빠른 시작: Security Command Center 설정

Security Command Center 설정

이 페이지에서는 조직에 Security Command Center를 처음 설정하는 방법을 설명합니다. 조직에 Security Command Center가 이미 설정되어 있는 경우 Security Command Center 사용 가이드를 참조하세요.

시작하기 전에

조직 만들기

Security Command Center에는 도메인과 연결된 조직 리소스가 필요하며 프리미엄 등급을 사용하려면 결제 계정이 필요합니다. 조직을 만들지 않은 경우 조직 만들기 및 관리를 참조하세요.

권한 설정

Security Command Center를 설정하려면 다음과 같은 Identity and Access Management(IAM) 역할이 필요합니다.

조직 관리자 roles/resourcemanager.organizationAdmin
보안 센터 관리자 roles/securitycenter.admin
보안 관리자 roles/iam.securityAdmin
서비스 계정 만들기 roles/iam.serviceAccountCreator

Security Command Center 역할에 대해 자세히 알아보세요.

조직 정책 확인

조직 정책이 도메인별로 ID 제한으로 설정된 경우:

허용된 도메인에 있는 계정으로 Google Cloud Console에 로그인해야 합니다.
서비스 계정은 허용된 도메인에 있거나 도메인 내 그룹의 구성원이어야 합니다. 이렇게 하면 도메인 제한 공유가 사용 설정된 경우 @*.gserviceaccount.com 서비스가 리소스에 액세스할 수 있습니다.

조직의 Security Command Center 설정

조직에 Security Command Center를 설정하려면 원하는 Security Command Center 등급을 선택하고 Security Command Center 대시보드에 발견 항목을 표시할 서비스 또는 보안 소스를 사용 설정하세요. 그리고 모니터링하려는 리소스 또는 애셋을 선택한 후 Security Command Center 서비스 계정에 대한 권한을 부여합니다.

1단계: 등급 선택

선택한 Security Command Center 등급은 사용할 수 있는 기능과 Security Command Center 사용 비용을 결정합니다. 다음 표에서는 프리미엄 및 스탠더드 등급에서 사용할 수 있는 기본 제공 Security Command Center 서비스에 대한 개요를 제공합니다.

