Security Command Center 권장사항

이 페이지에서는 Security Command Center 서비스를 관리하는 권장사항과 제품을 최대한 활용하는 데 유용한 기능을 설명합니다.

Security Command Center는 조직 또는 개별 프로젝트에서 데이터 및 보안 위험을 모니터링할 수 있는 강력한 플랫폼입니다. Security Command Center는 최소한의 구성으로 최대한의 보호를 제공하도록 설계되었습니다. 하지만 플랫폼을 워크플로로 맞춤설정하고 리소스를 보호하기 위해 취할 수 있는 단계가 있습니다.

프리미엄 등급 또는 Enterprise 등급 사용 설정

Security Command Center의 프리미엄 및 Enterprise 등급은 위협 감지, 소프트웨어 취약점 감지, 규정 준수 평가, 보안 운영 기능 등 다양한 클라우드 보안 및 보안 운영 기능을 통해 가장 높은 보호 기능을 제공합니다. Standard 등급은 제한된 서비스와 기능만 제공합니다.

모든 Security Command Center 기능에 대한 자세한 내용은 Security Command Center 개요를 참조하세요.

각 등급에 포함된 기능에 관한 자세한 내용은 다음 정보를 참고하세요.

프리미엄 등급의 프로젝트 수준 활성화 사용

Google Cloud 콘솔에서 조직 또는 개별 프로젝트에 프리미엄 등급을 직접 활성화할 수 있습니다.

프로젝트 수준 활성화를 사용하면 등급과 무관하게 조직 수준 액세스가 필요한 특정 기능을 사용할 수 없습니다. 자세한 내용은 프로젝트 수준 활성화가 포함된 기능 사용 가능 여부를 참조하세요.

프리미엄 등급 활성화는 조직 수준 구독을 구매하지 않는 한 리소스 소비를 기준으로 요금이 청구됩니다. 자세한 내용은 가격 책정을 참조하세요.

Security Command Center의 두 가지 등급 활성화에 대한 자세한 내용은 Security Command Center 활성화 개요를 참조하세요.

모든 기본 제공 서비스 사용 설정

개별 서비스의 권장사항에 따라 모든 기본 제공 서비스를 사용 설정하는 것이 좋습니다.

Security Command Center가 이미 활성화된 경우 설정 페이지에서 사용 설정된 서비스를 확인할 수 있습니다.

모든 서비스를 사용 중지할 수 있지만 등급의 모든 서비스를 항상 사용 설정된 상태로 유지하는 것이 가장 좋습니다. 모든 서비스를 사용 설정 상태로 유지하면 지속적인 업데이트를 활용하고 새 리소스 및 변경된 리소스에 보호 기능을 제공할 수 있습니다.

프로덕션에서 Web Security Scanner를 사용 설정하기 전에 Web Security Scanner 권장사항을 검토하세요.

또한 통합 서비스(이상 감지, Sensitive Data Protection, Google Cloud Armor)를 사용 설정하여 타사 보안 서비스를 탐색하고 Event Threat Detection 및 Container Threat Detection용 Cloud Logging을 사용 설정하는 것이 좋습니다. 정보의 양에 따라서는 Sensitive Data Protection 및 Google Cloud Armor 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리에 대한 권장사항을 따르고 Google Cloud Armor 가격 책정 가이드를 참조하세요.

Event Threat Detection 로그 사용 설정

Event Threat Detection을 사용하는 경우 Event Threat Detection에서 스캔하는 특정 로그를 사용 설정해야 할 수 있습니다. Cloud Logging 관리자 활동 감사 로그와 같은 일부 로그는 항상 사용 설정되어 있지만 대부분의 데이터 액세스 감사 로그와 같은 다른 로그는 기본적으로 사용 중지되어 있으며 Event Threat Detection이 스캔하기 전에 사용 설정해야 합니다.

사용 설정을 고려해야 하는 로그에는 다음이 포함됩니다.

  • Cloud Logging 데이터 액세스 감사 로그
  • Google Workspace 로그(조직 수준 활성화만 해당)

사용 설정해야 하는 로그는 다음에 따라 다릅니다.

  • 사용 중인 Google Cloud 서비스
  • 비즈니스의 보안 요구사항

Logging에서 특정 로그의 수집 및 저장에 대한 요금이 청구될 수 있습니다. 로그를 사용 설정하기 전에 Logging 가격 책정을 검토하세요.

