Security Health Analytics 발견 항목 문제 해결

>

이 페이지에서는 Security Command Center를 사용하여 Security Health Analytics 발견 항목을 해결하기 위한 참조 가이드 및 기술 목록을 제공합니다.

Security Health Analytics 문제 해결

BUCKET_LOGGING_DISABLED

보안 문제를 조사하고 저장용량 소비를 모니터링할 수 있도록 Cloud Storage 버킷에 대한 액세스 로그 및 저장용량 정보를 사용 설정하세요. 액세스 로그는 특정 버킷에서 이루어진 모든 요청에 대한 정보를 제공하고, 스토리지 로그는 해당 버킷의 스토리지 소비에 대한 정보를 제공합니다.

이 발견 항목을 해결하려면 액세스 로그 및 스토리지 로그 가이드를 완료하여 Security Health Analytics 발견 항목에서 지정한 버킷에 대한 로깅을 설정하세요.

CLUSTER_LOGGING_DISABLED

보안 문제를 조사하고 사용량을 모니터링할 수 있도록 클러스터에서 Cloud Logging을 사용 설정하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Logging 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Logging기존 Stackdriver Monitoring과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

CLUSTER_MONITORING_DISABLED

보안 문제를 조사하고 사용량을 모니터링할 수 있도록 클러스터에서 Cloud Monitoring을 사용 설정하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 Stackdriver Monitoring 또는 Stackdriver Kubernetes Engine Monitoring 드롭다운 목록에서 사용 설정을 선택합니다.

    이러한 옵션은 호환되지 않습니다. Stackdriver Kubernetes Engine Monitoring만 단독으로 사용하거나 기존 Stackdriver Monitoring기존 Stackdriver Logging과 함께 사용해야 합니다.

  5. 저장을 클릭합니다.

DEFAULT_SERVICE_ACCOUNT_USED

기본 Compute Engine 서비스 계정에는 프로젝트의 편집자 역할이 있으므로 대부분의 Google Cloud 서비스에 대한 읽기 및 쓰기 액세스가 허용됩니다. 권한 에스컬레이션 및 무단 액세스를 방지하려면 기본 Compute Engine 서비스 계정을 사용하지 않습니다. 대신 새 서비스 계정을 만들고 인스턴스에 필요한 권한만 할당해야 합니다. 역할 및 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목과 관련된 인스턴스를 선택합니다.
  3. 로드된 인스턴스 세부정보 페이지에서 중지를 클릭합니다.
  4. 인스턴스가 중지되면 수정을 클릭합니다.
  5. 서비스 계정 섹션에서 기본 Compute Engine 서비스 계정이 아닌 서비스 계정을 선택합니다. 먼저 새 서비스 계정을 만들어야 할 수도 있습니다. Identity and Access Management 역할 및 권한에 대한 자세한 내용은 액세스 제어를 참조하세요.
  6. 저장을 클릭합니다. 인스턴스 세부정보 페이지에 새 구성이 표시됩니다.

KMS_PUBLIC_KEY

Security Health Analytics 발견 항목으로 표시된 KMS Cryptokey 또는 KMS Key Ring은 공개 상태이며 인터넷상의 누구나 액세스할 수 있습니다.

KMS Cryptokey와 관련이 있는지에 대해 이 발견 항목을 해결하려면 다음 단계를 따르세요.

  1. Cloud Console에서 암호화 키 페이지로 이동합니다.
    암호화 키
  2. 이름에서 Security Health Analytics 발견 항목과 관련된 암호화 키가 포함된 키링을 선택합니다.
  3. 로드된 키링 세부정보 페이지에서 암호화 키 옆의 체크박스를 선택합니다.
  4. 정보 패널이 표시되지 않으면 정보 패널 표시 버튼을 클릭합니다.
  5. 역할 / 구성원 위의 필터 상자를 사용하여 allUsersallAuthenticatedUsers의 구성원을 검색한 다음 휴지통 아이콘을 클릭하여 이러한 구성원의 액세스 권한을 삭제합니다.

KMS 키링과 관련이 있는지에 대해 이 문제를 해결하려면 다음 단계를 따르세요.

