데이터 상주 계획

Security Command Center를 활성화할 때 데이터 상주를 사용 설정하려면 이 페이지에서 필요한 정보를 참조하세요.

조직에서 Security Command Center의 프리미엄 등급을 처음 활성화할 때만 데이터 상주에 대한 지원을 사용 설정할 수 있습니다. Enterprise 등급은 데이터 상주를 지원하지 않습니다.

데이터 상주가 사용 설정된 후에는 이를 사용 중지할 수 없습니다.

Security Command Center에서 데이터 상주를 사용 설정하면 리소스 위치와 일치하는 Security Command Center 위치에 데이터를 포함하거나 참조할 수 있는 모든 결과가 자동으로 저장됩니다.

마찬가지로 지속적 내보내기, BigQuery Export, 숨기기 규칙 구성은 필터에 데이터를 포함할 수 있으며 이 구성을 생성하는 Security Command Center 위치에 저장되며, 해당 위치의 발견 항목에만 적용됩니다.

발견 항목은 Security Command Center 감지 서비스 중 하나가 해당 환경에서 감지한 보안 문제에 대한 기록입니다. 발견 항목 레코드는 보안 문제 및 영향을 받는 리소스를 기술하는 속성으로 구성됩니다.

발견 항목 필터는 해당 속성과 속성 값을 참조하여 발견 항목을 선택합니다. 발견 항목 필터는 지속적 내보내기(NotificationConfig) 및 숨기기 규칙(muteConfig)의 구성에서 사용 및 저장됩니다.

데이터 상주의 컨텍스트 내에서 다음 정의가 적용됩니다.

• 위치는 데이터가 저장된 위치에 해당하는 Google Cloud 리전 또는 멀티 리전입니다.
• 사용자 데이터라는 용어의 의미는 Google Cloud 일반 서비스 약관에서 데이터 위치 항목에 있는 "고객 데이터"라는 용어의 의미와 동일합니다.

데이터 상주를 사용 설정하는 옵션은 Security Command Center의 표준 및 프리미엄 등급에서 모두 사용할 수 있습니다.

지원되는 데이터 위치

Security Command Center는 다음 Google Cloud 멀티 리전만 데이터 위치로 지원합니다.

유럽 연합(eu)

데이터가 유럽 연합 회원국 내의 Google Cloud 리전에 저장됩니다.

미국(us)

데이터가 미국에 있는 Google Cloud 리전에 저장됩니다.

전역(global)

데이터가 모든 Google Cloud 리전에서 저장 또는 처리될 수 있습니다. 데이터 상주가 사용 설정되지 않았으면 전역이 지원되는 유일한 위치입니다.

Security Command Center 위치에 대한 자세한 내용은 위치별 제공 제품을 참조하세요.

Security Command Center가 지원하지 않는 데이터 상주 기본 위치를 지정해야 하는 경우 계정 담당자 또는 Google Cloud 영업 전문가에게 문의하세요.

활성화 중 데이터 상주 사용 설정

조직에서 Security Command Center를 처음 활성화할 때만 데이터 상주를 사용 설정할 수 있습니다.

데이터 상주를 사용 설정하지 않으면 모든 Security Command Center 리소스 위치가 global로 설정되고 Security Command Center가 데이터 스토리지를 특정 위치로 제한하지 않습니다.

조직 수준 활성화가 필요합니다.

데이터 상주가 사용 설정된 후에는 이를 사용 중지하거나 기본 위치를 변경할 수 없습니다.

데이터 상주를 사용 설정하지 않고 프로젝트 또는 조직 수준에서 Security Command Center를 활성화하는 경우에는 나중에 Security Command Center에서 데이터 상주를 사용 설정할 수 없습니다. 데이터 상주를 사용해서 Security Command Center를 활성화하려면 새 Google Cloud 조직을 만들어야 합니다.

기본 데이터 위치

Security Command Center 데이터 상주를 사용 설정할 때 지정해야 하는 유일한 위치는 기본 Security Command Center 위치입니다. 이는 Security Command Center에서 리소스가 배포되는 위치에 따라 데이터를 저장할 위치가 결정되기 때문입니다.

