Security Command Center에서 보안 표시 또는 '표시'를 사용하여 Security Command Center에서 애셋 또는 발견 항목에 주석을 추가한 다음 표시를 사용하여 검색, 선택 또는 필터링할 수 있습니다. 보안 표시를 사용하여 애셋 및 발견 항목에 ACL 주석을 제공할 수 있습니다. 그런 다음 이러한 주석으로 애셋 및 발견 항목을 필터링하여 관리, 정책 애플리케이션 또는 워크플로 통합을 수행할 수 있습니다. 또한 표시를 사용하여 우선순위, 액세스 수준 또는 민감도 분류를 추가할 수 있습니다.
Security Command Center에서 지원되는 애셋에서만 보안 표시를 추가하거나 업데이트할 수 있습니다. Security Command Center가 지원하는 애셋 목록은 Security Command Center의 지원되는 애셋 유형을 참조하세요.
시작하기 전에
보안 표시를 추가하거나 변경하려면 사용하려는 표시 종류에 대한 권한이 포함된 Identity and Access Management(IAM) 역할이 있어야 합니다.
- 애셋 마크: 애셋 보안 표시 작성자,
securitycenter.assetSecurityMarksWriter - 발견 항목: 발견 항목 보안 표시 작성자,
securitycenter.findingSecurityMarksWriter
Security Command Center의 IAM 역할은 조직, 폴더, 프로젝트 수준에서 부여할 수 있습니다. 발견 항목, 애셋, 보안 소스를 보거나 수정하거나 만들거나 업데이트할 수 있는 기능은 액세스 권한이 부여된 수준에 따라 다릅니다. Security Command Center 역할에 대해 자세히 알아보려면 액세스 제어를 참조하세요.
보안 표시
보안 표시는 Security Command Center에서 고유합니다. IAM 권한이 보안 표시에 적용되며 적절한 Security Command Center 역할을 가진 사용자로만 제한됩니다. 표시를 읽고 수정하려면 보안 센터 애셋 보안 표시 작성자 및 보안 센터 발견 항목 보안 표시 작성자 역할이 필요합니다. 이 역할에는 기본 리소스에 액세스할 수 있는 권한이 포함되어 있지 않습니다.
보안 표시를 사용하면 애셋 및 발견 항목에 비즈니스 컨텍스트를 추가할 수 있습니다. IAM 역할은 보안 표시에 적용되므로 애셋과 발견 항목에 대한 정책을 필터링하고 시행하는 데 사용될 수 있습니다.
보안 표시는 일괄 스캔 중에 처리되며 실시간이 아니라 매일 두 번 실행됩니다. 보안 표시가 처리되고 발견 항목을 해결하거나 다시 여는 시정 조치 정책이 적용되기까지 12~24시간의 지연이 발생할 수 있습니다.
라벨 및 태그
라벨과 태그는 Security Command Center에서 사용할 수 있는 일종의 메타데이터지만 보안 표시와 사용 및 권한 모델이 약간 다릅니다.
라벨은 특정 리소스에 적용되며 여러 Google Cloud 제품에서 지원되는 사용자 수준 주석입니다. 라벨은 기본적으로 결제 및 저작권 표시에 사용됩니다.
Google Cloud에는 두 가지 유형의 태그가 있습니다.
네트워크 태그는 Compute Engine 리소스에 해당하는 사용자 수준 주석입니다. 네트워크 태그는 주로 보안 그룹, 네트워크 세분화, 방화벽 규칙을 정의하는 데 사용됩니다.
리소스 태그(또는 태그)는 조직, 폴더, 프로젝트에 연결될 수 있는 키-값 쌍입니다. 태그를 사용하면 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부할 수 있습니다.
라벨 및 태그를 읽거나 업데이트하는 것은 기본 리소스의 권한과 관련되어 있습니다. 라벨과 태그는 Security Command Center 애셋 표시에서 리소스 속성의 일부로 수집됩니다. List API 결과를 후 처리하는 동안 특정 라벨 및 태그 존재 여부, 특정 키 및 값을 검색할 수 있습니다.
애셋 및 발견 항목에 보안 표시 추가
모든 애셋 유형과 발견 항목을 포함하여 Security Command Center에서 지원되는 모든 리소스에 보안 표시를 추가할 수 있습니다.
