Security Command Center 설정

조직의 Security Command Center를 처음으로 설정합니다. 조직에 Security Command Center가 이미 설정되어 있는 경우 Security Command Center 사용 가이드를 참조하세요.

시작하기 전에

권한 설정

Security Command Center를 설정하려면 다음과 같은 ID 및 액세스 관리(IAM) 역할이 필요합니다.

  • 조직 관리자 roles/resourcemanager.organizationAdmin
  • 보안 센터 관리자 roles/securitycenter.admin
  • 보안 관리자 roles/iam.securityAdmin
  • 서비스 계정 만들기 roles/iam.serviceAccountCreator

Security Command Center 역할에 대해 자세히 알아보세요.

조직 정책 확인

조직 정책이 도메인별로 ID 제한으로 설정된 경우:

  • 허용된 도메인에 있는 계정으로 Google Cloud Console에 로그인해야 합니다.
  • 서비스 계정은 허용된 도메인에 있거나 도메인 내 그룹의 구성원이어야 합니다. 이렇게 하면 도메인 제한 공유가 사용 설정된 경우 @*.gserviceaccount.com 서비스가 리소스에 액세스할 수 있습니다.

조직의 Security Command Center 설정

조직에 Security Command Center를 설정하려면 원하는 Security Command Center 등급을 선택하고 Security Command Center 대시보드에 발견 항목을 표시할 서비스 또는 보안 소스를 사용 설정하세요. 그리고 모니터링하려는 리소스 또는 애셋을 선택한 후 Security Command Center 서비스 계정에 대한 권한을 부여합니다.

1단계: 등급 선택

선택한 Security Command Center 등급은 사용할 수 있는 기능과 Security Command Center 사용 비용을 결정합니다. 다음 표에서는 프리미엄 및 스탠더드 등급에서 사용할 수 있는 기본 제공 Security Command Center 서비스에 대한 개요를 제공합니다.

등급 세부정보

표준 등급 기능

  • Security Health Analytics: 표준 등급의 Security Health Analytics 기능은 Google Cloud 애셋의 심각도가 높은 취약점과 잘못된 구성을 자동으로 감지할 수 있는 Google Cloud의 관리형 취약점 평가 스캔을 제공합니다. 표준 등급의 Security Health Analytics 기능에는 다음과 같은 발견 항목이 포함됩니다.

    • MFA_NOT_ENFORCED
    • NON_ORG_IAM_MEMBER
    • OPEN_FIREWALL
    • OPEN_RDP_PORT
    • OPEN_SSH_PORT
    • PUBLIC_BUCKET_ACL
    • PUBLIC_DATASET
    • PUBLIC_IP_ADDRESS
    • PUBLIC_LOG_BUCKET
    • PUBLIC_SQL_INSTANCE
    • SSL_NOT_ENFORCED
    • WEB_UI_ENABLED
  • Web Security Scanner 커스텀 스캔: 표준 등급의 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP를 포함하여 배포된 애플리케이션의 커스텀 스캔을 지원합니다.

프리미엄 등급 기능

  • Event Threat Detection 기능은 조직의 Cloud Logging 스트림을 모니터링하고 여러 프로젝트의 로그가 제공되면 이를 사용해 다음과 같은 위협을 감지할 수 있게 됩니다.
    • 멀웨어
    • 암호화폐 채굴
    • 무작위 공격 SSH
    • 발신 DoS
    • IAM 비정상적인 권한 부여
    • 데이터 무단 반출
  • Container Threat Detection 기능은 다음과 같은 컨테이너 런타임 공격을 감지합니다.
    • 추가된 바이너리가 실행됨
    • 추가된 라이브러리가 로드됨
    • 역방향 셸
  • Security Health Analytics: 프리미엄 등급의 Security Health Analytics 기능은 Google Cloud 애셋에 대한 여러 업계 권장사항 및 규정 준수 모니터링을 제공합니다. 모니터링 결과는 규정 준수 대시보드에서 검토할 수 있으며 관리 가능한 CSV로 내보낼 수도 있습니다.

    프리미엄 등급의 Security Health Analytics 기능에는 다음 항목의 모니터링과 보고가 포함됩니다.

    • CIS 1.0
    • PCI DSS v3.2.1
    • NIST 800-53
    • ISO 27001
  • Web Security Scanner는 Google Cloud 앱에서 다음 보안 취약점을 식별하는 관리형 스캔을 제공합니다.
    • 교차 사이트 스크립팅(XSS)
    • 플래시 삽입
    • 혼합 콘텐츠
    • 일반 텍스트 비밀번호
    • 안전하지 않은 자바스크립트 라이브러리 사용
  • 프리미엄 등급에는 표준 등급의 모든 기능이 포함됩니다.

Security Command Center 사용과 관련된 비용에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.

Security Command Center 프리미엄 등급을 구독하려면 영업 담당자에게 문의하거나 Google에 문의하세요. 프리미엄 등급을 구독하지 않은 경우 표준 등급을 사용할 수 있습니다.

조직에서 이미 Security Command Center를 사용하고 있는 경우 프리미엄 등급이나 표준 등급으로 업그레이드하면 해당 등급의 모든 새 기능이 사용 설정됩니다. 프리미엄 등급이나 표준 등급으로 업그레이드한 후에는 두 등급 사이로만 전환할 수 있으며 Security Command Center Legacy로 다시 전환할 수 없습니다.

