취약점 및 위협에 대한 보안 소스

>

Security Command Center에서 사용할 수 있는 Google Cloud 보안 소스 목록입니다. 보안 소스를 사용 설정하면 Security Command Center 대시보드에서 취약점 및 위협 데이터를 제공할 수 있습니다.

Security Command Center를 사용하면 특정 발견 항목 유형, 리소스 유형, 특정 애셋 필터링과 같은 다양한 방법으로 취약점 및 위협 발견 항목을 필터링하고 볼 수 있습니다. 각 보안 소스는 조직의 발견 항목을 조직화하는 데 도움이 되는 필터를 더 많이 제공할 수 있습니다.

자세한 내용은 Security Command Center 대시보드 사용을 참조하세요.

취약점

취약점 감지기를 사용하면 잠재적인 취약점을 찾을 수 있습니다.

Security Health Analytics 취약점 유형

Google Cloud용 Security Health Analytics 관리형 취약점 평가 스캔을 통해 일반적인 취약점과 구성 오류를 다음에 걸쳐 자동으로 감지할 수 있습니다.

  • Cloud Monitoring 및 Cloud Logging
  • Compute Engine
  • Google Kubernetes Engine 컨테이너 및 네트워크
  • Cloud Storage
  • Cloud SQL
  • ID 및 액세스 관리(IAM)
  • Cloud Key Management Service(Cloud KMS)
  • Cloud DNS

Security Command Center 표준 또는 프리미엄 등급을 선택하면 Security Health Analytics가 자동으로 사용 설정됩니다. Security Health Analytics가 사용 설정되면 자동으로 하루에 두 번(12시간 간격) 스캔을 실행합니다.

Security Health Analytics 스캔은 다양한 취약점 유형을 검사합니다. 감지기 유형별로 발견 항목을 그룹화할 수 있습니다. Security Health Analytics 감지기 이름을 사용하여 발견 항목의 대상 리소스 유형별로 발견 항목을 필터링합니다.

Security Health Analytics 감지기 및 발견 항목의 전체 목록을 보려면 Security Health Analytics 발견 항목 페이지를 참조하거나 다음 섹션을 펼치세요.

Web Security Scanner

Web Security Scanner는 공개 App Engine, GKE, Compute Engine 서비스 웹 애플리케이션을 위한 관리형 커스텀 웹 취약점 스캔을 제공합니다.

관리형 스캔

Web Security Scanner 관리형 스캔은 Security Command Center에서 구성하고 관리합니다. 관리형 스캔은 매주 자동으로 실행되며 공개 웹 엔드포인트를 감지하고 스캔합니다. 이러한 스캔은 인증을 사용하지 않으며 GET 전용 요청을 전송하므로 실시간 웹사이트에서 양식을 제출하지 않습니다.

관리형 스캔은 프로젝트 수준에서 정의한 커스텀 스캔과 별도로 실행됩니다. 관리형 스캔을 사용하면 개별 프로젝트팀을 구성할 필요 없이 조직의 프로젝트에 대한 기본 웹 애플리케이션 취약점 감지를 중앙에서 관리할 수 있습니다. 발견 항목이 발견되면 해당 팀과 협력하여 더욱 포괄적인 커스텀 스캔을 설정할 수 있습니다.

Web Security Scanner를 서비스로 사용 설정하면 Security Command Center 취약점 탭 및 관련 보고서에서 관리형 스캔 발견 항목을 자동으로 사용할 수 있습니다. Web Security Scanner 관리형 스캔을 사용 설정하는 방법에 대한 자세한 내용은 Security Command Center 구성을 참조하세요.

커스텀 스캔

Web Security Scanner 커스텀 스캔은 오래된 라이브러리, 교차 사이트 스크립팅 또는 혼합 콘텐츠 사용과 같은 애플리케이션 취약점 발견 항목에 대한 세부적인 정보를 제공합니다. Web Security Scanner 커스텀 스캔 설정 가이드를 완료하면 Security Command Center에서 커스텀 스캔 발견 항목을 확인할 수 있습니다.

