Google Cloud의 취약점 평가가 VPC 서비스 제어 경계에 액세스하도록 허용

이 문서에서는 Google Cloud 의 취약점 평가가 VPC 서비스 제어 경계에서 VM을 검사하도록 인그레스 및 이그레스 규칙을 추가하는 방법을 설명합니다. 조직에서 VPC 서비스 제어를 사용하여 취약점 평가를 통해 Google Cloud 검사할 프로젝트의 서비스를 제한하는 경우 이 작업을 실행하세요. Google Cloud의 취약점 평가에 대한 자세한 내용은 Google Cloud용 Google Cloud 의 취약점 평가 사용 설정 및 사용을 참조하세요.

시작하기 전에

Make sure that you have the following role or roles on the organization: Access Context Manager Editor (roles/accesscontextmanager.policyEditor).

Check for the roles

  1. In the Google Cloud console, go to the IAM page.

    Go to IAM
  2. Select the organization.

  3. In the Principal column, find all rows that identify you or a group that you're included in. To learn which groups you're included in, contact your administrator.

  4. For all rows that specify or include you, check the Role column to see whether the list of roles includes the required roles.

Grant the roles

  1. In the Google Cloud console, go to the IAM page.

    IAM으로 이동
  2. 조직을 선택합니다.
  3. 액세스 권한 부여를 클릭합니다.

  4. 새 주 구성원 필드에 사용자 식별자를 입력합니다. 일반적으로 Google 계정의 이메일 주소입니다.

  5. 역할 선택 목록에서 역할을 선택합니다.
  6. 역할을 추가로 부여하려면 다른 역할 추가를 클릭하고 각 역할을 추가합니다.
  7. 저장을 클릭합니다.

    8. 이그레스 및 인그레스 규칙 만들기

    Google Cloud 에 대한 취약점 평가가 VPC 서비스 제어 경계의 VM을 스캔하도록 허용하려면 해당 경계에 필요한 이그레스 및 인그레스 규칙을 추가하세요. Google Cloud 에서 취약점 평가를 통해 스캔하려는 각 경계에 대해 다음 단계를 실행합니다.

    자세한 내용은 VPC 서비스 제어 문서의 서비스 경계에 대한 인그레스 및 이그레스 정책 업데이트를 참조하세요.

    콘솔

    1. Google Cloud 콘솔에서 VPC 서비스 제어 페이지로 이동합니다.

      VPC 서비스 제어로 이동

    2. 조직 또는 프로젝트를 선택합니다.

    3. 드롭다운 목록에서 액세스 권한을 부여할 서비스 경계가 포함된 액세스 정책을 선택합니다.

      액세스 정책과 연결된 서비스 경계가 목록에 표시됩니다.

    4. 업데이트하려는 서비스 경계의 이름을 클릭합니다.

      수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다. 

      accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME
    5. 수정을 클릭합니다.
    6. 이그레스 정책을 클릭합니다.
    7. 이그레스 규칙 추가를 클릭합니다.

    8. From 섹션에서 다음 세부정보를 설정합니다.

      1. ID > ID에서 ID 및 그룹 선택을 선택합니다.
      2. ID 추가를 클릭합니다.

      3. Cloud Security Command Center 서비스 에이전트의 이메일 주소를 입력합니다. 서비스 에이전트 주소의 형식은 다음과 같습니다. 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        ORGANIZATION_ID를 조직 ID로 바꿉니다.

      4. 서비스 에이전트를 선택하거나 Enter 키를 누른 후 ID 추가를 클릭합니다.

    9. To 섹션에서 다음 세부정보를 설정합니다.

      1. 리소스 > 프로젝트에서 모든 프로젝트를 선택합니다.
      2. 작업 또는 IAM 역할에서 작업 선택을 선택합니다.

      3. 작업 추가를 클릭한 후 다음 작업을 추가합니다.

        • compute.googleapis.com 서비스를 추가합니다.
          1. 메서드 선택을 클릭합니다.

