안전한 엔터프라이즈 기반 관리

이 문서에는Cloud de Confiance by S3NS를 사용하는 워크로드를 실행할 때 안전한 엔터프라이즈 기반을 구축하기 위한 권장사항과 가이드라인이 포함되어 있습니다. 안전한 엔터프라이즈 기반에는 다음을 위한 컨트롤이 포함됩니다.

인증 및 승인

이 섹션에는 Cloud de Confiance by S3NS에서 워크로드를 실행할 때 Identity and Access Management (IAM) 및 Cloud ID에 관한 권장사항과 가이드라인이 포함되어 있습니다.

기본 서비스 계정에 대한 자동 IAM 부여 사용 중지

Google 제어 ID IAM-CO-4.1
구현 필수
설명

Cloud de Confiance by S3NS 서비스에서 과도한 권한 역할이 있는 기본 서비스 계정을 자동으로 만드는 경우 automaticIamGrantsForDefaultServiceAccounts 불리언 제약 조건을 사용하여 자동 역할 부여를 사용 중지합니다.

기본적으로 일부 시스템에서는 자동 계정에 지나치게 광범위한 권한을 부여하므로 보안 위험이 발생할 수 있습니다. 예를 들어 이 제약 조건을 적용하지 않고 기본 서비스 계정을 만드는 경우 서비스 계정에 프로젝트에 대한 편집자 역할 (roles/editor)이 자동으로 부여됩니다. 공격자가 시스템의 일부를 손상시키면 전체 프로젝트를 제어할 수 있습니다. 이 제약 조건은 이러한 자동 상위 수준 권한을 사용 중지하여 필요한 최소 권한만 부여하는 보다 안전하고 신중한 접근 방식을 강제합니다.

적용 가능한 제품
  • IAM
  • 조직 정책 서비스
경로 constraints/iam.automaticIamGrantsForDefaultServiceAccounts
연산자 같음

False

유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

외부 서비스 계정 키 생성 차단

Google 제어 ID IAM-CO-4.2
구현 필수
설명

iam.disableServiceAccountKeyCreation 불리언 제약조건을 사용하여 외부 서비스 계정 키가 생성되지 않도록 합니다. 이 제약조건을 사용하면 서비스 계정에 대한 장기 비관리 사용자 인증 정보의 사용을 제어할 수 있습니다. 이 제약 조건이 설정되면 제약 조건의 영향을 받는 프로젝트에서 서비스 계정에 대해 사용자 관리 사용자 인증 정보를 만들 수 없습니다.

적용 가능한 제품
  • 조직 정책 서비스
  • IAM
경로 constraints/iam.disableServiceAccountKeyCreation
연산자 같음

True

유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

서비스 계정 키 업로드 차단

Google 제어 ID IAM-CO-4.3
구현 필수
설명

iam.disableServiceAccountKeyUpload 불리언 제약조건을 사용하여 서비스 계정에 외부 공개 키 업로드를 사용 중지합니다. 이 제약 조건이 설정되면 사용자는 제약 조건의 영향을 받는 프로젝트의 서비스 계정에 공개 키를 업로드할 수 없습니다.

적용 가능한 제품
  • 조직 정책 서비스
  • IAM
경로 constraints/iam.disableServiceAccountKeyUpload
연산자 같음

True

유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

조직 정책 관리자의 직무 분리 구성

Google 제어 ID OPS-CO-6.1
구현 필수
설명
Cloud de Confiance by S3NS 조직의 보안 상태에 책임을 지는 그룹에 조직 정책 관리자 (roles/orgpolicy.policyAdmin) 역할을 할당합니다. 보안 정책을 위반하는 리소스 생성을 방지하려면 프로젝트 소유자에게 이 역할을 할당하지 마세요.
적용 가능한 제품
  • IAM
  • 조직 정책 서비스
관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
관련 정보

최고 관리자 계정에 2단계 인증 사용 설정

Google 제어 ID CI-CO-6.1
구현 필수
설명

Google에서는 최고 관리자 계정의 2단계 인증 (2SV)에 Titan 보안 키를 사용할 것을 권장합니다. 하지만 이 방법이 불가능한 사용 사례의 경우 다른 보안 키를 대신 사용하는 것이 좋습니다.

적용 가능한 제품
  • Cloud ID
  • Titan 보안 키
관련 NIST-800-53 컨트롤
  • IA-2
  • IA-4
  • IA-5
  • IA-7
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

최고 관리자 조직 단위에 2단계 인증 시행

Google 제어 ID CI-CO-6.2
구현 필수
설명

특정 조직 단위(OU) 또는 전체 조직에 2단계 인증을 적용합니다. 최고 관리자용 OU를 만들고 해당 OU에 2단계 인증을 시행하는 것이 좋습니다.

적용 가능한 제품

Cloud ID

관련 NIST-800-53 컨트롤
  • IA-2
  • IA-4
  • IA-5
  • IA-7
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

기본 최고 관리자 전용 이메일 주소 만들기

Google 제어 ID CI-CO-6.4
구현 필수
설명
특정 사용자가 지정되지 않은 이메일 주소를 기본 Cloud ID 최고 관리자 계정으로 만듭니다.
적용 가능한 제품

Cloud ID

관련 NIST-800-53 컨트롤
  • IA-2
  • IA-4
  • IA-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

중복 관리자 계정 만들기

Google 제어 ID CI-CO-6.7
구현 필수
설명

단일 최고 관리자 또는 조직 관리자가 없습니다. 하나 이상의 (최대 20개) 백업 관리자 계정을 만듭니다. 최고 관리자 또는 조직 관리자가 한 명인 경우 계정 잠금 시나리오가 발생할 수 있습니다. 또한 한 사람이 플랫폼을 변경하는 변경사항을 감독 없이 적용할 수 있으므로 위험이 더 커집니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • IA-2
  • IA-4
  • IA-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

Privileged Access Manager 사용

Google 제어 ID GCVE-CO-3.2
구현 필수
설명

Privileged Access Manager를 사용하여 권한 있는 액세스를 관리합니다. 다른 모든 액세스의 경우 액세스 그룹을 사용하고, 그룹 멤버십이 자동으로 만료되도록 설정하고, 그룹 멤버십에 대한 승인 워크플로를 구현하세요.

최소 권한 모델을 사용하면 필요한 리소스에 대해서만 필요할 때 액세스 권한을 제공할 수 있습니다. 기본 제공 역할을 사용하면 역할 수명 주기를 관리할 필요가 없으므로 사용이 간소화되고 맞춤 역할로 인한 확산이 줄어듭니다.

적용 가능한 제품

Identity and Access Management(IAM)

관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-6
관련 CRI 프로필 컨트롤
  • PR.AC-4.1
관련 정보

ID 정보 소스 정의

구현 필수
설명

관리 사용자 ID 프로비저닝을 위한 정보 소스를 결정합니다. 패턴에는 Cloud ID에서 사용자 ID 만들기, 기존 ID 공급업체에서 ID 동기화, 직원 ID 제휴 사용이 포함됩니다.

적용 가능한 제품
  • Cloud ID
  • 직원 ID 제휴
관련 NIST-800-53 컨트롤
  • AC-2
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

안전한 비밀번호 정책 적용

구현 필수
설명

모든 사용자 계정에 안전하고 고유한 비밀번호를 적용합니다. 비밀번호 관리자를 사용하는 것이 좋습니다. 취약하거나 없는 사용자 인증 정보는 악의적인 사용자가 쉽게 악용할 수 있는 일반적인 패턴입니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • IA-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

직무에 따른 역할 사용

구현 필수
설명

직무 기능을 기반으로 하는 Identity and Access Management (IAM) 역할을 사용하여 사용자에게 권한을 할당합니다. 직무 기능은 관리자가 직무 기능으로 제한된 권한 집합을 제공하여 생산성을 높이고 권한 요청을 주고받는 과정을 줄일 수 있는 사전 정의된 역할입니다. 조직의 요구사항에 더 잘 맞도록 사전 정의된 역할을 기반으로 맞춤 역할을 만들 수 있습니다.