원하는 등급을 선택한 후 Security Command Center 설정을 시작합니다.

  1. Cloud Console의 Security Command Center로 이동합니다.

    Security Command Center로 이동

  2. 조직 드롭다운 목록에서 Security Command Center를 사용 설정할 조직을 선택한 다음 선택을 클릭합니다.

그런 다음 조직에 대해 사용 설정할 기본 제공 서비스를 선택합니다.

2단계: 서비스 선택

서비스 선택 페이지에서 모든 기본 서비스가 선택한 등급의 조직 수준에서 기본적으로 사용 설정됩니다. 각 서비스는 지원되는 모든 리소스를 스캔하고 전체 조직에 대한 결과를 보고합니다. 서비스 사용을 중지하려면 서비스 이름 옆의 드롭다운 목록을 클릭하고 기본적으로 사용 중지를 선택합니다.

다음은 특정 서비스에 대한 참고사항입니다.

  • Container Threat Detection이 제대로 작동하려면 클러스터가 지원되는 Google Kubernetes Engine(GKE) 버전에 있고 GKE 클러스터가 올바르게 구성되어 있는지 확인해야 합니다. 자세한 내용은 Container Threat Detection 사용을 참조하세요.

  • Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. Event Threat Detection을 사용하려면 조직, 폴더, 프로젝트에 로그를 사용 설정해야 합니다.

  • Security Command Center에서 이상 감지 발견 항목을 자동으로 사용할 수 있습니다. Security Command Center 구성의 단계에 따라 온보딩 후에 이상 감지 기능을 사용 중지할 수 있습니다.

그런 다음 개별 리소스에 대한 서비스를 선택적으로 사용 설정 또는 중지할 수 있습니다.

3단계: 리소스 선택

Security Command Center는 조직 수준에서 작동하도록 설계되었습니다. 기본적으로 리소스는 조직의 서비스 설정을 상속합니다. 사용 설정된 모든 서비스는 조직에서 지원되는 모든 리소스를 검사합니다. 이 구성은 신규 및 변경된 리소스가 자동으로 검색되고 보호되도록 하기 위한 최적의 운영 모드입니다.

Security Command Center가 전체 조직을 스캔하지 못하게 하려면 고급 설정 메뉴에서 개별 리소스를 제외해야 합니다.

  1. 고급 설정 메뉴로 이동한 다음 노드를 클릭하여 펼칩니다.

    고급 설정 메뉴
    고급 설정 메뉴(확대하려면 클릭)
  2. 리소스 설정을 변경하려면 서비스 열에서 드롭다운 목록을 클릭하여 사용 설정 옵션을 선택합니다.

    • 기본적으로 사용 설정: 서비스가 리소스에 대해 사용 설정됩니다.
    • 기본적으로 사용 중지: 서비스가 리소스에 대해 사용 중지됩니다.
    • 상속: 리소스가 리소스 계층 구조의 상위에 선택된 서비스 설정을 사용합니다.

폴더 또는 프로젝트 검색을 클릭하면 검색어를 입력하여 리소스를 신속하게 찾고 설정을 변경할 수 있는 창이 열립니다.

그런 다음 Security Command Center 서비스 계정에 권한을 부여합니다.

4단계: 권한 부여

Security Command Center를 사용 설정하면 service-org-organization-id@security-center-api.iam.gserviceaccount.com 형식으로 서비스 계정이 생성됩니다. 이 서비스 계정의 조직 수준에는 다음과 같은 IAM 역할이 있습니다.

  • securitycenter.serviceAgent는 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터의 자체 사본을 지속적으로 만들고 업데이트할 수 있습니다. 이 역할과 관련된 권한을 자세히 알아보려면 액세스 제어를 참조하세요.
  • serviceusage.serviceUsageAdmin 이 역할의 사용 방법에 대한 자세한 내용은 서비스 사용량이란 무엇인가요?를 참조하세요.
  • cloudfunctions.serviceAgent

서비스 계정에 이러한 역할을 자동으로 부여하려면 역할 부여를 클릭합니다. gcloud 명령줄 도구를 사용하여 필요한 역할을 수동으로 부여하려면 다음 안내를 따르세요.

  1. 수동으로 역할 부여 섹션을 클릭하여 펼친 후 gcloud 도구 명령어를 복사합니다.
  2. Cloud Console 툴바에서 Cloud Shell 활성화를 클릭합니다.
  3. 표시된 터미널 창에서 복사한 gcloud 도구 명령어를 붙여넣은 다음 Enter키를 누릅니다.

필요한 역할이 Security Command Center 서비스 계정에 부여됩니다.

다음으로 Security Command Center 설정을 확인하면 Security Command Center 탐색 페이지가 표시됩니다.

5단계: 스캔이 완료될 때까지 대기

설정을 완료하면 Security Command Center가 초기 애셋 스캔을 시작하고, 대시보드를 사용하여 조직 전체의 Google Cloud 보안 및 데이터 위험을 검토하고 해결할 수 있습니다. 일부 제품의 스캔이 시작되기 전에 지연이 발생할 수 있습니다. 활성화 프로세스에 대한 자세한 내용은 Security Command Center 지연 시간 개요를 참조하세요.

각 기본 제공 서비스에 대해 자세히 알아보려면 이 사이트에서 제공되는 가이드를 검토하세요.

다음 단계