보안 시작 영역 서비스 사용

이 주제에서는 보안 시작 영역 서비스를 사용하여 보안 정책을 시행하는 방법을 설명합니다. 보안 시작 영역 서비스를 사용하면 보안 방문 영역의 리소스를 추적하고, 이러한 리소스에 대한 정책 위반을 식별하고, 적절한 구제 조치 작업을 호출할 수 있습니다.

보안 시작 영역 서비스는 Cloud 애셋 인벤토리, Security Command Center 발견 항목, VPC 서비스 경계, 감사 로그를 비롯한 다양한 기본 Google Cloud 서비스에서 수신되는 입력 신호를 사용합니다. 이러한 신호는 청사진에 구성된 보안 정책에 따라 검증됩니다.

이벤트 또는 이벤트 그룹이 정책을 위반하는 것으로 확인되면 보안 시작 영역 서비스에서 이를 정책 위반으로 간주합니다. 정책 위반이 식별될 때마다 Security Command Center에서는 이를 발견 항목으로 알립니다. 보안 시작 영역 서비스는 실제 사용 사례 및 컨텍스트를 기반으로 이러한 정책 위반의 하위 집합에 대한 수정 및 응답 작업을 결정합니다.

프리미엄 등급 요구사항

보안 시작 영역 서비스는 Security Command Center 프리미엄 등급에서만 사용 설정할 수 있습니다. 사용 설정하면 이 서비스는 배포된 청사진의 리소스에 정책 위반 사항이 있으면 발견 항목을 표시하고 해당하는 알림을 생성하며 선택적으로 자동 해결 작업을 수행합니다. 감사 로그 항목을 사용하면 정책을 위반한 사용자와 발생 시점에 대한 정보를 확인할 수 있습니다. 발견 항목 및 해결 조치 목록에 대한 자세한 내용은 보안 시작 영역 발견 항목 해결 방법을 참조하세요.

시작하기 전에

보안 시작 영역 서비스가 모니터링해야 하는 리소스 집합을 식별하도록 하려면 Terraform 계획 파일을 생성하고 구성해야 합니다. 보안 시작 영역 서비스를 사용하려면 계획 파일을 JSON 형식으로 생성해야 합니다. Terraform 계획 파일을 생성하는 방법에 대한 자세한 내용은 Terraform 계획을 참조하세요.

필수 IAM 권한

보안 시작 영역 서비스를 사용하려면 조직 수준의 다음 역할과 권한이 있어야 합니다.

설명 역할 권한
보안 시작 영역 서비스 인스턴스의 모든 속성을 볼 수 있습니다. securedlandingzone.googleapis.com/overwatchViewer
    cloudresourcemanager.googleapis.com/projects.get cloudresourcemanager.googleapis.com/projects.list securedlandingzone.googleapis.com/overwatches.get securedlandingzone.googleapis.com/overwatches.list securedlandingzone.googleapis.com/operations.get securedlandingzone.googleapis.com/operations.list
보안 시작 영역 서비스 인스턴스를 활성화하거나 정지할 수 있습니다. securedlandingzone.googleapis.com/overwatchActivator
    cloudresourcemanager.googleapis.com/projects.get cloudresourcemanager.googleapis.com/projects.list securedlandingzone.googleapis.com/overwatches.activate securedlandingzone.googleapis.com/overwatches.suspend
보안 시작 영역 서비스 인스턴스에 대한 전체 액세스 권한을 제공합니다. securedlandingzone.googleapis.com/overwatchAdmin
    securedlandingzone.googleapis.com/overwatches.create securedlandingzone.googleapis.com/overwatches.update securedlandingzone.googleapis.com/overwatches.delete

보안 시작 영역 서비스에서 모니터링하는 리소스 보기

보안 시작 영역 서비스 인스턴스를 만들면 모니터링되는 리소스에 보안 표시가 추가됩니다. Security Command Center에서 리소스를 보려면 다음 보안 표시를 사용하면 됩니다.

리소스 목록을 보려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Security Command Center의 애셋 페이지로 이동합니다.

    애셋으로 이동

  2. 애셋 목록 상단의 필터 필드에 커서를 둡니다. 메뉴가 열립니다.

  3. 메뉴 하단으로 스크롤하고 보안 표시를 선택합니다. Security marks:필터 필드에 추가되고 기존 보안 표시 목록이 표시됩니다.

  4. 보안 표시가 표시된 목록을 스크롤하여 보안 시작 영역 서비스의 인스턴스에 대해 생성된 보안 표시를 찾아서 선택합니다. 보안 표시는 securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME 형식으로 표시되며, 여기서 SLZ_SERVICE_INSTANCE_NAME은 보안 시작 영역 서비스 인스턴스의 이름에 해당합니다.

    필요한 보안 표시가 보이지 않으면 Security marks: 바로 다음에 있는 필터 필드에 보안 시작 영역 인스턴스의 이름을 입력합니다.

보안 시작 영역 서비스 인스턴스에 연결된 모든 리소스가 목록에 표시됩니다.

보안 시작 영역 서비스 인스턴스 테스트

보안 시작 영역 서비스 인스턴스를 만든 후 샘플 테스트를 수행하여 예상대로 작동하는지 확인할 수 있습니다. 이렇게 하려면 정책 위반을 수동으로 만들면 됩니다.