적용 가능한 제품

IAM

관련 NIST-800-53 컨트롤
  • AC-6
관련 CRI 프로필 컨트롤
  • PR.AC-4.1
관련 정보

그룹의 외부 회원 제한

구현 필수
설명

조직 전체 정책을 설정하여 Google 그룹에 외부 회원을 추가하지 못하도록 합니다.

기본적으로 Cloud ID에서는 외부 사용자 계정도 그룹에 추가할 수 있습니다. 그룹 소유자가 외부 사용자를 추가할 수 없도록 공유 설정을 구성하는 것이 좋습니다.

이 제한은 최고 관리자 계정 또는 Google 그룹 관리자 권한을 가진 기타 위임 관리자에게는 적용되지 않습니다. ID 공급업체의 페더레이션은 관리자 권한으로 실행되므로, 그룹 공유 설정이 이 그룹 동기화에는 적용되지 않습니다. 따라서 ID 공급업체와 동기화 메커니즘에서 도메인 외부 사용자가 그룹에 추가되지 않도록 하는 제어를 검토하거나 그룹 제한을 적용하는 것이 좋습니다.

적용 가능한 제품
  • Cloud ID
  • Google Workspace
관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-5.1
관련 정보

일일 세션 길이 설정

구현 필수
설명

Cloud de Confiance by S3NS 서비스의 세션 길이가 하루에 한 번 이상 만료되도록 설정합니다. 계정에 장시간 로그인 상태로 두면 보안 위험이 발생할 수 있습니다. 최대 세션 시간을 적용하면 설정된 시간이 지난 후 세션이 자동으로 종료되어 새 보안 로그인이 강제됩니다.

이렇게 하면 악의적인 사용자가 도용된 비밀번호를 사용할 가능성이 줄어들고 액세스가 정기적으로 재확인됩니다.

신규 고객의 경우 기본 세션 길이는 16시간으로 자동 설정됩니다. 2023년 이전에 Cloud de Confiance by S3NS 조직을 생성한 고객의 경우, 재인증이 필요하지 않도록 기본 설정되어 있을 수 있습니다. 세션 길이가 1~24시간 사이인 재인증 정책이 적용되어 있는지 확인하기 위해 이 설정을 검토하세요. 재인증 정책은 갱신 토큰을 무효화하고 사용자가 비밀번호나 보안 키를 사용하여 gcloud CLI를 정기적으로 다시 인증하도록 합니다.

Cloud de Confiance by S3NS 서비스의 세션 길이 설정은 Google 서비스의 세션 길이 설정과는 별개이며, 후자는 Google Workspace 전반의 웹 세션 로그인 기간을 제어하지만, Cloud de Confiance by S3NS재인증에는 영향을 미치지 않습니다. Google Workspace 서비스를 사용하는 경우 두 설정 모두에 대해 세션 길이를 지정하세요.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • AC-12
관련 CRI 프로필 컨트롤
  • PR.AC-7.1
관련 정보

비관리 일반 계정 수정

구현 필수
설명

비관리 일반 계정을 허용하지 않습니다. 비관리 일반 계정을 통합하고 도메인으로 추가 비관리 일반 계정을 만들지 못하도록 하는 솔루션을 고려하세요.

관리되지 않는 일반 계정은 입사-이동-퇴사 (JML) 프로세스의 적용을 받지 않으므로 직원이 퇴사한 후에도 리소스에 계속 액세스할 수 있다는 위험이 있습니다. 이러한 계정은 도메인 제한 공유와 같은 관리 측면에서도 외부 계정으로 취급됩니다.

적용 가능한 제품

Cloud ID

관련 NIST-800-53 컨트롤
  • AC-2
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

전담 관리자 및 복수 사용자 승인 체계 적용

구현 필수
설명

최고 관리자 계정이 일상적인 사용자 계정과 분리되어 있는지 확인합니다. 최고 관리자 계정은 중요한 변경사항을 적용할 때만 사용하는 전용 계정이어야 합니다. 보안을 강화하려면 관리자 작업에 복수 사용자 승인 체계를 사용 설정하세요. 복수 사용자 승인 체계를 사용 설정하면 민감한 작업이 두 명의 관리자에 의해 승인되므로 공격자가 관리자 계정을 악용하여 다른 관리자를 차단하는 것을 방지할 수 있습니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • AC-6
관련 CRI 프로필 컨트롤
  • PR.AC-4.1
관련 정보

모든 Google 계정 및 Cloud ID 사용자에 다단계 인증 사용 설정

Google 제어 ID CI-CO-6.1
구현 필수
설명

최고 관리자뿐만 아니라 모든 Google 계정 및 Cloud ID 사용자에 대해 다중 인증(MFA)(2단계 인증(2SV)이라고도 함)을 사용 설정합니다. 최고 관리자의 MFA는 기본적으로 사용 설정되어 있습니다. 비밀번호만으로는 보안 조치가 충분하지 않은 경우가 많기 때문에 MFA는 또 다른 방어 레이어를 추가합니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • IA-2
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

기본 생성자 역할 취소

구현 필수
설명

새 조직의 모든 구성원에게 기본적으로 부여되는 도메인 전체 프로젝트 생성자 및 결제 계정 생성자 역할을 삭제합니다.

새 조직은 도메인의 모든 관리 사용자 ID에 프로젝트 생성자 및 결제 계정 생성자 역할을 부여합니다. 이러한 역할은 시작하는 데 유용하지만 이 구성은 프로덕션 환경을 위한 것이 아닙니다. 결제 계정이 늘어나면 관리 오버헤드가 증가하고 여러 결제 계정 간에 서비스를 분할할 때 기술적 결과가 발생합니다. 자유 형식 프로젝트 생성을 허용하면 거버넌스 규칙을 준수하지 않는 프로젝트가 생성될 수 있습니다.

대신 이러한 역할을 삭제하고 새 프로젝트를 요청하여 결제와 연결하는 프로젝트 생성 프로세스를 설정하세요.

적용 가능한 제품

IAM

경로 resourcemanager.organizations/iamPolicy.bindings
연산자 not_contains
  • role:roles/resourcemanager.projectCreator AND member:domain:*
  • role:roles/billing.creator AND member:domain:*
유형 문자열
관련 NIST-800-53 컨트롤
  • AC-6
관련 CRI 프로필 컨트롤
  • PR.AC-4.1
관련 정보

서비스 계정 키 순환

구현 필수
설명

서비스 계정 키를 사용해야 하는 경우 최소 90일마다 키를 순환하세요.

순환 간격은 공격자가 시스템에 액세스할 수 있는 기간을 제한합니다. 순환 간격이 없으면 공격자가 영원히 액세스할 수 있습니다. 가능한 경우 서비스 계정 키 대신 워크로드 아이덴티티 제휴를 사용하는 것이 좋습니다.

적용 가능한 제품

IAM

경로 constraints/iam.serviceAccountKeyExpiryHours
연산자 <=

2160

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
관련 정보

워크로드 아이덴티티 제휴 사용

구현 필수
설명

워크로드 아이덴티티 제휴를 사용하여 다른 클라우드에서 실행되는 CI/CD 시스템과 워크로드가 Cloud de Confiance by S3NS에 인증하도록 허용합니다. 워크로드 아이덴티티 제휴를 사용하면 Cloud de Confiance 외부에서 실행되는 워크로드가 서비스 계정 키 없이 인증할 수 있습니다. 워크로드 아이덴티티 제휴는 서비스 계정 키 및 기타 장기 사용자 인증 정보를 사용하지 않으므로 사용자 인증 정보 유출 위험을 줄일 수 있습니다.