Security Command Center는 기본 Security Command Center 위치만 사용해서 다음 리소스 유형에 적용되는 발견 항목을 저장합니다.

• Security Command Center가 지원하는 위치에 없는 리소스
• 메타데이터에 위치 사양이 없는 리소스

모든 지원되는 데이터 위치를 기본 위치로 선택할 수 있습니다.

여러 위치 또는 멀티 리전에 Google Cloud 리소스를 배포하는 글로벌 기업인 경우 전역 위치를 기본값으로 선택할 수 있습니다.

단일 위치에서만 비즈니스를 운영하는 경우에는 해당 위치를 기본 Security Command Center 위치로 선택할 수 있습니다.

Security Command Center API 및 데이터 상주

데이터 상주를 위해서는 Security Command Center API v2가 필요합니다.

데이터 상주가 사용 설정되었을 때 Security Command Center API를 사용하는 경우 v2가 사용 가능한 유일한 API입니다.

Security Command Center 리소스 및 데이터 상주

다음 목록은 Security Command Center에서 Security Command Center로 작업할 때 사용되는 리소스에 데이터 상주 제어가 적용되는 방식을 보여줍니다.

애셋

애셋 메타데이터는 데이터 상주 제어가 적용되지 않습니다. 애셋 메타데이터는 Cloud 애셋 인벤토리에 전역적으로 저장됩니다.

따라서 Security Command Center 애셋 페이지에는 해당 위치 또는 Google Cloud 콘솔 뷰에 설정하는 위치에 관계없이 항상 조직, 폴더, 프로젝트에 있는 모든 리소스가 표시됩니다. 하지만 데이터 상주가 사용 설정되었고 애셋 세부정보를 볼 때는 애셋에 영향을 줄 수 있는 발견 항목에 대한 정보가 애셋 페이지에 표시되지 않습니다.

공격 노출 점수 및 공격 경로

공격 노출 점수 및 공격 경로는 데이터 상주 제어가 적용되지 않으며 전역적으로 저장됩니다.

BigQuery Export

BigQuery Export 구성은 데이터 상주 제어가 적용되며 생성한 위치에 저장됩니다. 동일한 위치에 상주하는 발견 항목에만 적용됩니다.

지속적 내보내기

지속적 내보내기 구성은 데이터 상주 제어가 적용되며 생성한 위치에 저장됩니다. 동일한 위치에 상주하는 발견 항목에만 적용됩니다.

발견 항목

발견 항목은 데이터 상주 제어가 적용되며 영향을 받는 리소스가 있는 Security Command Center 위치에 저장됩니다. 영향을 받는 리소스가 지원되는 위치 외부에 있거나 위치 식별자가 없으면 리소스 인스턴스에 대한 발견 항목이 기본 위치에 저장됩니다.

숨기기 규칙

숨기기 규칙 구성은 데이터 상주 제어가 적용되며 생성한 위치에 저장됩니다. 동일한 위치에 상주하는 발견 항목에만 적용됩니다.

Security Command Center 설정

사용 설정되는 서비스 또는 활성화된 등급을 정의하는 것과 같은 대부분의 Security Command Center 설정은 데이터 상주 제어가 적용되지 않으며 전역적으로 저장됩니다. BigQuery Export, Pub/Sub로 지속적 내보내기, 숨기기 규칙에 대한 구성 설정은 예외입니다. 이러한 설정은 생성한 위치에 따라 달라집니다.

Google Cloud 콘솔에서 위치 데이터 보기

데이터 상주가 사용 설정되었고 Google Cloud 콘솔에서 위치를 선택하면 각 Security Command Center 페이지에 선택한 위치에 해당하는 발견 항목, 숨기기 규칙, 지속적 내보내기만 표시됩니다.

예를 들어 전역 뷰를 선택하면 전역 데이터만 표시됩니다. 다른 위치에서 발견 항목, 숨기기 규칙, 지속적 내보내기를 보려면 Google Cloud 콘솔 뷰를 다른 위치로 변경해야 합니다.