등급 세부정보

등급 세부정보
표준 등급 기능 Security Health Analytics: 표준 등급의 Security Health Analytics 기능은 Google Cloud 애셋의 심각도가 높은 취약점과 잘못된 구성을 자동으로 감지할 수 있는 Google Cloud의 관리형 취약점 평가 스캔을 제공합니다. 표준 등급의 Security Health Analytics 기능에는 다음과 같은 발견 항목이 포함됩니다. `DATAPROC_IMAGE_OUTDATED` `LEGACY_AUTHORIZATION_ENABLED` `MFA_NOT_ENFORCED` `NON_ORG_IAM_MEMBER` `OPEN_CISCOSECURE_WEBSM_PORT` `OPEN_DIRECTORY_SERVICES_PORT` `OPEN_FIREWALL` `OPEN_GROUP_IAM_MEMBER` `OPEN_RDP_PORT` `OPEN_SSH_PORT` `OPEN_TELNET_PORT` `PUBLIC_BUCKET_ACL` `PUBLIC_COMPUTE_IMAGE` `PUBLIC_DATASET` `PUBLIC_IP_ADDRESS` `PUBLIC_LOG_BUCKET` `PUBLIC_SQL_INSTANCE` `SSL_NOT_ENFORCED` `WEB_UI_ENABLED` Web Security Scanner 커스텀 스캔: 표준 등급의 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP 주소로 배포된 애플리케이션의 커스텀 스캔을 지원합니다. 스캔은 모든 프로젝트에서 수동으로 구성, 관리, 실행되며 OWASP 상위 10개에서 카테고리의 하위 집합을 지원합니다. Security Command Center 오류: Security Command Center에서는 Security Command Center 및 관련 서비스가 제대로 작동하지 못하게 막는 구성 오류에 대한 감지 및 해결 안내를 제공합니다. 조직 수준에서 Identity and Access Management(IAM) 역할을 사용자에게 부여할 수 있습니다. 다음을 포함한 통합 Google Cloud 서비스에 대한 액세스 권한이 있습니다. Cloud Data Loss Prevention은 민감한 정보를 검색, 분류, 보호합니다. Google Cloud Armor는 위협으로부터 Google Cloud 배포를 보호합니다. Anomaly Detection은 프로젝트 및 가상 머신(VM) 인스턴스에서 보안 이상(예: 유출 가능성이 있는 사용자 인증 정보, 코인 마이닝)을 식별합니다. BigQuery와 통합에서 분석할 수 있도록 발견 항목을 BigQuery로 내보냅니다. Google Cloud용 오픈소스 보안 도구인 Forseti Security와 타사 보안 정보 및 이벤트 관리(SIEM) 애플리케이션과 통합됩니다.
프리미엄 등급 기능 프리미엄 등급에는 표준 등급의 모든 기능과 다음이 포함됩니다. Event Threat Detection은 위협 인텔리전스, 머신러닝, 기타 고급 방법을 사용하여 조직의 Cloud Logging 및 Google Workspace를 모니터링하고 다음 위협을 감지합니다. 멀웨어 암호화폐 채굴 무작위 공격 SSH 발신 DoS IAM 비정상적인 권한 부여 데이터 무단 반출 Event Threat Detection은 또한 다음과 같은 Google Workspace 위협 요소를 식별합니다. 비밀번호 유출 계정 유출 시도 2단계 인증 설정 변경사항 싱글 사인온(SSO) 설정 변경사항 정부 지원 해킹 공격 Container Threat Detection 기능은 다음과 같은 컨테이너 런타임 공격을 감지합니다. 추가된 바이너리가 실행됨 추가된 라이브러리가 로드됨 악성 스크립트가 실행됨 역방향 셸 Virtual Machine Threat Detection은 VM 인스턴스 내에서 실행되는 암호화폐 채굴 애플리케이션을 감지합니다. Security Health Analytics: 프리미엄 등급에는 모든 Security Health Analytics 감지기(140개 이상)에 대한 관리형 취약점 스캔이 포함되며 Google Cloud 애셋 전반의 여러 업계 권장사항 및 규정 준수 모니터링을 제공합니다. 모니터링 결과는 규정 준수 대시보드에서 검토할 수 있으며 관리 가능한 CSV로 내보낼 수도 있습니다. 프리미엄 등급에서 Security Health Analytics는 다음 표준에 대한 모니터링 및 보고를 포함합니다. CIS 1.2 CIS 1.1 CIS 1.0 PCI DSS v3.2.1 NIST 800-53 ISO 27001 프리미엄 등급의 Web Security Scanner에는 모든 표준 등급 기능과 OWASP Top Ten의 범주를 지원하는 추가 검사 프로그램이 포함되어 있습니다. 참고: 카테고리: A09:2021 보안 로깅 및 모니터링 실패(이전 A10:2017 로깅 및 모니터링 부족)는 지원되지 않습니다. 이 카테고리는 공격자가 감지되지 않게 유지할 수 없는 기능을 설명합니다. 다른 OWASP 카테고리 9개와 달리 공격자가 악용할 수 있는 특정 취약점과 관련이 없습니다. 마찬가지로 Web Security Scanner는 웹 애플리케이션을 공격하여 감지 가능한 응답을 유발할 수 없습니다. 사람이 이 카테고리에 포함된 문제를 판단해야 합니다. Web Security Scanner는 자동으로 구성되는 관리형 스캔도 추가합니다. Rapid Vulnerability Detection은 네트워크 및 웹 애플리케이션을 스캔하여 취약한 사용자 인증 정보, 완전하지 않은 소프트웨어 설치, 악용 가능성이 높은 기타 중요한 취약점을 감지합니다. 미리보기 이 기능에는 서비스별 약관의 일반 서비스 약관 섹션에 있는 'GA 이전 제공 서비스 약관'이 적용됩니다. GA 이전 기능은 '있는 그대로' 제공되며 지원이 제한될 수 있습니다. 자세한 내용은 출시 단계 설명을 참조하세요. 프리미엄 등급에는 조직, 폴더, 프로젝트 수준에서 사용자에게 IAM 역할을 부여하는 기능이 포함됩니다. 프리미엄 등급에는 Pub/Sub로 새 발견 항목 내보내기를 자동으로 관리하는 지속적 내보내기 기능이 포함되어 있습니다. 확장된 애셋 모니터링이 필요한 경우 추가 Cloud 애셋 인벤토리 할당량을 요청할 수 있습니다. 보안 시작 영역 서비스는 Security Command Center 프리미엄 등급에서만 사용 설정할 수 있습니다. 사용 설정하면 이 서비스는 배포된 청사진의 리소스에 정책 위반 사항이 있으면 발견 항목을 표시하고 해당하는 알림을 생성하며 선택적으로 자동 해결 작업을 수행합니다. 미리보기 이 기능에는 서비스별 약관의 일반 서비스 약관 섹션에 있는 'GA 이전 제공 서비스 약관'이 적용됩니다. GA 이전 기능은 '있는 그대로' 제공되며 지원이 제한될 수 있습니다. 자세한 내용은 출시 단계 설명을 참조하세요. VM Manager 취약점 보고서 미리보기 이 기능에는 서비스별 약관의 일반 서비스 약관 섹션에 있는 'GA 이전 제공 서비스 약관'이 적용됩니다. GA 이전 기능은 '있는 그대로' 제공되며 지원이 제한될 수 있습니다. 자세한 내용은 출시 단계 설명을 참조하세요. VM Manager를 사용 설정하면 서비스에서 미리보기 상태인 취약점 보고서의 결과를 Security Command Center에 자동으로 작성합니다. 이 보고서는 Compute Engine 가상 머신에 설치된 운영체제의 취약점을 식별합니다. 자세한 내용은 VM Manager를 참조하세요.

