이 문서는 Compute Engine 리소스에서 의심스러운 활동이 발견되었을 때 대응하는 방법에 관한 비공식 가이드를 제공합니다. 권장 단계가 모든 발견 결과에 적합하지 않을 수 있으며 작업에 영향을 미칠 수 있습니다. 조치를 취하기 전에 결과를 조사하고, 수집한 정보를 평가하고, 대응 방법을 결정해야 합니다.
이 문서의 기법이 과거, 현재 또는 미래의 모든 위협에 대해 효과적이라고 보장할 수는 없습니다. Security Command Center에서 위협에 대한 공식 해결 방법을 제공하지 않는 이유를 알아보려면 위협 해결을 참고하세요.
시작하기 전에
- 결과 검토 영향을 받는 Compute Engine 인스턴스와 감지된 주 이메일, 호출자 IP 주소 (있는 경우)를 기록해 둡니다. 침해 지표(IP, 도메인, 파일 해시 또는 서명)에 대한 결과도 검토합니다.
- 조사 중인 발견 항목에 대해 자세히 알아보려면 위협 발견 항목 색인에서 발견 항목을 검색하세요.
일반 권장사항
- 영향을 받는 리소스의 소유자에게 문의하세요.
- 도용 가능성이 있는 인스턴스를 조사하고 발견된 멀웨어를 삭제합니다.
- 필요한 경우 침해된 인스턴스를 중지하고 새 인스턴스로 바꿉니다.
- 포렌식 분석을 위해 영향을 받는 가상 머신과 영구 디스크를 백업하는 것이 좋습니다. 자세한 내용은 Compute Engine 문서의 데이터 보호 옵션을 참고하세요.
- 필요한 경우 VM 인스턴스를 삭제합니다.
- 결과에 주 구성원 이메일과 호출자 IP가 포함된 경우 해당 주 구성원 또는 IP 주소와 연결된 다른 감사 로그에서 비정상적인 활동이 있는지 검토합니다. 필요한 경우 연결된 계정이 도용된 경우 해당 계정의 권한을 사용 중지하거나 줄입니다.
- 추가 조사를 위해 Mandiant와 같은 침해 사고 대응 서비스를 사용하는 것이 좋습니다.
또한 이 페이지의 다음 섹션에 있는 권장사항을 고려하세요.
SSH 위협
- VM에 대한 SSH 액세스를 사용 중지합니다. SSH 키 사용 중지에 대한 자세한 내용은 VM에서 SSH 키 제한을 참고하세요. 이 작업으로 VM에 대해 승인된 액세스가 중단될 수 있으므로 계속하기 전에 조직의 요구사항을 고려해야 합니다.
- 승인된 키에만 SSH 인증을 사용하세요.
- 방화벽 규칙을 업데이트하거나 Cloud Armor를 사용하여 악성 IP 주소를 차단합니다. Cloud Armor를 통합 서비스로 사용 설정하는 것이 좋습니다. 데이터 볼륨에 따라 Cloud Armor 비용이 크게 증가할 수 있습니다. 자세한 내용은 Cloud Armor 가격 책정을 참고하세요.
Compute Engine 인스턴스의 측면 이동
Compute Engine VM 인스턴스에 보안 부팅을 사용하는 것이 좋습니다.
잠재적으로 침해된 서비스 계정을 삭제하고 잠재적으로 침해된 프로젝트의 모든 서비스 계정 액세스 키를 순환 및 삭제하세요. 삭제 후에는 인증을 위해 서비스 계정을 사용하는 애플리케이션에서 액세스 권한을 잃게 됩니다. 계속하기 전에 보안팀은 영향을 받는 모든 애플리케이션을 식별하고 애플리케이션 소유자와 협력하여 비즈니스 연속성을 보장해야 합니다.
보안팀과 협력하여 Compute Engine 인스턴스, 스냅샷, 서비스 계정, IAM 사용자를 포함하여 익숙하지 않은 리소스를 확인합니다. 승인된 계정으로 생성되지 않은 리소스를 삭제합니다.
Cloud Customer Care의 알림에 응답합니다.
다음 단계
- Security Command Center에서 위협 발견 항목을 사용하는 방법을 알아보세요.
- 위협 발견 항목 색인을 참고하세요.
- Google Cloud 콘솔을 통해 결과를 검토하는 방법을 알아봅니다.
- 위협 결과를 생성하는 서비스에 대해 알아봅니다.