로그가 사용 설정되면 Event Threat Detection이 자동으로 스캔을 시작합니다.

어떤 감지 모듈에 어떤 로그가 필요한지, 어떤 로그를 사용 설정해야 하는지 자세히 알아보려면 사용 설정해야 하는 로그를 참조하세요.

중요 가치의 리소스 집합 정의

가장 중요한 리소스를 노출하는 취약점과 잘못된 구성 오류 발견 항목의 우선순위를 지정하는 데 도움이 되도록 고가치 리소스 집합에 속하는 고가치 리소스를 지정합니다.

고가치 리소스 집합에서 리소스를 노출하는 발견 항목은 공격 노출 점수가 더 높습니다.

리소스 값 구성을 만들어 고가치 리소스 집합에 속하는 리소스를 지정합니다. 첫 번째 리소스 값 구성을 만들 때까지는 Security Command Center에서 보안 우선순위에 맞춤설정되지 않은 기본 고가치 리소스 세트를 사용합니다.

Google Cloud 콘솔에서 Security Command Center 사용

Google Cloud 콘솔에서 Security Command Center는 Security Command Center API에서 아직 제공하지 않는 여러 기능과 시각 요소를 제공합니다. 직관적 인터페이스, 포맷된 차트, 규정 준수 보고서, 리소스의 시각적 계층 구조 등의 기능을 사용하면 조직에 대한 더욱 유용한 정보를 얻을 수 있습니다. 자세한 내용은 Google Cloud 콘솔에서 Security Command Center 사용을 참조하세요.

API 및 gcloud로 기능 확장

프로그래매틱 방식의 액세스가 필요한 경우 Security Command Center 환경에 액세스하고 제어할 수 있는 Security Command Center 클라이언트 라이브러리Security Command Center API를 사용해 보세요. API 참조 페이지의 패널에서 '이 API 사용해 보기'라는 API 탐색기를 사용하면 API 키 없이 Security Command Center API를 대화형으로 탐색할 수 있습니다. 사용 가능한 메서드와 매개변수를 확인하고 요청을 실행하고 응답을 실시간으로 볼 수 있습니다.

Security Command Center API를 사용하면 분석가 및 관리자가 리소스와 발견 항목을 관리할 수 있습니다. 엔지니어는 이 API를 사용하여 커스텀 보고 및 모니터링 솔루션을 빌드할 수 있습니다.

커스텀 감지 모듈로 기능 확장

조직의 고유한 요구사항을 충족하는 감지기가 필요한 경우 커스텀 모듈을 만드는 것이 좋습니다.

리소스 검토 및 관리

Security Command Center는 모든 애셋을 Google Cloud 콘솔의 애셋 페이지에 표시합니다. 여기에서 애셋을 쿼리하고 관련 발견 항목, 변경 내역, 메타데이터, IAM 정책을 포함한 관련 정보를 볼 수 있습니다.

애셋 페이지의 애셋 정보는 Cloud 애셋 인벤토리에서 읽어옵니다. 리소스 및 정책 변경사항에 대한 실시간 알림을 받으려면 피드를 만들고 구독합니다.

자세한 내용은 애셋 페이지를 참조하세요.

취약점 및 위협에 신속하게 대응

Security Command Center 발견 항목은 영향을 받는 리소스에 대한 광범위 세부정보와 취약점 및 위협을 조사하고 해결하기 위한 단계별 안내가 포함된 감지된 보안 문제에 대한 기록을 제공합니다.

취약점 발견 항목은 감지된 취약점 또는 구성 오류를 설명하고 공격 노출 점수와 예상 심각도를 계산합니다. 또한 취약점 발견 항목은 보안 표준 또는 벤치마크 위반 사실을 알립니다. 자세한 내용은 지원되는 벤치마크를 참조하세요.

Security Command Center 프리미엄을 사용하면 취약점 발견 항목에 취약점의 해당 CVE 레코드를 기준으로 취약점 공격 가능성 및 잠재적 영향에 대한 Mandiant의 정보도 포함됩니다. 이 정보는 취약점의 해결 우선순위를 정하는 데 도움이 될 수 있습니다. 자세한 내용은 CVE 영향 및 취약점 공격 가능성에 따른 우선순위 지정을 참조하세요.

