Security Command Center 설정

조직의 Security Command Center를 처음으로 설정합니다. 조직에 Security Command Center가 이미 설정되어 있는 경우 Security Command Center 사용 가이드를 참조하세요.

시작하기 전에

권한 설정

Security Command Center를 설정하려면 다음 ID 및 액세스 관리(IAM) 역할이 필요합니다.

  • 조직 관리자 roles/resourcemanager.organizationAdmin
  • 보안 센터 관리자 roles/securitycenter.admin
  • 보안 관리자 roles/iam.securityAdmin
  • 서비스 계정 생성자 roles/iam.serviceAccountCreator

Security Command Center 역할에 대해 자세히 알아보세요.

조직 정책 확인

조직 정책이 도메인별로 ID 제한으로 설정된 경우

  • 허용된 도메인에 있는 계정에서 Cloud Console에 로그인해야 합니다.
  • 서비스 계정은 허용된 도메인 또는 도메인 내 그룹의 구성원이어야 합니다. 이렇게 하면 도메인 제한 공유가 사용 설정된 경우 @*.gserviceaccount.com 서비스가 리소스에 액세스할 수 있습니다.

VPC 서비스 제어를 사용하는 경우 Security Command Center를 사용 설정한 후 Security Command Center 서비스 계정에 액세스 권한을 부여해야 합니다.

조직의 Security Command Center 설정

조직에 Security Command Center를 설정하려면 원하는 Security Command Center 등급을 선택하고 Security Command Center 대시보드에 발견 항목을 표시할 서비스 또는 보안 소스를 사용 설정하세요. 그리고 모니터링하려는 리소스 또는 애셋을 선택한 후 Security Command Center 서비스 계정에 대한 권한을 부여합니다.

1단계: 등급 선택

선택한 Security Command Center 등급은 사용 가능한 기능과 Security Command Center 사용 비용에 영향을 미칩니다. 다음 표에서는 프리미엄 및 스탠더드 등급에서 사용할 수 있는 기본 제공 Security Command Center 서비스에 대한 개요를 제공합니다.

등급 세부정보

스탠더드 등급 기능

  • Security Health Analytics: 스탠더드 등급의 Security Health Analytics 기능은 Google Cloud 애셋의 심각도가 높은 취약점과 잘못된 구성을 자동으로 감지할 수 있는 Google Cloud의 관리형 취약점 평가 스캔을 제공합니다. 다음 항목의 감지가 여기에 포함됩니다.
    • 버킷, SQL 인스턴스, 데이터세트, VM과 같이 공개적으로 노출된 애셋
    • 열린 방화벽 및 과도한 권한이 부여된 방화벽과 같이 잘못 구성된 방화벽
    • 안전하지 않은 IAM 구성

프리미엄 등급 기능

  • Event Threat Detection 기능은 조직의 Cloud Logging 스트림을 모니터링하고 여러 프로젝트의 로그가 제공되면 이를 사용해 다음과 같은 위협을 감지할 수 있게 됩니다.
    • 멀웨어
    • 암호화폐 채굴
    • 무작위 공격 SSH
    • 발신 DoS
    • IAM 비정상적인 권한 부여
  • Container Threat Detection 기능은 다음과 같은 컨테이너 런타임 공격을 감지합니다.
    • 의심스러운 바이너리
    • 의심스러운 라이브러리
    • 역방향 셸
  • Security Health Analytics: 프리미엄 등급의 Security Health Analytics 기능은 Google Cloud 애셋에 대한 여러 업계 권장사항 및 규정 준수의 모니터링을 제공합니다. 모니터링 결과는 규정 준수 대시보드에서 검토할 수 있으며 관리 가능한 CSV로 내보낼 수도 있습니다.

    프리미엄 등급의 Security Health Analytics 기능에는 다음 항목의 모니터링과 보고가 포함됩니다.

    • CIS 1.0
    • PCI DSS v3.2
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner는 Google Cloud 앱에서 다음 보안 취약점을 식별하는 관리형 스캔을 제공합니다.
    • 교차 사이트 스크립팅(XSS)
    • 플래시 삽입
    • 혼합 콘텐츠
    • 일반 텍스트 비밀번호
    • 안전하지 않은 자바스크립트 라이브러리 사용

Security Command Center 사용과 관련된 비용에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.

Security Command Center 프리미엄 등급을 구독하려면 영업 담당자에게 문의하거나 Google에 문의하세요. 프리미엄 등급을 구독하지 않으면 스탠더드 등급이 자동으로 제공됩니다.

조직에서 이미 Security Command Center를 사용하고 있는 경우 프리미엄 또는 스탠더드 등급으로 업그레이드하면 해당 등급의 모든 새 기능이 사용 설정됩니다. 프리미엄 또는 스탠더드 등급으로 업그레이드한 후에는 기존 Security Command Center로 다시 전환할 수 없습니다.

원하는 등급을 선택한 후 Security Command Center 설정을 시작합니다.

