Stateful) 구성(예: 배포의 VPC 서비스 경계 아키텍처, 개별 리소스의 IAM 설정, 정의된 라벨, 데이터 태그, 정책 태그)
- 리소스에서 또는 리소스에 의해 수행된 작업과 관련된 동작 제약조건(예: 데이터 액세스 패턴, 관리자 액세스 패턴, 허용 및 제한된 CRUD(만들기, 읽기, 업데이트, 삭제) 리소스)
- 리소스 주위 및 리소스 간 환경의 환경 제약 및 구성(예: 조직 및 폴더 수준 정책, 관리자 그룹 역할 및 권한의 액세스 경로, 배포 및 데이터와 상호 작용하는 서비스의 소프트웨어 공급망 보안)
보안 시작 영역 서비스
보안 시작 영역 서비스는 Security Command Center 프리미엄 기능입니다. 다음을 수행하여 보안 청사진에서 생성된 시작 영역 및 워크로드 배포의 보안 상태를 보호합니다.
- 청사진에 지정된 항목의 스테이트풀(Stateful), 동작, 환경 제어의 정책 위반 감지
- 정책 위반에 대한 보안 시작 영역 서비스 발견 항목 생성
- 원본 청사진에 지정된 구성으로 배포를 복원하여 정책 위반의 하위 집합을 자동으로 수정
보안 시작 영역
보안 시작 영역은 보안 시작 영역 서비스로 보호되는 배포입니다.
Terraform
Terraform은 프로덕션 인프라를 안전하고 예측 가능한 방식으로 생성, 변경, 개선할 수 있는 코드형 인프라 도구입니다. Terraform은 API를 선언적 구성 파일로 코드화하는 오픈소스 도구로, 팀원들과 공유하며 코드로 처리하고 편집, 검토, 버전 관리가 가능합니다. 코드형 인프라 관리에 대한 자세한 내용은 Terraform을 사용하여 인프라형 코드 관리를 참조하세요.
Terraform 계획 파일
Terraform을 사용하여 실행 계획을 만듭니다. 이 계획을 통해 인프라에서 Terraform이 적용하도록 구성된 변경사항을 미리 확인할 수 있습니다. Terraform 계획 파일을 사용하면 선언하는 모든 리소스의 바람직한 상태를 확인한 다음 바람직한 상태를 현재 작업 디렉터리 및 작업공간으로 관리 중인 실제 인프라 객체와 비교할 수 있습니다.
보안 시작 영역 서비스 사용 방법
보안 청사진을 배포한 후 해당 배포에서 보안 시작 영역 서비스의 인스턴스를 사용 설정하여 원래 청사진에 정의된 보안 상태를 보호하고 적용할 수 있습니다.
다음은 보안 시작 영역 서비스를 사용하는 워크플로를 보여주는 그림입니다.
워크플로의 단계는 다음과 같습니다.
빌드: 정책 구성
보안 청사진을 사용하여 시작 영역에 워크로드 솔루션을 구현하기 위한 보안 정책을 구성합니다. 여기에는 아키텍처, 네트워크 보안, 허용된 데이터 흐름, 로깅, 기본 리소스에 대한 기타 보안 권장사항이 포함됩니다. Terraform을 사용하면 선언적 구성 파일의 도움을 받아 리소스를 표현, 초기화, 프로비저닝할 수 있습니다.
배포: 리소스 구성
Terraform 도구와 Terraform 계획 파일을 사용하여 구성을 적용하고 리소스를 배포합니다.
실행: 감지 및 수정
특정 배포에 대해 보안 시작 영역 서비스의 인스턴스를 사용 설정합니다. 보안 시작 영역 서비스를 사용하면 원래 정의된 정책으로 배포에서 실시간 정책 위반을 감지하고 알리며 구제 조치를 취할 수 있습니다. 보안 시작 영역 서비스는 배포 단계의 설명대로 배포된 리소스를 추적하고, 인프라의 보안 상태 변경사항을 추적하며, 정책 위반을 식별하고, 적절한 구제 조치 작업을 호출합니다. 이러한 정책 위반은 관련 발견 항목으로 식별되어 표시됩니다.
보안 위반이 발생하면 발견 항목이 생성됩니다. 사용 가능한 발견 항목 카테고리 및 해결 방법에 대한 자세한 내용은 보안 시작 영역 서비스 발견 항목 문제 해결을 참조하세요.
다음 단계
- 보안 시작 영역 서비스를 사용하는 방법 알아보기
- 보안 시작 영역 서비스 발견 항목 문제 해결 방법 알아보기