Security Health Analytics 발견 항목 문제 해결

>

이 페이지에서는 Security Command Center를 사용하여 Security Health Analytics 발견 항목을 해결하기 위한 참조 가이드 및 기술 목록을 제공합니다.

발견 항목을 보거나 편집하고, Google Cloud 리소스를 액세스 또는 수정하려면 적합한 Identity and Access Management(IAM) 역할이 필요합니다. Security Command Center 대시보드에서 액세스 오류가 발생하면 관리자에게 지원을 요청하고 액세스 제어에서 역할에 대해 알아보세요. 리소스 오류를 해결하려면 영향을 받는 제품 관련 문서를 참조하세요.

Security Health Analytics 문제 해결

이 섹션에는 모든 Security Health Analytics 발견 항목에 대한 해결 안내가 포함되어 있습니다.

ADMIN_SERVICE_ACCOUNT

조직의 서비스 계정에 관리자, 소유자, 편집자 권한이 할당되었습니다. 이러한 역할은 포괄적인 권한을 가지며, 서비스 계정에 할당되지 않아야 합니다. 서비스 계정 및 여기에 사용할 수 있는 역할에 대해 자세히 알아보려면 서비스 계정을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. IAM 정책 페이지로 이동합니다.
    IAM 정책으로 이동
  2. 발견 항목에서 식별된 각 발견 항목에 식별된 각 주 구성원에 대해 다음 안내를 따르세요.
    1. 주 구성원 옆에 있는 수정 을 클릭합니다.
    2. 권한을 삭제하려면 문제가 되는 역할 옆에 있는 삭제 를 클릭합니다.
    3. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

API_KEY_APIS_UNRESTRICTED

API 키가 너무 광범위하게 사용되고 있습니다.

제한되지 않은 API 키는 키가 저장된 기기에서 가져오거나 공개적으로(예: 브라우저 내에서) 표시될 수 있기 때문에 안전하지 않습니다. 최소 권한의 원칙에 따라 애플리케이션에 필요한 API만 호출하도록 API 키를 구성하세요. 자세한 내용은 API 키 사용을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. API 키 페이지로 이동합니다.
    API 키로 이동
  2. 각 API 키마다 다음을 수행합니다.
    1. 수정 을 클릭합니다.
    2. API 제한사항에서 키 제한을 클릭합니다.
    3. API 선택 드롭다운 목록에서 허용할 API를 선택합니다.
    4. 저장을 클릭합니다. 설정이 적용되려면 최대 5분이 걸릴 수 있습니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

API_KEY_APPS_UNRESTRICTED

무제한으로 사용 중인 API 키가 있으며 신뢰할 수 없는 앱에서 사용할 수 있습니다.

제한되지 않은 API 키는 키가 저장된 기기에서 가져오거나 공개적으로 표시(예: 브라우저 내에 표시)될 수 있으므로 안전하지 않습니다. 최소 권한의 원칙에 따라 API 키 사용을 신뢰할 수 있는 호스트, HTTP 리퍼러, 앱으로 제한하세요. 자세한 내용은 애플리케이션 제한사항 추가를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. API 키 페이지로 이동합니다.
    API 키로 이동
  2. 각 API 키마다 다음을 수행합니다.
    1. 수정 을 클릭합니다.
    2. 애플리케이션 제한사항에서 제한 카테고리를 선택합니다. 키별로 애플리케이션 제한사항 1개를 설정할 수 있습니다.
    3. 항목 추가를 클릭하여 애플리케이션의 요구사항에 따라 제한사항을 추가합니다.
    4. 항목 추가가 완료되면 완료를 클릭합니다.
    5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

API_KEY_EXISTS

프로젝트에서 표준 인증 대신 API 키를 사용합니다.

API 키는 암호화된 간단한 문자열이고 다른 사람이 쉽게 찾아서 사용할 수 있으므로 안전하지 않습니다. 이러한 키는 키가 저장된 기기에서 가져오거나 공개적으로 표시(예: 브라우저 내에 표시)될 수 있습니다. 또한 API 키는 요청을 수행하는 사용자 또는 애플리케이션을 고유하게 식별하지 않습니다. 대신 표준 인증 흐름을 사용하세요. 자세한 내용은 최종 사용자로 인증을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 애플리케이션이 대체 인증 형식으로 구성되었는지 확인합니다.
  2. API 사용자 인증 정보 페이지로 이동합니다.
    API 사용자 인증 정보로 이동
  3. API 키 섹션에서 모든 API 키 옆에 있는 삭제 를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

API_KEY_NOT_ROTATED

API 키가 90일 이상 순환되지 않았습니다.

API 키는 만료되지 않으므로 도난당하면 프로젝트 소유자가 키를 취소하거나 순환하지 않는 한 무한정 사용 가능합니다. API 키를 자주 재생성하면 도난당한 API 키로 보안 침해되었거나 해지된 계정의 데이터에 액세스할 수 있는 시간이 줄어듭니다. 최소 90일마다 API 키를 순환하는 것이 좋습니다. 자세한 내용은 API 키 보안을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. API 키 페이지로 이동합니다.
    API 키로 이동
  2. 각 API 키마다 다음을 수행합니다.
    1. 생성일 아래의 날짜를 확인합니다.
    2. 키가 90일 이상 되었으면 키 이름 또는 수정 을 누릅니다.
    3. 페이지 상단에서 키 다시 생성을 클릭합니다.
    4. 키 교체를 클릭합니다.
    5. 애플리케이션이 중단되지 않고 계속 작동할 수 있도록 새 API 키를 사용하도록 업데이트합니다. 이전 API 키는 24시간 동안 작동한 후 영구적으로 비활성화됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

AUDIT_CONFIG_NOT_MONITORED

로그 측정항목 및 알림은 감사 구성 변경사항을 모니터링하도록 구성되지 않습니다.

Cloud Logging은 보안 분석, 리소스 변경 추적, 규정 준수 감사를 사용 설정하는 관리자 활동 및 데이터 액세스 로그를 생성합니다. 감사 구성 변경사항을 모니터링하면 프로젝트의 모든 활동을 언제든지 감사할 수 있습니다. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 필요에 따라 측정항목을 만들고 알림 정책을 만듭니다.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      protoPayload.methodName="SetIamPolicy"
      AND protoPayload.serviceData.policyDelta.auditConfigDeltas:*
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

AUDIT_LOGGING_DISABLED

이 리소스에 대한 감사 로깅이 사용 중지되었습니다.

모든 서비스가 모든 관리 활동, 사용자 데이터에 대한 읽기 액세스, 쓰기 액세스를 추적하도록 Cloud Logging을 사용 설정합니다. 정보의 양에 따라 Cloud Logging 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 기본 감사 구성 페이지로 이동합니다.
    기본 감사 구성으로 이동
  2. 로그 유형 탭에서 관리자 읽기, 데이터 읽기, 데이터 쓰기를 선택합니다.
  3. 저장을 클릭합니다.
  4. 면제 사용자 탭에서 각 이름 옆에 있는 삭제 를 클릭하여 나열된 모든 사용자를 삭제합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

AUTO_BACKUP_DISABLED

Cloud SQL 데이터베이스에는 자동 백업이 사용 설정되어 있지 않습니다.

데이터 손실 방지를 위해 SQL 인스턴스의 자동 백업을 사용 설정합니다. 자세한 내용은 온디맨드 및 자동 백업 만들기 및 관리를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. SQL 인스턴스 백업 페이지로 이동합니다.
    SQL 인스턴스 백업으로 이동
  2. 설정 옆에 있는 수정 을 클릭합니다.
  3. 백업 자동화 상자를 선택합니다.
  4. 드롭다운 메뉴에서 데이터를 자동으로 백업할 기간을 선택합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

AUTO_REPAIR_DISABLED

노드를 정상 상태로 유지하는 Google Kubernetes Engine(GKE) 클러스터의 자동 복구 기능이 사용 중지됩니다.

이 기능이 사용 설정되면 GKE는 클러스터의 각 노드 상태를 주기적으로 확인합니다. 노드가 장시간 동안 연이어 상태 검사에 실패하는 경우, GKE는 노드의 복구 프로세스를 시작합니다. 자세한 내용은 노드 자동 복구를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동

  2. 노드 탭을 클릭합니다.

  3. 각 노드 풀마다 다음을 수행합니다.

    1. 노드 풀 이름을 클릭하여 해당 세부정보 페이지로 이동합니다.
    2. 수정 을 클릭합니다.
    3. 관리에서 자동 복구 사용 설정을 선택합니다.
    4. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

AUTO_UPGRADE_DISABLED

클러스터 및 노드 풀을 Kubernetes의 최신 안정화 버전으로 유지하는 GKE 클러스터의 자동 업그레이드 기능이 사용 중지되어 있습니다.

자세한 내용은 노드 자동 업그레이드를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. 클러스터 목록에서 클러스터 이름을 클릭합니다.
  3. 노드 탭을 클릭합니다.
  4. 각 노드 풀마다 다음을 수행합니다.
    1. 노드 풀 이름을 클릭하여 해당 세부정보 페이지로 이동합니다.
    2. 수정 을 클릭합니다.
    3. 관리에서 자동 업그레이드 사용 설정을 선택합니다.
    4. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

BUCKET_CMEK_DISABLED

버킷이 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다.

버킷에서 기본 CMEK를 설정하면 데이터 액세스를 더 세밀하게 제어할 수 있습니다. 자세한 내용은 고객 관리 암호화 키를 참조하세요.

이 발견 항목을 해결하려면 고객 관리 암호화 키 사용에 따라 버킷에 CMEK를 사용합니다. CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

BUCKET_IAM_NOT_MONITORED

로그 측정항목 및 알림은 Cloud Storage IAM 권한 변경을 모니터링하도록 구성되지 않습니다.

Cloud Storage 버킷 권한의 변경사항을 모니터링하면 다른 권한이 부여된 사용자 또는 의심스러운 활동을 식별하는 데 도움이 됩니다. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      resource.type=gcs_bucket
      AND protoPayload.methodName="storage.setIamPermissions"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

BUCKET_LOGGING_DISABLED

로깅이 사용 설정되지 않은 스토리지 버킷이 있습니다.

보안 문제를 조사하고 저장용량 소비를 모니터링할 수 있도록 Cloud Storage 버킷에 대한 액세스 로그 및 저장용량 정보를 사용 설정하세요. 액세스 로그는 특정 버킷에서 이루어진 모든 요청에 대한 정보를 제공하고, 스토리지 로그는 해당 버킷의 스토리지 소비에 대한 정보를 제공합니다.

이 발견 항목을 해결하려면 사용량 로그 및 스토리지 로그 가이드를 완료하여 Security Health Analytics 발견 항목에서 지정한 버킷에 대한 로깅을 설정하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

BUCKET_POLICY_ONLY_DISABLED

이전에 버킷 전용 정책이라고 불렀던 버킷 수준 액세스는 구성되지 않습니다.