  1. Cloud Console의 Security Command Center 페이지로 이동합니다.
    Security Command Center 페이지로 이동
  2. 조직 드롭다운 목록에서 Security Command Center를 사용 설정할 조직을 선택한 다음 선택을 클릭합니다.

그런 다음 조직에 대해 사용 설정할 기본 제공 서비스를 선택합니다.

2단계: 서비스 선택

Security Command Center에서는 이상 감지 발견 항목이 자동으로 제공됩니다. Security Command Center 대시보드에 다른 보안 소스의 발견 항목을 표시하려면 보안 소스로 사용할 서비스를 사용 설정해야 합니다.

서비스 선택 페이지에서 모든 기본 제공 서비스는 선택한 Security Command Center 등급의 조직 수준에서 사용 설정됩니다. 서비스를 사용 중지하려면 서비스 이름 옆의 전환을 클릭합니다.

Container Threat Detection을 서비스로 사용 설정하려면 클러스터가 지원되는 버전의 Google Kubernetes Engine(GKE)에 있는지 확인해야 합니다. 자세한 내용은 Container Threat Detection 사용을 참조하세요.

그런 다음 개별 리소스에 대한 서비스를 선택적으로 사용 설정 또는 중지할 수 있습니다.

3단계: 리소스 선택

리소스 탭에서 지원되는 각 리소스에 대한 지원 서비스 설정을 변경할 수 있습니다. 기본적으로 리소스는 조직의 서비스 설정을 상속합니다. 개별 리소스에 대한 서비스를 사용 설정하거나 사용 중지하려면 서비스 열의 드롭다운 목록을 클릭하여 리소스에 대한 서비스 사용 설정을 선택합니다.

  • 사용: 리소스에 대해 서비스가 사용 설정됩니다.
  • 중지: 리소스에 대해 서비스가 사용 중지됩니다.
  • 상위 리소스에서 상속: 리소스가 리소스 계층 구조에서 상위 요소를 위해 선택된 서비스 설정을 사용합니다.

그런 다음 Security Command Center 서비스 계정에 권한을 부여합니다.

4단계: 권한 부여

Security Command Center를 사용 설정하면 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다. 이 서비스 계정의 조직 수준에는 다음과 같은 IAM 역할이 있습니다.

  • securitycenter.serviceAgent를 사용하면 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터 사본을 지속적으로 만들고 업데이트할 수 있습니다. 이 역할에 연결된 권한을 알아보려면 액세스 제어를 참조하세요.
  • serviceusage.serviceUsageAdmin 역할을 사용하는 방법에 대한 자세한 내용은 service-usage/docs/overview/를 참조하세요.
  • cloudfunctions.serviceAgent

이러한 역할을 서비스 계정에 자동으로 부여하려면 역할 부여를 클릭합니다. gcloud 명령줄 도구를 사용하여 필요한 역할을 수동으로 부여하려면 다음 안내를 따르세요.

  1. 수동으로 역할 부여 섹션을 클릭하여 펼친 후 gcloud 도구 명령어를 복사합니다.
  2. Cloud Console 도구 표시줄에서 Cloud Shell 활성화를 클릭합니다.
  3. 표시된 터미널 창에서 복사한 gcloud 도구 명령어를 붙여넣은 다음 Enter키를 누릅니다.

Security Command Center 서비스 계정에 필요한 역할이 부여됩니다.

다음으로 Security Command Center 설정을 확인하면 Security Command Center 탐색 페이지가 표시됩니다.

5단계: 스캔이 완료될 때까지 대기

설정을 완료하면 Security Command Center에서 초기 애셋 스캔을 시작합니다. 애셋 스캔은 몇 분 이내에 완료됩니다. Security Command Center가 애셋 스캔을 완료한 후 대시보드를 사용하여 조직 전체에서 Google Cloud 보안 및 데이터 위험을 검토하고 해결할 수 있습니다. 각 서비스가 초기 스캔을 완료하면 기본 제공 서비스에서 발견 항목을 사용할 수 있습니다.

  • Container Threat Detection의 지연 시간은 다음과 같습니다.
    • 새로 온보딩된 조직의 활성화 지연 시간은 1시간입니다.
    • 새로 생성된 클러스터의 활성화 지연 시간은 1시간입니다.
    • 활성화된 클러스터의 위협에 대한 감지 지연 시간(분)입니다.
  • Event Threat Detection 활성화 시간은 초 단위로 지연되며 30일 동안 측정된 99번째 백분위수 지연 시간에 대해 엔드 투 엔드 지연 시간은 15분 미만입니다.
  • Security Health Analytics 스캔은 서비스가 사용 설정된 후 약 1시간 뒤에 시작됩니다. Security Health Analytics이 처음 실행되는 데는 최대 12시간이 걸릴 수 있습니다.
  • 서비스를 사용 설정한 후 Web Security Scanner 스캔이 시작되기까지 최대 24시간이 소요될 수 있습니다. 대부분의 경우 Web Security Scanner 스캔은 구현 후 약 1시간 후에 시작됩니다.

각 기본 제공 서비스에 대해 자세히 알아보려면 이 사이트에서 제공되는 가이드를 검토하세요.

다음 단계