  1. Cloud Console에서 암호화 키 페이지로 이동합니다.
    암호화 키
  2. 발견 항목에 설명된 키링이 있는 행을 찾아 체크박스를 선택합니다.
  3. 정보 패널이 표시되지 않으면 정보 패널 표시 버튼을 클릭합니다.
  4. 역할 / 구성원 위의 필터 상자를 사용하여 allUsersallAuthenticatedUsers의 구성원을 검색한 다음 휴지통 아이콘을 클릭하여 이러한 구성원의 액세스 권한을 삭제합니다.

KMS_ROLE_SEPARATION

조직에서 1명 이상의 구성원에게 여러 KMS 권한이 할당되었습니다. 계정이 다른 KMS 권한과 Cloud KMS 관리자 역할을 동시에 가지는 것은 권장되지 않습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 구성원 옆에 있는 편집을 클릭합니다.
  3. 권한을 삭제하려면 Cloud KMS 관리자 옆에 있는삭제 를 클릭합니다. 구성원의 모든 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  4. 저장을 클릭합니다.
  5. Security Health Analytics 발견 항목에 나열된 각 구성원에 대해 위 단계를 반복합니다.

LEGACY_AUTHORIZATION_ENABLED

Kubernetes에서 역할 기반 액세스 제어(RBAC)를 사용하면 권한 집합이 포함된 규칙으로 역할을 정의하고 클러스터 및 네임스페이스 수준에서 권한을 부여할 수 있습니다. 이 기능으로 사용자가 특정 리소스에 대한 액세스 권한만 가지게 되므로 보안이 강화됩니다. 기존 속성 기반 액세스 제어(ABAC)는 사용 중지하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 기존 승인 드롭다운 목록에서 사용 중지됨을 선택합니다.

  5. 저장을 클릭합니다.

MASTER_AUTHORIZED_NETWORKS_DISABLED

마스터 승인 네트워크는 지정된 IP 주소에서 클러스터의 제어 영역에 액세스할 수 없도록 차단하여 컨테이너 클러스터의 보안을 강화합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 마스터 승인 네트워크 드롭다운 목록에서 사용 설정을 선택하세요.

  5. 승인된 네트워크 추가를 클릭합니다.

  6. 사용할 승인 네트워크를 지정하세요.

  7. 저장을 클릭합니다.

NETWORK_POLICY_DISABLED

기본적으로 pod 간 통신이 열립니다. 열려 있는 통신을 통해 NAT 유무에 상관없이 여러 노드의 pod를 직접 연결할 수 있습니다. NetworkPolicy가 명시적으로 연결을 허용하지 않는 한 NetworkPolicy는 pod 간의 연결을 제한하는 pod 수준의 방화벽과 유사합니다. 네트워크 정책 정의 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 마스터 네트워크 정책노드 네트워크 정책 드롭다운 목록에서 사용 설정됨을 선택합니다.

  5. 저장을 클릭합니다.

NON_ORG_IAM_MEMBER

조직 외부의 사용자에게 프로젝트 또는 조직의 IAM 권한이 있습니다. IAM 권한에 대해 자세히 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. 조직 외부 사용자 옆의 체크박스를 선택합니다.
  3. 삭제를 클릭합니다.

OBJECT_VERSIONING_DISABLED

삭제하거나 덮어쓴 객체를 검색할 수 있도록 Cloud Storage는 객체 버전 관리 기능을 제공합니다. Cloud Storage 데이터를 덮어쓰거나 실수로 삭제하지 않도록 하려면 객체 버전 관리를 사용하세요. 객체 버전 관리 사용 설정 방법을 알아보세요.

이 발견 항목을 해결하려면 gsutil versioning set on 명령어를 gsutil versioning set on gs://finding.assetDisplayName와 같이 적절한 값으로 사용합니다.

OPEN_FIREWALL

모든 IP 주소(예: 0.0.0.0/0) 또는 모든 포트의 연결을 허용하는 방화벽 규칙은 의도하지 않은 소스의 공격에 리소스를 불필요하게 노출할 수 있습니다. 이러한 규칙을 삭제하거나 의도한 소스 IP 범위 또는 포트로 명시적으로 범위를 지정해야 합니다. 예를 들어 공용 애플리케이션에서 80 포트와 443과 같이 애플리케이션에 필요한 포트로 허용되는 포트를 제한하는 것이 좋습니다. 애플리케이션에서 모든 IP 주소 또는 포트의 연결을 허용해야 하는 경우 애셋 허용을 고려해 보세요.