균일한 버킷 수준 액세스를 사용하면 객체 수준 권한(ACL)을 사용 중지하여 버킷 액세스 제어가 간소화됩니다. 사용 설정된 경우 버킷 수준 IAM 권한만 버킷 및 여기에 포함된 객체에 대한 액세스 권한을 부여합니다. 자세한 내용은 균일한 버킷 수준 액세스를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Storage 브라우저 페이지로 이동합니다.
    Cloud Storage 브라우저로 이동
  2. 버킷 목록에서 원하는 버킷 이름을 클릭합니다.
  3. 구성 탭을 클릭합니다.
  4. 권한 아래의 액세스 제어 행에서 수정 아이콘()을 클릭합니다.
  5. 대화상자에서 균일을 선택합니다.
  6. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

CLUSTER_LOGGING_DISABLED

GKE 클러스터에 로깅이 사용 설정되지 않았습니다.

보안 문제 조사를 돕고 사용량을 모니터링하려면 클러스터에서 Cloud Logging을 사용 설정합니다.

정보의 양에 따라 Cloud Logging 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Logging 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Logging기존 Stackdriver Monitoring과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

CLUSTER_MONITORING_DISABLED

Monitoring이 GKE 클러스터에서 사용 중지됩니다.

보안 문제 조사를 돕고 사용량을 모니터링하려면 클러스터에서 Cloud Monitoring을 사용 설정합니다.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Monitoring 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Monitoring기존 Stackdriver Logging과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

CLUSTER_PRIVATE_GOOGLE_ACCESS_DISABLED

클러스터 호스트는 비공개 내부 IP 주소만 사용하여 Google API에 액세스하도록 구성되지 않습니다.

비공개 Google 액세스는 비공개 내부 IP 주소만 있는 가상 머신(VM) 인스턴스가 Google API 및 서비스의 공개 IP 주소에 연결되도록 허용합니다. 자세한 내용은 Google 비공개 액세스 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Virtual Private Cloud 네트워크 페이지로 이동
    VPC 네트워크로 이동
  2. 네트워크 목록에서 원하는 네트워크 이름을 클릭합니다.
  3. VPC 네트워크 세부정보 페이지에서 서브넷 탭을 클릭합니다.
  4. 서브넷 목록에서 발견 항목의 Kubernetes 클러스터와 연관된 서브넷 이름을 클릭합니다.
  5. 서브넷 세부정보 페이지에서 수정 을 클릭합니다.
  6. 비공개 Google 액세스에서 사용을 클릭합니다.
  7. 저장을 클릭합니다.
  8. 외부 트래픽만 Google API에 연결되는 VM 인스턴스에서 공개(외부) IP를 삭제하려면 정적 외부 IP 주소 할당 해제를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED

프로젝트의 모든 인스턴스에 로그인할 수 있도록 프로젝트 전체 SSH 키가 사용됩니다.

프로젝트 차원의 SSH 키를 사용하면 SSH 키 관리가 쉬워지지만 보안 침해 시 프로젝트 내의 모든 인스턴스에 영향을 미칠 수 있는 보안 위험이 발생합니다. SSH 키가 손상된 경우 공격 표면을 제한하는 인스턴스별 SSH 키를 사용해야 합니다. 자세한 내용은 메타데이터에서 SSH 키 관리를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. VM 인스턴스 페이지로 이동
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름을 클릭합니다.
  3. VM 인스턴스 세부정보 페이지에서 수정을 클릭합니다.
  4. SSH 키에서 프로젝트 전체 SSH 키 차단을 선택합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

COMPUTE_SECURE_BOOT_DISABLED

보안 VM에 보안 부팅이 사용 설정되지 않습니다.

보안 부팅을 사용하면 루트킷과 부트킷으로부터 가상 머신을 보호할 수 있습니다. 일부 서명되지 않은 드라이버와 하위 소프트웨어가 호환되지 않기 때문에 기본적으로 Compute Engine은 보안 부팅을 사용 설정하지 않습니다. VM이 호환되는 소프트웨어를 사용하지 않고 보안 부팅이 사용 설정된 상태로 부팅되는 경우에는 보안 부팅을 사용하는 것이 좋습니다. Nvidia 드라이버가 포함된 타사 모듈을 사용하는 경우 사용 설정하기 전에 보안 부팅과 호환되는지 확인하세요.

자세한 내용은 보안 부팅을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름을 클릭합니다.
  3. VM 인스턴스 세부정보 페이지에서 중지를 클릭합니다.
  4. 인스턴스가 중지된 후 수정을 클릭합니다.
  5. 보안 VM에서 보안 부팅 설정을 선택합니다.
  6. 저장을 클릭합니다.
  7. 시작을 클릭하여 인스턴스를 시작합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

COMPUTE_SERIAL_PORTS_ENABLED

인스턴스에 직렬 포트가 사용 설정되어 있으면 인스턴스의 직렬 콘솔 연결이 허용됩니다.

인스턴스에서 대화형 직렬 콘솔을 사용 설정하면 클라이언트가 모든 IP 주소에서 해당 인스턴스에 대한 연결을 시도할 수 있습니다. 따라서 대화형 직렬 콘솔 지원을 사용 중지해야 합니다. 자세한 내용은 프로젝트에 대한 액세스 사용 설정을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. VM 인스턴스 페이지로 이동
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름을 클릭합니다.
  3. VM 인스턴스 세부정보 페이지에서 수정을 클릭합니다.
  4. 원격 액세스 아래에서 직렬 포트 연결 사용 설정을 선택합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

COS_NOT_USED

Compute Engine VM이 Google Cloud에서 Docker 컨테이너를 안전하게 실행하도록 설계된 Container-Optimized OS를 사용하지 않습니다.

Container-Optimized OS는 Google Cloud에서 컨테이너를 호스팅하고 실행하기 위한 권장 OS입니다. OS 사용 공간이 작아 보안 노출을 최소화하면서도 자동 업데이트로 보안 취약점을 시의적절하게 패치합니다. 자세한 내용은 Container-Optimized OS 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. 클러스터 목록에서 발견 항목의 클러스터 이름을 클릭합니다.
  3. 노드 탭을 클릭합니다.
  4. 각 노드 풀마다 다음을 수행합니다.
    1. 노드 풀 이름을 클릭하여 해당 세부정보 페이지로 이동합니다.
    2. 수정 을 클릭합니다.
    3. 노드 -> 이미지 유형에서 변경을 클릭합니다.
    4. Container-Optimized OS를 선택한 후 변경을 클릭합니다.
    5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

CUSTOM_ROLE_NOT_MONITORED

로그 측정항목 및 알림은 커스텀 역할 변경을 모니터링하도록 구성되지 않습니다.

IAM은 특정 Google Cloud 리소스에 대해 액세스 권한을 부여하는 미리 정의된 커스텀 역할을 제공합니다. 역할 생성, 삭제, 업데이트 활동을 모니터링하면 권한이 과도하게 부여된 역할을 조기에 발견할 수 있습니다. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      resource.type="iam_role"
      AND protoPayload.methodName="google.iam.admin.v1.CreateRole"
      OR protoPayload.methodName="google.iam.admin.v1.DeleteRole"
      OR protoPayload.methodName="google.iam.admin.v1.UpdateRole"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DATASET_CMEK_DISABLED

BigQuery 데이터 세트는 기본 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않습니다.

CMEK를 사용하는 경우, Cloud KMS에서 만들고 관리하는 키가 Google Cloud에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 자세한 내용은 Cloud KMS 키로 데이터 보호를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

기본 암호화와 CMEK 암호화 간에 테이블을 전환할 수 없습니다. 데이터 세트의 모든 새 테이블을 암호화하는 기본 CMEK 키를 설정하려면 데이터 세트 기본 키 설정 안내를 따르세요.

기본 키를 설정해도 현재 데이터 세트에 있는 테이블이 새 키로 다시 암호화되지 않습니다. 기존 데이터에 CMEK를 사용하려면 다음을 수행합니다.

  1. 새 데이터 세트를 만듭니다.
  2. 만든 데이터 세트에서 기본 CMEK 키를 설정합니다.
  3. CMEK 사용 설정 데이터 세트에 테이블을 복사하려면 테이블 복사 안내를 따르세요.
  4. 데이터를 복사하면 원본 데이터 세트를 삭제할 수 있습니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DEFAULT_NETWORK

프로젝트에 기본 네트워크가 있습니다.

기본 네트워크에 안전하지 않을 수 있는 방화벽 규칙과 네트워크 구성이 자동으로 생성되었습니다. 자세한 내용은 기본 네트워크를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크로 이동
  2. 네트워크 목록에서 기본 네트워크 이름을 클릭합니다.
  3. VPC 네트워크 세부정보 페이지에서 VPC 네트워크 삭제를 클릭합니다.
  4. 커스텀 방화벽 규칙을 사용하여 새 네트워크를 만들려면 네트워크 만들기를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DEFAULT_SERVICE_ACCOUNT_USED

Compute Engine 인스턴스가 기본 서비스 계정을 사용하도록 구성됩니다.

기본 Compute Engine 서비스 계정에는 프로젝트의 편집자 역할이 있어 대부분의 Google Cloud 서비스에 대한 읽기 및 쓰기 액세스가 허용됩니다. 권한 에스컬레이션 및 승인되지 않은 액세스로부터 보호하려면 기본 Compute Engine 서비스 계정을 사용하지 마세요. 대신 새 서비스 계정을 만들고 인스턴스에 필요한 권한만 할당합니다. 역할 및 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. Security Health Analytics 발견 항목과 관련된 인스턴스를 선택합니다.
  3. 로드된 인스턴스 세부정보 페이지에서 중지를 클릭합니다.
  4. 인스턴스가 중지된 후 수정을 클릭합니다.
  5. 서비스 계정 섹션에서 기본 Compute Engine 서비스 계정이 아닌 서비스 계정을 선택합니다. 먼저 새 서비스 계정을 만들어야 할 수도 있습니다. IAM 역할 및 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.
  6. 저장을 클릭합니다. 인스턴스 세부정보 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DISK_CMEK_DISABLED

이 VM의 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다.

CMEK를 사용하는 경우, Cloud KMS에서 만들고 관리하는 키가 Google Cloud에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 자세한 내용은 Cloud KMS 키로 리소스 보호를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Compute Engine 디스크 페이지로 이동합니다.
    Compute Engine 디스크로 이동
  2. 디스크 목록에서 발견 항목에 표시된 디스크의 이름을 클릭합니다.
  3. 디스크 관리 페이지에서 삭제를 클릭합니다.
  4. CMEK가 사용 설정된 새 디스크를 만들려면 고유 키로 새 영구 디스크 암호화를 참조하세요. CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DISK_CSEK_DISABLED

이 VM의 디스크는 고객 제공 암호화 키(CSEK)로 암호화되지 않습니다. 중요 VM의 디스크는 CSEK로 암호화해야 합니다.

자체 암호화 키를 제공할 경우 Compute Engine은 사용자의 키를 사용하여 데이터를 암호화 및 복호화하는 데 사용되는 Google 생성 키를 보호합니다. 자세한 내용은 고객 제공 암호화 키를 참조하세요. CSEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

디스크 삭제 및 만들기

자체 키로는 새 영구 디스크만 암호화할 수 있으며, 기존 영구 디스크를 암호화할 수 없습니다.

  1. Cloud Console에서 Compute Engine 디스크 페이지로 이동합니다.
    Compute Engine 디스크로 이동
  2. 디스크 목록에서 발견 항목에 표시된 디스크의 이름을 클릭합니다.
  3. 디스크 관리 페이지에서 삭제를 클릭합니다.
  4. CSEK를 사용 설정하여 새 디스크를 만들려면 고객 제공 암호화 키로 디스크 암호화를 참조하세요.
  5. 남은 단계를 완료하여 검사 프로그램을 사용 설정합니다.