표시는 Google Cloud 콘솔과 Security Command Center API 출력에 표시되며 정책 그룹을 필터링, 정의하거나 비즈니스 환경설정을 애셋과 발견 항목에 추가하는 데 사용될 수 있습니다. 애셋 표시와 발견 항목 표시는 구분됩니다. 애셋 표시는 애셋의 발견 항목에 자동으로 추가되지 않습니다.
애셋 표시의 보안 표시
다음 단계는 애셋 페이지에서 애셋에 보안 표시를 추가하는 방법을 보여줍니다.
Google Cloud 콘솔에서 Security Command Center 애셋 페이지로 이동합니다.
프로젝트 선택기에서 표시해야 하는 애셋이 포함된 프로젝트, 폴더 또는 조직을 선택합니다.
애셋 표시가 나타나면 표시할 각 애셋의 체크박스를 선택합니다.
보안 표시 설정을 선택합니다.
보안 표시 대화상자가 나타나면 표시 추가를 클릭합니다.
키 및 값 항목을 추가하여 하나 이상의 보안 표시를 지정합니다.
예를 들어 프로덕션 단계의 프로젝트를 표시하려면 'stage' 키와 'prod' 값을 추가합니다. 그러면 각 선택 프로젝트에는 필터링에 사용할 수 있는 새
mark.stage: prod가 포함됩니다.기존 표시를 수정하려면 값 필드의 텍스트를 업데이트합니다. delete 표시 옆의 휴지통 아이콘을 클릭하여 표시를 삭제할 수 있습니다.
표시 추가를 완료했으면 저장을 클릭합니다.
선택한 애셋이 이제 표시와 연결됩니다. 기본적으로 애셋 표시에 열로 표시가 표시됩니다.
Security Health Analytics 감지기의 전용 애셋 표시는 이 페이지의 뒷부분에 있는 정책 관리를 참조하세요.
발견 항목에 보안 표시 추가
다음 단계에서는 Google Cloud 콘솔을 사용하여 발견 항목에 보안 표시를 추가합니다. 보안 표시를 추가한 후 이를 사용하여 발견 항목 쿼리 결과 패널에서 발견 항목을 필터링할 수 있습니다.
발견 항목에 보안 표시를 추가하려면 다음 안내를 따르세요.
Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.
검토할 프로젝트 또는 조직을 선택합니다.
발견 항목 쿼리 결과 패널에서 체크박스를 선택하여 보안 표시를 추가할 발견 항목을 하나 이상 선택합니다.
보안 표시 설정을 선택합니다.
보안 표시 대화상자가 나타나면 표시 추가를 클릭합니다.
보안 표시를 키 및 값 항목으로 지정합니다.
예를 들어 동일한 이슈의 일부인 발견 항목을 표시하려면 'incident-number' 키와 '1234' 값을 추가합니다. 그러면 각 발견 항목에는 새로운
mark.incident-number: 1234가 있습니다.기존 표시를 수정하려면 값 필드의 텍스트를 업데이트합니다.
표시를 삭제하려면 표시 옆의 휴지통 아이콘을 클릭합니다. delete
표시 추가를 완료했으면 저장을 클릭합니다.
정책 관리
발견 항목을 숨기려면 수동 또는 프로그래매틱 방식으로 개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 자동으로 숨기는 숨기기 규칙을 만들 수 있습니다. 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.
발견 항목 숨기기는 허용 가능한 비즈니스 매개변수 내에 포함되거나 격리된 프로젝트의 발견 항목을 검토할 필요가 없을 때 권장되는 방법입니다.
또는 이러한 리소스를 특정 정책에서 명시적으로 포함하거나 제외하도록 애셋에 표시를 설정할 수 있습니다. 각 Security Health Analytics 감지기에는 보안 표시 allow_finding-
type를 추가하여 감지 정책에서 표시된 리소스를 제외할 수 있는 전용 표시 유형이 있습니다. 예를 들어 발견 항목 유형 SSL_NOT_ENFORCED를 제외하려면 보안 표시 allow_ssl_not_enforced:true를 사용합니다. 이 표시 유형은 각 리소스 및 감지기에 대한 세부적인 제어 기능을 제공합니다. Security Health Analytics에서 보안 표시를 사용하는 방법에 대한 자세한 내용은 보안 표시를 사용하여 애셋 및 발견 항목 표시를 참조하세요.
다음 단계
- Google Cloud 콘솔에서 Security Command Center를 사용하여 애셋 및 발견 항목을 검토하는 방법 알아보기