다음 테이블에는 지원되는 감지기 간의 매핑과 관련 규정 준수 원칙에 대한 최선의 매핑이 포함되어 있습니다.

CIS Google Cloud Foundation 1.0 매핑은 CIS Google Cloud Computing Foundations Benchmark v1.0.0에 맞게 조정되도록 인터넷 보안 센터에서 검토 및 인증하였습니다. 추가 규정 준수 매핑은 참조용으로 포함되어 있으며 결제 카드 산업 데이터 보안 표준 또는 OWASP 재단에서 제공하거나 검토하지 않습니다. 이러한 위반을 수동으로 확인하는 방법에 대한 자세한 내용은 CIS Google Cloud Computing Foundations Benchmark v1.0.0(CIS Google Cloud Foundation 1.0), 결제 카드 산업 데이터 보안 표준 3.2.1(PCI-DSS v3.2.1), OWASP Top Ten, 미국 국립 표준기술연구소 800-53(NIST 800-53) 국제표준화기구 27001(ISO 27001)을 참조하세요.

이 기능은 규정 준수 제어 위반을 모니터링하기 위한 것입니다. 이 매핑은 규제 또는 업계 벤치마크나 표준을 준수하는 제품 또는 서비스의 규정 준수, 인증, 보고를 기반으로 사용하거나 대안으로 제공되지 않습니다.

다음은 Web Security Scanner 커스텀 스캔 및 관리형 스캔에서 식별된 발견 항목 유형입니다. 표준 등급에서 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.

표 18.Web Security Scanner 발견 항목
카테고리 발견 설명 CIS GCP Foundation 1.0 PCI-DSS v3.2.1 OWASP 상위 10개 NIST 800-53 ISO-27001
ACCESSIBLE_GIT_REPOSITORY GIT 저장소가 공개됩니다. 이 문제를 해결하려면 GIT 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. A3
ACCESSIBLE_SVN_REPOSITORY SVN 저장소가 공개됩니다. 이 문제를 해결하려면 SVN 저장소에 대한 의도하지 않은 공개 액세스를 삭제하세요. A3
CLEAR_TEXT_PASSWORD 비밀번호가 명확한 텍스트로 전송되고 가로채기될 수 있습니다. 이 문제를 해결하려면 네트워크를 통해 전송된 비밀번호를 암호화하세요. A3
INVALID_CONTENT_TYPE 리소스가 로드되었지만 응답의 콘텐츠 유형 HTTP 헤더와 일치하지 않습니다. 이 문제를 해결하려면 'X-Content-Type-Options' HTTP 헤더를 올바른 값으로 설정하세요. A6
INVALID_HEADER 보안 헤더에 구문 오류가 있으며 브라우저에서 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MISMATCHING_SECURITY_HEADER_VALUES 보안 헤더에 중복된 불일치 값이 존재하여 정의되지 않은 동작이 발생합니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MISSPELLED_SECURITY_HEADER_NAME 보안 헤더의 철자가 잘못 입력되어 무시됩니다. 이 문제를 해결하려면 HTTP 보안 헤더를 올바르게 설정하세요. A6
MIXED_CONTENT 리소스가 HTTPS 페이지에서 HTTP를 통해 제공되고 있습니다. 이 문제를 해결하려면 모든 리소스가 HTTPS를 통해 제공되도록 설정하세요. A6
OUTDATED_LIBRARY 알려진 취약점이 있는 라이브러리가 감지되었습니다. 이 문제를 해결하려면 라이브러리를 최신 버전으로 업그레이드하세요. A9
XSS 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅(XSS) 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7
XSS_ANGULAR_CALLBACK 사용자가 제공한 문자열은 이스케이프 처리되지 않으며 AngularJS에서 보간될 수 있습니다. 이 문제를 해결하려면 Angular 프레임워크에서 처리하는 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7
XSS_ERROR 이 웹 애플리케이션의 필드는 교차 사이트 스크립팅 공격에 취약합니다. 이 문제를 해결하려면 신뢰할 수 없는 사용자 제공 데이터를 검증하고 이스케이프 처리하세요. A7

위협

위협 감지기를 통해 잠재적으로 유해한 이벤트를 찾을 수 있습니다.

