Security Health Analytics 발견 항목 문제 해결

>

이 페이지에서는 Security Command Center를 사용하여 Security Health Analytics 발견 항목을 해결하기 위한 참조 가이드 및 기술 목록을 제공합니다.

Security Health Analytics 문제 해결

BUCKET_LOGGING_DISABLED

보안 문제를 조사하고 저장용량 소비를 모니터링할 수 있도록 Cloud Storage 버킷에 대한 액세스 로그 및 저장용량 정보를 사용 설정하세요. 액세스 로그는 특정 버킷에서 이루어진 모든 요청에 대한 정보를 제공하고, 저장용량 로그는 해당 버킷의 저장용량 소비에 대한 정보를 제공합니다.

이 발견 항목을 해결하려면 액세스 로그 및 스토리지 로그 가이드를 완료하여 Security Health Analytics 발견 항목에서 지정한 버킷에 대한 로깅을 설정하세요.

CLUSTER_LOGGING_DISABLED

보안 문제를 조사하고 사용량을 모니터링할 수 있도록 클러스터에서 Cloud Logging을 사용 설정하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Logging 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Logging기존 Stackdriver Monitoring과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

CLUSTER_MONITORING_DISABLED

보안 문제를 조사하고 사용량을 모니터링할 수 있도록 클러스터에서 Cloud Monitoring을 사용 설정하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Monitoring 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Monitoring기존 Stackdriver Logging과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

KMS_ROLE_SEPARATION

조직에서 1명 이상의 구성원에게 여러 KMS 권한이 할당되었습니다. 계정이 다른 KMS 권한과 Cloud KMS 관리자 역할을 동시에 가지는 것은 권장되지 않습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 구성원 옆에 있는 편집을 클릭합니다.
  3. 권한을 삭제하려면 Cloud KMS 관리자 옆에 있는삭제 를 클릭합니다. 구성원의 모든 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  4. 저장을 클릭합니다.
  5. Security Health Analytics 발견 항목에 나열된 각 구성원에 대해 위 단계를 반복합니다.

LEGACY_AUTHORIZATION_ENABLED

Kubernetes에서 역할 기반 액세스 제어(RBAC)를 사용하면 권한 모음이 포함된 규칙으로 역할을 정의하고 클러스터 및 네임스페이스 수준에서 권한을 부여할 수 있습니다. 이를 통해 사용자가 특정 리소스에 대한 액세스 권한만 가지게 되므로 보안이 강화됩니다. 기존 속성 기반 액세스 제어(ABAC)는 사용 중지하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 승인 드롭다운 목록에서 사용 중지됨을 선택합니다.

  5. 저장을 클릭합니다.

MASTER_AUTHORIZED_NETWORKS_DISABLED

마스터 승인 네트워크는 지정된 IP 주소에서 클러스터의 제어 영역에 액세스할 수 없도록 차단하여 컨테이너 클러스터의 보안을 강화합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 마스터 승인 네트워크 드롭다운 목록에서 사용 설정을 선택하세요.

  5. 승인된 네트워크 추가를 클릭합니다.

  6. 사용할 승인 네트워크를 지정하세요.

  7. 저장을 클릭합니다.

NETWORK_POLICY_DISABLED

기본적으로 Pod 간 통신이 열립니다. 열려 있는 통신을 통해 NAT 유무에 상관없이 여러 노드의 Pod를 직접 연결할 수 있습니다. NetworkPolicy는 Pod 수준의 방화벽과 같이 NetworkPolicy에서 명시적으로 연결을 허용하지 않는 한 Pod 간의 연결을 제한합니다. 네트워크 정책 정의 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 마스터 네트워크 정책노드 네트워크 정책 드롭다운 목록에서 사용 설정됨을 선택합니다.

  5. 저장을 클릭합니다.

NON_ORG_IAM_MEMBER

조직 외부의 사용자에게 프로젝트 또는 조직의 IAM 권한이 있습니다. IAM 권한에 대해 자세히 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. 조직 외부 사용자 옆의 체크박스를 선택합니다.
  3. 삭제를 클릭합니다.

OBJECT_VERSIONING_DISABLED

삭제하거나 덮어쓴 객체를 검색할 수 있도록 Cloud Storage는 객체 버전 관리 기능을 제공합니다. Cloud Storage 데이터를 덮어쓰거나 실수로 삭제하지 않도록 하려면 객체 버전 관리를 사용하세요. 객체 버전 관리 사용 설정 방법을 알아보세요.

이 발견 항목을 해결하려면 gsutil versioning set on 명령어를 gsutil versioning set on gs://finding.assetDisplayName와 같이 적절한 값으로 사용합니다.

OPEN_FIREWALL

0.0.0.0/0와 같은 모든 IP 주소의 연결을 허용하는 방화벽 규칙은 의도하지 않은 소스의 공격에 리소스를 불필요하게 노출할 수 있습니다. 이러한 규칙을 삭제하거나 의도한 소스 IP 범위로 명시적으로 범위를 지정해야 합니다. 방화벽 규칙 삭제에 대해 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 방화벽 규칙 페이지로 이동합니다.
    방화벽 규칙 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 방화벽 규칙을 클릭한 다음 수정을 클릭합니다.
  3. 소스 IP 범위에서 허용되는 IP 범위를 제한하도록 IP 값을 수정합니다.