방화벽 규칙 업데이트에 대해 자세히 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 방화벽 규칙 페이지로 이동합니다.
    방화벽 규칙 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 방화벽 규칙을 클릭한 다음 수정을 클릭합니다.
  3. 소스 IP 범위에서 허용되는 IP 범위를 제한하도록 IP 값을 수정합니다.
  4. 프로토콜 및 포트에서 지정된 프로토콜 및 포트를 선택하고 허용되는 프로토콜에 해당하는 체크박스를 선택하고 허용되는 포트를 입력합니다.
  5. 저장을 클릭합니다.

ORG_POLICY_LOCATION_RESTRICTION

조직 정책 gcp.resourceLocations 제약조건을 사용하면 선택한 Cloud 리전으로 새 리소스 생성을 제한할 수 있습니다. 자세한 내용은 리소스 위치 제한을 참조하세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

ORG_POLICY_LOCATION_RESTRICTION 감지기는 여러 리소스 유형과 구제 조치 안내가 리소스마다 다릅니다. 위치 위반을 해결하기 위한 일반적인 방법은 다음과 같습니다.

  1. 리전 외부 리소스 또는 데이터를 리전 내 리소스로 복사, 이동, 백업합니다. 개별 서비스에 대한 문서를 참조하여 리소스 이동에 대한 안내를 확인하세요.
  2. 리전 외부의 원래 리소스 또는 데이터를 삭제합니다.

이 접근 방식은 일부 리소스 유형에서만 사용할 수 있습니다. 안내는 발견 시 제공되는 커스텀 권장사항을 참조하세요.

추가 고려사항

관리형 리소스

리소스의 수명 주기는 다른 리소스에 의해 관리되고 제어될 수 있습니다. 예를 들어 관리형 Compute Engine 인스턴스 그룹은 인스턴스 그룹의 자동 확장 정책에 따라 Compute Engine 인스턴스를 만들고 폐기합니다. 관리 및 관리 리소스가 위치 시행을 위한 범위 내에 있는 경우, 둘 다 조직 정책을 위반하는 것으로 신고될 수 있습니다. 운영 안정성을 보장하기 위한 관리형 리소스의 발견 항목에 대한 문제 해결은 리소스 관리에서 수행되어야 합니다.

사용 중인 리소스

특정 리소스는 다른 리소스에서 사용됩니다. 예를 들어 실행 중인 Compute Engine 인스턴스에 연결된 Compute Engine 디스크는 인스턴스에서 사용 중인 것으로 간주됩니다. 사용 중인 리소스가 위치 조직 정책을 위반하는 경우, 위치 위반을 해결하기 전에 리소스가 사용 중이 아닌지 확인해야 합니다.

OS_LOGIN_DISABLED

OS 로그인은 프로젝트의 모든 인스턴스에서 IAM으로 중앙 집중식 SSH 키 관리를 사용 설정하고 메타데이터 기반 SSH 키 구성을 사용 중지합니다. OS 로그인 설정 및 구성 방법을 알아보세요.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 메타데이터 페이지로 이동합니다.
    메타데이터 페이지로 이동
  2. 수정을 클릭한 후 항목 추가를 클릭합니다.
  3. enable-oslogin 키와 TRUE 값이 포함된 항목을 추가합니다.

POD_SECURITY_POLICY_DISABLED

PodSecurityPolicy는 클러스터에서 pod 생성 및 업데이트 요청을 검증하는 허용 컨트롤러 리소스입니다. PodSecurityPolicy는 클러스터에서 허용되도록 pod가 충족해야 하는 조건 집합을 정의합니다.

이 발견 항목을 해결하려면 PodSecurityPolicies를 정의 및 승인하고 PodSecurityPolicy 컨트롤러를 사용 설정합니다. 자세한 내용은 PodSecurityPolicies 사용 가이드를 참조하세요.

PRIVATE_CLUSTER_DISABLED

비공개 클러스터를 사용하면 노드는 내부 IP 주소만 가질 수 있습니다. 따라서 노드의 아웃바운드 인터넷 액세스가 제한됩니다. 클러스터 노드에 공개 IP 주소가 없으면 공개 인터넷에 검색되거나 노출되지 않습니다. 내부 부하 분산기를 통해 노드에 트래픽을 계속 라우팅할 수 있습니다.

