Rapid Vulnerability Detection 사용

이 페이지에서는 App Engine 애플리케이션과 Compute Engine 가상 머신에서 심각한 취약점을 찾는 Security Command Center 프리미엄의 기본 제공 서비스인 Rapid Vulnerability Detection의 발견 항목을 보고 관리하는 방법을 설명합니다.

개요

Rapid Vulnerability Detection은 공개 엔드포인트의 활성 스캔을 수행합니다. 약한 사용자 인증 정보, 완전하지 않은 소프트웨어 설치, 기타 알려진 중요 취약점 등 악용될 가능성이 높은 기타 중요한 취약점을 감지합니다. 발견 항목은 Security Command Center에 기록됩니다. 자세한 내용은 Rapid Vulnerability Detection 개요를 참조하세요.

리소스 사용량

일반적으로 각 엔드포인트 및 애플리케이션이 개별적으로 스캔되어야 하기 때문에 VM에 있는 엔드포인트 수가 많고 VM에서 호스팅되는 서비스가 많을수록 Rapid Vulnerability Detection이 수행해야 하는 스캔 횟수가 늘어납니다.

Rapid Vulnerability Detection 스캔 중의 네트워킹 트래픽은 이그레스 트래픽으로 요금이 청구되므로 스캔 시 추가 비용이 발생할 수 있습니다.

스캔 대상이 모두 북미 리전 내에 있는 프로젝트 또는 조직을 가정해 보겠습니다. 단일 스캔에서 약 200KB의 이그레스 트래픽을 사용하고 매월 10만 스캔을 실행하는 경우 총 트래픽은 20GB입니다.

스캔 대상별 리소스 사용량과 관련된 잠재적 비용에 대한 자세한 내용은 Security Command Center 가격 책정을 참조하세요.

시작하기 전에

발견 항목을 보거나 수정하고 Google Cloud 리소스를 수정하려면 적절한 Identity and Access Management(IAM) 역할이 필요합니다. Security Command Center에서 액세스 오류가 발생하면 관리자에게 지원을 요청하고 액세스 제어에서 역할에 대해 알아보세요.

Rapid Vulnerability Detection 사용 설정

조직, 폴더 또는 프로젝트에서 Rapid Vulnerability Detection을 사용 설정하면 Rapid Vulnerability Detection에서 조직 또는 프로젝트의 모든 지원되는 리소스를 자동으로 스캔합니다.

Rapid Vulnerability Detection을 사용 설정하려면 다음 단계를 따르세요.

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "ENABLED"}'

Rapid Vulnerability Detection을 처음 사용 설정한 후 24시간 이내에 자동으로 스캔이 시작됩니다. 첫 스캔 후 Rapid Vulnerability Detection이 매주 관리형 스캔을 실행합니다.

Rapid Vulnerability Detection을 테스트하기 위해 테스트 리소스를 설정할 수 있습니다. 첫 번째 Rapid Vulnerability Detection 스캔에 테스트 리소스를 포함하려면 프로젝트가 Rapid Vulnerability Detection 스캔 목록에 추가되기 전에 프로젝트에서 해당 리소스를 만듭니다.

Rapid Vulnerability Detection과 같은 기본 제공 서비스를 사용 설정하는 방법에 대한 자세한 내용은 Security Command Center 리소스 구성을 참조하세요.

스캔 지연 시간 및 간격

프로젝트에서 Rapid Vulnerability Detection을 사용 설정한 후 첫 번째 검사가 시작되고 발견 항목이 Security Command Center에 표시되는 데 최대 24시간이 걸릴 수 있습니다.

Rapid Vulnerability Detection은 첫 번째 스캔 날짜로부터 매주 후속 스캔을 수행합니다. 스캔 간격 사이에 프로젝트에 새 리소스가 추가되면 다음 주간 스캔까지 Rapid Vulnerability Detection에서 리소스를 스캔하지 않습니다.

Rapid Vulnerability Detection 테스트

Rapid Vulnerability Detection이 작동하는지 확인하려면 GitHub에서 제공하는 Tsunami Security용 오픈소스 Testbed를 사용하여 취약한 비밀번호 또는 경로 순회 및 공개 취약점과 같은 취약점 발견 항목을 생성하면 됩니다. 자세한 내용은 google/tsunami-security-scanner-testbed를 참고하세요.

발견 항목 검토

Rapid Vulnerability Detection의 관리형 스캔 기능은 범위 내 프로젝트마다 스캔을 자동으로 구성하고 예약합니다.

발견 항목에는 감지된 취약점 및 영향을 받는 프로젝트에 대한 정보가 포함됩니다. 취약점은 특정 스캔 대상(엔드포인트 및 애플리케이션 소프트웨어) 또는 프로젝트 내에 포함된 VM이 아니라 프로젝트에 대해 보고됩니다.

Google Cloud 콘솔에서 또는 Security Command Center API를 사용하여 발견 항목을 확인할 수 있습니다.

Security Command Center에서 발견 항목 검토

Security Command Center에서 Rapid Vulnerability Detection 발견 항목을 검토하려면 다음 단계를 따르세요.

