보안 시작 영역 서비스 발견 항목 해결

배포된 청사진의 보안 정책이 위반되면 보안 시작 영역 서비스에서 이러한 위반 사항이 감지되고 발견 항목이 생성됩니다. 식별된 보안 상태에 따라 보안 시작 영역 서비스가 전체 또는 부분 해결을 수행하는 자동 응답을 트리거하거나 위반 사항에 대한 수동 해결을 요구하는 알림을 트리거합니다.

보안 시작 영역 서비스가 보안 데이터 웨어하우스 청사진에 대해 사용 설정된 경우 배포된 청사진의 보안 위반 사항을 확인합니다. 보안 정책이 위반된 것으로 확인되면 보안 시작 영역 서비스가 발견 항목을 표시합니다. 발견 항목에 대한 응답으로 보안 시작 영역 서비스가 다음을 수행합니다.

  • 전체 해결의 경우 정책 위반을 복원하기 위한 해결 플레이북이 트리거됩니다. 그런 후 해당 Security Command Center 발견 항목이 업데이트되어 응답에 대한 세부정보가 로깅됩니다.
  • 일부 위반 사항의 경우 발견 항목이 생성됩니다. 발견 항목은 정책 위반 해결을 위한 수동 해결 단계가 필요합니다. 이러한 발견 항목에 대해 자동 알림을 생성하려면 Pub/Sub에 대한 발견 항목 알림 사용 설정을 참조하세요.

스테이트풀(Stateful) 발견 항목

이러한 발견 항목은 배포 내 구성 리소스, 서비스, 데이터의 구성 및 취약점 상태에 해당합니다.
테이블 1. 보안 시작 영역 서비스 - 스테이트풀(Stateful) 발견 항목
카테고리 발견 항목 설명 다음 단계
Domain restricted sharing (DRS) organization policy changed at project level 조직 정책에서 리소스의 IAM 허용 정책 수정을 청사진에 지정된 도메인 구성원으로만 제한하는 변경사항이 발생했습니다. 전체 해결

원래 DRS 설정이 프로젝트 수준에서 자동으로 복원됩니다.

Project containing buckets must enforce uniform bucket-level access

이 프로젝트의 버킷에 대해 데이터 무단 반출 위험이 증가했습니다. 이 위반으로 인해 객체 액세스가 버킷 수준 IAM 권한을 통해 제어되는 대신 개별 객체 수준에서 부여될 수 있습니다. 전체 해결

원래의 균일한 버킷 수준 설정은 프로젝트 수준에서 자동으로 복원됩니다.

Fine grained access control enabled on bucket

이 프로젝트의 버킷에 대해 데이터 무단 반출 위험이 증가했습니다. 이 위반으로 인해 객체 액세스가 버킷 수준 IAM 권한을 통해 제어되는 대신 개별 객체 수준에서 부여될 수 있습니다. 전체 해결

원래의 균일한 버킷 수준 설정은 프로젝트 수준에서 자동으로 복원됩니다.

Detailed audit log mode disabled at project level Cloud Storage 작업에 대한 자세한 요청 및 응답 정보가 사용 중지되었습니다. 이로 인해 캡처되는 데이터의 완전성이 제한될 수 있습니다. 스토리지 리소스의 규제 준수에 영향을 줄 수 있습니다. 전체 해결

원래의 자세한 감사 로그 모드 정책이 프로젝트 수준에서 자동으로 복원됩니다.

Public bucket exposure 인터넷 액세스 권한이 있는 누구나 버킷 또는 개별 객체의 데이터를 검색, 수정, 유출할 수 있고 이 리소스에 대한 IAM 정책을 제어할 수 있습니다. 전체 해결

AllUsersAllAuthenticatedUsers 권한이 버킷에서 자동으로 삭제됩니다.

Public resource exposure 인터넷 액세스 권한이 있는 누구나 청사진에 지정된 리소스(예: BigQuery, Pub/Sub, Cloud Storage, Cloud Key Management Service, Data Catalog 리소스)에서 데이터를 검색, 수정, 유출할 수 있습니다. 전체 해결

AllUsersAllAuthenticatedUsers 권한이 리소스에서 자동으로 삭제됩니다.

Cloud Storage bucket Public Access Prevention (PAP) not enforced 기존 및 이후 스토리지 리소스가 공개 인터넷을 통해 액세스되지 않도록 방지하는 조직 정책이 적용됩니다. 이 작업은 AllUsersAllAuthenticatedUsers에 액세스를 부여하는 액세스 제어 목록 및 IAM 권한을 사용 중지하고 차단하여 수행됩니다. 전체 해결

원래 PAP 설정이 프로젝트 수준에서 복원됩니다.