기존 클러스터를 비공개로 설정할 수 없습니다. 이 발견 항목을 수정하려면 새 비공개 클러스터를 만듭니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. 클러스터 만들기를 클릭합니다.
  3. 가용성, 네트워킹, 보안, 추가 기능을 클릭한 후 VPC 네이티브(별칭 IP 사용)비공개 클러스터 체크박스를 선택합니다.
  4. 만들기를 클릭합니다.

PUBLIC_BUCKET_ACL

Security Health Analytics 발견 항목으로 표시된 버킷이 공개 상태이며 모든 인터넷 사용자가 액세스할 수 있습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 Storage 브라우저 페이지로 이동합니다.
    Storage 브라우저
  2. Security Health Analytics 발견 항목 목록에 나열된 버킷을 선택합니다.
  3. 버킷 세부정보 페이지에서 권한 탭을 클릭합니다.
  4. 역할에서 삭제를 클릭해 allUsersallAuthenticatedUsers에 부여된 모든 IAM 권한을 삭제하세요.

SERVICE_ACCOUNT_ROLE_SEPARATION

조직에서 1명 이상의 구성원에게 여러 서비스 계정 권한이 할당되었습니다. 계정이 다른 서비스 계정 권한과 서비스 계정 관리자 역할을 동시에 가지는 것은 권장되지 않습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 IAM 페이지로 이동합니다.
    IAM 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 구성원 옆에 있는 편집을 클릭합니다.
  3. 권한을 삭제하려면 서비스 계정 관리자 옆에 있는 삭제 를 클릭하세요. 모든 서비스 계정 권한을 삭제하려면 다른 모든 권한 옆에 있는 삭제를 클릭합니다.
  4. 저장을 클릭합니다.
  5. Security Health Analytics 발견 항목에 나열된 각 구성원에 대해 위 단계를 반복합니다.

SHIELDED_VM_DISABLED

보안 VM은 루트킷과 부트킷으로부터 보호하는 데 도움이 되는 보안 제어로 강화된 Google Cloud의 가상 머신(VM)입니다. 보안 VM을 사용하면 부팅 로더와 펌웨어가 서명 및 인증되었는지 확인할 수 있습니다. 보안 VM에 대해 자세히 알아보기

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console에서 VM 인스턴스 페이지로 이동합니다.
    VM 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목과 관련된 인스턴스를 선택합니다.
  3. 로드된 인스턴스 세부정보 페이지에서 중지를 클릭합니다.
  4. 인스턴스가 중지되면 수정을 클릭합니다.
  5. 보안 VM 섹션에서 vTPM 사용 설정무결성 모니터링 사용 설정 간에 전환하여 보안 VM을 사용 설정합니다.
  6. 선택적으로 커스텀 또는 서명되지 않은 드라이버를 사용하지 않는 경우 보안 부팅도 사용 설정합니다.
  7. 저장을 클릭합니다. 인스턴스 세부정보 페이지에 새 구성이 표시됩니다.
  8. 시작을 클릭하여 인스턴스를 시작합니다.

SQL_CONTAINED_DATABASE_AUTHENTICATION

Security Health Analytics 발견 항목으로 표시된 SQL Server용 Cloud SQL 데이터베이스 인스턴스의 contained database authentication 데이터베이스 플래그가 Off로 설정되어 있지 않습니다.

포함된 데이터베이스 인증 플래그는 포함된 데이터베이스를 데이터베이스 데이터베이스에 추가할 수 있는지 여부를 제어합니다. 포함된 데이터베이스는 데이터베이스를 정의하는 데 필요한 모든 데이터베이스 설정과 메타데이터를 포함하며, 데이터베이스가 설치된 Database Engine의 인스턴스에 구성 종속 항목이 없습니다.

다음과 같은 이유 때문에 이 플래그를 사용 설정하지 않는 것이 좋습니다.

  • 사용자가 데이터베이스 엔진 수준에서 인증 없이 데이터베이스에 연결할 수 있습니다.
  • 데이터베이스 엔진에서 데이터베이스를 격리하면 데이터베이스를 SQL Server의 다른 인스턴스로 옮길 수 있습니다.