검사 프로그램 사용 설정

  1. Cloud Console에서 Security Command Center의 애셋 페이지로 이동합니다.
    애셋으로 이동
  2. 보기 기준 옆에 있는 리소스 유형을 클릭합니다.
  3. 리소스 목록에서 디스크를 선택합니다. 이 표는 디스크 목록으로 채워집니다.
  4. resourceProperties.name에서 CSEK로 사용하려는 디스크 이름 옆에 있는 상자를 선택한 후 보안 표시 설정을 클릭합니다.
  5. 대화상자에서 표시 추가를 클릭합니다.
  6. 필드에 enforce_customer_supplied_disk_encryption_keys를 입력하고 필드에 true를 입력합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

DNSSEC_DISABLED

Domain Name System Security Extension(DNSSEC)이 Cloud DNS 영역에 대해 사용 중지됩니다.

DNSSEC는 DNS 응답을 검증하고 DNS 레코드를 암호화 방식으로 서명하여 DNS 계정 도용 및 중간자 공격과 같은 위험을 완화합니다. DNSSEC를 사용 설정해야 합니다. 자세한 내용은 DNS 보안 확장(DNSSEC) 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud DNS 페이지로 이동합니다.
    Cloud DNS 네트워크로 이동
  2. 발견 항목에 표시된 DNS 영역이 있는 행을 찾습니다.
  3. 행에서 DNSSEC 설정을 클릭한 후 DNSSEC에서 설정을 선택합니다.
  4. 표시되는 대화상자의 내용을 읽어보고 문제가 없으면 사용 설정을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

EGRESS_DENY_RULE_NOT_SET

이그레스 거부 규칙은 방화벽에 설정되지 않습니다.

모든 이그레스 네트워크 트래픽을 거부하는 방화벽은 다른 방화벽에서 명시적으로 승인하는 연결을 제외하고 원치 않는 모든 아웃바운드 네트워크 연결을 방지합니다. 자세한 내용은 이그레스 사례를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 만들기를 클릭합니다.
  3. 방화벽에 이름을 지정하고 선택적으로 설명을 지정합니다.
  4. 트래픽 방향에서 이그레스를 선택합니다.
  5. 일치 시 작업에서 거부를 선택합니다.
  6. 대상 드롭다운 메뉴에서 네트워크의 모든 인스턴스를 선택합니다.
  7. 대상 필터 드롭다운 메뉴에서 IP 범위를 선택한 후 대상 IP 범위 상자에 0.0.0.0/0을 입력합니다.
  8. 프로토콜 및 포트에서 모두 거부를 선택합니다.
  9. 규칙 사용 중지를 클릭한 후 적용에서 사용 설정됨을 선택합니다.
  10. 만들기를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

FIREWALL_NOT_MONITORED

로그 측정항목 및 알림은 VPC 네트워크 방화벽 규칙 변경을 모니터링하도록 구성되지 않습니다.

방화벽 규칙 생성 및 업데이트 이벤트를 모니터링하면 네트워크 액세스 변경사항을 파악할 수 있으며 의심스러운 활동을 빠르게 감지할 수 있습니다. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      resource.type="gce_firewall_rule"
      AND jsonPayload.event_subtype="compute.firewalls.patch"
      OR jsonPayload.event_subtype="compute.firewalls.insert"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

FIREWALL_RULE_LOGGING_DISABLED

방화벽 규칙 로깅이 사용 중지됩니다.

방화벽 규칙 로깅을 사용하면 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 이는 네트워크 액세스를 감사하거나 네트워크가 승인되지 않은 방식으로 사용되고 있음을 미리 경고하는 데 유용할 수 있습니다. 로그 비용이 상당히 높을 수 있습니다. 방화벽 규칙 로깅 및 해당 비용에 대한 자세한 내용은 방화벽 규칙 로깅 사용을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 원하는 방화벽 규칙의 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 로그에서 설정을 선택합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

FLOW_LOGS_DISABLED

흐름 로그가 사용 중지된 VPC 서브네트워크가 있습니다.

VPC 흐름 로그는 VM 인스턴스에서 전송되거나 수신되는 네트워크 흐름의 샘플을 기록합니다. 이러한 로그를 네트워크 모니터링, 포렌식, 실시간 보안 분석, 비용 최적화에 사용할 수 있습니다. 흐름 로그 및 비용에 대한 자세한 내용은 VPC 흐름 로그 사용을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크로 이동
  2. 네트워크 목록에서 원하는 네트워크 이름을 클릭합니다.
  3. VPC 네트워크 세부정보 페이지에서 서브넷 탭을 클릭합니다.
  4. 서브넷 목록에서 발견 항목에 표시된 서브넷의 이름을 클릭합니다.
  5. 서브넷 세부정보 페이지에서 수정을 클릭합니다.
  6. 흐름 로그에서 켜기를 선택합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

FULL_API_ACCESS

Compute Engine 인스턴스가 모든 Google Cloud API에 전체 액세스 권한을 가진 기본 서비스 계정을 사용하도록 구성됩니다.

기본 서비스 계정 범위인 모든 Cloud API에 전체 액세스 허용으로 구성된 인스턴스에서 사용자가 IAM 권한이 없는 작업 또는 API 호출을 수행할 수 있습니다. 자세한 내용은 Compute Engine 기본 서비스 계정을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름을 클릭합니다.
  3. 인스턴스가 현재 시작된 경우 중지를 클릭합니다.
  4. 인스턴스가 중지된 후 수정을 클릭합니다.
  5. 서비스 계정의 드롭다운 메뉴에서 Compute Engine 기본 서비스 계정을 선택합니다.
  6. 액세스 범위 섹션에서 모든 Cloud API에 대한 전체 액세스 허용이 선택되지 않았는지 확인합니다.
  7. 저장을 클릭합니다.
  8. 시작을 클릭하여 인스턴스를 시작합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

HTTP_LOAD_BALANCER

Compute Engine 인스턴스는 대상 HTTPS 프록시 대신 대상 HTTP 프록시를 사용하도록 구성된 부하 분산기를 사용합니다.

데이터 무결성을 보호하고 침입자가 커뮤니케이션을 훼손하지 못하도록 방해하려면 HTTPS 트래픽만 허용하도록 HTTP(S) 부하 분산기를 구성합니다. 자세한 내용은 외부 HTTP(S) 부하 분산 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 대상 프록시 페이지로 이동합니다.
    대상 프록시로 이동
  2. 대상 프록시 목록에서 발견 항목에 있는 대상 프록시의 이름을 클릭합니다.
  3. URL 맵에 있는 링크를 클릭합니다.
  4. 수정을 클릭합니다.
  5. 프런트엔드 구성을 클릭합니다.
  6. 모든 프런트엔드 IP 및 HTTP 트래픽을 허용하는 포트 구성을 삭제하고 HTTPS 트래픽을 허용하는 새 구성을 만듭니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

IP_ALIAS_DISABLED

별칭 IP 범위가 사용 중지된 상태로 GKE 클러스터가 생성되었습니다.

별칭 IP 범위를 사용 설정하면 GKE 클러스터가 알려진 CIDR 블록에서 IP 주소를 할당하므로, 클러스터를 확장할 수 있고 Google Cloud 제품 및 항목과의 상호작용이 향상됩니다. 자세한 내용은 별칭 IP 범위 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

현재 별칭 IP를 사용하도록 기존 클러스터를 마이그레이션할 수 없습니다. 별칭 IP를 사용 설정하여 새 클러스터를 만들려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. 만들기를 클릭합니다.
  3. 탐색창의 클러스터에서 네트워킹을 클릭합니다.
  4. 고급 네트워킹 옵션에서 VPC 기반 트래픽 라우팅 사용 설정(별칭 IP 사용)을 선택합니다.
  5. 만들기를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

IP_FORWARDING_ENABLED

IP 전달이 Compute Engine 인스턴스에 사용 설정됩니다.

VM에 대한 데이터 패킷의 IP 전달을 사용 중지하여 데이터 손실 또는 정보 공개를 방지합니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름 옆에 있는 상자를 선택합니다.
  3. 삭제를 클릭합니다.
  4. 인스턴스 만들기를 선택하여 새 인스턴스를 만들어 삭제한 항목을 대체합니다.
  5. IP 전달이 사용 중지되었는지 확인하려면 관리, 디스크, 네트워킹, SSH 키를 클릭한 후 네트워킹을 클릭합니다.
  6. 네트워크 인터페이스에서 수정을 클릭합니다.
  7. IP 전달의 드롭다운 메뉴에서 해제가 선택되었는지 확인합니다.
  8. 다른 인스턴스 매개변수를 지정한 후 만들기를 클릭합니다. 자세한 내용은 VM 인스턴스 만들기 및 시작을 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

KMS_KEY_NOT_ROTATED

순환게재는 Cloud KMS 암호화 키에 구성되어 있지 않습니다.

암호화 키를 정기적으로 순환하면 키가 손상될 경우를 대비하여 보호 수준을 제공하고, 특정 키 버전에 대해 암호화 분석을 수행할 수 있는 암호화된 메시지 수를 제한합니다. 자세한 내용은 키 순환을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud KMS 키 페이지로 이동합니다.
    Cloud KMS 키로 이동
  2. 발견 항목에 표시된 키링의 이름을 클릭합니다.
  3. 발견 항목에 표시된 키의 이름을 클릭합니다.
  4. 순환 기간 수정을 클릭합니다.
  5. 순환 기간을 최대 90일로 설정합니다.
  6. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

KMS_PROJECT_HAS_OWNER

사용자가 암호화 키가 있는 프로젝트에 대해 roles/Owner 권한을 갖습니다. 자세한 내용은 권한 및 역할을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. 필요한 경우 발견 항목에서 프로젝트를 선택합니다.
  3. 소유자 역할이 할당된 각 주 구성원에 대해 다음을 수행합니다.
    1. 수정을 클릭합니다.
    2. 권한 수정 패널의 소유자 역할 옆에서 삭제를 클릭합니다.
    3. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

KMS_PUBLIC_KEY

Cloud KMS Cryptokey 또는 Cloud KMS 키링이 공개되어 있고 인터넷에서 누구나 액세스할 수 있습니다. 자세한 내용은 Cloud KMS에서 IAM 사용을 참조하세요.

Cryptokey와 관련이 있는지에 대해 이 발견 항목을 해결하려면 다음 단계를 따르세요.

  1. Cloud Console에서 암호화 키 페이지로 이동합니다.
    암호화 키
  2. 이름에서 Security Health Analytics 발견 항목과 관련된 암호화 키가 포함된 키링을 선택합니다.
  3. 로드된 키링 세부정보 페이지에서 암호화 키 옆의 체크박스를 선택합니다.
  4. 정보 패널이 표시되지 않으면 정보 패널 표시 버튼을 클릭합니다.
  5. 역할/주 구성원 앞에 있는 필터 상자를 사용하여 allUsersallAuthenticatedUsers의 주 구성원을 검색하고 삭제 를 클릭하여 해당 주 구성원에 대한 액세스 권한을 삭제합니다.