적용 가능한 제품

IAM

경로 iam.googleapis.com/WorkloadIdentityPool
연산자 설정됨
유형 문자열
관련 NIST-800-53 컨트롤
  • IA-2
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

최고 관리자 계정의 계정 직접 복구 차단

Google 제어 ID CI-CO-6.3
구현 필수
설명

기본적으로 신규 고객의 경우 최고 관리자 계정 자체 복구가 사용 중지되어 있습니다. 하지만 기존 고객은 이 설정이 사용 설정되어 있을 수 있습니다. 이 설정을 사용 중지하면 휴대폰 및 이메일 탈취, 소셜 엔지니어링 공격 등을 통해 공격자가 사용자 환경에 대해 최고 관리자 권한을 획득할 수 있는 위험을 줄일 수 있습니다.

최고 관리자가 계정 액세스 권한을 상실한 경우 조직 내 다른 최고 관리자에게 연락할 수 있는 내부 프로세스를 계획하고 모든 최고 관리자가 지원 복구 프로세스에 익숙해지도록 합니다.

이 기능을 사용 중지하려면 Google 관리 콘솔의 계정 복구 설정으로 이동하세요.

적용 가능한 제품
  • Cloud ID
  • Google Workspace
관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-4.1
관련 정보

민감한 사용 사례에 대한 유휴 세션 시간 제한 설정

구현 필수
설명

민감한 사용 사례의 경우 유휴 세션 제한 시간을 15분으로 설정합니다. 공격자가 인증 정보 도용을 위해 유휴 세션을 사용할 수 있습니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • AC-12
관련 CRI 프로필 컨트롤
  • PR.AC-7.1
관련 정보

관리자에게 하드웨어 보안 키 강제 적용

구현 필수
설명

가능한 경우 최고 관리자 또는 조직 관리자에게 하드웨어 보안 키를 2단계 인증으로 제공합니다. 최고 관리자 계정은 정교한 공격의 가장 가치 있는 타겟입니다. 하드웨어 보안 키는 피싱에 강하기 때문에 높은 수준의 보호 기능을 제공합니다. 하드웨어 보안 키는 가장 중요한 관리자의 계정 탈취를 방지할 수 있는 가장 강력한 방법이며 표준 MFA 정책을 기반으로 합니다.

적용 가능한 제품
  • Identity and Access Management(IAM)
  • Google Workspace
  • Cloud ID
관련 NIST-800-53 컨트롤
  • IA-2
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
관련 정보

사후 SSO 인증 사용 설정

구현 필수
설명

외부 ID 공급업체를 사용하는 경우 사후 SSO 인증을 설정합니다.

Google의 로그인 위험 분석을 기반으로 추가 제어 기능을 사용 설정합니다. 이 설정을 적용하면 Google에서 사용자 로그인 시도가 의심스럽다고 판단될 경우, 사용자에게 추가적인 위험 기반 본인 확인 요청이 표시됩니다.

적용 가능한 제품
  • Cloud ID
  • Google Workspace
관련 NIST-800-53 컨트롤
  • IA-2
  • IA-5
  • IA-8
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-3.1
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

주 구성원 액세스 경계 정책 사용 설정

구현 필수
설명

보안 주체 액세스 경계 (PAB) 정책을 사용 설정하여 보안 주체 액세스를 제한하고 피싱 및 데이터 무단 반출을 방지하세요. 조직에 보안 주체 액세스 경계 정책을 사용 설정하여 외부 피싱 공격을 방지합니다. PAB는 도용된 ID로 인한 공격 범위를 줄여 보안을 개선하며, 외부 피싱 공격 및 기타 유출 공격을 방지하는 데도 도움이 됩니다.

적용 가능한 제품

IAM

경로 iam.googleapis.com/PrincipalAccessBoundaryPolicy
연산자 설정됨
유형 문자열
관련 NIST-800-53 컨트롤
  • AC-3
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

태그를 구현하여 IAM 정책 및 조직 정책을 효율적으로 할당

Google 제어 ID IAM-CO-6.1
구현 추천
설명

태그를 사용하면 리소스의 주석을 만들 수 있으며 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부할 수 있습니다. 태그 및 조건부 정책 적용을 사용하여 리소스 계층 구조 전반을 세밀하게 제어할 수 있습니다.

적용 가능한 제품

Resource Manager

관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.DS-5.1
  • PR.PT-3.1
관련 정보

IAM의 고위험 변경사항 감사

Google 제어 ID IAM-CO-7.1
구현 추천
설명

Cloud 감사 로그를 사용하여 조직 관리자 및 최고 관리자와 같은 고위험 역할이 계정에 부여되는 등의 고위험 활동을 모니터링합니다. 이 유형의 활동에 대한 알림을 설정합니다.

적용 가능한 제품

Cloud 감사 로그

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

Cloud ID 관리형 사용자 계정의 Cloud Shell 액세스 차단

Google 제어 ID CI-CO-6.8
구현 추천
설명

Cloud de Confiance by S3NS에 과도한 액세스 권한을 부여하지 않으려면 Cloud ID 관리형 사용자 계정의 Cloud Shell 액세스를 차단하세요.

적용 가능한 제품
  • Cloud ID
  • Cloud Shell
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

Google 콘솔의 컨텍스트 인식 액세스 구성

Google 제어 ID IAM-CO-8.2
구현 선택사항
설명

컨텍스트 인식 액세스를 사용하면 사용자 ID, 위치, 기기 보안 상태, IP 주소와 같은 속성을 기반으로 애플리케이션에 대한 상세 액세스 제어 보안 정책을 만들 수 있습니다. 컨텍스트 인식 액세스를 사용하여 Cloud de Confiance 콘솔 (https://console.cloud.google.com/) 및 Google 관리 콘솔 (https://admin.cloud.google.com)에 대한 액세스를 제한하는 것이 좋습니다.

적용 가능한 제품
  • Cloud ID
  • 컨텍스트 인식 액세스
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-12
  • AC-17
  • AC-20
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

최고 관리자 계정의 계정 직접 복구 차단

Google 제어 ID CI-CO-6.3
구현 선택사항
설명
공격자가 직접 복구 프로세스를 사용하여 최고 관리자 비밀번호를 재설정할 수 있습니다. 신호 시스템 7 (SS7) 공격, SIM 스왑 공격 또는 기타 피싱 공격과 관련된 보안 위험을 완화하려면 이 기능을 사용 중지하는 것이 좋습니다. 이 기능을 사용 중지하려면 Google 관리 콘솔의 계정 복구 설정으로 이동하세요.
적용 가능한 제품
  • Cloud ID
  • Google Workspace
관련 NIST-800-53 컨트롤
  • IA-2
  • IA-4
  • IA-5
관련 CRI 프로필 컨트롤
  • PR.AC-1.1
  • PR.AC-1.2
  • PR.AC-1.3
  • PR.AC-6.1
  • PR.AC-7.1
  • PR.AC-7.2
관련 정보

사용하지 않는 Google 서비스 사용 중지

Google 제어 ID CI-CO-6.6
구현 선택사항
설명
일반적으로 사용하지 않는 서비스는 사용 중지하는 것이 좋습니다.
적용 가능한 제품

Cloud ID

경로 http://admin.google.com > Apps > Additional Google Services
연산자 설정

False

관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

조직

이 섹션에는 Cloud de Confiance by S3NS에서 워크로드를 실행할 때 조직 정책 서비스 및 Resource Manager에 관한 권장사항과 가이드라인이 포함되어 있습니다.

Google API에서 지원하는 TLS 버전 제한

Google 제어 ID COM-CO-1.1
구현 필수
설명

Cloud de Confiance 는 여러 TLS 프로토콜 버전을 지원합니다. 규정 준수 요구사항을 충족하기 위해 이전 TLS 버전을 사용하는 클라이언트의 핸드셰이크 요청을 거부해야 할 수 있습니다.

이 제어를 구성하려면 TLS 버전 제한 (gcp.restrictTLSVersion) 조직 정책 제약 조건을 사용하세요. 이 제약 조건은 리소스 계층 구조의 조직, 폴더 또는 프로젝트에 적용할 수 있습니다. TLS 버전 제한 제약 조건은 명시적 값을 거부하고 다른 모든 값을 허용하는 거부 목록을 사용합니다. 허용 목록을 사용하려고 하면 오류가 발생합니다.