CMEK disabled or not in use for service that stores data BigQuery, Pub/Sub, Cloud Storage와 같은 데이터를 저장하는 청사진 배포에서 각 서비스에 대해 CMEK를 사용 설정하고 사용해야 합니다. 발견 항목이 생성됩니다.

예상된 정책 구성 및 감지된 위반 사이의 차이를 검토해야 합니다.

수동 해결

다음 중 하나를 실행하세요.

동작 발견 항목

이러한 발견 항목은 배포된 리소스, 서비스, 데이터에서 발생하는 이벤트(작업 또는 위협)에 대한 제약조건에 해당합니다.
테이블 2. 보안 시작 영역 서비스 - 동작 발견 항목
카테고리 발견 항목 설명 다음 단계
Suspicious behavior: Public bucket exposure and bucket logging have been disabled 버킷이 공개되고 로깅이 사용 중지된 의심스러운 이벤트 조합이 발생했습니다. 전체 해결

AllUsersAllAuthenticatedUsers 권한이 버킷에서 자동으로 삭제됩니다. 버킷 로깅 정책이 프로젝트 수준에서 자동으로 복원됩니다.

Deletion of any resource in a blueprinted deployment 원본 청사진 리소스의 삭제를 감지합니다. 발견 항목이 생성됩니다.

예상된 제약조건과 감지된 위반 사이의 차이를 검토해야 합니다.

수동 해결

원본 Terraform 청사진을 재배포해야 합니다.

Suspicious behavior: Resource exposed publicly and the resource data access logging has been disabled. 리소스에서 AllUsersAllAuthenticatedUsers 권한을 부여하여 리소스(예: Pub/Sub 또는 Cloud Key Management Service 리소스)가 공개되고 해당 데이터 액세스 로깅이 사용 중지된 의심스러운 이벤트 조합이 감지되었습니다.

부분 해결

AllUsersAllAuthenticatedUsers 권한이 리소스에서 자동으로 삭제됩니다.

예상된 정책 구성 및 감지된 위반 사이의 차이를 검토해야 합니다.

수동 해결

다음 중 하나를 실행하세요.

Event Threat Detection: Possible data exfiltration from BigQuery BigQuery 테이블에서 비정상적인 쿼리 시도.

발견 항목이 생성됩니다.

Event Threat Detection: Possible data exfiltration from BigQuery BigQuery 테이블이 외부 대상에 복사되었습니다.

발견 항목이 생성됩니다.

환경 발견 항목

이러한 발견 항목은 제약조건과 리소스 및 데이터 주변의 환경과 연관된 상태 및 동작에 해당하며 배포와 상호작용합니다.
테이블 3. 보안 시작 영역 서비스 - 환경 발견 항목
카테고리 발견 항목 설명 다음 단계
VPC service perimeter configuration has changed - 삭제된 프로젝트 특정 VPC 서비스 경계로 보호되어야 하는 청사진 배포에 구성된 프로젝트 중 하나가 더 이상 해당 경계로 보호되지 않습니다. 발견 항목이 생성됩니다.

예상된 제약조건과 감지된 위반 사이의 차이를 검토해야 합니다.

수동 해결

다음 중 하나를 실행하세요.
VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services GCS enabled in the blueprint has been removed 서비스 경계에 액세스하기 위해 청사진 배포에 구성된 Cloud Storage 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services BQ enabled in the blueprint has been removed 서비스 경계에 액세스를 위해 청사진 배포에 구성된 BigQuery 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Cloud KMS enabled in the blueprint has been removed 서비스 경계에 액세스를 위해 청사진 배포에 구성된 Cloud Key Management Service 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Pub/Sub enabled in the blueprint has been removed 서비스 경계에 액세스하기 위해 청사진 배포에 구성된 Pub/Sub 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Dataflow enabled in the blueprint has been removed 서비스 경계에 액세스하기 위해 청사진 배포에 구성된 Dataflow 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Data Catalog enabled in the blueprint has been removed 서비스 경계에 액세스하기 위해 청사진 배포에 구성된 Data Catalog 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

VPC service perimeter configuration has been changed. Access to a VPC perimeter for one of the original allowed services Sensitive Data Protection enabled in the blueprint has been removed 서비스 경계에 액세스할 수 있도록 청사진 배포에 구성된 민감한 정보 보호 리소스가 허용되는 서비스 목록에서 삭제되었습니다.