키링과 관련이 있는지에 대해 이 문제를 해결하려면 다음 단계를 따르세요.

  1. Cloud Console에서 암호화 키 페이지로 이동합니다.
    암호화 키
  2. 발견 항목에서 키링이 있는 행을 찾아 체크박스를 선택합니다.
  3. 정보 패널이 표시되지 않으면 정보 패널 표시 버튼을 클릭합니다.
  4. 역할/주 구성원 앞에 있는 필터 상자를 사용하여 allUsersallAuthenticatedUsers의 주 구성원을 검색하고 삭제 를 클릭하여 해당 주 구성원에 대한 액세스 권한을 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

KMS_ROLE_SEPARATION

하나 이상의 주 구성원에 Cloud KMS 권한이 여러 개 할당되어 있습니다. 계정이 다른Cloud KMS 권한과 Cloud KMS 관리자 권한을 동시에 가지는 것은 권장되지 않습니다. 자세한 내용은 권한 및 역할을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM으로 이동
  2. 발견 항목에 나열된 각 주 구성원에 대해 다음 안내를 따르세요.
    1. 상속성 열을 보고 역할이 폴더 또는 조직 리소스에서 상속되었는지 확인합니다. 열에 상위 리소스에 대한 링크가 포함된 경우 해당 링크를 클릭하여 상위 리소스의 IAM 페이지로 이동합니다.
    2. 주 구성원 옆에 있는 수정 을 클릭합니다.
    3. 권한을 삭제하려면 Cloud KMS 관리자 옆에 있는삭제 를 클릭합니다. 주 구성원의 모든 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  3. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

LEGACY_AUTHORIZATION_ENABLED

기존 승인이 GKE 클러스터에서 사용 설정됩니다.

Kubernetes에서 역할 기반 액세스 제어(RBAC)를 사용하면 권한 집합이 포함된 규칙으로 역할을 정의하고 클러스터 및 네임스페이스 수준에서 권한을 부여할 수 있습니다. 이 기능으로 사용자가 특정 리소스에 대한 액세스 권한만 가지게 되므로 보안이 강화됩니다. 기존 속성 기반 액세스 제어(ABAC)를 사용 중지하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 승인 드롭다운 목록에서 사용 중지됨을 선택합니다.

  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

LEGACY_METADATA_ENABLED

기존 메타데이터가 GKE 클러스터에서 사용 설정됩니다.

Compute Engine의 인스턴스 메타데이터 서버는 기존 /0.1//v1beta1/ 엔드포인트를 노출하며, 이는 메타데이터 쿼리 헤더를 적용하지 않습니다. 이 기능은 잠재적인 공격자가 인스턴스 메타데이터를 검색하기 어렵게 만드는 /v1/ API의 기능입니다. 필요하지 않으면 기존 /0.1//v1beta1/ API를 사용 중지하는 것이 좋습니다.

자세한 내용은 기존 메타데이터 API 사용 중지 및 전환을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

현재는 새 클러스터를 만들 때 또는 새 노드 풀을 기존 클러스터에 추가할 때 기존 메타데이터 API를 사용 중지할 수만 있습니다. 기존 메타데이터 API를 사용 중지하도록 기존 클러스터를 업데이트하려면 여러 머신 유형에 워크로드 마이그레이션을 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

LEGACY_NETWORK

기존 네트워크가 프로젝트에 존재합니다.

기존 네트워크에서는 새로운 Google Cloud 보안 기능이 상당수 지원되지 않으므로 기존 네트워크는 권장되지 않습니다. 대신 VPC 네트워크를 사용합니다. 자세한 내용은 기존 네트워크를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크로 이동
  2. 기존에 없던 새로운 네트워크를 만들려면 네트워크 만들기를 클릭합니다.
  3. VPC 네트워크 페이지로 돌아갑니다.
  4. 네트워크 목록에서 legacy_network를 클릭합니다.
  5. VPC 네트워크 세부정보 페이지에서 VPC 네트워크 삭제를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

LOCKED_RETENTION_POLICY_NOT_SET

로그에 잠긴 보존 정책이 설정되어 있지 않습니다.

보존 정책을 잠그면 로그 덮어쓰기 및 로그 버킷 삭제가 방해됩니다. 자세한 내용은 보존 정책 및 보존 정책 잠금을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 스토리지 브라우저 페이지로 이동합니다.
    스토리지 브라우저로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 버킷을 선택합니다.
  3. 버킷 세부정보 페이지에서 보존 탭을 클릭합니다.
  4. 보존 정책이 설정되지 않았으면 보존 정책 설정을 클릭합니다.
  5. 보존 기간을 입력합니다.
  6. 저장을 클릭합니다. 보존 정책이 보존 탭에 표시됩니다.
  7. 잠금을 클릭하여 보존 정책이 단축되거나 삭제되지 않았는지 확인합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

LOG_NOT_EXPORTED

리소스에 적절한 로그 싱크가 구성되어 있지 않습니다.

Cloud Logging을 사용하면 시스템 및 애플리케이션에서 문제의 근본 원인을 빠르게 찾을 수 있습니다. 하지만 대부분의 로그는 기본적으로 30일 동안만 보관됩니다. 스토리지 기간을 늘리려면 모든 로그 항목의 복사본을 내보냅니다. 자세한 내용은 로그 내보내기 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 로그 라우터 페이지로 이동합니다.
    로그 라우터로 이동
  2. 싱크 만들기를 클릭합니다.
  3. 필수 필드를 작성합니다. 포함 및 제외 필터를 사용하면 어떤 로그를 내보낼지 선택할 수 있습니다. 모든 로그를 내보내려면 포함 및 제외 필터를 비워 둡니다.
  4. 싱크 만들기를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

MASTER_AUTHORIZED_NETWORKS_DISABLED

제어 영역 승인 네트워크는 GKE 클러스터에서 사용 설정되지 않습니다.

제어 영역 승인 네트워크는 지정된 IP 주소에서 클러스터의 제어 영역에 액세스할 수 없도록 차단하여 컨테이너 클러스터의 보안을 강화합니다. 자세한 내용은 제어 영역 액세스를 위해 승인된 네트워크 추가를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 제어 영역 승인 네트워크 드롭다운 목록에서 사용 설정됨을 선택합니다.

  5. 승인된 네트워크 추가를 클릭합니다.

  6. 사용할 승인된 네트워크를 지정하세요.

  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

MFA_NOT_ENFORCED

조직에 있는 일부 사용자의 다단계 인증, 구체적으로는 2단계 인증(2SV)이 사용 중지되었습니다.

다단계 인증은 승인되지 않은 액세스로부터 계정을 보호하는 데 사용되며 보안 침해된 로그인 사용자 인증 정보로부터 조직을 보호하는 데 가장 중요한 도구입니다. 자세한 내용은 2단계 확인으로 비즈니스 보호하기를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 관리 콘솔 페이지로 이동합니다.

    관리 콘솔로 이동

  2. 모든 조직 단위에 2단계 인증을 적용합니다.

보안 표시 사용

감지기가 이러한 애셋에 대한 보안 발견 항목을 생성하지 않도록 전용 보안 표시를 애셋에 추가할 수 있습니다.

  • 이러한 발견 항목이 다시 활성화되지 않도록 방지하려면 true 값을 사용해서 보안 표시 allow_mfa_not_enforced를 애셋에 추가합니다.
  • 특정 조직 단위의 잠재적 위반을 무시하려면 필드의 쉼표로 구분된 조직 단위 경로 목록을 사용해서 excluded_orgunits 보안 표시를 애셋에 추가합니다. 예를 들면 excluded_orgunits:/people/vendors/vendorA,/people/contractors/contractorA입니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

NETWORK_NOT_MONITORED

로그 측정항목과 알림은 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않습니다.

네트워크 설정의 잘못되거나 승인되지 않은 변경사항을 감지하려면 VPC 네트워크 변경사항을 모니터링합니다. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      resource.type=gce_network AND jsonPayload.event_subtype="compute.networks.insert"
      OR jsonPayload.event_subtype="compute.networks.patch"
      OR jsonPayload.event_subtype="compute.networks.delete"
      OR jsonPayload.event_subtype="compute.networks.removePeering"
      OR jsonPayload.event_subtype="compute.networks.addPeering"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

NETWORK_POLICY_DISABLED

네트워크 정책은 GKE 클러스터에서 사용 중지됩니다.

기본적으로 pod 간 통신이 열립니다. 열려 있는 통신은 네트워크 주소 변환 유무에 관계없이 노드 간 직접 pod 연결을 허용합니다. NetworkPolicy 리소스는 NetworkPolicy 리소스가 연결을 명시적으로 허용하지 않는 한 Pod 간 연결을 제한하는 Pod 수준 방화벽과 같습니다. 네트워크 정책 정의 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목에 나열된 클러스터의 이름을 클릭합니다.
  3. 네트워킹 아래 네트워크 정책 행에서 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 대화상자에서 제어 영역의 네트워크 정책 사용 설정노드의 네트워크 정책 사용 설정을 선택합니다.

  5. 변경사항 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

NODEPOOL_BOOT_CMEK_DISABLED

이 노드 풀에 있는 부팅 디스크가 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다. CMEK는 사용자가 노드 풀의 부팅 디스크에 대해 기본 암호화 키를 구성하도록 허용합니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. 클러스터 목록에서 발견 항목의 클러스터 이름을 클릭합니다.
  3. 노드 탭을 클릭합니다.
  4. default-pool 노드 풀에서 삭제 를 클릭합니다.
  5. CMEK를 사용하여 새 노드 풀을 만들려면 고객 관리 암호화 키(CMEK) 사용을 참조하세요. CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

NON_ORG_IAM_MEMBER

조직 외부의 사용자에게 프로젝트 또는 조직의 IAM 권한이 있습니다. IAM 권한에 대해 자세히 알아보세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM으로 이동
  2. 조직 외부 사용자 옆의 체크박스를 선택합니다.
  3. 삭제를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OBJECT_VERSIONING_DISABLED

싱크가 구성된 스토리지 버킷에서 객체 버전 관리가 사용 설정되어 있지 않습니다.

삭제하거나 덮어쓴 객체를 검색할 수 있도록 Cloud Storage는 객체 버전 관리 기능을 제공합니다. Cloud Storage 데이터를 덮어쓰거나 실수로 삭제하지 않도록 하려면 객체 버전 관리를 사용하세요. 객체 버전 관리 사용 설정 방법을 알아보세요.

이 발견 항목을 해결하려면 적절한 값으로 gsutil versioning set on 명령어를 사용합니다.

    gsutil versioning set on gs://finding.assetDisplayName

finding.assetDisplayName을 관련 버킷의 이름으로 바꿉니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_CASSANDRA_PORT

IP 주소가 Cassandra 포트에 연결하도록 허용하는 방화벽 규칙이 공격자에게 Cassandra 서비스를 노출할 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

Cassandra 서비스 포트는 다음과 같습니다.

  • TCP - 7000, 7001, 7199, 8888, 9042, 9160, 61620, 61621

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_CISCOSECURE_WEBSM_PORT

모든 IP 주소의 CiscoSecure/WebSM 포트 연결을 허용하는 방화벽 규칙이 CiscoSecure/WebSM 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

CiscoSecure/WebSM 서비스 포트는 다음과 같습니다.

