이 페이지에서는 기본 보안을 위한 사전 정의된 상황(확장 요소)의 v1.0 버전에 포함된 예방 정책에 대해 설명합니다. 이러한 사전 정의된 상황은 기본 설정으로 인해 발생하는 일반적인 구성 오류 및 일반적인 보안 문제를 방지하는 데 도움이 됩니다.
이 사전 정의된 상황을 사용해서 Google Cloud 리소스 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황을 배포하려면 환경에 적용되도록 일부 정책을 맞춤설정해야 합니다.
| 정책 | 설명 | 규정 준수 표준 |
|---|---|---|
iam.disableServiceAccountKeyCreation |
이 제약조건은 사용자가 노출된 서비스 계정 사용자 인증 정보 위험을 줄이기 위해 서비스 계정에 대해 영구 키를 만들지 못하도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-2 |
iam.automaticIamGrantsForDefaultServiceAccounts |
이 제약조건은 기본 서비스 계정을 만들 때 권한이 과도한 Identity and Access Management(IAM) 편집자 역할을 계정에 부여하지 못하도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 |
iam.disableServiceAccountKeyUpload |
이 제약조건은 서비스 계정 키에서 커스텀 키 자료가 누출 및 재사용되지 않도록 위험을 방지합니다. 값은 |
NIST SP 800-53 제어: AC-6 |
storage.publicAccessPrevention |
이 정책은 Cloud Storage 버킷이 인증되지 않은 공개 액세스에 개방되지 않도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
iam.allowedPolicyMemberDomains |
이 정책은 선택한 도메인의 관리 사용자 ID만 이 조직 내의 리소스에 액세스할 수 있도록 IAM 정책을 제한합니다. 값은 |
NIST SP 800-53 제어: AC-3, AC-6, IA-2 |
essentialcontacts.allowedContactDomains |
이 정책은 선택한 도메인의 관리 사용자 ID만 플랫폼 알림을 수신할 수 있도록 필수 연락처를 제한합니다. 값은 |
NIST SP 800-53 제어: AC-3, AC-6, IA-2 |
storage.uniformBucketLevelAccess |
이 정책은 Cloud Storage 버킷이 객체별 ACL(IAM 정책 이외의 별개 시스템)을 사용해서 액세스를 제공하지 못하도록 방지하여 액세스 관리 및 감사의 일관성을 강화합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.requireOsLogin |
이 정책은 SSH를 보다 쉽게 관리하고 IAM 정책에 리소스 수준 권한을 제공하고, 사용자 액세스를 로깅하기 위해 새로 생성된 VM에 대해 OS 로그인이 필요합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AU-12 |
compute.disableSerialPortAccess |
이 정책은 Compute Engine API 제어 영역에서 백도어 액세스에 사용할 수 있는 VM 직렬 포트에 사용자가 액세스할 수 없도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.restrictXpnProjectLienRemoval |
이 정책은 프로젝트 선취권 삭제를 제한하여 공유 VPC 호스트 프로젝트가 실수로 삭제되지 않도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.vmExternalIpAccess |
이 정책은 공개 IP 주소를 사용하여 Compute Engine 인스턴스를 만들어서 들어오는 인터넷 트래픽 및 나가는 인터넷 트래픽에 노출될 수 없도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.skipDefaultNetworkCreation |
이 정책은 각각의 새로운 프로젝트에서 기본 VPC 네트워크 및 기존 방화벽 규칙이 자동으로 생성되지 않도록 방지하여 네트워크 및 방화벽 규칙이 의도한 대로 생성될 수 있도록 보장합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.setNewProjectDefaultToZonalDNSOnly |
이 정책은 애플리케이션 개발자가 Compute Engine 인스턴스에 대해 최신 DNS 설정보다 서비스 신뢰성이 낮은 기존 DNS 설정을 선택할 수 없도록 제한합니다. 값은 새 프로젝트에 대해 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
sql.restrictPublicIp |
이 정책은 공개 IP 주소를 사용하여 Cloud SQL 인스턴스를 만들어서 들어오는 인터넷 트래픽 및 나가는 인터넷 트래픽에 노출될 수 없도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
sql.restrictAuthorizedNetworks |
이 정책은 공개 또는 비RFC 1918 네트워크 범위가 Cloud SQL 데이터베이스에 액세스할 수 없도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.restrictProtocolForwardingCreationForTypes |
이 정책은 내부 IP 주소에 대해서만 VM 프로토콜 전달을 허용합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.disableVpcExternalIpv6 |
이 정책은 외부 IPv6 서브넷을 만들어서 들어오고 나가는 인터넷 트래픽에 노출될 수 없도록 방지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
compute.disableNestedVirtualization |
이 정책은 모니터링되지 않은 중첩된 인스턴스로 인한 보안 위험을 줄이기 위해 중첩된 가상화를 사용 중지합니다. 값은 |
NIST SP 800-53 제어: AC-3 및 AC-6 |
상황 템플릿 보기
보안을 우선으로 하는 기본 설정(확장 요소)의 상황 템플릿을 보려면 다음을 수행합니다.
gcloud
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORGANIZATION_ID: 조직의 숫자 ID
gcloud scc posture-templates
describe 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud scc posture-templates describe \ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows(PowerShell)
gcloud scc posture-templates describe ` organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
Windows(cmd.exe)
gcloud scc posture-templates describe ^ organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
응답에 상황 템플릿이 포함됩니다.
REST
요청 데이터를 사용하기 전에 다음을 바꿉니다.
-
ORGANIZATION_ID: 조직의 숫자 ID
HTTP 메서드 및 URL:
GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/secure_by_default_extended
요청을 보내려면 다음 옵션 중 하나를 펼칩니다.
응답에 상황 템플릿이 포함됩니다.