CIS 벤치마크 v2.0의 사전 정의된 상황 템플릿

이 페이지에서는 인터넷 보안 센터(CIS) Google Cloud Computing Platform Benchmark v2.0.0의 사전 정의된 상황 템플릿 v1.0 버전에 포함된 감지 정책에 대해 설명합니다. 이 사전 정의된 상황은 Google Cloud 환경이 CIS 벤치마크와 일치하지 않을 때 이를 감지하는 데 도움이 됩니다.

변경 없이 이 상황 템플릿을 배포할 수 있습니다.

다음 표에서는 상황 템플릿에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

검사 프로그램 이름	설명
`ACCESS_TRANSPARENCY_DISABLED`	이 감지기는 액세스 투명성이 사용 중지되어 있는지 확인합니다.
`ADMIN_SERVICE_ACCOUNT`	이 감지기는 서비스 계정에 관리자, 소유자, 편집자 권한이 있는지 확인합니다.
`ESSENTIAL_CONTACTS_NOT_CONFIGURED`	이 감지기는 필수 연락처가 하나 이상 있는지 확인합니다.
`API_KEY_APIS_UNRESTRICTED`	이 감지기는 API 키가 너무 광범위하게 사용되고 있는지 확인합니다.
`API_KEY_EXISTS`	이 감지기는 프로젝트가 표준 인증 대신 API 키를 사용하는지 확인합니다.
`API_KEY_NOT_ROTATED`	이 감지기는 API 키가 지난 90일 내에 순환되었는지 확인합니다.
`AUDIT_CONFIG_NOT_MONITORED`	이 감지기는 감사 구성 변경사항을 모니터링 중인지 확인합니다.
`AUDIT_LOGGING_DISABLED`	이 감지기는 리소스에 대해 감사 로깅이 사용 중지되었는지 확인합니다.
`AUTO_BACKUP_DISABLED`	이 감지기는 Cloud SQL 데이터베이스에 자동 백업이 사용 설정되지 않았는지 확인합니다.
`BIGQUERY_TABLE_CMEK_DISABLED`	이 감지기는 BigQuery 테이블이 고객 관리 암호화 키(CMEK)를 사용하도록 구성되지 않았는지 확인합니다. 자세한 내용은 데이터 세트 취약점 발견 항목을 참조하세요.
`BUCKET_IAM_NOT_MONITORED`	이 감지기는 Cloud Storage에서 IAM 권한 변경사항에 대한 로깅이 사용 중지되었는지 확인합니다.
`BUCKET_POLICY_ONLY_DISABLED`	이 감지기는 균일한 버킷 수준 액세스가 구성되었는지 확인합니다.
`CLOUD_ASSET_API_DISABLED`	이 감지기는 Cloud 애셋 인벤토리가 사용 중지되어 있는지 확인합니다.
`COMPUTE_PROJECT_WIDE_SSH_KEYS_ALLOWED`	이 감지기는 프로젝트 전체 SSH 키를 사용 중인지 확인합니다.
`COMPUTE_SERIAL_PORTS_ENABLED`	이 감지기는 직렬 포트가 사용 설정되었는지 확인합니다.
`CONFIDENTIAL_COMPUTING_DISABLED`	이 감지기는 컨피덴셜 컴퓨팅이 사용 중지되었는지 확인합니다.
`CUSTOM_ROLE_NOT_MONITORED`	이 감지기는 커스텀 역할 변경사항에 대한 로깅이 사용 중지되었는지 확인합니다.
`DATAPROC_CMEK_DISABLED`	이 감지기는 Dataproc 클러스터에 대해 CMEK 지원이 사용 중지되었는지 확인합니다.
`DATASET_CMEK_DISABLED`	이 감지기는 BigQuery 데이터 세트에 대해 CMEK 지원이 사용 중지되었는지 확인합니다.
`DEFAULT_NETWORK`	이 감지기는 프로젝트에 기본 네트워크가 있는지 확인합니다.
`DEFAULT_SERVICE_ACCOUNT_USED`	이 감지기는 기본 서비스 계정을 사용 중인지 확인합니다.
`DISK_CSEK_DISABLED`	이 감지기는 VM에 대해 고객 제공 암호화 키(CSEK) 지원이 사용 중지되어 있는지 확인합니다.
`DNS_LOGGING_DISABLED`	이 감지기는 VPC 네트워크에서 DNS 로깅이 사용 설정되었는지 확인합니다.
`DNSSEC_DISABLED`	이 감지기는 Cloud DNS 영역에 대해 DNSSEC가 사용 중지되어 있는지 확인합니다.
`FIREWALL_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 방화벽 규칙 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`VPC_FLOW_LOGS_SETTINGS_NOT_RECOMMENDED`	이 감지기는 VPC 흐름 로그가 사용 설정되지 않았는지 확인합니다.
`FULL_API_ACCESS`	이 감지기는 인스턴스가 모든 Google Cloud API에 대해 전체 액세스 권한이 있는 기본 서비스 계정을 사용 중인지 확인합니다.
`INSTANCE_OS_LOGIN_DISABLED`	이 감지기는 OS 로그인이 사용 설정되지 않았는지 확인합니다.
`IP_FORWARDING_ENABLED`	이 감지기는 IP 전달이 사용 설정되어 있는지 확인합니다.