  • TCP - 9090

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_DIRECTORY_SERVICES_PORT

모든 IP 주소의 디렉터리 포트 연결을 허용하는 방화벽 규칙이 디렉터리 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

디렉터리 서비스 포트는 다음과 같습니다.

  • TCP - 445
  • UDP - 445

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_DNS_PORT

모든 IP 주소의 DNS 포트 연결을 허용하는 방화벽 규칙이 DNS 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

DNS 서비스 포트는 다음과 같습니다.

  • TCP - 53
  • UDP - 53

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_ELASTICSEARCH_PORT

모든 IP 주소의 Elasticsearch 포트 연결을 허용하는 방화벽 규칙이 Elasticsearch 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

Elasticsearch 서비스 포트는 다음과 같습니다.

  • TCP - 9200, 9300

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_FIREWALL

0.0.0.0/0과 같은 모든 IP 주소 또는 모든 포트의 연결을 허용하는 방화벽 규칙이 의도하지 않은 소스로부터의 공격에 리소스를 불필요하게 노출시킬 수 있습니다. 이러한 규칙을 삭제하거나 의도한 소스 IP 범위 또는 포트로 명시적으로 범위를 지정해야 합니다. 예를 들어 공개로 의도된 애플리케이션에서는 80 및 443과 같이 애플리케이션에 필요한 포트로 허용 포트를 제한하는 것이 좋습니다. 애플리케이션에서 모든 IP 주소 또는 포트의 연결을 허용해야 하는 경우 허용 목록에 애셋을 추가하는 것이 좋습니다. 방화벽 규칙 업데이트에 대해 자세히 알아보세요.

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 규칙 페이지로 이동합니다.
    방화벽 규칙으로 이동
  2. Security Health Analytics 발견 항목에 나열된 방화벽 규칙을 클릭한 다음 수정을 클릭합니다.
  3. 소스 IP 범위에서 허용되는 IP 범위를 제한하도록 IP 값을 수정합니다.
  4. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택하고, 허용되는 프로토콜을 선택하고, 허용되는 포트를 입력합니다.
  5. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_FTP_PORT

모든 IP 주소의 FTP 포트 연결을 허용하는 방화벽 규칙이 FTP 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

FTP 서비스 포트는 다음과 같습니다.

  • TCP - 21

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_HTTP_PORT

모든 IP 주소의 HTTP 포트 연결을 허용하는 방화벽 규칙이 HTTP 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

HTTP 서비스 포트는 다음과 같습니다.

  • TCP - 80

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_LDAP_PORT

모든 IP 주소의 LDAP 포트 연결을 허용하는 방화벽 규칙이 LDAP 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

LDAP 서비스 포트는 다음과 같습니다.

  • TCP - 389, 636
  • UDP - 389

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_MEMCACHED_PORT

모든 IP 주소의 Memcached 포트 연결을 허용하는 방화벽 규칙이 Memcached 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

Memcach 연결 서비스 포트는 다음과 같습니다.

  • TCP - 11211, 11214, 11215
  • UDP - 11211, 11214, 11215

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_MONGODB_PORT

모든 IP 주소의 MongoDB 포트 연결을 허용하는 방화벽 규칙이 공격자에게 MongoDB 서비스를 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

MongoDB 서비스 포트는 다음과 같습니다.

  • TCP - 27017, 27018, 27019

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_MYSQL_PORT

모든 IP 주소의 MySQL 포트 연결을 허용하는 방화벽 규칙이 MySQL 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

MySQL 서비스 포트는 다음과 같습니다.

  • TCP - 3306

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_NETBIOS_PORT

모든 IP 주소의 NetBIOS 포트 연결을 허용하는 방화벽 규칙이 NetBIOS 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

NetBIOS 서비스 포트는 다음과 같습니다.

  • TCP - 137, 138, 139
  • UDP - 137, 138, 139

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_ORACLEDB_PORT

모든 IP 주소의 OracleDB 포트 연결을 허용하는 방화벽 규칙이 OracleDB 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

OracleDB 서비스 포트는 다음과 같습니다.

  • TCP - 1521, 2483, 2484
  • UDP - 2483, 2484

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_POP3_PORT

모든 IP 주소의 POP3 포트 연결을 허용하는 방화벽 규칙이 POP3 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

POP3 서비스 포트는 다음과 같습니다.

  • TCP - 110

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_POSTGRESQL_PORT

모든 IP 주소의 PostgreSQL 포트 연결을 허용하는 방화벽 규칙이 PostgreSQL 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

PostgreSQL 서비스 포트는 다음과 같습니다.

  • TCP - 5432
  • UDP - 5432

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_RDP_PORT

모든 IP 주소의 RDP 포트 연결을 허용하는 방화벽 규칙이 RDP 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

RDP 서비스 포트는 다음과 같습니다.

  • TCP - 3389
  • UDP - 3389

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_REDIS_PORT

모든 IP 주소의 Redis 포트 연결을 허용하는 방화벽 규칙이 Redis 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

Redis 서비스 포트는 다음과 같습니다.

  • TCP - 6379

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_SMTP_PORT

모든 IP 주소의 SMTP 포트 연결을 허용하는 방화벽 규칙이 SMTP 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

SMTP 서비스 포트는 다음과 같습니다.

  • TCP - 25

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_SSH_PORT

모든 IP 주소의 SSH 포트 연결을 허용하는 방화벽 규칙이 SSH 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

SSH 서비스 포트는 다음과 같습니다.

  • SCTP - 22
  • TCP - 22

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OPEN_TELNET_PORT

모든 IP 주소의 Telnet 포트 연결을 허용하는 방화벽 규칙이 Telnet 서비스를 공격자에게 노출시킬 수 있습니다. 자세한 내용은 VPC 방화벽 규칙 개요를 참조하세요.

Telnet 서비스 포트는 다음과 같습니다.

  • TCP - 23

규칙을 의도적으로 사용 중지한 경우에도 취약한 방화벽 규칙에 대해 이 발견 항목이 생성됩니다. 사용 중지된 방화벽 규칙에 대한 활성 발견 항목은 사용 설정된 경우 원치 않는 트래픽을 허용하는 안전하지 않은 구성을 알려줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 방화벽 페이지로 이동합니다.
    방화벽으로 이동
  2. 방화벽 규칙 목록에서 발견 항목의 방화벽 규칙 이름을 클릭합니다.
  3. 수정을 클릭합니다.
  4. 소스 IP 범위에서 0.0.0.0/0을 삭제합니다.
  5. 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 인스턴스에서 열려는 특정 프로토콜 및 포트를 추가합니다.
  7. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

ORG_POLICY_CONFIDENTIAL_VM_POLICY

Compute Engine 리소스가 constraints/compute.restrictNonConfidentialComputing 조직 정책을 준수하지 않습니다. 이 조직 정책 제약조건에 대한 자세한 내용은 조직 정책 제약조건 적용을 참조하세요.

조직 정책에 의해 이 VM에 컨피덴셜 VM 서비스가 사용 설정되어 있어야 합니다. 이 서비스를 사용 설정하지 않은 VM은 런타임 메모리 암호화를 사용하지 않아 런타임 메모리 공격에 노출됩니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. VM 인스턴스 페이지로 이동
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름을 클릭합니다.
  3. VM에 컨피덴셜 VM 서비스가 필요하지 않으면 이를 새 폴더 또는 프로젝트로 이동합니다.
  4. VM에 컨피덴셜 VM이 필요하면 삭제를 클릭합니다.
  5. 컨피덴셜 VM을 사용 설정하여 새 인스턴스를 만들려면 빠른 시작: 컨피덴셜 VM 인스턴스 만들기를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

ORG_POLICY_LOCATION_RESTRICTION

조직 정책 gcp.resourceLocations 제약조건을 사용하면 새 리소스 만들기를 선택한 Cloud 리전으로 제한할 수 있습니다. 자세한 내용은 리소스 위치 제한을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

ORG_POLICY_LOCATION_RESTRICTION 검사 프로그램이 여러 리소스 유형을 지원하며 해결 안내는 각 리소스마다 다릅니다. 위치 위반 해결에 대한 일반적인 접근 방법은 다음을 포함합니다.

  1. 리전 외부 리소스 또는 데이터를 리전 내 리소스로 복사, 이동, 백업합니다. 개별 서비스에 대한 문서를 참조하여 리소스 이동에 대한 안내를 확인하세요.
  2. 리전 외부의 원래 리소스 또는 데이터를 삭제합니다.

이 접근 방법을 모든 리소스 유형에 사용할 수는 없습니다. 안내는 발견 항목에 제공된 맞춤설정된 권장사항을 참조하세요.

추가 고려사항

관리형 리소스

리소스의 수명 주기는 경우에 따라 다른 리소스에서 관리 및 제어됩니다. 예를 들어 관리형 Compute Engine 인스턴스 그룹은 인스턴스 그룹의 자동 확장 정책에 따라 Compute Engine 인스턴스를 만들고 폐기합니다. 관리 및 관리 리소스가 위치 시행을 위한 범위 내에 있는 경우, 둘 다 조직 정책을 위반하는 것으로 신고될 수 있습니다. 운영 안정성을 보장하기 위한 관리형 리소스의 발견 항목에 대한 문제 해결은 리소스 관리에서 수행되어야 합니다.

사용 중인 리소스

특정 리소스는 다른 리소스에서 사용됩니다. 예를 들어 실행 중인 Compute Engine 인스턴스에 연결된 Compute Engine 디스크는 인스턴스에서 사용 중인 것으로 간주됩니다. 사용 중인 리소스가 위치 조직 정책을 위반할 경우 위치 위반을 해결하기 전 리소스가 사용 중이 아닌지 확인해야 합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OS_LOGIN_DISABLED

OS 로그인이 이 Compute Engine 인스턴스에서 사용 중지되었습니다.

OS 로그인은 프로젝트의 모든 인스턴스에서 IAM으로 중앙 집중식 SSH 키 관리를 사용 설정하고 메타데이터 기반 SSH 키 구성을 사용 중지합니다. OS 로그인 설정 및 구성 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 메타데이터 페이지로 이동합니다.
    메타데이터로 이동
  2. 수정을 클릭한 후 항목 추가를 클릭합니다.
  3. enable-oslogin 키와 TRUE 값이 포함된 항목을 추가합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OVER_PRIVILEGED_ACCOUNT

GKE 노드가 Compute Engine 기본 서비스 노드를 사용 중입니다. 이 노드는 기본적으로 액세스 범위가 넓으며, GKE 클러스터를 실행하기에 너무 많은 권한을 포함할 수 있습니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

최소 권한 Google 서비스 계정 사용 안내를 따릅니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OVER_PRIVILEGED_SCOPES

노드 서비스 계정에 광범위한 액세스 범위가 있습니다.

액세스 범위는 인스턴스에 권한을 지정하는 기존 방법입니다. 공격으로 권한 에스컬레이션이 발생할 가능성을 줄이기 위해 최소 권한만 있는 서비스 계정을 만들고 이 계정을 사용하여 GKE 클러스터를 실행합니다.

이 발견 항목을 해결하려면 최소 권한 Google 서비스 계정 사용 안내를 따릅니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OVER_PRIVILEGED_SERVICE_ACCOUNT_USER

사용자에게는 특정 서비스 계정 대신 프로젝트, 폴더 또는 조직 수준의 iam.serviceAccountUser 또는 iam.serviceAccountTokenCreator 역할이 있습니다.

