Cloud Storage의 사전 정의된 상황, 확장 요소

이 페이지에서는 Cloud Storage를 위한 사전 정의된 상황(확장 요소)의 v1.0 버전에 포함된 예방 및 감지 정책에 대해 설명합니다. 이 상황에는 두 가지 정책 집합이 포함됩니다.

  • Cloud Storage에 적용되는 조직 정책을 포함하는 정책 집합

  • Cloud Storage에 적용되는 Security Health Analytics 감지기를 포함하는 정책 집합

이 사전 정의된 상황을 사용해서 Cloud Storage 보호에 도움이 되는 보안 상황을 구성할 수 있습니다. 이 사전 정의된 상황을 배포하려면 환경에 적용되도록 일부 정책을 맞춤설정해야 합니다.

조직 정책 제약 조건

다음 표에서는 이 상황에 포함된 조직 정책에 대해 설명합니다.

정책 설명 규정 준수 표준
storage.publicAccessPrevention

이 정책은 Cloud Storage 버킷이 인증되지 않은 공개 액세스에 개방되지 않도록 방지합니다.

값은 true이며 버킷에 대한 공개 액세스를 방지합니다.

NIST SP 800-53 제어: AC-3, AC-17, AC-20
storage.uniformBucketLevelAccess

이 정책은 Cloud Storage 버킷이 객체별 ACL(IAM 정책 이외의 별개 시스템)을 사용해서 액세스를 제공하지 못하도록 방지하여 액세스 관리 및 감사의 일관성을 강화합니다.

값은 true이며 균일한 버킷 수준 액세스를 적용합니다.

NIST SP 800-53 제어: AC-3, AC-17, AC-20
storage.retentionPolicySeconds

이 제약조건은 버킷의 보관 정책 기간(초)을 정의합니다.

이 사전 정의된 상황을 채택할 때 이 값을 구성해야 합니다.

NIST SP 800-53 제어: SI-12

Security Health Analytics 감지기

다음 표에서는 사전 정의된 상황에 포함된 Security Health Analytics 감지기에 대해 설명합니다. 이러한 감지기에 대한 자세한 내용은 취약점 발견 항목을 참조하세요.

검사 프로그램 이름 설명
BUCKET_LOGGING_DISABLED

이 감지기는 로깅이 사용 설정되지 않은 스토리지 버킷이 있는지 확인합니다.

LOCKED_RETENTION_POLICY_NOT_SET

이 감지기는 잠금 보관 정책이 로그에 설정되었는지 확인합니다.

OBJECT_VERSIONING_DISABLED

이 감지기는 객체 버전 관리가 싱크에 연결된 스토리지 버킷에 사용 설정되었는지 확인합니다.

BUCKET_CMEK_DISABLED

이 감지기는 버킷이 고객 관리 암호화 키(CMEK)를 사용하여 암호화되었는지 확인합니다.

BUCKET_POLICY_ONLY_DISABLED

이 감지기는 균일한 버킷 수준 액세스가 구성되었는지 확인합니다.

PUBLIC_BUCKET_ACL

이 감지기는 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

PUBLIC_LOG_BUCKET

이 감지기는 로그 싱크에 연결된 버킷에 공개적으로 액세스할 수 있는지 확인합니다.

ORG_POLICY_LOCATION_RESTRICTION

이 감지기는 Compute Engine 리소스가 constraints/gcp.resourceLocations 제약조건을 준수하지 않는지 확인합니다.

상황 템플릿 보기

Cloud Storage(확장 요소)의 상황 템플릿을 보려면 다음 안내를 따르세요.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 ID

gcloud scc posture-templates describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud scc posture-templates describe \
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows(PowerShell)

gcloud scc posture-templates describe `
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

Windows(cmd.exe)

gcloud scc posture-templates describe ^
    organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

응답에 상황 템플릿이 포함됩니다.

REST

요청 데이터를 사용하기 전에 다음을 바꿉니다.

  • ORGANIZATION_ID: 조직의 숫자 ID

HTTP 메서드 및 URL:

GET https://securityposture.googleapis.com/v1/organizations/ORGANIZATION_ID/locations/global/postureTemplates/cloud_storage_extended

요청을 보내려면 다음 옵션 중 하나를 펼칩니다.

응답에 상황 템플릿이 포함됩니다.

다음 단계