          2. DisksService.Insert 메서드를 선택합니다.

          3. 선택한 메서드 추가를 클릭합니다.
    10. 인그레스 정책을 클릭합니다.
    11. 인그레스 규칙 추가를 클릭합니다.

    12. From 섹션에서 다음 세부정보를 설정합니다.

      1. ID > ID에서 ID 및 그룹 선택을 선택합니다.
      2. ID 추가를 클릭합니다.

      3. 보안 센터 서비스 에이전트의 이메일 주소를 입력합니다. 서비스 에이전트 주소의 형식은 다음과 같습니다. 

        service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com

        ORGANIZATION_ID를 조직 ID로 바꿉니다.

      4. 서비스 에이전트를 선택하거나 Enter 키를 누른 후 ID 추가를 클릭합니다.
      5. 소스에서 모든 소스를 선택합니다.

    13. To 섹션에서 다음 세부정보를 설정합니다.

      1. 리소스 > 프로젝트에서 모든 프로젝트를 선택합니다.
      2. 작업 또는 IAM 역할에서 작업 선택을 선택합니다.

      3. 작업 추가를 클릭한 후 다음 작업을 추가합니다.

        • compute.googleapis.com 서비스를 추가합니다.
          1. 메서드 선택을 클릭합니다.

          2. 다음 메서드를 선택합니다.

            • DisksService.Insert
            • InstancesService.AggregatedList
            • InstancesService.List
          3. 선택한 메서드 추가를 클릭합니다.
    14. 저장을 클릭합니다.

    gcloud

    1. 할당량 프로젝트가 아직 설정되지 않은 경우 설정합니다. Access Context Manager API가 사용 설정된 프로젝트를 선택합니다. 

      gcloud config set billing/quota_project QUOTA_PROJECT_ID

      QUOTA_PROJECT_ID를 결제 및 할당량에 사용하려는 프로젝트의 ID로 바꿉니다.

    2. 다음 콘텐츠로 egress-rule.yaml라는 파일을 만듭니다.

      - egressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
  egressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
    resources:
    - '*'

      ORGANIZATION_ID를 조직 ID로 바꿉니다.

    3. 다음 콘텐츠로 ingress-rule.yaml라는 파일을 만듭니다.

      - ingressFrom:
    identities:
    - serviceAccount:service-org-ORGANIZATION_ID@security-center-api.iam.gserviceaccount.com
    sources:
    - accessLevel: '*'
  ingressTo:
    operations:
    - serviceName: compute.googleapis.com
      methodSelectors:
      - method: DisksService.Insert
      - method: InstancesService.AggregatedList
      - method: InstancesService.List
    resources:
    - '*'

      ORGANIZATION_ID를 조직 ID로 바꿉니다.

    4. 경계에 이그레스 규칙을 추가합니다.

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-egress-policies=egress-rule.yaml

      다음을 바꿉니다.

      • PERIMETER_NAME: 경계의 이름입니다. 예를 들면 accessPolicies/1234567890/servicePerimeters/example_perimeter입니다.

        수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다. 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    5. 경계에 인그레스 규칙을 추가합니다.

      gcloud access-context-manager perimeters update PERIMETER_NAME \
    --set-ingress-policies=ingress-rule.yaml

      다음을 바꿉니다.

      • PERIMETER_NAME: 경계의 이름입니다. 예를 들면 accessPolicies/1234567890/servicePerimeters/example_perimeter입니다.

        수정해야 하는 서비스 경계를 찾으려면 RESOURCES_NOT_IN_SAME_SERVICE_PERIMETER 위반을 표시하는 항목의 로그를 확인하면 됩니다. 해당 항목에서 servicePerimeterName 필드를 확인합니다. 

        accessPolicies/ACCESS_POLICY_ID/servicePerimeters/SERVICE_PERIMETER_NAME

    자세한 내용은 인그레스 및 이그레스 규칙을 참조하세요.