이 역할을 프로젝트, 폴더 또는 조직의 사용자에게 부여하면 사용자가 해당 범위의 모든 기존 서비스 계정 및 향후 서비스 계정에 액세스할 수 있습니다. 이로 인해 의도치 않은 권한 에스컬레이션이 발생할 수 있습니다. 자세한 내용은 서비스 계정 권한을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. 필요한 경우 발견 항목에서 프로젝트, 폴더, 조직을 선택합니다.
  3. roles/iam.serviceAccountUser 또는 roles/iam.serviceAccountTokenCreator에 할당된 각 주 구성원에 대해 다음을 수행합니다.
    1. 수정을 클릭합니다.
    2. 권한 수정 패널의 역할 옆에서 삭제를 클릭합니다.
    3. 저장을 클릭합니다.
  4. 이 가이드에 따라 개별 사용자에게 단일 서비스 계정을 가장할 수 있는 권한을 부여합니다. 선택한 사용자의 가장을 허용하려는 각 서비스 계정에 대해 이 가이드를 따라야 합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

OWNER_NOT_MONITORED

로그 측정항목 및 알림은 프로젝트 소유권 할당 또는 변경사항을 모니터링하도록 구성되지 않습니다.

IAM 소유자 역할은 프로젝트에서 가장 높은 권한 수준을 갖습니다. 리소스를 보호하려면 새 소유자가 추가되거나 삭제될 때 알림을 받도록 알림을 설정하세요. 자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      (protoPayload.serviceName="cloudresourcemanager.googleapis.com")
      AND (ProjectOwnership OR projectOwnerInvitee)
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="REMOVE"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
      OR (protoPayload.serviceData.policyDelta.bindingDeltas.action="ADD"
      AND protoPayload.serviceData.policyDelta.bindingDeltas.role="roles/owner")
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

POD_SECURITY_POLICY_DISABLED

GKE 클러스터에서 PodSecurityPolicy가 사용 중지됩니다.

PodSecurityPolicy는 클러스터에서 pod 생성 및 업데이트 요청을 검증하는 허용 컨트롤러 리소스입니다. 클러스터는 PodSecurityPolicy에 정의된 조건을 충족하지 않는 Pod를 허용하지 않습니다.

이 발견 항목을 해결하려면 PodSecurityPolicies를 정의 및 승인하고 PodSecurityPolicy 컨트롤러를 사용 설정합니다. 자세한 내용은 PodSecurityPolicies 사용을 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PRIMITIVE_ROLES_USED

사용자에게 roles/owner, roles/editor, roles/viewer의 IAM 기본 역할 중 하나가 있습니다. 이러한 역할은 권한이 너무 크므로 사용하면 안 됩니다. 대신 프로젝트별 기준으로만 할당해야 합니다.

자세한 내용은 역할 이해하기를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. IAM 정책 페이지로 이동합니다.
    IAM 정책으로 이동
  2. 대신 기본 역할이 할당된 각 사용자에 대해 보다 세분화된 역할을 사용하는 것이 좋습니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PRIVATE_CLUSTER_DISABLED

GKE 클러스터에 비공개 클러스터가 사용 중지되어 있습니다.

비공개 클러스터를 사용하면 노드는 내부 IP 주소만 가질 수 있습니다. 이 기능은 노드의 아웃바운드 인터넷 액세스를 제한합니다. 클러스터 노드에 공개 IP 주소가 없으면 공개 인터넷에 검색되거나 노출되지 않습니다. 내부 부하 분산기를 통해 노드에 트래픽을 계속 라우팅할 수 있습니다. 자세한 내용은 비공개 클러스터를 참조하세요.

기존 클러스터를 비공개로 설정할 수 없습니다. 이 발견 항목을 수정하려면 새 비공개 클러스터를 만듭니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. 클러스터 만들기를 클릭합니다.
  3. 탐색 메뉴의 클러스터에서 네트워킹을 선택합니다.
  4. 비공개 클러스터의 라디오 버튼을 선택합니다.
  5. 고급 네트워킹 옵션에서 VPC 기반 트래픽 라우팅 사용 설정(별칭 IP 사용) 체크박스를 선택합니다.
  6. 만들기를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PRIVATE_GOOGLE_ACCESS_DISABLED

Google 공개 API에 액세스할 수 없는 비공개 서브넷이 있습니다.

비공개 Google 액세스를 사용하면 내부(비공개) IP 주소만 있는 VM 인스턴스가 Google API 및 서비스의 공개 IP 주소에 연결할 수 있습니다.

자세한 내용은 Google 비공개 액세스 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. VPC 네트워크 페이지로 이동합니다.
    VPC 네트워크로 이동
  2. 네트워크 목록에서 원하는 네트워크 이름을 클릭합니다.
  3. VPC 네트워크 세부정보 페이지에서 서브넷 탭을 클릭합니다.
  4. 서브넷 목록에서 발견 항목의 Kubernetes 클러스터와 연관된 서브넷 이름을 클릭합니다.
  5. 서브넷 세부정보 페이지에서 수정 을 클릭합니다.
  6. 비공개 Google 액세스에서 사용을 클릭합니다.
  7. 저장을 클릭합니다.
  8. 외부 트래픽만 Google API에 연결되는 VM 인스턴스에서 공개(외부) IP를 삭제하려면 정적 외부 IP 주소 할당 해제를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_BUCKET_ACL

버킷이 공개되어 있고 인터넷에서 누구나 액세스할 수 있습니다.

자세한 내용은 액세스 제어 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 스토리지 브라우저 페이지로 이동합니다.
    스토리지 브라우저로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 버킷을 선택합니다.
  3. 버킷 세부정보 페이지에서 권한 탭을 클릭합니다.
  4. 보기 기준 옆에 있는 역할을 클릭합니다.
  5. 필터 상자에서 allUsersallAuthenticatedUsers를 검색합니다.
  6. 삭제 를 클릭하여 allUsersallAuthenticatedUsers에 부여된 모든 IAM 권한을 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_COMPUTE_IMAGE

Compute Engine 이미지가 공개되어 있고 인터넷의 누구나 액세스할 수 있습니다. allUsers는 인터넷의 누구나 그리고 allAuthenticatedUsers는 Google 계정으로 인증된 누구나 조직 내 사용자로 제한되지 않음을 나타냅니다.

Compute Engine 이미지에는 암호화 키 또는 라이선스 소프트웨어와 같은 민감한 정보가 포함될 수 있습니다. 이러한 민감한 정보에 공개적으로 액세스할 수 있어서는 안 됩니다. 이 Compute Engine 이미지를 공개하려는 경우 민감한 정보가 포함되어 있지 않은지 확인하세요.

자세한 내용은 액세스 제어 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Compute Engine 이미지로 이동합니다.
    Compute Engine 이미지로 이동
  2. public-image 이미지 옆에 있는 상자를 선택한 후 정보 패널 표시를 클릭합니다.
  3. 필터 상자에서 allUsersallAuthenticatedUsers의 주 구성원을 검색합니다.
  4. 사용자를 삭제할 역할을 펼칩니다.
  5. 삭제를 클릭하여 역할에서 사용자를 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_DATASET

BigQuery 데이터 세트가 공개되어 있고 인터넷의 누구나 액세스할 수 있습니다. IAM 주 구성원 allUsers는 인터넷의 누구나 그리고 allAuthenticatedUsers는 Google 서비스에 로그인된 누구나 조직 내 사용자로 제한되지 않음을 나타냅니다.

자세한 내용은 데이터 세트에 대한 액세스 제어를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. BigQuery 데이터 세트 페이지로 이동
    BigQuery 데이터 세트로 이동
  2. 데이터세트 공유를 클릭합니다.
  3. 데이터 세트 권한 패널에서 주 구성원 검색 상자를 사용하여 allUsersallAuthenticatedUsers를 검색하고 이러한 주 구성원의 액세스 권한을 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_IP_ADDRESS

Compute Engine 인스턴스에 공개 IP 주소가 있습니다.

조직의 공격 표면을 줄이기 위해서는 VM에 공개 IP 주소를 할당하지 않는 것이 좋습니다. 중지된 인스턴스는 공개 IP 발견 항목으로 계속 플래그가 지정될 수 있습니다. 예를 들어 네트워크 인터페이스가 시작 시 임시 공개 IP 주소를 할당하도록 구성되어 있는 경우가 있습니다. 중지된 인스턴스의 네트워크 구성에 외부 액세스가 포함되어서는 안 됩니다.

자세한 내용은 VM 인스턴스에 안전하게 연결을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. 인스턴스 목록에서 발견 항목의 인스턴스 이름 옆에 있는 상자를 선택합니다.
  3. 수정을 클릭합니다.
  4. 네트워크 인터페이스에 있는 각 인터페이스에 대해 수정을 클릭하고 외부 IP없음으로 설정합니다.
  5. 완료를 클릭한 다음 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_LOG_BUCKET

스토리지 버킷이 공개되어 있고 로그 싱크로 사용됩니다. 즉, 인터넷의 누구나 이 버킷에 저장된 로그에 액세스할 수 있습니다. allUsers는 인터넷의 누구나 그리고 allAuthenticatedUsers는 Google 서비스에 로그인된 누구나 조직 내 사용자로 제한되지 않음을 나타냅니다.

자세한 내용은 액세스 제어 개요를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Storage 브라우저 페이지로 이동합니다.
    Cloud Storage 브라우저로 이동
  2. 버킷 목록에서 발견 항목에 표시된 버킷의 이름을 클릭합니다.
  3. 권한 탭을 클릭합니다.
  4. 주 구성원 목록에서 allUsersallAuthenticatedUsers를 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBLIC_SQL_INSTANCE

SQL 인스턴스에 허용되는 네트워크로 0.0.0.0/0이 추가되었습니다. 이 경우에는 모든 IPv4 클라이언트에서 네트워크 방화벽을 통과하고 인스턴스 로그인을 시도할 수 있으며 여기에는 허용할 의도가 없는 클라이언트도 포함됩니다. 클라이언트에서 인스턴스에 로그인하려면 유효한 사용자 인증 정보가 필요합니다.

자세한 내용은 승인된 네트워크로 승인을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 탐색 패널에서 연결을 클릭합니다.
  5. 승인된 네트워크에서 0.0.0.0/0을 삭제하고 인스턴스 연결을 허용하려는 특정 IP 주소 또는 IP 범위를 추가합니다.
  6. 완료를 클릭한 다음 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

PUBSUB_CMEK_DISABLED

Pub/Sub 주제는 고객 관리 암호화 키(CMEK)로 암호화되지 않습니다.

CMEK를 사용하는 경우, Cloud KMS에서 만들고 관리하는 키가 Google에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다.

이 발견 항목을 조정하려면 기존 주제를 삭제하고 새 주제를 만드세요.

  1. Cloud Console에서 Pub/Sub 주제 페이지로 이동합니다.

    주제로 이동

  2. 필요한 경우 Pub/Sub 주제가 포함된 프로젝트를 선택합니다.

  3. 발견 항목에 나열된 주제 옆에 있는 체크박스를 선택한 후 삭제를 클릭합니다.