포함된 데이터베이스에는 SQL Server Database Engine 관리자가 이해하고 완화해야 하는 고유한 위협이 있습니다. 대부분의 위협은 데이터베이스 엔진 수준에서 데이터베이스 수준으로 인증 경계를 이동시키는 USER WITH PASSWORD 인증 절차에서 비롯됩니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 contained database authentication 데이터베이스 플래그를 Off 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_CROSS_DB_OWNERSHIP_CHAINING

Security Health Analytics 발견 항목으로 표시된 SQL Server용 Cloud SQL 데이터베이스 인스턴스에는 cross db ownership chaining 데이터베이스 플래그가 Off로 설정되어 있지 않습니다.

cross db ownership chaining 플래그를 사용하면 데이터베이스 수준에서 교차 데이터베이스 소유권 체이닝을 제어하거나 모든 데이터베이스 문에 교차 데이터베이스 소유권 체이닝을 허용할 수 있습니다.

SQL Server 인스턴스에서 호스팅하는 모든 데이터베이스가 교차 데이터베이스 소유권 체이닝에 참여하고 이 설정이 보안에 미치는 영향을 알고 있지 않는 한 이 플래그를 사용 설정하지 않는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 cross db ownership chaining 데이터베이스 플래그를 Off 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOCAL_INFILE

Security Health Analytics 발견 항목으로 표시된 MySQL용 Cloud SQL 데이터베이스 인스턴스의 local_infile 데이터베이스 플래그가 Off로 설정되지 않았습니다. local_infile 플래그와 관련된 보안 문제로 인해 사용 중지하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 local_infile 데이터베이스 플래그를 Off 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_CHECKPOINTS_DISABLED

Security Health Analytics 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스의 log_checkpoints 데이터베이스 플래그가 On으로 설정되어 있지 않습니다.

log_checkpoints를 사용 설정하면 체크포인트와 재시작 지점이 서버 로그에 로깅됩니다. 작성된 버퍼 수와 작성 소요 시간을 포함한 일부 통계가 로그 메시지에 포함됩니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_checkpoints 데이터베이스 플래그를 On으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_CONNECTIONS_DISABLED

Security Health Analytics 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스의 log_connections 데이터베이스 플래그가 On으로 설정되어 있지 않습니다.

log_connections 설정을 사용 설정하면 클라이언트 인증 완료와 함께 서버 연결 시도가 로깅됩니다. 로그는 문제를 해결하고 비정상적인 서버 연결 시도를 확인할 때 유용합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_connections 데이터베이스 플래그를 On 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_DISCONNECTIONS_DISABLED

Security Health Analytics 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스의 log_disconnections 데이터베이스 플래그가 On으로 설정되어 있지 않습니다.

log_disconnections 설정을 사용 설정하면 각 세션이 끝날 때 로그 항목이 생성됩니다. 로그는 일정 시간 동안 문제를 해결하고 비정상적인 활동을 확인할 때 유용합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_disconnections 데이터베이스 플래그를 On 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_LOCK_WAITS_DISABLED

Security Health Analytics 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스의 log_lock_waits 데이터베이스 플래그가 On으로 설정되어 있지 않습니다.

log_lock_waits 설정을 사용 설정하면 세션이 잠금을 획득하는 데 deadlock_timeout 시간보다 오래 걸리는 로그 항목이 생성됩니다. 로그는 잠금 대기로 인해 성능이 저하되는지 확인하는 데 유용합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_lock_waits 데이터베이스 플래그를 On 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_MIN_DURATION_STATEMENT_ENABLED

보안 상태 애널리틱스 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에는 log_min_duration_statement 데이터베이스 플래그가 -1로 설정되어 있지 않습니다.

log_min_duration_statement 플래그는 지정된 시간보다 길게 실행된 SQL 문을 로깅합니다. SQL 문에는 로깅하면 안 되는 민감한 정보가 포함되어 있을 수 있으므로 이 설정을 사용 중지하는 것이 좋습니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_min_duration_statement 데이터베이스 플래그를 -1 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_LOG_TEMP_FILES

보안 상태 애널리틱스 발견 항목으로 표시된 PostgreSQL용 Cloud SQL 데이터베이스 인스턴스에는 log_temp_files 데이터베이스 플래그가 0으로 설정되어 있지 않습니다.

정렬, 해시, 임시 쿼리 결과를 위한 임시 파일을 만들 수 있습니다. log_temp_files 플래그를 0으로 설정하면 모든 임시 파일 정보가 로깅됩니다. 모든 임시 파일을 로깅하면 잠재적인 성능 문제를 식별하는 데 유용합니다.

