기본 정보

Google Cloud Platform (GCP) 보안은 Google Cloud 환경 내의 자원 및 데이터의 보안을 보장하기 위해 설계된 포괄적인 도구 및 관행으로 구성되어 있습니다. 이는 보안 커맨드 센터, 탐지 및 제어, 데이터 보호 및 제로 트러스트로 구분됩니다.

보안 커맨드 센터

Google Cloud Platform (GCP) 보안 커맨드 센터 (SCC)는 GCP 자원에 대한 보안 및 리스크 관리 도구로, 조직이 클라우드 자산을 시각화하고 제어할 수 있도록 돕습니다. 이는 포괄적인 보안 분석을 제공하여 위협을 감지하고 대응하며, 구성 오류를 식별하고, 보안 표준을 준수하며, 자동화된 위협 탐지 및 대응을 위해 다른 보안 도구와 통합합니다.

• 개요: 보안 커맨드 센터의 모든 결과를 시각화하는 패널입니다.

• 위협: 검출된 위협을 시각화하는 패널입니다. 위협에 대해 자세히 알아보려면 아래의 위협을 확인하세요.

• 취약점: GCP 계정에서 발견된 구성 오류를 시각화하는 패널입니다.

• 컴플라이언스: 이 섹션은 조직에 대한 여러 컴플라이언스 체크 (예: PCI-DSS, NIST 800-53, CIS benchmarks 등)를 수행할 수 있습니다. [프리미엄 필요]

• 자산: 이 섹션은 사용 중인 모든 자산을 보여줍니다. 시스템 관리자 (또는 공격자)가 한 페이지에서 실행 중인 것을 확인하는 데 매우 유용합니다.

• 파인딩: GCP 보안의 다른 섹션에서 발견된 결과를 테이블로 집계하여 중요한 결과를 쉽게 시각화할 수 있습니다.

• 소스: GCP 보안의 모든 다른 섹션의 파인딩 요약을 섹션별로 보여줍니다.

• 포스처: 보안 포스처는 GCP 환경의 보안을 정의, 평가 및 모니터링할 수 있게 합니다. GCP의 리소스를 제어/모니터링하는 제약 조건이나 제한을 정의하는 정책을 생성하여 작동합니다. https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy에서 여러 사전 정의된 포스처 템플릿을 찾을 수 있습니다.

위협

공격자의 관점에서 이는 가장 흥미로운 기능일 수 있으며, 공격자를 감지할 수 있습니다. 그러나 이 기능은 프리미엄이 필요하므로 (회사가 더 많은 비용을 지불해야 함을 의미), 활성화되지 않을 수도 있습니다.

3가지 유형의 위협 탐지 메커니즘이 있습니다:

• 이벤트 위협: 구글 내부에서 생성된 규칙에 따라 Cloud Logging의 이벤트를 일치시켜 생성된 결과입니다. 또한 Google Workspace 로그를 스캔할 수도 있습니다.

• 모든 검출 규칙에 대한 설명을 문서에서 찾을 수 있습니다

• 컨테이너 위협: 컨테이너의 커널의 저수준 동작을 분석한 후 생성된 결과입니다.

• 사용자 정의 위협: 회사에서 생성한 규칙입니다.

두 유형의 감지된 위협에 대한 권장 응답을 https://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_response에서 찾을 수 있습니다.

열거

# Get a source
gcloud scc sources describe <org-number> --source=5678
## If the response is that the service is disabled or that the source is not found, then, it isn't enabled

# Get notifications
gcloud scc notifications list <org-number>

# Get findings (if not premium these are just vulnerabilities)
gcloud scc findings list <org-number>

탐지 및 통제

• Chronicle SecOps: 보안 작업을 빠르고 효과적으로 수행하도록 돕는 고급 보안 작업 스위트로, 위협 탐지, 조사 및 대응을 포함합니다.

• reCAPTCHA Enterprise: 사람과 봇을 구별하여 스크래핑, 자격 증명 채우기 및 자동 공격과 같은 사기 행위로부터 웹 사이트를 보호하는 서비스입니다.