  4. CMEK가 사용 설정된 새 Pub/Sub 주제를 만들려면 고객 관리 암호화 키 사용을 참조하세요. CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

  5. CMEK가 사용 설정된 Pub/Sub 주제에 발견 항목을 게시하거나 기타 데이터를 게시합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

ROUTE_NOT_MONITORED

로그 측정항목과 알림은 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않습니다.

Google Cloud Routes는 네트워크 트래픽이 VM 인스턴스에서 대상 IP로 이동하는 경로를 정의하는 대상과 홉입니다. 경로 표의 변경사항을 모니터링하면 모든 VPC 트래픽이 예상 경로를 통해 전달되도록 할 수 있습니다.

자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      resource.type="gce_route"
      AND jsonPayload.event_subtype="compute.routes.delete"
      OR jsonPayload.event_subtype="compute.routes.insert"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

REDIS_ROLE_USED_ON_ORG

Redis IAM 역할은 조직 또는 폴더 수준에서 할당됩니다.

다음 Redis IAM 역할은 조직 또는 폴더 수준이 아닌 프로젝트별로 할당되어야 합니다.

  • roles/redis.admin
  • roles/redis.viewer
  • roles/redis.editor

자세한 내용은 액세스 제어 및 권한을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. IAM 정책 페이지로 이동합니다.
    IAM 정책으로 이동
  2. 발견 항목에 표시된 Redis IAM 역할을 삭제하고 대신 개별 프로젝트에 추가합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

RSASHA1_FOR_SIGNING

RSASHA1은 Cloud DNS 영역의 키 서명에 사용됩니다. 키 서명에 사용된 알고리즘은 취약해서는 안 됩니다.

이 발견 항목을 해결하려면 고급 서명 옵션 가이드에 따라 알고리즘을 권장 항목으로 바꿉니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SERVICE_ACCOUNT_KEY_NOT_ROTATED

사용자 관리 서비스 계정 키가 90일 이상 순환되지 않았습니다.

분실, 손상, 도용 가능성이 있는 이전 키로 데이터에 액세스할 수 없도록 사용자 관리 서비스 계정 키를 90일마다 순환해야 합니다. 자세한 내용은 서비스 계정 키 관리를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 서비스 계정 페이지로 이동합니다.
    서비스 계정으로 이동
  2. 필요에 따라 발견 항목에서 표시된 프로젝트를 선택합니다.
  3. 서비스 계정 목록에서 발견 항목에 나열된 서비스 계정을 찾고 삭제를 클릭합니다. 계속하기 전에 서비스 계정을 삭제하여 프로덕션 리소스에 미칠 수 있는 영향을 고려하세요.
  4. 기존 항목을 대신할 새 서비스 계정 키를 만듭니다. 자세한 내용은 서비스 계정 키 만들기를 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SERVICE_ACCOUNT_ROLE_SEPARATION

조직에서 1명 이상의 주 구성원에게 여러 서비스 계정 권한이 할당되었습니다. 어떤 계정도 다른 서비스 계정 권한과 함께 서비스 계정 관리자 권한을 동시에 포함하지 않아야 합니다. 서비스 계정 및 여기에 사용할 수 있는 역할에 대해 자세히 알아보려면 서비스 계정을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM으로 이동
  2. 발견 항목에 나열된 각 주 구성원에 대해 다음 안내를 따르세요.
    1. 상속성 열을 보고 역할이 폴더 또는 조직 리소스에서 상속되었는지 확인합니다. 열에 상위 리소스에 대한 링크가 포함된 경우 해당 링크를 클릭하여 상위 리소스의 IAM 페이지로 이동합니다.
    2. 주 구성원 옆에 있는 수정 을 클릭합니다.
    3. 권한을 삭제하려면 서비스 계정 관리자 옆에서 삭제 를 클릭합니다. 모든 서비스 계정 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  3. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SHIELDED_VM_DISABLED

이 Compute Engine 인스턴스에서 보안 VM이 사용 중지되었습니다.

보안 VM은 루트킷과 부트킷으로부터 보호하는 데 도움이 되는 보안 제어로 강화된 Google Cloud의 가상 머신(VM)입니다. 보안 VM을 사용하면 부트 로더와 펌웨어가 서명 및 인증되었는지 확인할 수 있습니다. 보안 VM에 대해 자세히 알아보기

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스로 이동
  2. Security Health Analytics 발견 항목과 관련된 인스턴스를 선택합니다.
  3. 로드된 인스턴스 세부정보 페이지에서 중지를 클릭합니다.
  4. 인스턴스가 중지된 후 수정을 클릭합니다.
  5. 보안 VM 섹션에서 vTPM 사용 설정무결성 모니터링 사용 설정 간에 전환하여 보안 VM을 사용 설정합니다.
  6. 선택적으로 커스텀 또는 서명되지 않은 드라이버를 사용하지 않는 경우 보안 부팅도 사용 설정합니다.
  7. 저장을 클릭합니다. 인스턴스 세부정보 페이지에 새 구성이 표시됩니다.
  8. 시작을 클릭하여 인스턴스를 시작합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_CMEK_DISABLED

SQL 데이터베이스 인스턴스가 고객 관리 암호화 키(CMEK)를 사용하지 않습니다.

CMEK를 사용하는 경우, Cloud KMS에서 만들고 관리하는 키가 Google에서 데이터 암호화를 위해 사용되는 키를 래핑하여 데이터 액세스 권한을 더 세밀하게 제어할 수 있습니다. 자세한 내용은 MySQL용 Cloud SQL, PostgreSQL용 Cloud SQL, SQL Server용 Cloud SQL의 해당 제품의 CMEK 개요를 참조하세요. CMEK를 사용하면 Cloud KMS와 관련된 추가 비용이 발생합니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 삭제를 클릭합니다.
  4. CMEK가 사용 설정된 새 인스턴스를 만들려면 안내에 따라 해당 제품에 대해 CMEK를 구성합니다.
    1. MySQL용 Cloud SQL
    2. PostgreSQL용 Cloud SQL
    3. SQL Server용 Cloud SQL

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_CONTAINED_DATABASE_AUTHENTICATION

SQL Server용 Cloud SQL 데이터베이스 인스턴스에서 contained database authentication 데이터베이스 플래그가 해제로 설정되지 않았습니다.

contained database authentication 플래그는 포함된 데이터베이스를 만들거나 데이터베이스 엔진에 연결할 수 있는지 여부를 제어합니다. 포함된 데이터베이스에는 데이터베이스를 정의하는 데 필요한 모든 데이터베이스 설정과 메타데이터가 포함되며 데이터베이스가 설치된 데이터베이스 엔진의 인스턴스에 구성 종속 항목이 없습니다.

다음과 같은 이유 때문에 이 플래그를 사용 설정하지 않는 것이 좋습니다.

  • 사용자가 데이터베이스 엔진 수준에서 인증 없이 데이터베이스에 연결할 수 있습니다.
  • 데이터베이스 엔진에서 데이터베이스를 격리하면 데이터베이스를 SQL Server의 다른 인스턴스로 옮길 수 있습니다.

포함된 데이터베이스에는 SQL Server 데이터베이스 엔진 관리자가 파악하고 완화해야 하는 고유한 위협이 있습니다. 대부분의 위협은 데이터베이스 엔진 수준에서 데이터베이스 수준으로 인증 경계를 이동시키는 USER WITH PASSWORD 인증 프로세스에서 발생합니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 contained database authentication 데이터베이스 플래그 값을 Off로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_CROSS_DB_OWNERSHIP_CHAINING

SQL Server용 Cloud SQL 데이터베이스 인스턴스에서 cross db ownership chaining 데이터베이스 플래그가 해제로 설정되지 않았습니다.

cross db ownership chaining 플래그를 사용하면 데이터베이스 수준에서 교차 데이터베이스 소유권 체이닝을 제어하거나 모든 데이터베이스 문에 교차 데이터베이스 소유권 체이닝을 허용할 수 있습니다.

SQL Server 인스턴스에서 호스팅하는 모든 데이터베이스가 교차 데이터베이스 소유권 체이닝에 참여하고 이 설정이 보안에 미치는 영향을 알고 있지 않는 한 이 플래그를 사용 설정하지 않는 것이 좋습니다.

자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 cross db ownership chaining 데이터베이스 플래그 값을 Off로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_INSTANCE_NOT_MONITORED

로그 측정항목 및 알림은 Cloud SQL 인스턴스 구성 변경사항을 모니터링하도록 구성되지 않습니다.

SQL 인스턴스 옵션을 잘못 구성하면 보안 위험이 발생할 수 있습니다. 자동 백업 및 고가용성 옵션을 사용 중지하면 비즈니스 연속성에 영향을 줄 수 있고 승인된 네트워크를 제한하지 않으면 신뢰할 수 없는 네트워크에 대한 노출이 증가할 수 있습니다. SQL 인스턴스 구성에 대한 변경사항을 모니터링하면 잘못된 구성을 감지하고 수정하는 데 걸리는 시간을 줄일 수 있습니다.

자세한 내용은 로그 기반 측정항목 개요를 참조하세요.

정보의 양에 따라 Cloud Monitoring 비용이 크게 증가할 수 있습니다. 서비스 사용량과 비용을 파악하려면 Google Cloud 운영 제품군의 비용 최적화를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

측정항목 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 측정항목 만들기를 클릭합니다.
  3. 측정항목 유형에서 카운터를 선택합니다.
  4. 세부정보 아래에서 다음을 수행합니다.
    1. 로그 측정항목 이름을 설정합니다.
    2. 설명을 추가합니다.
    3. 단위1로 설정합니다.
  5. 필터 선택에서 다음 텍스트를 복사하여 필터 빌드 상자에 붙여넣고, 필요에 따라 기존 텍스트를 바꿉니다.
      protoPayload.methodName="cloudsql.instances.update"
    
  6. 측정항목 만들기를 클릭합니다. 확인이 표시됩니다.

알림 정책 만들기

  1. 로그 기반 측정항목 페이지로 이동합니다.
    로그 기반 측정항목으로 이동
  2. 사용자 정의 측정항목 섹션에서 이전 섹션에서 만든 측정항목을 선택합니다.
  3. 더보기 를 클릭한 후 측정항목에서 알림 만들기를 클릭합니다. 프로젝트를 작업공간에 추가하라는 메시지가 표시되면 해당 프로세스를 완료합니다.
  4. 표시된 페이지의 탐색 메뉴에서 알림을 클릭합니다.
  5. 추적할 대상 선택에서 조건 추가를 클릭하고 대화상자 안내에 따라 모니터링할 리소스 및 알람 트리거 시간 정의를 완료합니다. 조건의 필드에 대한 자세한 내용은 조건 지정을 참조하세요.
  6. 완료되면 추가다음을 차례로 클릭합니다.
  7. 알림 대상 선택에서 알림 채널 드롭다운을 클릭하고 알림을 받을 방법을 선택합니다. 자세한 내용은 알림 채널 관리를 참조하세요.
  8. 확인을 클릭한 후 다음을 클릭합니다.
  9. 문제 해결 단계 선택에서 알림 이름을 설정합니다.
  10. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOCAL_INFILE

MySQL용 Cloud SQL 데이터베이스 엔스턴스에서 local_infile 데이터베이스 플래그가 해제로 설정되지 않았습니다. local_infile 플래그와 관련된 보안 문제로 인해 이를 사용 중지해야 합니다. 자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 local_infile 데이터베이스 플래그를 Off 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_CHECKPOINTS_DISABLED

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_checkpoints 데이터베이스 플래그가 설정으로 지정되지 않았습니다.

log_checkpoints를 사용 설정하면 체크포인트와 재시작 지점이 서버 로그에 로깅됩니다. 작성된 버퍼 수와 작성 소요 시간을 포함한 일부 통계가 로그 메시지에 포함됩니다.