1. Google Cloud 콘솔의 발견 항목 페이지로 이동합니다.

   발견 항목으로 이동

2. 빠른 필터에서 소스 표시 이름까지 아래로 스크롤하고 Rapid Vulnerability Detection을 클릭합니다. 쿼리 결과 찾기가 업데이트되어 Rapid Vulnerability Detection에서 생성된 발견 항목만 표시됩니다.

3. 특정 발견 항목의 세부정보를 보려면 카테고리에서 발견 항목 이름을 클릭합니다. 발견 항목 세부정보 패널이 열립니다.

   • 기본 뷰인 발견 항목 세부정보 요약을 보려면 발견 항목 이름 아래에서 요약을 클릭합니다.
   • 발견 항목의 전체 세부정보를 보려면 발견 항목 이름 아래에서 JSON을 클릭합니다.

포트 또는 IP 주소의 모든 발견 항목 표시

스캔 대상은 동일한 포트에서 여러 웹 애플리케이션을 제공할 수 있습니다. Rapid Vulnerability Detection은 포트로 제공되는 모든 알려진 애플리케이션을 식별 및 스캔하고 개별 포트 및 IP 주소에 대해 여러 발견 항목을 생성할 수 있습니다.

스캔할 때 지정된 IP 주소와 연관된 모든 발견 항목을 표시하려면 다음을 수행합니다.

1. Google Cloud 콘솔의 발견 항목 페이지로 이동합니다.

   발견 항목으로 이동

2. 쿼리 수정을 클릭합니다. 쿼리 편집기에 다음과 같은 기본 쿼리가 표시됩니다.

   state="ACTIVE"
   AND NOT mute="MUTED"
   

3. 필터 추가를 클릭합니다. 필터 선택 패널이 열립니다.

4. 왼쪽 열에서 아래로 스크롤하여 연결을 선택합니다. 오른쪽 열이 연결 속성을 표시하도록 업데이트됩니다.

5. 오른쪽 열에서 필터에 추가할 속성 유형을 선택합니다. 사용 가능한 발견 항목에 포함된 해당 유형의 모든 속성이 표시되는 새 열이 열립니다.

6. 표시된 속성에서 쿼리를 추가할 대상 또는 소스 IP 주소 또는 포트를 하나 이상 선택합니다.

7. 적용을 클릭합니다. 쿼리 편집기 패널의 쿼리가 다음 예시와 같이 IP 주소를 포함하도록 업데이트됩니다.

     state="ACTIVE"
     AND NOT mute="MUTED"
     AND parent_display_name="Rapid Vulnerability Detection"
     AND contains(connections, source_ip="203.0.113.1")
   

8. 적용을 클릭합니다.

   해당 IP 주소를 사용하는 모든 Rapid Vulnerability Detection 발견 항목이 발견 항목 쿼리 결과에 표시됩니다.

Security Command Center API를 사용하여 발견 항목을 검토하려면 Security Command Center API를 사용하여 보안 발견 항목 나열을 참조하세요.

Rapid Vulnerability Detection 발견 항목의 전체 목록 및 권장 해결 조치 단계를 보려면 Rapid Vulnerability Detection 발견 항목 및 해결 방법을 참조하세요.

Google Cloud 콘솔에서 발견 항목 필터링

대규모 조직에서는 검토, 분류, 추적을 위한 배포 전반에 걸쳐 많은 취약점 발견 항목이 발생할 수 있습니다. Google Cloud 콘솔의 Security Command Center 취약점 및 발견 항목 페이지에서 사용 가능한 필터를 적용하면 조직 전체에서 심각도가 가장 높은 취약점을 중점적으로 확인하고, 애셋 유형, 프로젝트 등을 기준으로 취약점을 검토할 수 있습니다.

취약점 발견 항목 필터링에 대한 자세한 내용은 Security Command Center의 취약점 발견 항목 필터링을 참조하세요.

발견 항목 숨기기

Security Command Center에서 발견 항목의 볼륨을 제어하려면 수동 또는 프로그래매틱 방식으로 개별 발견 항목을 숨기거나 정의한 필터에 따라 현재 및 이후 발견 항목을 자동으로 숨기는 숨기기 규칙을 만들 수 있습니다.

발견 항목이 숨겨지더라도 감사 및 규정 준수 목적에 따라 계속 로깅됩니다. 언제든 숨겨진 발견 항목을 보고 숨기기 취소할 수 있습니다. 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.

스캔 사용 중지

조직 또는 프로젝트에서 Rapid Vulnerability Detection을 사용 중지하면 서비스가 해당 조직 또는 프로젝트의 모든 지원되는 리소스 스캔을 중지합니다.

Rapid Vulnerability Detection을 중지하려면 다음 단계를 따르세요.

curl -X PATCH -H "Authorization: Bearer \"$(gcloud auth print-access-token)\"" \
-H "Content-Type: application/json; charset=utf-8" \
-H "X-Goog-User-Project: X_GOOG_USER_PROJECT" \
https://securitycenter.googleapis.com/v1beta2/RESOURCE/RESOURCE_ID/rapidVulnerabilityDetectionSettings \
-d '{"serviceEnablementState": "DISABLED"}'

다음 단계

• Rapid Vulnerability Detection 테스트에 대한 안내는 Rapid Vulnerability Detection 테스트 참조하기

• Rapid Vulnerability Detection에 대한 자세한 내용은 Rapid Vulnerability Detection 개념 개요 참조하기