표준 등급 기능

Security Health Analytics: 표준 등급의 Security Health Analytics 기능은 Google Cloud 애셋의 심각도가 높은 취약점과 잘못된 구성을 자동으로 감지할 수 있는 Google Cloud의 관리형 취약점 평가 스캔을 제공합니다. 표준 등급의 Security Health Analytics 기능에는 다음과 같은 발견 항목이 포함됩니다.
- DATAPROC_IMAGE_OUTDATED
- LEGACY_AUTHORIZATION_ENABLED
- MFA_NOT_ENFORCED
- NON_ORG_IAM_MEMBER
- OPEN_CISCOSECURE_WEBSM_PORT
- OPEN_DIRECTORY_SERVICES_PORT
- OPEN_FIREWALL
- OPEN_GROUP_IAM_MEMBER
- OPEN_RDP_PORT
- OPEN_SSH_PORT
- OPEN_TELNET_PORT
- PUBLIC_BUCKET_ACL
- PUBLIC_COMPUTE_IMAGE
- PUBLIC_DATASET
- PUBLIC_IP_ADDRESS
- PUBLIC_LOG_BUCKET
- PUBLIC_SQL_INSTANCE
- SSL_NOT_ENFORCED
- WEB_UI_ENABLED
Web Security Scanner 커스텀 스캔: 표준 등급의 Web Security Scanner는 방화벽으로 보호되지 않는 공개 URL 및 IP 주소로 배포된 애플리케이션의 커스텀 스캔을 지원합니다. 스캔은 모든 프로젝트에서 수동으로 구성, 관리, 실행되며 OWASP 상위 10개에서 카테고리의 하위 집합을 지원합니다.
Security Command Center 오류: Security Command Center에서는 Security Command Center 및 관련 서비스가 제대로 작동하지 못하게 막는 구성 오류에 대한 감지 및 해결 안내를 제공합니다.
조직 수준에서 Identity and Access Management(IAM) 역할을 사용자에게 부여할 수 있습니다.
다음을 포함한 통합 Google Cloud 서비스에 대한 액세스 권한이 있습니다.
- Cloud Data Loss Prevention은 민감한 정보를 검색, 분류, 보호합니다.
- Google Cloud Armor는 위협으로부터 Google Cloud 배포를 보호합니다.
- Anomaly Detection은 프로젝트 및 가상 머신(VM) 인스턴스에서 보안 이상(예: 유출 가능성이 있는 사용자 인증 정보, 코인 마이닝)을 식별합니다.
BigQuery와 통합에서 분석할 수 있도록 발견 항목을 BigQuery로 내보냅니다.
Google Cloud용 오픈소스 보안 도구인 Forseti Security와 타사 보안 정보 및 이벤트 관리(SIEM) 애플리케이션과 통합됩니다.