사용 설정 후 데이터 위치 확인

데이터가 포함된 Security Command Center 발견 항목 및 구성이 저장되는 위치는 데이터 상주가 사용 설정된 후 몇 가지 지점에서 확인됩니다.

• 사용자 또는 Security Command Center가 발견 항목 또는 구성을 생성하거나 만드는 경우
• 사용자가 발견 항목 또는 구성을 보거나 검색하는 경우

구성을 만들 때 위치 확인

지속적 내보내기, BigQuery Export, 숨기기 규칙을 만들면 Security Command Center가 결과 구성을 리소스로 저장됩니다. 지속적 내보내기 구성은 NotificationConfig 리소스로 저장되고, BigQuery Export 구성은 BiqQueryExport 리소스로 저장되고, 숨기기 규칙 구성은 MuteConfig 리소스로 저장됩니다.

내보내기 구성 또는 숨기기 규칙을 만들기 전에 이를 만들 위치를 선택해야 합니다. 선택한 위치는 내보내거나 숨기려는 발견 항목이 상주하는 위치입니다.

지속적 내보내기 또는 숨기기 규칙을 만들기 전에 Google Cloud 콘솔에서 Google Cloud 콘솔 뷰를 적절한 위치로 설정해야 합니다.

Security Command Center API 또는 Google Cloud CLI를 사용해서 지속적 내보내기 또는 숨기기 규칙을 만들 때는 notificationConfig 또는 muteConfig 구성을 만들기 위해 사용하는 API 호출 또는 gcloud 명령어에서 위치를 지정합니다.

구성 만들기에 대한 자세한 내용은 다음을 참조하세요.

• 지속적 내보내기 만들기:
  • 지속적 내보내기
  • API를 사용하여 알림 구성 만들기 및 관리
  • gcloud scc notifications create
• 숨기기 규칙 만들기:
  • 숨기기 규칙 만들기
  • gcloud scc muteconfigs create

발견 항목이 생성될 때 위치 확인

Security Command Center 서비스 중 하나가 환경에서 보안 문제를 감지하면 Security Command Center가 영향을 받는 리소스 위치에 따라 결과 발견 항목을 저장할 위치를 결정합니다.

영향을 받는 리소스가 Security Command Center에서 지원되는 데이터 위치에 있으면 Security Command Center가 발견 항목을 동일한 위치에 저장합니다.

영향을 받는 리소스가 지원되는 데이터 위치에 없거나 메타데이터에 위치가 지정되지 않은 경우 Security Command Center는 데이터 상주를 사용 설정할 때 지정한 기본 데이터 위치에 발견 항목을 저장합니다.

Security Command Center 데이터를 볼 때 위치 확인

Google Cloud 콘솔에서 특정 위치의 발견 항목, 숨기기 규칙, 지속적 내보내기를 보려면 먼저 Google Cloud 콘솔 뷰를 해당 위치로 설정해야 합니다.

Google Cloud 콘솔에서 프로젝트 선택기 바로 아래의 대부분의 Security Command Center 페이지 왼쪽 상단에서 뷰 위치를 설정합니다.

Google Cloud 콘솔 뷰가 특정 위치로 설정되었으면 Google Cloud 콘솔에 해당 위치에 상주하는 발견 항목, 숨기기 규칙, 지속적 내보내기만 표시됩니다.

API 또는 gcloud CLI를 사용하여 발견 항목 또는 구성을 검색하려면 발견 항목 또는 구성이 저장되는 위치를 지정해야 합니다.

기능 및 통합에 대한 데이터 상주 지원

데이터 상주가 사용 설정되었으면 다음 특성, 기능 및 다른 제품과의 통합이 지원되지 않습니다.

• AI 요약
• Web Security Scanner
• Rapid Vulnerability Detection

다음 단계

데이터 상주를 사용 설정하여 Security Command Center를 사용 설정하는 방법을 알아보려면 처음으로 조직의 Security Command Center 활성화를 참조하세요.