다음은 정책 위반을 만들고 보안 시작 영역 서비스 인스턴스를 테스트하는 방법에 대한 몇 가지 예시입니다.

Cloud Storage 버킷의 액세스 제어 변경

다음은 액세스 제어 위반을 만드는 예시입니다. 배포된 청사진의 보안 정책을 사용하면 버킷 수준에서 IAM 권한을 통해 액세스를 제어할 수 있습니다. 이 제어를 세분화된 액세스 제어로 변경하면 Cloud Storage 버킷의 데이터 무단 반출 위험이 증가합니다. 이는 객체에 대한 액세스 권한이 이제 개별 객체 수준에서 부여될 수 있기 때문에 배포된 정책을 위반합니다. 액세스 제어 위반을 만들려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 Cloud Storage 브라우저 페이지로 이동합니다.

    브라우저로 이동

    현재 선택된 프로젝트의 일부인 버킷이 브라우저 목록에 나타납니다.
  2. 버킷 목록에서 원하는 버킷을 클릭합니다.
  3. 권한 탭을 클릭합니다.
  4. 액세스 제어 필드에서 전환 링크를 클릭합니다. 균일한 버킷 수준 액세스를 사용 설정한 후 90일이 지나면 필드가 사라집니다.
  5. 대화상자가 나타나면 세분화된 액세스 제어를 선택합니다.
  6. 저장을 클릭합니다.

생성된 발견 항목을 보려면 Security Command Center에서 발견 항목 보기를 참조하세요.

프로젝트 수준에서 상세한 감사 로그 모드 중지

다음은 프로젝트 수준에서 상세한 감사 로그 모드를 중지하는 예시입니다. 배포된 청사진의 보안 정책에서 Cloud Storage 작업에 대한 자세한 요청 및 응답 정보를 시행합니다. 이 정책 시행을 중지하면 캡처된 데이터의 완전성이 제한되고 스토리지 리소스의 규정 준수에 영향을 줄 수 있습니다. 프로젝트 수준에서 상세한 감사 로그 모드를 중지하려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔에서 조직 정책 페이지로 이동합니다.

    조직 정책으로 이동

  2. 프로젝트 드롭다운 메뉴에서 필요한 프로젝트를 선택합니다.
  3. 상세한 감사 로깅 모드라는 정책 이름으로 목록을 필터링합니다.
  4. 정책을 클릭합니다.
  5. 정책 세부정보 페이지에서 수정을 클릭합니다.
  6. 기존 시행 규칙이 있는 경우 해당 규칙을 삭제합니다.
  7. 규칙 추가를 클릭합니다.
  8. 끄기를 클릭하여 자세한 감사 로깅 모드를 사용 중지합니다.
  9. 변경사항을 저장합니다.

생성된 발견 항목을 보려면 Security Command Center에서 발견 항목 보기를 참조하세요.

Security Command Center에서 발견 항목 보기

  1. Google Cloud 콘솔에서 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

    1. 필요한 경우 Google Cloud 프로젝트 또는 조직을 선택합니다.

      프로젝트 선택기

    2. 발견 항목 페이지에서 보기 기준 옆에 있는 소스 유형을 클릭합니다.

    3. 보안 시작 영역을 선택합니다. 생성한 정책 위반과 관련된 활성 발견 항목이 표시됩니다.

    4. 특정 발견 항목의 세부정보를 보려면 테이블의 카테고리에서 발견 항목 이름을 클릭합니다.

    5. 감사 로그 정보를 보려면 소스 속성 탭을 클릭합니다. 감사 로그 항목은 정책을 위반한 사용자와 발생 시점에 대한 정보를 제공합니다.

    6. 페이지를 새로고침합니다.

    7. 발견 항목 페이지에서 보기 기준 옆에 있는 소스 유형을 클릭합니다. 발견 항목이 보안 시작 영역 서비스에 의해 해결되었으므로 더 이상 활성 발견 항목이 표시되지 않습니다. 감사 로그 항목이 업데이트되어 정책 위반을 해결한 사용자와 해결 시점에 대한 정보를 제공합니다.

Security Command Center에서 보안 시작 영역 서비스 발견 항목 보기

보안 시작 영역 서비스가 배포된 청사진의 보안 정책 위반을 식별할 때마다 Security Command Center에 발견 항목이 표시됩니다. 발견 항목을 빌드하는 방법에 대한 자세한 내용은 Google Cloud 콘솔에서 발견 항목 쿼리 빌드를 참조하세요.

특정 애셋 유형의 보안 시작 영역 서비스 발견 항목을 보려면 다음 안내를 따르세요.

  1. Google Cloud 콘솔의 Security Command Center 발견 항목 페이지로 이동합니다.

    발견 항목으로 이동

  2. 빠른 필터 패널에서 다음을 선택합니다.

    • 소스 표시 이름 섹션에서 보안 시작 영역을 선택합니다.
    • 선택사항: 프로젝트 ID 섹션에서 애셋을 보려는 프로젝트의 ID를 선택합니다.
    • 리소스 유형 섹션에서 보려는 리소스 유형을 선택합니다.

발견 항목 쿼리 결과 패널의 발견 항목 목록이 선택 항목과 일치하는 발견 항목만 표시하도록 업데이트됩니다.