조직 정책 계층 구조 평가의 동작으로 인해 TLS 버전 제한은 지정된 리소스 노드와 모든 폴더 및 프로젝트 (하위)에 적용됩니다. 예를 들어 조직의 TLS 버전 1.0을 거부하면 해당 조직에서 비롯된 모든 하위 요소에도 거부됩니다.

하위 리소스의 조직 정책을 업데이트하여 상속된 TLS 버전 제한을 재정의할 수 있습니다. 예를 들어 조직 정책이 조직 수준에서 TLS 1.0을 거부하는 경우 하위 폴더에 별도의 조직 정책을 설정하여 해당 폴더에서 제약조건을 제거할 수 있습니다. 폴더에 하위 요소가 있는 경우 정책 상속으로 인해 폴더의 정책이 각 하위 리소스에도 적용됩니다.

TLS 버전을 TLS 1.3으로만 추가로 제한하려면 이 정책을 설정하여 TLS 버전 1.2도 제한하면 됩니다. Cloud de Confiance by S3NS내에서 호스팅하는 애플리케이션에 이 컨트롤을 구현해야 합니다. 예를 들어 조직 수준에서 다음을 설정합니다.

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

적용 가능한 제품

모두; 조직 정책 서비스에서 관리

경로 gcp.restrictTLSVersion
연산자 ==
  • TLS_VERSION_1
  • TLS_VERSION_1.1
유형 문자열
규정 준수 관리자 컨트롤 ID RESTRICT_LEGACY_TLS_VERSIONS
관련 NIST-800-53 컨트롤
  • SC-8
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

승인된 주 구성원 제한

Google 제어 ID COM-CO-4.1
구현 필수
설명

조직의 ID만 Cloud de Confiance by S3NS 환경에서 허용되는지 확인합니다. 도메인 제한 공유 (iam.allowedPolicyMemberDomains) 또는 iam.managed.allowedPolicyMembers 조직 정책 제약 조건을 사용하여 Identity and Access Management (IAM) 정책에 주 구성원을 추가할 수 있는 하나 이상의 Cloud ID 또는 Google Workspace 고객 ID를 정의합니다.

이러한 제약 조건은 직원이 다중 인증 (MFA) 또는 비밀번호 관리와 관련된 보안 정책을 따르지 않는 조직 외부 계정에 액세스 권한을 부여하는 것을 방지하는 데 도움이 됩니다. 이 제어는 신뢰할 수 있는 관리형 회사 ID만 사용할 수 있도록 하여 무단 액세스를 방지하는 데 매우 중요합니다.

적용 가능한 제품
  • 조직 정책 서비스
  • IAM
경로 constraints/iam.allowedPolicyMemberDomains
연산자 같음

CUSTOMER_ID,ORG_ID

유형 목록
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

리소스 서비스 사용량 제한

Google 제어 ID RM-CO-4.1
구현 필수
설명

gcp.restrictServiceUsage 제약 조건은 승인된 Cloud de Confiance by S3NS 서비스만 올바른 위치에서 사용되도록 합니다. 예를 들어 프로덕션 또는 매우 민감한 폴더에는 데이터를 저장하도록 승인된 Cloud de Confiance 서비스 목록이 작습니다. 샌드박스 폴더에는 데이터 무단 반출을 방지하는 데 도움이 되는 더 많은 서비스와 데이터 보안 제어가 있을 수 있습니다. 이 값은 시스템에 따라 다르며 특정 폴더 및 프로젝트에 대해 승인된 서비스 및 종속 항목 목록과 일치합니다.

이 제약 조건을 사용하면 조직에서 승인된 서비스의 허용 목록을 만들어 직원이 검증되지 않은 서비스를 사용하지 못하도록 할 수 있습니다.

적용 가능한 제품
  • 조직 정책 서비스
  • Resource Manager
경로 constraints/gcp.restrictServiceUsage
연산자 같음
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

리소스 위치 제한

Google 제어 ID RM-CO-4.2
구현 필수
설명

리소스 위치 제한 (gcp.resourceLocations) 제약 조건은 승인된 Cloud de Confiance by S3NS 리전만 데이터 저장에 사용되도록 합니다. 이 값은 시스템에 따라 다르며 조직에서 승인한 데이터 상주 리전 목록과 일치합니다.

이 제약 조건을 사용하면 조직에서 리소스와 데이터가 승인된 특정 지리적 리전에서만 생성되고 저장되도록 강제할 수 있습니다.

적용 가능한 제품
  • 조직 정책 서비스
  • Resource Manager
경로 constraints/gcp.resourceLocations
연산자 같음
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

네트워킹

이 섹션에는 Cloud de Confiance by S3NS에서 워크로드를 실행할 때 Virtual Private Cloud (VPC) 및 Cloud DNS에 관한 권장사항과 가이드라인이 포함되어 있습니다.

기본 네트워크 생성 차단

Google 제어 ID VPC-CO-6.1
구현 필수
설명

compute.skipDefaultNetworkCreation 불리언 제약 조건은 Cloud de Confiance by S3NS 프로젝트를 만들 때 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다.

기본 네트워크는 내부 통신 경로를 허용하도록 IPv4 방화벽 규칙이 사전 지정된 자동 모드 가상 프라이빗 클라우드 (VPC) 네트워크입니다. 일반적으로 이 설정은 프로덕션 환경에 권장되는 보안 자세가 아닙니다.

적용 가능한 제품
  • 조직 정책 서비스
  • Virtual Private Cloud(VPC)
경로 constraints/compute.skipDefaultNetworkCreation

True

유형 불리언
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

DNS 보안 확장 프로그램 사용 설정

Google 제어 ID DNS-CO-6.1
구현 필수
설명

Domain Name System Security Extensions (DNSSEC)는 도메인 이름 조회에 대한 응답을 인증하는 DNS (도메인 이름 시스템) 기능입니다. DNSSEC는 이러한 조회에 대해 개인 정보 보호를 제공하지 않지만 공격자가 DNS 요청에 대한 응답을 조작하거나 악성 처리하는 것을 방지합니다.

Cloud DNS 내에서 다음 위치에 DNSSEC를 사용 설정합니다.

  • DNS 영역
  • 최상위 도메인 (TLD)
  • DNS 확인
적용 가능한 제품

Cloud DNS

관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

비공개 Google 액세스 사용 설정

Google 제어 ID GCVE-CO-1.5
구현 필수
설명

모든 서브넷에서 비공개 Google 액세스를 사용 설정합니다.

비공개 Google 액세스를 사용 설정하면 서비스가 외부 IP 주소가 없는 Cloud de Confiance by S3NS 서비스에 액세스할 수 있습니다. 기본적으로 비공개 Google 액세스는 새 리소스에서 사용 설정되어 있지 않으며 명시적으로 사용 설정하려면 추가 단계가 필요합니다.

적용 가능한 제품

Virtual Private Cloud(VPC)

관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

서비스 제공업체의 비공개 서비스 액세스 사용 설정

Google 제어 ID GCVE-CO-1.6
구현 필수
설명

비공개 서비스 액세스를 사용 설정하여 Google Cloud VMware Engine 기존 네트워크와 같은 Cloud de Confiance by S3NS 서비스와 Cloud SQL과 같은 서비스 제작자 간에 비공개 네트워크를 만듭니다. 비공개 서비스 액세스를 사용하면 워크로드 네트워크 연결이 불필요하게 인터넷에 노출되지 않습니다.