`KMS_KEY_NOT_ROTATED`	이 감지기는 Cloud Key Management Service 암호화의 순환이 사용 설정되지 않았는지 확인합니다.
`KMS_PROJECT_HAS_OWNER`	이 감지기는 키가 포함된 프로젝트에 대해 사용자에게 소유자 권한이 있는지 여부를 확인합니다.
`KMS_PUBLIC_KEY`	이 감지기는 Cloud Key Management Service 암호화 키에 공개적으로 액세스할 수 있는지 확인합니다. 자세한 내용은 KMS 취약점 발견 항목을 참조하세요.
`KMS_ROLE_SEPARATION`	이 감지기는 Cloud KMS 키의 업무 분장을 확인합니다.
`LEGACY_NETWORK`	이 감지기는 프로젝트에 기존 네트워크가 있는지 확인합니다.
`LOCKED_RETENTION_POLICY_NOT_SET`	이 감지기는 잠금 보관 정책이 로그에 설정되었는지 확인합니다.
`LOAD_BALANCER_LOGGING_DISABLED`	이 감지기는 부하 분산기에 대해 로깅이 사용 중지되었는지 확인합니다.
`LOG_NOT_EXPORTED`	이 감지기는 리소스에 로그 싱크가 구성되지 않았는지 확인합니다.
`MFA_NOT_ENFORCED`	이 감지기는 사용자가 2단계 인증을 사용하지 않는지 확인합니다.
`NETWORK_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`NON_ORG_IAM_MEMBER`	이 감지기는 사용자가 조직 사용자 인증 정보를 사용하지 않는지 확인합니다.
`OPEN_RDP_PORT`	이 감지기는 방화벽에 개방형 RDP 포트가 있는지 확인합니다.
`OPEN_SSH_PORT`	이 감지기는 방화벽에 일반 액세스를 허용하는 SSH 포트가 열려 있는지 확인합니다. 자세한 내용은 방화벽 취약점 발견 항목을 참조하세요.
`OS_LOGIN_DISABLED`	이 감지기는 OS 로그인이 사용 중지되었는지 확인합니다.
`OVER_PRIVILEGED_SERVICE_ACCOUNT_USER`	이 감지기는 사용자에게 특정 서비스 계정 대신 프로젝트 수준의 서비스 계정 역할이 있는지 확인합니다.
`OWNER_NOT_MONITORED`	이 감지기는 프로젝트 소유권 할당 및 변경사항의 로깅이 사용 중지되었는지 확인합니다.
`PUBLIC_BUCKET_ACL`	이 감지기는 버킷에 공개적으로 액세스할 수 있는지 확인합니다.
`PUBLIC_DATASET`	이 감지기는 데이터 세트가 공개 액세스에 개방되도록 구성되었는지 확인합니다. 자세한 내용은 데이터 세트 취약점 발견 항목을 참조하세요.
`PUBLIC_IP_ADDRESS`	이 감지기는 인스턴스에 외부 IP 주소가 있는지 확인합니다.
`PUBLIC_SQL_INSTANCE`	이 감지기는 Cloud SQL이 모든 IP 주소의 연결을 허용하는지 확인합니다.
`ROUTE_NOT_MONITORED`	이 감지기는 로그 측정항목 및 알림이 VPC 네트워크 경로 변경사항을 모니터링하도록 구성되지 않았는지 확인합니다.
`RSASHA1_FOR_SIGNING`	이 감지기는 Cloud DNS 영역의 키 서명에 RSASHA1이 사용되는지 확인합니다.
`SERVICE_ACCOUNT_KEY_NOT_ROTATED`	이 감지기는 서비스 계정 키가 지난 90일 이내에 순환되었는지 확인합니다.
`SERVICE_ACCOUNT_ROLE_SEPARATION`	이 감지기는 서비스 계정 키의 업무 분장을 확인합니다.
`SHIELDED_VM_DISABLED`	이 감지기는 보안 VM이 사용 중지되었는지 확인합니다.
`SQL_CONTAINED_DATABASE_AUTHENTICATION`	이 감지기는 SQL Server용 Cloud SQL에서 `contained database authentication` 플래그가 사용 중지되지 않았는지 확인합니다.
`SQL_CROSS_DB_OWNERSHIP_CHAINING`	이 감지기는 SQL Server용 Cloud SQL에서 `cross_db_ownership_chaining` 플래그가 사용 중지되지 않았는지 확인합니다.
`SQL_EXTERNAL_SCRIPTS_ENABLED`	이 감지기는 SQL Server용 Cloud SQL에서 `external scripts enabled` 플래그가 사용 중지되지 않았는지 확인합니다.
`SQL_INSTANCE_NOT_MONITORED`	이 감지기는 Cloud SQL 구성 변경사항에 대한 로깅이 사용 중지되었는지 확인합니다.
`SQL_LOCAL_INFILE`	이 감지기는 MySQL용 Cloud SQL에서 `local_infile` 플래그가 사용 중지되지 않았는지 확인합니다.
`SQL_LOG_CONNECTIONS_DISABLED`	이 감지기는 PostgreSQL용 Cloud SQL에서 `log_connections` 플래그가 사용 설정되지 않았는지 확인합니다.
`SQL_LOG_DISCONNECTIONS_DISABLED`	이 감지기는 PostgreSQL용 Cloud SQL에서 `log_disconnections` 플래그가 사용 설정되지 않았는지 확인합니다.
