이 페이지는 Cloud Translation API를 통해 번역되었습니다.

데이터 보안 상황 관리 사용

이 문서에서는 데이터 보안 상황 관리 (DSPM)을 사용 설정하고 사용하는 방법을 설명합니다.

DSPM 사용 설정

조직 수준에서 DSPM을 사용 설정하려면 다음 단계를 완료하세요.

DSPM을 사용 설정하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 조직 관리자 (roles/resourcemanager.organizationAdmin)
- 보안 센터 관리자(roles/securitycenter.admin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
다음 방법 중 하나를 사용하여 DSPM을 사용 설정합니다.
- 조직에서 Security Command Center를 활성화하지 않은 경우 Security Command Center Enterprise를 활성화합니다.
- Security Command Center의 Enterprise 서비스 등급을 이미 활성화한 경우 DSPM 활성화 페이지를 사용하여 DSPM을 추가합니다.
  DSPM 활성화로 이동
DSPM으로 보호하려는 리소스의 검색을 사용 설정합니다.

DSPM을 사용 설정하면 다음 서비스도 사용 설정됩니다.

규정 준수 관리자를 사용하여 데이터 보안 프레임워크 및 클라우드 제어를 만들고, 적용하고, 관리합니다.
Sensitive Data Protection을 사용하여 기본 데이터 위험 평가에 데이터 민감도 신호를 사용합니다.
조직 수준에서 Event Threat Detection(Security Command Center의 일부)을 사용하여 데이터 액세스 거버넌스 클라우드 제어 및 데이터 흐름 거버넌스 클라우드 제어
AI 보호를 사용하여 AI 워크로드의 수명 주기를 보호합니다.

DSPM 서비스 에이전트 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)는 DSPM을 사용 설정할 때 생성됩니다.

DSPM Identity and Access Management 역할에 대한 자세한 내용은 조직 수준 활성화를 위한 Identity and Access Management를 참고하세요.

DSPM 대시보드 사용

대시보드를 사용하여 데이터 보안 상태를 분석하려면 다음 작업을 완료하세요.

DSPM 대시보드를 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 데이터 보안 상태 관리 관리자 (roles/dspm.admin)
- 보안 센터 관리자(roles/securitycenter.admin)
- 읽기 전용 액세스의 경우:
  - 데이터 보안 상태 관리 뷰어 (roles/dspm.viewer)
  - 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
데이터 검색 및 위험 분석에 DSPM 대시보드를 사용합니다. DSPM을 사용 설정하면 환경이 데이터 보안 및 개인 정보 보호 기본 프레임워크와 얼마나 일치하는지 즉시 평가할 수 있습니다.

콘솔에서 데이터 보호 아래의 데이터 보안 및 규정 준수 탭을 클릭합니다.

데이터 보안 대시보드로 이동

다음 정보를 확인할 수 있습니다.
- 데이터 지도 탐색기
- 데이터 보안 발견 항목
- 적용된 데이터 보안 관리 및 프레임워크에 관한 통계
이 정보를 사용하여 환경이 보안 및 규정 준수 요구사항에 더 잘 부합하도록 결과를 검토하고 수정하세요.

Security Command Center를 활성화한 후 데이터 맵 탐색기에 Security Command Center 및 Cloud Asset Inventory의 모든 데이터를 채우는 데 최대 24시간이 걸릴 수 있습니다.

맞춤 데이터 보안 프레임워크 만들기

필요한 경우 데이터 보안 및 개인 정보 보호 기본사항 프레임워크를 복사하고 데이터 보안 및 규정 준수 요구사항에 맞게 맞춤설정합니다. 자세한 내용은 프레임워크 적용을 참고하세요.

고급 데이터 보안 클라우드 제어 배포

필요한 경우 맞춤 프레임워크에 고급 데이터 보안 클라우드 컨트롤을 추가합니다. 이러한 제어를 사용하려면 추가 구성이 필요합니다. 클라우드 컨트롤 및 프레임워크를 배포하는 방법은 프레임워크 적용을 참고하세요.

다음 사항을 고려하세요.

각 고급 데이터 보안 클라우드 제어의 정보를 검토하여 제한사항을 확인하세요.

다음 표에 설명된 대로 각 규칙의 작업을 완료합니다.

규칙	추가 구성
데이터 액세스 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI (사용자 환경에 적용되는 경우)에 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 다음 형식 중 하나를 사용하여 허용된 주 구성원을 하나 이상 추가합니다 (최대 200명의 주 구성원). 사용자의 경우 `principal://goog/subject/USER_EMAIL_ADDRESS` 예: `principal://goog/subject/alex@example.com` 그룹의 경우 `principalSet://goog/group/GROUP_EMAIL_ADDRESS` 예: `principalSet://goog/group/my-group@example.com`
데이터 흐름 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI(사용자 환경에 적용되는 경우)에 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 유니코드 공통 언어 데이터 저장소 (CLDR)에 정의된 국가 코드를 사용하여 허용된 국가를 지정합니다.
데이터 보호 및 키 관리 클라우드 제어	BigQuery 및 Vertex AI에서 CMEK를 사용 설정합니다.
데이터 삭제 클라우드 컨트롤	보관 기간을 설정합니다. 예를 들어 보관 기간을 초 단위로 90일로 설정하려면 보관 기간을 `777600`로 설정합니다.

다음 단계

데이터 보안과 관련된 발견 항목을 검토합니다.