적용 가능한 제품

Virtual Private Cloud(VPC)

관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

필요한 경우가 아니면 IPv6 사용 중지

구현 필수
설명

특별히 필요한 경우가 아니면 IPv6 외부 서브넷 생성을 사용 중지합니다. 공격 표면을 줄이려면 적극적으로 관리되지 않거나 필요하지 않은 시스템 및 네트워크에서 IPv6를 사용 중지하는 것이 좋습니다. 많은 조직이 IPv4에 대한 성숙한 보안 제어 및 모니터링을 갖추고 있지만 도구와 정책이 IPv6까지 완전히 확장되지 않아 위협에 대한 심각한 사각지대가 발생할 수 있습니다. 듀얼 스택 네트워크를 실행하면 운영 복잡성도 발생하므로 효과적으로 관리하고 문제를 해결하려면 특정 구성과 전문 지식이 필요합니다. 따라서 IPv6에 대한 명확한 비즈니스 동인이 없다면 IPv6를 사용 중지하여 환경을 간소화하고 설정된 IPv4 보안 상황을 통해 모든 트래픽이 일관되게 필터링되도록 할 수 있습니다.

적용 가능한 제품

Compute Engine

경로 constraints/compute.disableVpcExternalIpv6
연산자 같음

True

유형 불리언
관련 NIST-800-53 컨트롤
  • CM-7
관련 CRI 프로필 컨트롤
  • PR.PT-3.1
관련 정보

아웃바운드 트래픽 제한

구현 필수
설명

기본적으로 모든 액세스가 허용되므로 외부 소스에 대한 액세스를 제한합니다. 이그레스가 필요한 트래픽의 의도된 패턴에 대해 특정 방화벽 규칙을 설정합니다.

기본적으로 시스템은 인터넷에 아웃바운드 연결을 설정할 수 있는 경우가 많으며 이는 보안 위험으로 간주될 수 있습니다. 기본적으로 거부 정책은 아웃바운드 트래픽을 차단하며 알려진 필수 대상에 대해서만 특정 규칙을 만들어야 합니다.

적용 가능한 제품

Cloud Next Generation Firewall

경로 cloudasset.assets/assetType
연산자 ==

compute.googleapis.com/Firewall

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

SSH 및 RDP 포트에 대한 인바운드 액세스 제한

구현 필수
설명

가능한 경우 특정 리소스 및 리소스 범위에 대한 인바운드 액세스만 제한합니다. IAP (Identity-Aware Proxy)가 구성된 경우 인바운드 SSH 및 원격 데스크톱 프로토콜 (RDP) 방화벽 규칙을 소스로 IAP IP 범위로 설정합니다.

관대한 SSH 및 RDP 방화벽 규칙은 무차별 대입 공격을 허용합니다. 대신 SSH 및 RDP에 Cloud de Confiance by S3NS ID 인식 프록시 (예: IAP)를 사용하세요.

적용 가능한 제품

IAP

경로 cloudasset.assets/assetType
연산자 ==

compute.googleapis.com/Firewall

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

VPC 서비스 제어 사용 설정

구현 필수
설명

잠재적인 데이터 손실을 방지하기 위해 추가 보호 계층으로 VPC 서비스 제어를 사용 설정합니다.

VPC 서비스 제어를 사용하면 클라우드 리소스, 민감한 정보, 네트워크 주변에 격리 경계를 만들어 데이터 무단 반출을 방지할 수 있습니다.

경계는 환경 외부에 있는 공격자 제어 엔드포인트에서 시작된 제한된 서비스에 대한 요청을 차단하므로 서비스 경계는 보안 침해된 사용자 인증 정보의 유용성을 제한합니다.

적용 가능한 제품

VPC 서비스 제어

경로 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
연산자 ==

PERIMETER_TYPE_REGULAR

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

Cloud Armor 정책 사용

구현 필수
설명

Cloud Load Balancing 뒤에 노출된 애플리케이션의 경우 Google Cloud Armor 기본 정책을 사용하거나 자체 정책을 구성하여 외부 연결 애플리케이션 또는 서비스에 레이어 3~레이어 7 네트워크 보호를 추가합니다. Cloud Armor 보안 정책은 레이어 7 필터링을 제공하여 애플리케이션을 보호합니다. 또한 이러한 정책은 일반적인 웹 공격 또는 기타 레이어 7 속성에 대한 수신 요청을 검토하여 트래픽이 부하 분산 백엔드 서비스 또는 백엔드 버킷에 도달하기 전에 트래픽을 차단합니다. 각 보안 정책은 레이어 3~7의 속성을 포함하는 규칙 집합으로 구성됩니다.

적용 가능한 제품

Cloud Armor

경로 compute.backendServices/securityPolicy
연산자 설정됨
유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
관련 정보

Access Context Manager 액세스 정책에서 서비스 범위 제한 사용 설정

Google 제어 ID COM-CO-8.1
구현 생성형 AI 사용 사례에 권장
설명

모든 서비스 경계에 대해 Cloud de Confiance 콘솔에서 경계 유형이 일반으로 설정되어 있는지 확인합니다.

적용 가능한 제품
  • Access Context Manager
  • VPC 서비스 제어
경로 accesscontextmanager.accessPolicies.servicePerimeters/perimeterType
연산자 ==

PERIMETER_TYPE_REGULAR

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

VPC 서비스 제어 서비스 경계 내에서 API 제한

Google 제어 ID COM-CO-8.2
구현 생성형 AI 사용 사례에 권장
설명

모든 서비스 경계에 대해 Access Context Manager를 사용하여 경계가 API를 보호하는지 확인합니다.

적용 가능한 제품
  • VPC 서비스 제어
  • Access Context Manager
경로 accesscontextmanager.accessPolicies.servicePerimeters/status.restrictedServices
연산자 Anyof
  • aiplatform.googleapis.com
  • artifactregistry.googleapis.com
  • bigquery.googleapis.com
  • cloudasset.googleapis.com
  • cloudbuild.googleapis.com
  • cloudfunctions.googleapis.com
  • cloudresourcemanager.googleapis.com
  • containeranalysis.googleapis.com
  • discoveryengine.googleapis.com
  • dns.googleapis.com
  • notebooks.googleapis.com
  • ondemandscanning.googleapis.com
  • orgpolicy.googleapis.com
  • pubsub.googleapis.com
  • secretmanager.googleapis.com
  • storage.googleapis.com
  • visionai.googleapis.com
유형 문자열
관련 NIST-800-53 컨트롤
  • SC-7
  • SC-8
관련 CRI 프로필 컨트롤
  • PR.AC-5.1
  • PR.AC-5.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
  • PR.PT-4.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
관련 정보

영역 DNS 사용

Google 제어 ID DNS-CO-4.1
구현 선택사항
설명

compute.setNewProjectDefaultToZonalDNSOnly 불리언 제약 조건을 사용하면 새 프로젝트의 내부 DNS 설정을 영역 DNS만 사용하도록 설정할 수 있습니다. 영역 DNS는 DNS 등록의 장애를 격리하므로 개별 영역에 비해 안정성이 더 높기 때문에 영역 DNS를 사용하세요 .

적용 가능한 제품

조직 정책

경로 constraints/compute.setNewProjectDefaultToZonalDNSOnly
연산자 =

True

유형 불리언
관련 NIST-800-53 컨트롤
  • AC-3
  • AC-17
  • AC-20
관련 CRI 프로필 컨트롤
  • PR.AC-3.1
  • PR.AC-3.2
  • PR.AC-4.1
  • PR.AC-4.2
  • PR.AC-4.3
  • PR.AC-6.1
  • PR.PT-3.1
  • PR.PT-4.1
관련 정보

로깅, 모니터링, 알림

이 섹션에는 Cloud de Confiance by S3NS 의 로깅 및 감사 서비스와 Cloud Billing과 같은 서비스의 알림 구성에 관한 권장사항과 가이드라인이 포함되어 있습니다.

Cloud ID의 감사 로그 공유

Google 제어 ID CI-CO-6.5
구현 필수
설명

Cloud ID를 사용하는 경우 Cloud ID의 감사 로그를 Cloud de Confiance by S3NS에 공유합니다.

Google Workspace 또는 Cloud ID의 관리자 활동 감사 로그는 기본적으로 Google 관리 콘솔에서 별도로 관리되며, 조직의 다른 Cloud de Confiance 로그 환경과 분리되어 있습니다. 이러한 로그에는 사용자 로그인 이벤트 등 Cloud de Confiance 환경 보안에 유용한 정보가 포함됩니다.