위협 발견 항목에는 클라우드 리소스에 대한 공격 기법을 설명하고 해결책 안내를 제공하는 MITRE ATT&CK 프레임워크 및 잠재적 악성 파일, URL, 도메인, IP 주소의 컨텍스트를 제공하는 Alphabet 소유 서비스인 VirusTotal의 데이터가 포함됩니다.

다음 가이드는 문제를 해결하고 리소스를 보호하는 데 도움이 되는 출발점입니다.

발견 항목 볼륨 제어

Security Command Center에서 발견 항목의 볼륨을 제어하려면 수동 또는 프로그래매틱 방식으로 개별 발견 항목을 숨기거나 정의한 필터에 따라 발견 항목을 자동으로 숨기는 숨기기 규칙을 만들 수 있습니다. 발견 항목 볼륨을 제어하는 데 사용할 수 있는 숨기기 규칙에는 두 가지 유형이 있습니다.

  • 이후의 발견 항목을 무기한 숨기는 정적 숨기기 규칙
  • 현재 이후 발견 항목을 일시적으로 숨기는 옵션이 포함된 동적 숨기기 규칙

동적 숨기기 규칙만 사용하여 수동으로 검토하는 발견 항목 수를 줄이는 것이 좋습니다. 혼동을 방지하려면 정적 및 동적 숨기기 규칙을 동시에 사용하지 않는 것이 좋습니다. 두 규칙 유형을 비교하려면 숨기기 규칙 유형을 참조하세요.

발견 항목이 숨겨지더라도 감사 및 규정 준수 목적에 따라 계속 로깅됩니다. 언제든 숨겨진 발견 항목을 보고 숨기기 취소할 수 있습니다. 자세한 내용은 Security Command Center에서 발견 항목 숨기기를 참조하세요.

동적 숨기기 규칙을 사용하여 발견 항목을 숨기는 것이 발견 항목 볼륨을 제어하기 위해 가장 효과적이고 권장되는 방법입니다. 또는 보안 표시를 사용하여 애셋을 허용 목록에 추가할 수 있습니다.

각 Security Health Analytics 감지기에는 감지 정책에서 표시된 리소스를 제외할 수 있는 전용 표시 유형이 있습니다. 이 기능은 특정 리소스나 프로젝트에 발견 항목을 만들지 않으려는 경우에 유용합니다.

보안 표시에 대한 자세한 내용은 보안 표시 사용을 참조하세요.

알림 설정하기

알림은 거의 실시간으로 새 발견 항목과 업데이트된 발견 항목을 알리며 이메일 및 채팅 알림을 사용하면 Security Command Center에 로그인하지 않은 상태에서도 이 작업을 수행할 수 있습니다. 자세한 내용은 발견 항목 알림 설정을 참조하세요.

Security Command Center 프리미엄을 사용하면 발견 항목을 Pub/Sub로 내보내는 프로세스를 간소화하는 지속적 내보내기를 만들 수 있습니다.

Cloud Run 함수 살펴보기

Cloud Run 함수는 클라우드 서비스를 연결하고 이벤트에 대한 응답으로 코드를 실행할 수 있게 해주는 Google Cloud 서비스입니다. Notifications API 및 Cloud Run 함수를 사용하여 서드 파티 해결책 및 티켓팅 시스템에 발견 항목을 보내거나 발견 항목을 자동으로 닫는 등 자동화된 작업을 수행할 수 있습니다.

시작하려면 Security Command Center의 Cloud Run 함수 코드 오픈소스 저장소에 방문합니다. 저장소에는 보안 발견 항목에 대한 자동 작업을 수행하는 데 도움이 되는 솔루션이 포함되어 있습니다.

통신 유지

Security Command Center에서는 새로운 감지기 및 기능이 정기적으로 업데이트됩니다. 출시 노트는 제품 변경사항 및 문서 업데이트에 관한 정보를 제공합니다. 하지만 Google Cloud 콘솔에서 통신 환경설정을 설정하여 이메일이나 모바일로 제품 업데이트 및 특별 프로모션을 받을 수 있습니다. 또한 사용자 설문조사 및 파일럿 프로그램 참여에 관심이 있으면 Google에 알릴 수 있습니다.

의견이나 질문이 있으면 영업 담당자에게 직접 문의하거나 Cloud 지원 담당자에게 문의하거나 버그를 신고하면 됩니다.

다음 단계