이 발견 항목을 해결하려면 다음 안내를 따르세요.

  1. Cloud Console의 Cloud SQL 인스턴스 페이지로 이동합니다.
    Cloud SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 수정을 클릭합니다.
  4. 데이터베이스 플래그 섹션에서 log_temp_files 데이터베이스 플래그를 0 값으로 설정합니다.
  5. 저장을 클릭합니다. 인스턴스 개요 페이지에 새 구성이 표시됩니다.

SQL_NO_ROOT_PASSWORD

Security Health Analytics에 표시된 MySQL 데이터베이스 인스턴스에는 루트 계정에 설정된 비밀번호가 없습니다.

이 발견 항목을 수정하려면 MySQL 데이터베이스 인스턴스에 비밀번호를 추가합니다.

  1. Cloud Console에서 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에 있는 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

SQL_WEAK_ROOT_PASSWORD

Security Health Analytics 발견 항목에 표시된 MySQL 데이터베이스 인스턴스의 루트 계정 비밀번호가 취약합니다.

이 발견 항목을 수정하려면 MySQL 데이터베이스 인스턴스에 안전한 비밀번호를 설정합니다.

  1. Cloud Console의 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 인스턴스 세부정보 페이지가 로드되면 사용자 탭을 선택합니다.
  4. root 사용자 옆에 있는 더보기 를 클릭한 후 비밀번호 변경을 선택합니다.
  5. 안전한 새 비밀번호를 입력한 후 확인을 클릭하세요.

SSL_NOT_ENFORCED

암호화되지 않은 통신을 통해 민감한 전송 중 데이터가 노출되지 않도록 하려면 SQL 데이터베이스 인스턴스로 들어오는 모든 연결에 SSL을 사용해야 합니다. SSL/TLS 구성에 대해 자세히 알아보세요.

이러한 발견 항목을 해결하려면 SQL 인스턴스의 SSL 연결만 허용해야 합니다.

  1. Cloud Console에서 SQL 인스턴스 페이지로 이동합니다.
    SQL 인스턴스 페이지로 이동
  2. Security Health Analytics 발견 항목에 나열된 인스턴스를 선택합니다.
  3. 연결 탭에서 SSL 연결만 허용을 클릭합니다.

WEB_UI_ENABLED

상위 권한의 Kubernetes 서비스 계정은 Kubernetes 웹 인터페이스를 지원합니다. 서비스 계정이 도용되면 악용될 수 있습니다. 이미 Cloud Console을 사용하고 있는 경우 Kubernetes 웹 인터페이스로 인해 공격에 노출되는 영역이 불필요하게 확대됩니다. Kubernetes 웹 인터페이스 사용 중지에 대해 알아보세요.

이 발견 항목을 해결하려면 Kubernetes 웹 인터페이스를 사용 중지합니다.

  1. Cloud Console에서 Kubernetes 클러스터 페이지로 이동합니다.
    Kubernetes 클러스터 페이지로 이동
  2. Security Health Analytics 발견 항목 목록에 나열된 클러스터를 선택합니다.
  3. 수정을 클릭합니다.

    클러스터 구성이 최근에 변경된 경우 수정 버튼이 클릭되지 않을 수 있습니다. 클러스터 설정을 수정할 수 없는 경우 몇 분 정도 기다린 후 다시 시도하세요.

  4. 부가기능을 클릭합니다. 섹션이 확장되면서 사용 가능한 부가기능이 표시됩니다.

  5. Kubernetes 대시보드 드롭다운 목록에서 사용 중지를 선택합니다.

  6. 저장을 클릭합니다.

WORKLOAD_IDENTITY_DISABLED

워크로드 ID는 향상된 보안 속성 및 관리 편의성으로 인해 GKE 내에서 Google Cloud 서비스에 액세스하는 데 권장되는 방식입니다. 사용 설정하면 클러스터에서 실행되는 사용자 워크로드에서 잠재적으로 민감한 시스템 메타데이터가 보호됩니다. 메타데이터 숨김에 대해 알아보세요.

이러한 발견 항목을 해결하려면 기존 클러스터에서 워크로드 아이덴티티 사용 설정 가이드를 참조하세요.