따라서 Cloud ID의 감사 로그를 Cloud de Confiance 환경에 공유하여 중앙에서 관리하는 것이 좋습니다.

적용 가능한 제품
  • Google Workspace
  • Cloud Logging
  • Cloud ID
관련 NIST-800-53 컨트롤
  • AC-2
  • AC-3
  • AC-8
  • AC-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
관련 정보

감사 로그 사용

Google 제어 ID COM-CO-7.3
구현 필수
설명

Cloud de Confiance 서비스는 감사 로그 항목을 작성하여 Cloud de Confiance 리소스에서 누가, 언제, 어디서, 무엇을 했는지에 답합니다.

조직 수준에서 감사 로깅을 사용 설정합니다. Cloud de Confiance 조직을 설정하는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

적용 가능한 제품

Cloud 감사 로그

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

VPC 흐름 로그 사용 설정

Google 제어 ID COM-CO-7.4
구현 필수
설명

VPC 흐름 로그는 Google Kubernetes Engine (GKE) 노드로 사용되는 인스턴스를 포함하여 VM 인스턴스에서 전송되거나 수신되는 네트워크 흐름의 샘플을 기록합니다. 이 샘플은 보통 VPC 네트워크 흐름의 50% 이하입니다.

VPC 흐름 로그를 사용 설정하면 서브넷의 모든 VM에 대해 로깅이 사용 설정됩니다. 그러나 로깅에 기록되는 정보의 양을 줄일 수 있습니다.

각 VPC 서브넷에 대해 VPC 흐름 로그를 사용 설정합니다. 프로젝트를 만드는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

적용 가능한 제품

Virtual Private Cloud

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

방화벽 규칙 로깅 사용 설정

Google 제어 ID COM-CO-7.5
구현 필수
설명

기본적으로 방화벽 규칙은 로그를 자동으로 작성하지 않습니다.방화벽 규칙 로깅을 사용하면 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 예를 들어 트래픽을 거부하도록 설계된 방화벽 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. 지정된 방화벽 규칙의 영향을 받는 연결 수를 확인하려는 경우에도 유용합니다.

각 방화벽 규칙에 대해 로깅을 사용 설정합니다. 방화벽을 만드는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

적용 가능한 제품

Virtual Private Cloud

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

관리자 활동 감사 사용 설정

Google 제어 ID COM-CO-7.1
구현 필수
설명

기본적으로 Cloud de Confiance 는 권한 계정의 주요 관리자 활동 감사를 사용 설정하며 누구도 이를 사용 중지할 수 없습니다.

관리자 활동 감사 로그에는 리소스의 구성이나 메타데이터를 수정하는 API 호출 또는 기타 작업의 로그 항목이 포함됩니다. 예를 들어 사용자가 VM 인스턴스를 만들거나 IAM 권한을 변경하면 로그가 기록됩니다.

관리자 활동 감사 로그에는 조직, 폴더, 프로젝트 수준에서 조직 정책 제약 조건을 생성, 수정, 삭제하는 로그 항목이 포함됩니다.

관리자 활동 감사 로그는 항상 기록되며 구성하거나 제외하거나 사용 중지할 수 없습니다. Cloud Logging API를 사용 중지해도 관리자 활동 감사 로그는 계속 생성됩니다.

조직에서 이러한 알림을 모니터링하고 관리자 활동 모니터링을 위한 엔터프라이즈 액세스 정책에 따라 조치 또는 알림을 생성하는 정책과 절차를 설정하는 것이 좋습니다.

적용 가능한 제품

Cloud 감사 로그

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

보안 게시판 구독

Google 제어 ID GKE-CO-1.8
구현 필수
설명

Cloud de Confiance by S3NS 서비스의 보안 게시판 알림을 구독하여 취약점 및 완화 조치에 관한 알림을 받으세요.

Cloud de Confiance by S3NS 서비스 (예: GKE)와 관련된 보안 게시판을 사용할 수 있으면 서비스가 해당 이벤트에 대한 알림을 사용자가 구성하는 Pub/Sub 주제에 대한 메시지로 게시할 수 있습니다. Pub/Sub 구독에서 이러한 알림을 수신하고, 서드 파티 서비스와 통합하고, 수신하려는 알림 유형을 필터링할 수 있습니다.

적용 가능한 제품

전체

관련 NIST-800-53 컨트롤
  • SI-5
관련 CRI 프로필 컨트롤
  • PR.IP-1.4
관련 정보

필수 연락처 그룹 구성

구현 필수
설명

모니터링되는 그룹 별칭 또는 메일링 리스트가 중요한 알림을 수신하도록 필수 연락처를 구성합니다.

Google은 필수 연락처로 등록된 이메일 주소로 중요 보안 알림 (예: 계정 도용 가능성)을 전송합니다. 이 목적으로 개인 이메일을 사용하는 경우 해당 사용자가 부재중이거나 회사를 떠나면 알림을 놓치게 됩니다.

모니터링되는 그룹 이메일 주소를 사용하면 이러한 긴급한 알림이 신속하게 대응할 수 있는 활성 팀에 전달됩니다.

적용 가능한 제품

Resource Manager

경로 essentialcontacts.googleapis.com/Contact
연산자 설정됨
유형 문자열
관련 NIST-800-53 컨트롤
  • IR-4
관련 CRI 프로필 컨트롤
  • PR.IP-1.4
관련 정보

청구 이상 모니터링

구현 필수
설명

Cloud Billing의 결제 이상치 기능을 사용하여 예상 지출의 급증 또는 편차를 추적합니다.

클라우드 요금이 갑자기 예상치 못하게 급증하는 것은 보안 침해의 주요 지표입니다. 예상치 못한 청구 급증은 액세스 권한을 얻은 공격자가 승인되지 않은 활동에 리소스를 사용하기 때문에 발생하는 경우가 있습니다.

청구 이상 감지를 사용 설정하면 의심스러운 활동을 자동으로 신고할 수 있는 필수 조기 경보 시스템이 제공됩니다.

적용 가능한 제품

Cloud Billing

관련 NIST-800-53 컨트롤
  • AU-6
관련 CRI 프로필 컨트롤
  • DE.AE-1.1
관련 정보

장기 저장을 위해 로그 싱크로 로그 내보내기

구현 필수
설명

보안 모니터링 솔루션의 로그를 내보내는 로그 싱크를 만들고 요구사항에 맞게 보관 기간을 설정합니다.

기본 로그 보관 기간은 PCI 또는 HIPAA와 같은 규정 준수 규정에서 요구하는 1~7년 요구사항을 충족하기에 충분하지 않은 경우가 많습니다.

로그를 장기 저장소 위치로 내보내는 로그 싱크를 만드는 것은 특정 법적 및 규제 의무를 충족하는 데 필수적입니다. 로그 싱크를 사용하면 고급 위협 감지를 위해 중앙 집중식 보안 모니터링 시스템으로 로그를 전송할 수도 있습니다.

적용 가능한 제품

Cloud Logging

경로 logging.googleapis.com/LogSink/disabled
연산자 같음

False

유형 불리언
관련 NIST-800-53 컨트롤
  • AU-9
관련 CRI 프로필 컨트롤
  • PR.DS-4.1
관련 정보

데이터 액세스 감사 로그 사용 설정

Google 제어 ID COM-CO-7.2
구현 특정 사용 사례에 권장
설명

Cloud de Confiance by S3NS 환경에서 데이터에 액세스한 사용자를 추적하려면 데이터 액세스 감사 로그를 사용 설정하세요. 이 로그에는 사용자 데이터를 읽거나, 만들거나, 수정하는 API 호출뿐만 아니라 리소스 구성을 읽는 API 호출도 기록됩니다.

정보를 읽은 사용자를 감사할 수 있도록 생성형 AI 모델과 민감한 정보에 대해 데이터 액세스 감사 로그를 사용 설정하는 것이 좋습니다. 데이터 액세스 감사 로그를 사용하려면 최고 관리자 로그인과 같은 특정 활동에 대한 자체 맞춤 감지 로직을 설정해야 합니다.