프리미엄 등급 기능

프리미엄 등급에는 표준 등급의 모든 기능과 다음이 포함됩니다.

Event Threat Detection은 위협 인텔리전스, 머신러닝, 기타 고급 방법을 사용하여 조직의 Cloud Logging 및 Google Workspace를 모니터링하고 다음 위협을 감지합니다.

멀웨어
암호화폐 채굴
무작위 공격 SSH
발신 DoS
IAM 비정상적인 권한 부여
데이터 무단 반출

Event Threat Detection은 또한 다음과 같은 Google Workspace 위협 요소를 식별합니다.

비밀번호 유출
계정 유출 시도
2단계 인증 설정 변경사항
싱글 사인온(SSO) 설정 변경사항
정부 지원 해킹 공격

Container Threat Detection 기능은 다음과 같은 컨테이너 런타임 공격을 감지합니다.

추가된 바이너리가 실행됨
추가된 라이브러리가 로드됨
악성 스크립트가 실행됨
역방향 셸

Virtual Machine Threat Detection은 VM 인스턴스 내에서 실행되는 암호화폐 채굴 애플리케이션을 감지합니다.
Security Health Analytics: 프리미엄 등급에는 모든 Security Health Analytics 감지기(140개 이상)에 대한 관리형 취약점 스캔이 포함되며 Google Cloud 애셋 전반의 여러 업계 권장사항 및 규정 준수 모니터링을 제공합니다. 모니터링 결과는 규정 준수 대시보드에서 검토할 수 있으며 관리 가능한 CSV로 내보낼 수도 있습니다.

프리미엄 등급에서 Security Health Analytics는 다음 표준에 대한 모니터링 및 보고를 포함합니다.
- CIS 1.2
- CIS 1.1
- CIS 1.0
- PCI DSS v3.2.1
- NIST 800-53
- ISO 27001
프리미엄 등급의 Web Security Scanner에는 모든 표준 등급 기능과 OWASP Top Ten의 범주를 지원하는 추가 검사 프로그램이 포함되어 있습니다.
참고: 카테고리: A09:2021 보안 로깅 및 모니터링 실패(이전 A10:2017 로깅 및 모니터링 부족)는 지원되지 않습니다. 이 카테고리는 공격자가 감지되지 않게 유지할 수 없는 기능을 설명합니다. 다른 OWASP 카테고리 9개와 달리 공격자가 악용할 수 있는 특정 취약점과 관련이 없습니다. 마찬가지로 Web Security Scanner는 웹 애플리케이션을 공격하여 감지 가능한 응답을 유발할 수 없습니다. 사람이 이 카테고리에 포함된 문제를 판단해야 합니다.
Web Security Scanner는 자동으로 구성되는 관리형 스캔도 추가합니다.
Rapid Vulnerability Detection은 네트워크 및 웹 애플리케이션을 스캔하여 취약한 사용자 인증 정보, 완전하지 않은 소프트웨어 설치, 악용 가능성이 높은 기타 중요한 취약점을 감지합니다.