이상 감지

이상 감지는 시스템 외부의 동작 신호를 사용하는 기본 제공 서비스입니다. 잠재적인 사용자 인증 정보 유출 코인 채굴과 같은 프로젝트 및 가상 머신(VM) 인스턴스에 대한 보안 이상에 관한 상세 정보를 표시합니다. Security Command Center 스탠더드 또는 프리미엄 등급을 구독하면 이상 감지가 자동으로 사용 설정되며, Security Command Center 대시보드에서 결과를 확인할 수 있습니다.

이상 감지 발견 항목 예시에는 다음이 포함됩니다.

표 B. 이상 감지 발견 항목 카테고리
손상 가능성 설명
account_has_leaked_credentials Google Cloud 서비스 계정의 사용자 인증 정보가 온라인에서 유출되거나 손상되었습니다.
resource_compromised_alert 조직 내 리소스의 잠재적인 손상
악용 시나리오 설명
resource_involved_in_coin_mining 조직 내 VM의 동작 신호는 리소스가 손상되어 암호화폐 채굴에 사용될 수 있음을 나타냅니다.
outgoing_intrusion_attempt 침입 시도 및 포트 스캔: 조직의 리소스 또는 Google Cloud 서비스 중 하나가 대상 시스템의 중단 또는 손상 시도와 같은 침입 활동에 사용되고 있습니다. 여기에는 SSH 무작위 공격, 포트 스캔, FTP 무작위 공격이 포함됩니다.
resource_used_for_phishing 조직의 리소스 또는 Google Cloud 서비스 중 하나가 피싱에 사용되고 있습니다.

Container Threat Detection

Container Threat Detection은 가장 일반적인 컨테이너 런타임 공격을 감지하고 Security Command Center 및 필요한 경우 Cloud Logging에서 사용자에게 알림을 보낼 수 있습니다. Container Threat Detection에는 여러 감지 기능, 분석 도구, API가 포함되어 있습니다.

Container Threat Detection 감지 계측은 게스트 커널에서 하위 수준의 동작을 수집하여 다음 이벤트를 감지합니다.

  • 추가된 바이너리가 실행됨
  • 추가된 라이브러리가 로드됨
  • 역방향 셸

Container Threat Detection 자세히 알아보기

Cloud Data Loss Prevention

Cloud DLP 데이터 탐색을 사용하면 Security Command Center 대시보드 및 발견 항목 인벤토리에 직접 Cloud Data Loss Prevention(Cloud DLP) 스캔의 결과를 노출할 수 있습니다. Cloud DLP는 다음과 같은 민감한 정보와 개인 식별 정보(PII)를 더욱 잘 이해하고 관리하는 데 도움이 될 수 있습니다.

  • 신용카드 번호
  • 이름
  • 주민등록번호
  • 미국 및 특정 국제 식별 번호
  • 전화번호
  • Google Cloud 사용자 인증 정보

각 Cloud DLP 데이터 탐색에는 식별된 PII 데이터와 발견한 리소스의 카테고리 유형만 포함되어 있습니다. 특정 기본 데이터는 포함되지 않습니다.

가이드에 설명된 설정 단계를 완료하여 DLP API 결과를 Security Command Center로 전송하면 Cloud DLP 스캔 결과가 Security Command Center에 표시됩니다.

추가 정보:

Event Threat Detection

Event Threat Detection은 시스템 내의 로그 데이터를 사용합니다. 조직의 Cloud Logging 스트림을 하나 이상 조회하고 프로젝트를 사용할 수 있게 되면 이를 사용합니다. 위협이 감지되면 Event Threat Detection은 Security Command Center 및 Cloud Logging 프로젝트에 발견 항목을 기록합니다. Event Threat Detection은 Security Command Center 프리미엄 등급을 구독하면 자동으로 사용 설정되며, 발견 항목은 Security Command Center 대시보드에서 확인할 수 있습니다.