데이터 액세스 감사 로그의 볼륨이 클 수 있습니다. 데이터 액세스 로그를 사용 설정하면 추가 로그 사용량에 따라 요금이 Cloud de Confiance 프로젝트에 청구될 수 있습니다.

적용 가능한 제품

Cloud 감사 로그

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

결제 알림 구성

Google 제어 ID CB-CO-6.1
구현 추천
설명

Cloud Billing 예산을 설정해 모든 Cloud de Confiance by S3NS 청구를 한곳에서 모니터링하면 예상하지 못한 금액이 청구되는 것을 방지할 수 있습니다. 예산 금액을 설정한 후에는 프로젝트별로 예산 알림 기준 규칙을 설정하여 이메일 알림을 트리거합니다. 이러한 알림을 통해 예산 대비 지출을 추적할 수 있습니다. Cloud Billing 예산을 사용하여 비용 관리 응답을 자동화할 수도 있습니다.

적용 가능한 제품

Cloud Billing

관련 NIST-800-53 컨트롤
  • SI-4
  • SI-5
관련 CRI 프로필 컨트롤
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
관련 정보

액세스 투명성 로그 사용 설정

Google 제어 ID COM-CO-7.7
구현 선택사항
설명

표준 로그는 조직의 자체 사용자가 수행하는 작업을 보여주지만 액세스 투명성 로그는 Google 지원 직원이 계정에 액세스할 때 수행하는 작업을 보여줍니다. 이 액세스는 일반적으로 지원 요청에 대한 응답으로만 발생합니다. 액세스 투명성 로그는 엄격한 규정 준수 및 데이터 거버넌스 요구사항을 충족하는 데 필수적인 모든 액세스의 완전하고 검증 가능한 감사 추적을 제공합니다.

조직 수준에서 액세스 투명성을 사용 설정할 수 있습니다.

적용 가능한 제품

액세스 투명성

관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

자세한 분석을 위해 결제 데이터 내보내기

Google 제어 ID CB-CO-6.2
구현 선택사항
설명

추가 결제 분석을 위해 Cloud de Confiance by S3NS 결제 데이터를 BigQuery 또는 JSON 파일로 내보낼 수 있습니다. 예를 들어 사용량, 예상 비용, 가격과 같은 세부 데이터를 하루 종일 지정한 BigQuery 데이터 세트로 자동으로 내보낼 수 있습니다. 그런 다음 BigQuery에서 Cloud Billing 데이터에 액세스하여 세부 분석을 수행하거나 데이터 스튜디오와 같은 도구를 사용하여 데이터를 시각화할 수 있습니다.

적용 가능한 제품
  • BigQuery Data Transfer Service
  • BigQuery
  • Cloud Billing
관련 NIST-800-53 컨트롤
  • SI-4
  • SI-5
관련 CRI 프로필 컨트롤
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
관련 정보

키 및 보안 비밀 관리

이 섹션에는Cloud de Confiance by S3NS에서 워크로드를 실행할 때 Cloud Key Management Service 및 Secret Manager에 관한 권장사항과 가이드라인이 포함되어 있습니다.

Cloud de Confiance에서 저장 데이터 암호화

Google 제어 ID COM-CO-2.1
구현 필수 (기본값)
설명

Cloud de Confiance 의 모든 데이터는 NIST 승인 알고리즘을 사용하여 기본적으로 저장 상태에서 암호화됩니다.

적용 가능한 제품

Cloud de Confiance 기본값

관련 NIST-800-53 컨트롤
  • SC-28
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
관련 정보

암호화 및 복호화에 NIST 승인 알고리즘 사용

Google 제어 ID COM-CO-2.4
구현 필수
설명

Cloud Key Management Service (Cloud KMS)가 환경에 민감한 키를 저장할 때 NIST 승인 알고리즘만 사용하도록 합니다. 이 제어는 NIST 승인 알고리즘과 보안에 의해서만 보안 키 사용을 보장합니다. CryptoKeyVersionAlgorithm 필드는 제공된 허용 목록입니다.

조직의 정책을 준수하지 않는 알고리즘을 삭제합니다.

적용 가능한 제품

Cloud KMS

경로 cloudkms.projects.locations.keyRings.cryptoKeys/versionTemplate.algorithm
연산자 in
  • RSA_SIGN_PSS_2048_SHA256
  • RSA_SIGN_PSS_3072_SHA256
  • RSA_SIGN_PSS_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA256
  • RSA_DECRYPT_OAEP_4096_SHA256
  • RSA_DECRYPT_OAEP_2048_SHA1
  • RSA_DECRYPT_OAEP_4096_SHA1
유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

Cloud KMS 키의 용도 설정

Google 제어 ID COM-CO-2.5
구현 필수
설명

키가 데이터 암호화 및 복호화에만 사용되도록 Cloud KMS 키의 용도를 ENCRYPT_DECRYPT로 설정합니다. 이 제어는 서명과 같은 다른 기능을 차단하고 키가 의도된 용도로만 사용되도록 합니다. 다른 기능에 키를 사용하는 경우 해당 사용 사례를 검증하고 추가 키를 만드는 것을 고려하세요.

적용 가능한 제품

Cloud KMS

경로 cloudkms.projects.locations.keyRings.cryptoKeys/purpose
연산자 ==

ENCRYPT_DECRYPT

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

CMEK 설정이 보안 BigQuery 데이터 웨어하우스에 적합한지 확인

Google 제어 ID COM-CO-2.6
구현 필수
설명

보호 수준은 암호화 작업이 수행되는 방식을 나타냅니다. 고객 관리 암호화 키 (CMEK)를 만든 후에는 보호 수준을 변경할 수 없습니다. 지원되는 보호 수준은 다음과 같습니다.

  • 소프트웨어: 암호화 작업이 소프트웨어에서 수행됩니다.
  • HSM: 암호화 작업이 하드웨어 보안 모듈 (HSM)에서 수행됩니다.
  • 외부: 암호화 작업은 인터넷을 통해 Cloud de Confiance 에 연결된 외부 키 관리자에 저장된 키를 사용하여 수행됩니다. 대칭 암호화 및 비대칭 서명으로 제한됩니다.
  • EXTERNAL_VPC: 암호화 작업은 Virtual Private Cloud (VPC) 네트워크를 통해 Cloud de Confiance 에 연결된 외부 키 관리자에 저장된 키를 사용하여 수행됩니다. 대칭 암호화 및 비대칭 서명으로 제한됩니다.
적용 가능한 제품
  • Cloud KMS
  • BigQuery
경로 cloudkms.projects.locations.keyRings.cryptoKeys/primary.protectionLevel
연산자 in

[]

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

90일마다 암호화 키 순환

Google 제어 ID COM-CO-2.7
구현 필수
설명

Cloud KMS 키의 순환 기간이 90일로 설정되어 있는지 확인합니다. 일반적인 권장사항은 정기적으로 보안 키를 순환하는 것입니다. 이 컨트롤은 HSM 서비스로 생성된 키의 키 순환을 적용합니다.

이 교체 기간을 만들 때 정보 보호 및 가용성 보장을 위해 키 자료의 생성, 삭제, 수정을 안전하게 처리할 수 있도록 적절한 정책과 절차도 만드세요. 이 기간이 키 순환에 관한 회사 정책을 준수하는지 확인합니다.