미리보기

이 기능에는 서비스별 약관의 일반 서비스 약관 섹션에 있는 'GA 이전 제공 서비스 약관'이 적용됩니다. GA 이전 기능은 '있는 그대로' 제공되며 지원이 제한될 수 있습니다. 자세한 내용은 출시 단계 설명을 참조하세요.
프리미엄 등급에는 조직, 폴더, 프로젝트 수준에서 사용자에게 IAM 역할을 부여하는 기능이 포함됩니다.
프리미엄 등급에는 Pub/Sub로 새 발견 항목 내보내기를 자동으로 관리하는 지속적 내보내기 기능이 포함되어 있습니다.
확장된 애셋 모니터링이 필요한 경우 추가 Cloud 애셋 인벤토리 할당량을 요청할 수 있습니다.

보안 시작 영역 서비스는 Security Command Center 프리미엄 등급에서만 사용 설정할 수 있습니다. 사용 설정하면 이 서비스는 배포된 청사진의 리소스에 정책 위반 사항이 있으면 발견 항목을 표시하고 해당하는 알림을 생성하며 선택적으로 자동 해결 작업을 수행합니다.

VM Manager 취약점 보고서

VM Manager를 사용 설정하면 서비스에서 미리보기 상태인 취약점 보고서의 결과를 Security Command Center에 자동으로 작성합니다. 이 보고서는 Compute Engine 가상 머신에 설치된 운영체제의 취약점을 식별합니다. 자세한 내용은 VM Manager를 참조하세요.

Security Command Center 사용과 관련된 비용에 대한 자세한 내용은 가격 책정 페이지를 참조하세요.

Security Command Center 프리미엄 등급을 구독하려면 Google Cloud 영업 담당자나 클라우드 파트너에게 문의하세요.

원하는 등급을 선택한 후 Security Command Center 설정을 시작합니다.

Google Cloud 콘솔에서 Security Command Center로 이동합니다.

Security Command Center로 이동
조직 드롭다운 목록에서 Security Command Center를 사용 설정할 조직을 선택한 다음 선택을 클릭합니다.

그런 다음 조직에 대해 사용 설정할 기본 제공 서비스를 선택합니다.

2단계: 서비스 선택

서비스 선택 페이지에서 선택한 등급에 포함된 모든 기본 제공 서비스는 기본적으로 조직 수준에서 사용 설정됩니다. 각 서비스는 지원되는 모든 리소스를 스캔하고 전체 조직에 대한 결과를 보고합니다. 서비스 사용을 중지하려면 서비스 이름 옆의 드롭다운 목록을 클릭하고 기본적으로 사용 중지를 선택합니다.

표준 등급을 사용 설정하고 나중에 프리미엄 등급을 구독하면 Container Threat Detection을 제외한 모든 기본 제공 프리미엄 서비스가 조직 수준에서 기본적으로 사용 설정됩니다. Container Threat Detection은 수동으로 사용 설정할 때까지 기본적으로 사용 중지됩니다. Container Threat Detection을 사용 설정하려면 Container Threat Detection 사용을 참조하세요.

다음은 특정 서비스에 대한 참고사항입니다.

Container Threat Detection이 제대로 작동하려면 클러스터가 지원되는 Google Kubernetes Engine(GKE) 버전에 있고 GKE 클러스터가 올바르게 구성되어 있는지 확인해야 합니다. 자세한 내용은 Container Threat Detection 사용을 참조하세요.
Event Threat Detection은 Google Cloud에서 생성된 로그를 사용합니다. Event Threat Detection을 사용하려면 조직, 폴더, 프로젝트에 로그를 사용 설정해야 합니다.
Security Command Center에서 이상 감지 발견 항목을 자동으로 사용할 수 있습니다. Security Command Center 구성의 단계에 따라 온보딩 후에 이상 감지 기능을 사용 중지할 수 있습니다.

그런 다음 개별 리소스에 대한 서비스를 선택적으로 사용 설정 또는 중지할 수 있습니다.