OS_LOGIN_DISABLED

OS 로그인은 프로젝트의 모든 인스턴스에서 IAM으로 중앙 집중식 SSH 키 관리를 사용 설정하고 메타데이터 기반 SSH 키 구성을 사용 중지합니다. OS 로그인을 설정하고 구성하는 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 메타데이터 페이지로 이동합니다.
    메타데이터 페이지로 이동
  2. 수정을 클릭한 후 항목 추가를 클릭합니다.
  3. enable-oslogin 키와 TRUE 값이 포함된 항목을 추가합니다.

POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy는 클러스터에서 Pod 생성 및 업데이트 요청을 검증하는 허용 컨트롤러 리소스입니다. PodSecurityPolicy는 클러스터에서 허용되도록 Pod가 충족해야 하는 조건 집합을 정의합니다.

이 발견 항목을 교정하려면 PodSecurityPolicies를 정의하고 승인하고 PodSecurityPolicy 컨트롤러를 사용 설정하세요. 자세한 내용은 PodSecurityPolicies 사용 가이드를 참조하세요.

PRIVATE_CLUSTER_DISABLED

비공개 클러스터에서는 노드에 내부 IP 주소만 지정할 수 있습니다. 따라서 노드의 아웃바운드 인터넷 액세스가 제한됩니다. 클러스터 노드에 공개 IP 주소가 없으면 공개 인터넷에 검색되거나 노출되지 않습니다. 내부 부하 분산기를 통해 노드에 트래픽을 계속 라우팅할 수 있습니다.

기존 클러스터를 비공개로 설정할 수 없습니다. 이 발견 항목을 수정하려면 새 비공개 클러스터를 만듭니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. 클러스터 만들기를 클릭합니다.
  3. 가용성, 네트워킹, 보안, 추가 기능을 클릭한 후 VPC 네이티브(별칭 IP 사용)비공개 클러스터 체크박스를 선택합니다.
  4. 만들기를 클릭합니다.

PUBLIC_BUCKET_ACL

Security Health Analytics가 표시한 버킷은 공개 상태이며 인터넷상의 누구나 액세스할 수 있습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Storage 브라우저 페이지로 이동합니다.
    Storage 브라우저
  2. Security Health Analytics 발견 항목 목록에 나열된 버킷을 선택합니다.
  3. 버킷 세부정보 페이지에서 권한 탭을 클릭합니다.
  4. 역할에서 삭제를 클릭해 allUsersallAuthenticatedUsers에 부여된 모든 IAM 권한을 삭제하세요.

SERVICE_ACCOUNT_ROLE_SEPARATION

조직에서 1명 이상의 구성원에게 여러 서비스 계정 권한이 할당되었습니다. 계정이 다른 서비스 계정 권한과 서비스 계정 관리자 역할을 동시에 가지는 것은 권장되지 않습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 구성원 옆에 있는 편집을 클릭합니다.
  3. 권한을 삭제하려면 서비스 계정 관리자 옆에 있는 삭제 를 클릭하세요. 모든 서비스 계정 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  4. 저장을 클릭합니다.
  5. Security Health Analytics 발견 항목에 나열된 각 구성원에 대해 위 단계를 반복합니다.

SQL_NO_ROOT_PASSWORD

Security Health Analytics에 표시된 MySQL 데이터베이스 인스턴스에는 루트 계정에 설정된 비밀번호가 없습니다.

이 발견 항목을 수정하려면 MySQL 데이터베이스 인스턴스에 비밀번호를 추가합니다.

  1. Cloud Console의 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에 있는 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

SQL_WEAK_ROOT_PASSWORD

Security Health Analytics 발견 항목에 표시된 MySQL 데이터베이스 인스턴스의 루트 계정 비밀번호가 취약합니다.

이 발견 항목을 수정하려면 MySQL 데이터베이스 인스턴스에 안전한 비밀번호를 설정합니다.

  1. Cloud Console의 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에 있는 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

SSL_NOT_ENFORCED

암호화되지 않은 통신을 통해 전송 중인 민감한 정보가 노출되지 않도록 하려면 SQL 데이터베이스 인스턴스로 들어오는 모든 연결에 SSL을 사용해야 합니다. SSL/TLS 구성에 대해 자세히 알아보세요.

이러한 발견 항목을 해결하려면 SQL 인스턴스의 SSL 연결만 허용해야 합니다.

  1. Cloud Console의 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 연결 탭에서 SSL 연결만 허용을 클릭합니다.

WEB_UI_ENABLED

Kubernetes 웹 UI는 권한이 높은 Kubernetes 서비스 계정으로 지원되며, 서비스 계정이 도용되면 악용될 수 있습니다. Cloud Console을 이미 사용 중이면 Kubernetes 웹 UI가 공격에 취약한 부분을 불필요하게 확장합니다. Kubernetes 웹 UI 사용 중지에 대해 알아보세요.

이 발견 항목을 해결하려면 Kubernetes 웹 UI를 사용 중지합니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 사용 중지될 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 부가기능을 클릭합니다. 섹션이 확장되면서 사용 가능한 부가기능이 표시됩니다.

  5. Kubernetes 대시보드 드롭다운 목록에서 사용 중지를 선택합니다.

  6. 저장을 클릭합니다.

WORKLOAD_IDENTITY_DISABLED

워크로드 ID는 향상된 보안 속성 및 관리 편의성으로 인해 GKE 내에서 Google Cloud 서비스에 액세스하는 데 권장되는 방식입니다. 사용 설정하면 클러스터에서 실행되는 사용자 워크로드에서 잠재적으로 민감한 시스템 메타데이터가 보호됩니다. 메타데이터 숨김에 대해 알아보세요.

이러한 발견 항목을 해결하려면 기존 클러스터에서 워크로드 아이덴티티 사용 설정 가이드를 참조하세요.