Event Threat Detection 발견 항목 예시에는 다음이 포함됩니다.

표 C. Event Threat Detection 유형
데이터 유출

Event Threat Detection은 다음 두 가지 시나리오에서 감사 로그를 검사하여 BigQuery에서 데이터 유출을 감지합니다.

  • 리소스가 조직 외부에 저장되거나 VPC 서비스 제어로 차단된 복사 작업이 시도된 경우
  • VPC 서비스 제어로 보호되는 BigQuery 리소스에 액세스하려는 작업이 시도된 경우
무작위 공격 SSH Event Threat Detection은 성공 이후의 반복적인 실패에 대해 syslog 로그를 검사하여 비밀번호 승인 SSH 무차별 사용을 감지합니다.
암호화폐 채굴 Event Threat Detection은 채굴 풀의 알려진 비정상 도메인 연결에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 코인 채굴 멀웨어를 감지합니다.
IAM 악용

이상 IAM 권한 부여: Event Threat Detection은 다음과 같이 이상으로 간주될 수 있는 IAM 권한의 추가를 감지합니다.

  • 프로젝트 편집자 역할을 사용하여 gmail.com 사용자를 정책에 추가
  • Google Cloud Console에서 gmail.com 사용자를 프로젝트 소유자로 초대
  • 민감한 권한을 부여하는 서비스 계정
  • 커스텀 역할이 민감한 권한 부여
  • 조직 외부에서 추가된 서비스 계정
멀웨어 Event Threat Detection은 알려진 명령어와 제어 도메인 연결 및 IP에 대한 VPC 플로우 로그와 Cloud DNS 로그를 검사하여 멀웨어를 감지합니다.
피싱 Event Threat Detection은 알려진 피싱 도메인과 IP의 연결에 대한 VPC 흐름 로그와 Cloud DNS 로그를 검사하여 피싱을 감지합니다.
발신 DoS Event Threat Detection은 VPC 흐름 로그를 검사하여 발신 서비스 거부 트래픽을 감지합니다.
비정상적인 IAM 동작
미리보기
Event Threat Detection은 비정상적인 IP 주소 및 비정상적인 사용자 에이전트로부터의 액세스에 대한 Cloud 감사 로그를 검사하여 비정상적인 IAM 동작을 감지합니다.
서비스 계정 자체 조사
미리보기
Event Threat Detection은 서비스 계정 사용자 인증 정보가 동일한 서비스 계정과 연결된 역할 및 권한을 조사하는 데 사용되면 이를 감지합니다.

Event Threat Detection 자세히 알아보기

Forseti 보안

Forseti 보안은 Google Cloud에 있는 모든 리소스를 이해할 수 있는 도구를 제공합니다. 핵심 Forseti 모듈은 함께 작동하여 리소스를 보호하고 보안 위험을 최소화하는 조치를 취할 수 있도록 전반적인 정보를 제공합니다.

Security Command Center에서 Forseti 위반 알림을 표시하려면 Forseti Security Command Center 알림 가이드를 참조하세요.

추가 정보:

피싱 보호

Phishing Protection은 브랜드를 악용하는 악성 콘텐츠를 분류하고 안전하지 않은 URL을 Google 세이프 브라우징에 보고하여 사용자가 피싱 사이트에 액세스하지 못하도록 막아줍니다. 사이트가 세이프 브라우징으로 전파되면 30억 개가 넘는 기기에서 사용자에게 경고가 표시됩니다.

Phishing Protection을 시작하려면 Phishing Protection 사용 설정 가이드를 따르세요. Phishing Protection을 사용 설정하면 Findings 아래의 Phishing Protection 카드 내에 있는 Security Command Center에 결과가 표시됩니다.

다음 단계