전체 해결

삭제된 서비스가 자동으로 복원됩니다. 특정 VPC 서비스 제어 경계에 대해 제한되는 서비스 목록이 자동으로 업데이트됩니다.

Customer specified label has been removed from a blueprint deployed resource 청사진 배포 시 연결된 고객 지정 라벨이 적용되고 런타임에 변경되지 않아야 합니다.

전체 해결

실제 리소스의 원래 라벨이 자동으로 복원됩니다.

수동 해결 단계

이 섹션에는 수동 해결 단계를 요구하는 보안 시작 영역 서비스 발견 항목에 대한 안내가 포함되어 있습니다.

데이터 저장 서비스에 대해 사용 중지된 또는 사용되지 않는 CMEK

CMEK를 사용하는 경우, Cloud KMS에서 만들고 관리하는 키가 Google Cloud에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 자세한 내용은 Cloud KMS 키로 데이터 보호를 참조하세요.

데이터를 저장하는 서비스에 사용되지 않는 CMEK

BigQuery 테이블은 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않습니다.

이 발견 항목을 해결하려면 다음을 수행하세요.

  1. Cloud Key Management Service로 보호되는 테이블을 만듭니다.
  2. 새 CMEK가 사용 설정된 테이블에 테이블을 복사합니다.
  3. 원본 테이블을 삭제합니다.

데이터 세트의 모든 새 테이블을 암호화하는 기본 CMEK 키를 설정하려면 데이터 세트 기본 키 설정을 참조하세요.

CMEK 사용 중지됨

BigQuery 데이터 세트는 기본 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않습니다.

이 발견 항목을 해결하려면 다음을 수행하세요.

기본 암호화와 CMEK 암호화 간에 테이블을 전환할 수 없습니다. 데이터 세트의 모든 새 테이블을 암호화하는 기본 CMEK 키를 설정하려면 데이터 세트 기본 키 설정 안내를 따르세요.

기본 키를 설정해도 현재 데이터 세트에 있는 테이블이 새 키로 다시 암호화되지 않습니다. 기존 데이터에 CMEK를 사용하려면 다음을 수행합니다.

  1. 새 데이터 세트를 만듭니다.
  2. 만든 데이터 세트에서 기본 CMEK 키를 설정합니다.
  3. CMEK 사용 설정 데이터 세트에 테이블을 복사하려면 테이블 복사 안내를 따르세요.
  4. 데이터를 복사하면 원본 데이터 세트를 삭제할 수 있습니다.

의심스러운 동작: 리소스가 공개적으로 노출되고 리소스 데이터 액세스 로깅이 사용 중지됨

이 리소스에 대한 감사 로깅이 사용 중지되었습니다.

모든 서비스가 사용자 데이터에 대한 모든 관리자 활동, 읽기 액세스, 쓰기 액세스를 추적하도록 Cloud Logging을 사용 설정합니다. 정보의 수량에 따라 Cloud Logging 비용이 클 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud Observability 비용 최적화를 참조하세요. 참고하세요.

이 발견 항목을 해결하려면 다음을 수행하세요.

  1. Google Cloud Console에서 기본 감사 구성 페이지로 이동합니다.

    기본 감사 구성으로 이동

  2. 로그 유형 탭에서 관리자 읽기, 데이터 읽기, 데이터 쓰기를 선택합니다.

  3. 저장을 클릭합니다.

  4. 면제 사용자 탭에서 각 이름 옆에 있는 삭제 를 클릭하여 나열된 모든 사용자를 삭제합니다.

  5. 저장을 클릭합니다.

VPC 서비스 경계 구성이 변경됨 - 삭제된 프로젝트

프로젝트가 서비스 경계에서 삭제된 경우 다음을 수행하여 삭제된 프로젝트를 복원합니다.

  1. Google Cloud Console 탐색 메뉴에서 보안을 클릭한 다음 VPC 서비스 제어를 클릭합니다.

    VPC 서비스 제어 페이지로 이동

  2. 메시지가 표시되면 조직을 선택합니다.

  3. Security Command Center 페이지의 표에서 수정하려는 서비스 경계의 이름을 클릭합니다.

  4. VPC 서비스 경계 수정 페이지에서 서비스 경계를 업데이트합니다.

  5. 서비스 경계에서 삭제된 프로젝트를 복원하려면 다음을 수행합니다.

    1. 프로젝트를 클릭합니다.
    2. 프로젝트 창에서 프로젝트 추가를 클릭합니다.
    3. 삭제된 프로젝트를 프로젝트 목록에 다시 추가합니다.

  6. 저장을 클릭합니다.