• Web Security Scanner: Google Cloud나 다른 웹 서비스에 호스팅된 웹 애플리케이션에서 취약점과 일반적인 보안 문제를 감지하는 자동 보안 스캐닝 도구입니다.

• Risk Manager: Google Cloud 위험 상태를 평가, 문서화 및 이해하는 데 도움을 주는 거버넌스, 위험 및 컴플라이언스(GRC) 도구입니다.

• Binary Authorization: Kubernetes Engine 클러스터에 신뢰할 수 있는 컨테이너 이미지만 배포되도록 보장하는 컨테이너용 보안 제어로, 기업이 설정한 정책에 따라 작동합니다.

• Advisory Notifications: 자원을 안전하게 유지하기 위해 잠재적인 보안 문제, 취약점 및 권장 조치에 대한 경고 및 고지를 제공하는 서비스입니다.

• Access Approval: 구글 직원이 데이터나 구성에 액세스하기 전에 명시적 승인을 요구하는 기능으로, 추가적인 제어 및 감사 기능을 제공합니다.

• Managed Microsoft AD: 기존의 Microsoft Active Directory (AD)를 사용하여 Google Cloud에서 앱 및 워크로드를 사용할 수 있도록 지원하는 관리형 Microsoft AD 서비스입니다.

데이터 보호

• 민감한 데이터 보호: 개인 정보나 지적 재산과 같은 민감한 데이터를 무단 액세스나 노출로부터 보호하기 위한 도구 및 관행입니다.

• 데이터 유실 방지 (DLP): 데이터 사용 중, 이동 중, 정지 상태에서 데이터를 식별, 모니터링 및 보호하기 위해 깊은 콘텐츠 검사와 포괄적인 데이터 보호 규칙 적용을 통해 사용되는 도구 및 프로세스입니다.

• Certificate Authority Service: 내부 및 외부 서비스에 대한 SSL/TLS 인증서의 관리, 배포 및 갱신을 단순화하고 자동화하는 확장 가능하고 안전한 서비스입니다.

• Key Management: 애플리케이션의 암호화 키를 관리할 수 있게 해주는 클라우드 기반 서비스로, 암호화 키의 생성, 가져오기, 회전, 사용 및 파괴를 포함합니다. 자세한 정보는 다음에서 확인할 수 있습니다:

• Certificate Manager: SSL/TLS 인증서를 관리하고 배포하여 웹 서비스 및 애플리케이션에 안전하고 암호화된 연결을 보장하는 서비스입니다.

• Secret Manager: API 키, 비밀번호, 인증서 및 기타 민감한 데이터를 안전하고 편리하게 저장하는 시스템으로, 이러한 비밀을 애플리케이션에서 쉽고 안전하게 액세스하고 관리할 수 있습니다. 자세한 정보는 다음에서 확인할 수 있습니다:

제로 트러스트

• BeyondCorp Enterprise: 전통적인 VPN이 필요하지 않은 내부 애플리케이션에 안전한 액세스를 가능하게 하는 제로 트러스트 보안 플랫폼으로, 액세스를 부여하기 전에 사용자 및 장치 신뢰를 확인합니다.

• Policy Troubleshooter: 사용자가 특정 리소스에 액세스하는 이유나 액세스가 거부된 이유를 식별하여 조직의 액세스 문제를 이해하고 해결하는 데 도움을 주는 도구로, 제로 트러스트 정책 집행을 지원합니다.

• Identity-Aware Proxy (IAP): 클라우드 애플리케이션 및 Google Cloud, 온프레미스 또는 다른 클라우드에서 실행되는 VM에 대한 액세스를 제어하는 서비스로, 요청의 신원과 컨텍스트에 따라 액세스를 허용합니다.

• VPC Service Controls: Google Cloud의 가상 사설 클라우드(VPC)에 호스팅된 리소스와 서비스에 추가적인 보호층을 제공하여 데이터 유출을 방지하고 세밀한 액세스 제어를 제공합니다.

• Access Context Manager: Google Cloud의 BeyondCorp Enterprise의 일부로, 사용자의 신원 및 요청의 컨텍스트(장치 보안 상태, IP 주소 등)에 기반한 세밀한 액세스 제어 정책을 정의하고 강제하는 데 도움을 주는 도구입니다.