자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_checkpoints 데이터베이스 플래그 값을 On으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_CONNECTIONS_DISABLED

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_connections 데이터베이스 플래그가 설정으로 지정되지 않았습니다.

log_connections 설정을 사용 설정하면 클라이언트 인증 완료와 함께 서버 연결 시도가 로깅됩니다. 로그는 문제를 해결하고 비정상적인 서버 연결 시도를 확인할 때 유용합니다.

자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_connections 데이터베이스 플래그 값을 On으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_DISCONNECTIONS_DISABLED

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_disconnections 데이터베이스 플래그가 설정으로 지정되지 않았습니다.

log_disconnections 설정을 사용 설정하면 각 세션이 끝날 때 로그 항목이 생성됩니다. 로그는 문제를 해결하고 특정 기간에 걸친 비정상적인 활동을 확인할 때 유용합니다. 자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_disconnections 데이터베이스 플래그 값을 On으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_LOCK_WAITS_DISABLED

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_lock_waits 데이터베이스 플래그가 설정으로 지정되지 않았습니다.

log_lock_waits 설정을 사용 설정하면 세션에서 잠금을 획득하기 위한 대기 시간이 deadlock_timeout 시간보다 길어질 경우 로그 항목이 생성됩니다. 로그는 잠금 대기로 인해 성능이 저하되는지 확인하는 데 유용합니다.

자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_lock_waits 데이터베이스 플래그 값을 On으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_min_duration_statement 데이터베이스 플래그가 -1로 설정되지 않았습니다.

log_min_duration_statement 플래그로 인해 지정된 시간보다 길게 실행되는 SQL 문이 로깅됩니다. SQL 문이 로깅하면 안 되는 민감한 정보를 포함할 수 있기 때문에 이 설정을 사용 중지하는 것이 좋습니다. 자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_min_duration_statement 데이터베이스 플래그를 -1 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_MIN_ERROR_STATEMENT

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_min_duration_statement 데이터베이스 플래그가 적절하게 설정되지 않았습니다.

log_min_error_statement 플래그는 오류 조건을 유발하는 SQL 문을 서버 로그에 기록할지 여부를 제어합니다. 지정된 심각도 이상의 SQL 문은 오류 문에 대한 메시지와 함께 로깅됩니다. 심각도가 높을수록 기록되는 메시지가 늘어납니다.

log_min_error_statement가 올바른 값으로 설정되지 않은 경우 메시지가 오류 메시지로 분류되지 않을 수 있습니다. 심각도를 너무 낮게 설정하면 메시지 수가 증가하고 실제 오류를 찾기가 어려워집니다. 심각도를 너무 높게 설정하면 실제 오류에 대한 오류 메시지가 로깅되지 않을 수 있습니다.

자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 조직의 로깅 정책에 따라 log_min_error_statement 데이터베이스 플래그를 다음 권장 값 중 하나로 설정합니다.
    • debug5
    • debug4
    • debug3
    • debug2
    • debug1
    • info
    • notice
    • warning
    • error
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_LOG_TEMP_FILES

PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에서 log_temp_files 데이터베이스 플래그가 0으로 설정되지 않았습니다.

정렬, 해시, 임시 쿼리 결과를 위한 임시 파일을 만들 수 있습니다. log_temp_files 플래그를 0으로 설정하면 모든 임시 파일 정보가 로깅됩니다. 모든 임시 파일을 로깅하면 잠재적인 성능 문제를 식별하는 데 유용합니다. 자세한 내용은 데이터베이스 플래그 구성을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_temp_files 데이터베이스 플래그를 0 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_NO_ROOT_PASSWORD

MySQL 데이터베이스 인스턴스에서 루트 계정에 대해 비밀번호가 설정되지 않았습니다. MySQL 데이터베이스 인스턴스에 비밀번호를 추가해야 합니다. 자세한 내용은 MySQL 사용자를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에서 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_PUBLIC_IP

Cloud SQL Database에는 공개 IP 주소가 있습니다.

조직의 공격 표면을 줄이려면 Cloud SQL 데이터베이스에 공개 IP 주소가 없어야 합니다. 비공개 IP 주소는 향상된 네트워크 보안을 제공하고 애플리케이션의 지연 시간을 줄여 줍니다.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 연결 탭에서 공개 IP 체크박스를 선택 취소합니다.
  4. 인스턴스가 아직 비공개 IP를 사용하도록 구성되지 않았으면 기존 인스턴스에 대해 비공개 IP 구성을 참조하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SQL_WEAK_ROOT_PASSWORD

MySQL 데이터베이스 인스턴스에서 루트 계정에 대해 약한 비밀번호가 설정되었습니다. 인스턴스에 대해 강력한 비밀번호를 설정해야 합니다. 자세한 내용은 MySQL 사용자를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에서 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

SSL_NOT_ENFORCED

Cloud SQL 데이터베이스 인스턴스는 SSL을 사용하기 위해 모든 수신 연결을 필요로 하지 않습니다.

암호화되지 않은 통신을 통해 민감한 전송 중 데이터가 노출되지 않도록 하려면 SQL 데이터베이스 인스턴스로 들어오는 모든 연결에 SSL을 사용해야 합니다. SSL/TLS 구성에 대해 자세히 알아보세요.

이러한 발견 항목을 해결하려면 SQL 인스턴스의 SSL 연결만 허용해야 합니다.

  1. Cloud Console에서 Cloud SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 연결 탭에서 SSL 연결만 허용을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

TOO_MANY_KMS_USERS

암호화 키를 사용할 수 있는 주 사용자 수를 세 명으로 제한합니다. 사전 정의된 다음 역할은 암호화 키를 사용하여 데이터를 암호화 및 복호화하거나 데이터에 서명할 권한을 부여합니다.

  • roles/owner
  • roles/cloudkms.cryptoKeyEncrypterDecrypter
  • roles/cloudkms.cryptoKeyEncrypter
  • roles/cloudkms.cryptoKeyDecrypter
  • roles/cloudkms.signer
  • roles/cloudkms.signerVerifier

자세한 내용은 권한 및 역할을 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 Cloud KMS 키 페이지로 이동합니다.
    Cloud KMS 키로 이동
  2. 발견 항목에 표시된 키링의 이름을 클릭합니다.
  3. 발견 항목에 표시된 키의 이름을 클릭합니다.
  4. 기본 버전 옆에 있는 상자를 선택한 후 정보 패널 표시를 클릭합니다.
  5. 데이터 암호화, 복호화, 서명 권한을 갖는 주 구성원 수를 세 명 이하로 줄입니다. 권한을 취소하려면 각 주 구성원 옆에 있는 삭제 를 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

USER_MANAGED_SERVICE_ACCOUNT_KEY

사용자가 서비스 계정 키를 관리합니다.

서비스 계정은 쉽게 누출될 수 있으므로 사용자 관리 키를 포함하지 않아야 합니다. 자세한 내용은 서비스 계정 키 관리를 참조하세요.

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. 서비스 계정 페이지로 이동합니다.
    서비스 계정으로 이동
  2. 필요에 따라 발견 항목에서 표시된 프로젝트를 선택합니다.
  3. 애플리케이션에서 사용되지 않는 경우 발견 항목에 표시된 사용자 관리 서비스 계정 키를 삭제합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

WEAK_SSL_POLICY

Compute Engine 인스턴스에 약한 SSL 정책이 포함됩니다.

HTTPS 및 SSL 프록시 부하 분산기는 SSL 정책을 사용하여 사용자와 인터넷 사이에 설정된 TLS 연결에 사용되는 프로토콜 및 암호화 묶음을 결정합니다. 이러한 연결은 민감한 정보를 암호화하여 악의적인 침입자가 정보에 액세스하지 못하게 합니다. 취약한 SSL 정책을 사용하면 오래된 버전의 TLS를 사용하는 클라이언트가 보안 수준이 낮은 암호화 묶음 또는 프로토콜과 연결할 수 있습니다. 권장 및 오래된 암호화 스위트 목록은 [iana.org TLS 매개변수 페이지]를 참조하세요. (https://www.iana.org/assignments/tls-parameters/tls-parameters.xhtml#tls-parameters-4)

이 발견 항목을 해결하려면 다음 단계를 완료하세요.

  1. Cloud Console에서 대상 프록시 페이지로 이동합니다.
    대상 프록시로 이동
  2. 발견 항목에 표시된 대상 프록시를 찾고 다음에서 사용 중 열에서 전달 규칙을 확인합니다.
  3. 새 SSL 정책을 만들거나 기존 정책을 업데이트하려면 SSL 정책 사용을 참조하세요. 정책은 최소 TLS 버전이 1.2여야 하고 최신 또는 제한된 프로필을 포함해야 합니다.
  4. 커스텀 프로필을 사용하려면 다음 암호화 스위트가 사용 중지되었는지 확인합니다.
    • TLS_RSA_WITH_AES_128_GCM_SHA256
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_128_CBC_SHA
    • TLS_RSA_WITH_AES_256_CBC_SHA
    • TLS_RSA_WITH_3DES_EDE_CBC_SHA
  5. 앞에서 기록한 각 전달 규칙에 SSL 정책을 적용합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

WEB_UI_ENABLED

GKE 웹 UI(대시보드)가 사용 설정됩니다.

상위 권한의 Kubernetes 서비스 계정은 Kubernetes 웹 인터페이스를 지원합니다. 서비스 계정이 도용되면 악용될 수 있습니다. 이미 Cloud Console을 사용하고 있는 경우 Kubernetes 웹 인터페이스로 인해 공격에 노출되는 영역이 불필요하게 확대됩니다. Kubernetes 웹 인터페이스 사용 중지에 대해 알아보세요.

이 발견 항목을 해결하려면 Kubernetes 웹 인터페이스를 사용 중지합니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터로 이동
  2. Security Health Analytics 발견 항목에 나열된 클러스터의 이름을 클릭합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 부가기능을 클릭합니다. 섹션이 확장되면서 사용 가능한 부가기능이 표시됩니다.

  5. Kubernetes 대시보드 드롭다운 목록에서 사용 중지를 선택합니다.

  6. 저장을 클릭합니다.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.

WORKLOAD_IDENTITY_DISABLED

워크로드 아이덴티티가 GKE 클러스터에서 사용 중지됩니다.

워크로드 아이덴티티는 향상된 보안 속성 및 관리 편의성으로 인해 GKE 내에서 Google Cloud 서비스에 액세스하는 데 권장되는 방식입니다. 사용 설정하면 클러스터에서 실행되는 사용자 워크로드에서 잠재적으로 민감한 시스템 메타데이터가 보호됩니다. 메타데이터 숨김에 대해 알아보세요.

이 발견 항목을 해결하려면 클러스터에서 워크로드 아이덴티티 사용 설정 가이드를 따르세요.

이 발견 항목 유형의 지원되는 애셋 및 스캔 설정에 대해 알아봅니다.