`SQL_LOG_ERROR_VERBOSITY`	이 감지기는 PostgreSQL용 Cloud SQL의 `log_error_verbosity` 플래그가 `default`으로 설정되지 않았는지 확인합니다.
`SQL_LOG_MIN_DURATION_STATEMENT_ENABLED`	이 감지기는 PostgreSQL용 Cloud SQL의 `log_min_duration_statement` 플래그가 `-1`으로 설정되지 않았는지 확인합니다.
`SQL_LOG_MIN_ERROR_STATEMENT_SEVERITY`	이 감지기는 PostgreSQL용 Cloud SQL의 `log_min_error_statement` 플래그에 적절한 심각도 수준이 없는지 확인합니다.
`SQL_LOG_MIN_MESSAGES`	이 감지기는 PostgreSQL용 Cloud SQL의 `log_min_messages` 플래그가 `warning`으로 설정되지 않았는지 확인합니다.
`SQL_LOG_STATEMENT`	이 감지기는 PostgreSQL용 Cloud SQL Server의 `log_statement` 플래그가 `ddl`로 설정되지 않았는지 확인합니다.
`SQL_NO_ROOT_PASSWORD`	이 감지기는 외부 IP 주소를 사용하는 Cloud SQL 데이터베이스에 루트 계정에 대한 암호가 없는지 확인합니다.
`SQL_PUBLIC_IP`	이 감지기는 Cloud SQL 데이터베이스에 외부 IP 주소가 있는지 확인합니다.
`SQL_REMOTE_ACCESS_ENABLED`	이 감지기는 SQL Server용 Cloud SQL에서 `remote_access` 플래그가 사용 중지되지 않았는지 확인합니다.
`SQL_SKIP_SHOW_DATABASE_DISABLED`	이 감지기는 MySQL용 Cloud SQL에서 `skip_show_database` 플래그가 사용 설정되지 않았는지 확인합니다.
`SQL_TRACE_FLAG_3625`	이 감지기는 SQL Server용 Cloud SQL에서 `3625 (trace flag)` 플래그가 사용 설정되지 않았는지 확인합니다.
`SQL_USER_CONNECTIONS_CONFIGURED`	이 감지기는 SQL 서버용 Cloud SQL에서 `user connections` 플래그가 구성되었는지 확인합니다.
`SQL_USER_OPTIONS_CONFIGURED`	이 감지기는 SQL 서버용 Cloud SQL에서 `user options` 플래그가 구성되었는지 확인합니다.
`USER_MANAGED_SERVICE_ACCOUNT_KEY`	이 감지기는 사용자가 서비스 계정 키를 관리하는지 확인합니다.
`WEAK_SSL_POLICY`	이 감지기는 인스턴스에 취약한 SSL 정책이 있는지 확인합니다.

상황 템플릿 보기

CIS 벤치마크 v2.0의 상황 템플릿을 보려면 다음을 수행합니다.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

ORGANIZATION_ID: 조직의 숫자 ID

gcloud scc posture-templates describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

응답에 상황 템플릿이 포함됩니다.

REST

요청 데이터를 사용하기 전에 다음을 바꿉니다.

ORGANIZATION_ID: 조직의 숫자 ID

HTTP 메서드 및 URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

cURL(Linux, macOS, Cloud Shell)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하거나 gcloud CLI에 자동으로 로그인하는 Cloud Shell을 사용하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

curl -X GET \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0"

PowerShell(Windows)

참고: 다음 명령어는 gcloud init 또는 gcloud auth login을 실행하여 사용자 계정으로 gcloud CLI에 로그인했다고 가정합니다. gcloud auth list를 실행하면 현재 활성 계정을 확인할 수 있습니다.

다음 명령어를 실행합니다.

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method GET `
    -Headers $headers `
    -Uri "https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cis_2_0" | Select-Object -Expand Content

응답에 상황 템플릿이 포함됩니다.

다음 단계

이 사전 정의된 상황을 사용하여 보안 상황 만들기