3단계: 리소스 선택

Security Command Center는 조직 수준에서 작동하도록 설계되었습니다. 기본적으로 리소스는 조직의 서비스 설정을 상속합니다. 사용 설정된 모든 서비스는 조직에서 지원되는 모든 리소스를 검사합니다. 이 구성은 신규 및 변경된 리소스가 자동으로 검색되고 보호되도록 하기 위한 최적의 운영 모드입니다.

Security Command Center가 전체 조직을 스캔하지 못하게 하려면 고급 설정 메뉴에서 개별 리소스를 제외해야 합니다.

고급 설정 메뉴로 이동한 다음 노드를 클릭하여 펼칩니다.

고급 설정 메뉴(확대하려면 클릭)
리소스 설정을 변경하려면 서비스 열에서 드롭다운 목록을 클릭하여 사용 설정 옵션을 선택합니다.
- 기본적으로 사용 설정: 서비스가 리소스에 대해 사용 설정됩니다.
- 기본적으로 사용 중지: 서비스가 리소스에 대해 사용 중지됩니다.
- 상속: 리소스가 리소스 계층 구조의 상위에 선택된 서비스 설정을 사용합니다.

폴더 또는 프로젝트 검색을 클릭하면 검색어를 입력하여 리소스를 신속하게 찾고 설정을 변경할 수 있는 창이 열립니다.

그런 다음 Security Command Center 서비스 계정에 권한을 부여합니다.

4단계: 권한 부여

Security Command Center를 사용 설정하면 서비스 계정이 다음 형식으로 생성됩니다.

service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

ORGANIZATION_ID를 조직의 숫자 식별자로 바꾸세요.

이 서비스 계정의 조직 수준에는 다음과 같은 IAM 역할이 있습니다.

securitycenter.serviceAgent는 Security Command Center 서비스 계정에서 조직의 애셋 인벤토리 메타데이터의 자체 사본을 지속적으로 만들고 업데이트할 수 있습니다. 이 역할과 관련된 권한을 자세히 알아보려면 액세스 제어를 참조하세요.
serviceusage.serviceUsageAdmin 이 역할의 사용 방법에 대한 자세한 내용은 서비스 사용량이란 무엇인가요?를 참조하세요.
cloudfunctions.serviceAgent

서비스 계정에 이러한 역할을 자동으로 부여하려면 역할 부여를 클릭합니다. Google Cloud CLI를 사용하여 필요한 역할을 수동으로 부여하려면 다음 안내를 따르세요.

수동으로 역할 부여 섹션을 클릭하여 펼친 후 gcloud CLI 명령어를 복사합니다.
Google Cloud 콘솔 툴바에서 Cloud Shell 활성화를 클릭합니다.
표시된 터미널 창에서 복사한 gcloud CLI 명령어를 붙여넣은 후 Enter 키를 누릅니다.

필요한 역할이 Security Command Center 서비스 계정에 부여됩니다.

다음으로 Security Command Center 설정을 확인하면 Security Command Center 탐색 페이지가 표시됩니다.

5단계: 스캔이 완료될 때까지 대기

설정을 완료하면 Security Command Center가 초기 애셋 스캔을 시작하고, 대시보드를 사용하여 조직 전체의 Google Cloud 보안 및 데이터 위험을 검토하고 해결할 수 있습니다. 일부 제품의 스캔이 시작되기 전에 지연이 발생할 수 있습니다. 활성화 프로세스에 대한 자세한 내용은 Security Command Center 지연 시간 개요를 참조하세요.

각 기본 제공 서비스에 대해 자세히 알아보려면 이 사이트에서 제공되는 가이드를 검토하세요.

다음 단계

Security Command Center 대시보드를 사용하여 애셋, 발견 항목, 취약점을 검토하는 방법을 알아보세요.
Google Cloud 보안 소스에 대해 알아봅니다.
Security Command Center에 보안 소스를 추가하는 방법 알아보기