적용 가능한 제품

Cloud KMS

경로 cloudkms.projects.locations.keyRings.cryptoKeys/rotationPeriod
연산자 <=

90

유형 int32
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

자동 보안 비밀 순환 설정

Google 제어 ID SM-CO-6.2
구현 필수
설명
보안 비밀을 자동으로 순환하고 보안 침해 발생 시 사용할 수 있는 긴급 순환 절차를 가집니다.
적용 가능한 제품

Secret Manager

관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

관리형 암호화 전략 만들기

구현 필수
설명

Autokey, Cloud External Key Manager (Cloud EKM) 또는 둘 다와 함께 Cloud Key Management Service (Cloud KMS)를 사용하여 암호화 관리 전략을 만듭니다. 이 전략을 사용하면 조직에서 자체 암호화 키를 사용하여 특정 요구사항을 충족할 수 있습니다. 자체 암호화 키를 사용하면 키를 사용 중지하여 데이터 액세스를 즉시 차단하는 기능을 비롯해 데이터 액세스를 세부적으로 감사 가능한 방식으로 제어할 수 있습니다.

적용 가능한 제품
  • Cloud KMS
  • Cloud EKM
관련 NIST-800-53 컨트롤
  • SC-12
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
관련 정보

Pub/Sub 메시지에 CMEK 사용

Google 제어 ID PS-CO-6.1
구현 추천
설명
Pub/Sub에 고객 관리 암호화 키 (CMEK)를 사용 설정하면 Pub/Sub에서 메시지를 보호하는 데 사용하는 암호화 키를 더 세부적으로 제어할 수 있습니다. 애플리케이션 레이어에서 Pub/Sub는 Pub/Sub가 수신하는 메시지를 개별적으로 암호화합니다. Pub/Sub는 메시지를 구독에 게시하기 전에 해당 주제에 대해 생성된 최신 데이터 암호화 키 (DEK)를 사용하여 메시지를 암호화합니다. Pub/Sub는 메시지가 구독자에게 전달되기 직전에 메시지를 복호화합니다. Pub/Sub는 Cloud de Confiance by S3NS 서비스 계정을 사용하여 Cloud Key Management Service에 액세스합니다. 서비스 계정은 각 프로젝트의 Pub/Sub에 의해 내부적으로 관리되며 서비스 계정 목록에는 표시되지 않습니다.
적용 가능한 제품
  • Cloud KMS
  • Pub/Sub
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

고객 관리 암호화 키 위치 제한

Google 제어 ID COM-CO-2.2
구현 추천
설명

CMEK용 KMS CryptoKey를 제공할 수 있는 프로젝트 제한 (gcp.restrictCmekCryptoKeyProjects) 조직 정책 제약 조건을 사용하여 고객 관리 암호화 키 (CMEK)를 저장할 수 있는 프로젝트를 정의합니다. 이 제약 조건을 사용하면 암호화 키의 거버넌스와 관리를 중앙 집중화할 수 있습니다. 선택한 키가 이 제약 조건을 충족하지 않으면 리소스 생성이 실패합니다.

이 제약 조건을 수정하려면 관리자에게 조직 정책 관리자 (roles/orgpolicy.policyAdmin) IAM 역할이 필요합니다.

Bring Your Own Key와 같은 두 번째 보호 레이어를 추가하려면 이 제약 조건을 사용 설정된 CMEK의 키 이름을 나타내도록 변경하세요.

제품 세부정보:

  • Gemini Enterprise Agent Platform에서 KEY PROJECTS 프로젝트에 키를 저장합니다.
적용 가능한 제품
  • Cloud KMS
  • 조직 정책
경로 constraints/gcp.restrictCmekCryptoKeyProjects
연산자 notexists

KEY PROJECTS

유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

Cloud de Confiance 서비스에 CMEK 사용

Google 제어 ID COM-CO-2.3
구현 추천
설명

Google Cloud-powered encryption keys 허용하는 것보다 키 작업을 더 세밀하게 제어해야 하는 경우 고객 관리 암호화 키 (CMEK)를 사용할 수 있습니다. 이러한 키는 Cloud KMS를 사용하여 생성되고 관리됩니다. 키를 소프트웨어 키로, HSM 클러스터에 또는 외부 키 관리 시스템에 저장합니다.

Cloud KMS 암호화 및 복호화 비율에는 할당량이 적용됩니다.

Cloud Storage 세부사항

Cloud Storage에서 개별 객체에 CMEK를 사용하거나 버킷에 추가되는 모든 새 객체에 기본적으로 CMEK를 사용하도록 Cloud Storage 버킷을 구성합니다. CMEK를 사용하면 객체가 버킷에 저장될 때 Cloud Storage에 의해 키를 통해 암호화되고, 요청자에게 제공될 때 Cloud Storage에 의해 자동으로 복호화됩니다.

Cloud Storage에서 CMEK를 사용할 때 다음 제한사항이 적용됩니다.

  • 객체의 메타데이터를 업데이트하여 CMEK로 객체를 암호화할 수는 없습니다. 대신 객체 재작성 시 키를 포함하세요.
  • Cloud Storage는 객체 업데이트 명령어를 사용하여 객체에 암호화 키를 설정하지만 명령어는 요청의 일부로 객체를 다시 작성합니다.
  • 암호화할 데이터와 같은 위치에 Cloud KMS 키링을 생성해야 합니다. 예를 들어 버킷이 us-east1에 있는 경우 해당 버킷의 객체를 암호화하는 데 사용되는 키링도 us-east1에 생성되어야 합니다.
  • 대부분의 이중 리전의 경우 연결된 멀티 리전에 Cloud KMS 키링을 만들어야 합니다. 예를 들어 버킷이 us-east1, us-west1 쌍에 있는 경우 해당 버킷에서 객체를 암호화하는 데 사용되는 모든 키링은 미국 멀티 리전에서 생성되어야 합니다.
  • asia1, eur4, nam4 사전 정의된 이중 리전의 경우 동일한 사전 정의된 이중 리전에 키링을 만들어야 합니다.
  • JSON API를 사용하여 객체를 나열할 때는 CMEK로 암호화된 객체의 CRC32C 체크섬 및 MD5 해시가 반환되지 않습니다.
  • Cloud Storage와 같은 도구를 사용하여 각 암호화 객체에 추가 메타데이터 GET 요청을 수행하여 CRC32C 및 MD5 정보를 가져오면 목록을 훨씬 짧게 만들 수 있습니다. Cloud Storage는 Cloud KMS에 저장된 비대칭 키의 복호화 부분을 사용하여 CMEK와 동일한 방식으로 관련 객체를 자동으로 복호화할 수 없습니다.
적용 가능한 제품
  • Cloud KMS
  • 조직 정책
  • Cloud Storage
경로 constraints/gcp.restrictNonCmekServices
연산자 ==
  • bigquery.googleapis.com
  • storage.googleapis.com
  • aiplatform.googleapis.com
유형 문자열
관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

보안 비밀 자동 복제

Google 제어 ID SM-CO-6.1
구현 추천
설명
워크로드에 특정 위치 요구사항이 없는 경우 자동 복제 정책을 선택하여 보안 비밀을 복제합니다. 자동 정책은 대부분의 워크로드의 가용성 및 성능 요구사항을 충족합니다. 워크로드에 특정 위치 요구사항이 있는 경우 보안 비밀을 만들 때 API를 사용하여 복제 정책의 위치를 선택할 수 있습니다.
적용 가능한 제품

Secret Manager

관련 NIST-800-53 컨트롤
  • SC-12
  • SC-13
관련 CRI 프로필 컨트롤
  • PR.DS-1.1
  • PR.DS-1.2
  • PR.DS-2.1
  • PR.DS-2.2
  • PR.DS-5.1
관련 정보

보안 상태 및 분석

이 문서에는 Cloud de Confiance by S3NS에서 워크로드를 실행할 때 Security Command Center에 관한 권장사항과 가이드라인이 포함되어 있습니다.

조직 수준에서 Security Command Center 사용 설정

Google 제어 ID SCC-CO-6.1
구현 필수
설명
추가 구성을 방지하려면 조직 수준에서 Security Command Center를 사용 설정하세요. Security Command Center를 사용하지 않으려면 다른 자세 관리 솔루션을 사용 설정해야 합니다.
적용 가능한 제품

Security Command Center

관련 NIST-800-53 컨트롤
  • SI-4
  • SI-5
관련 CRI 프로필 컨트롤
  • PR.DS-5.1
  • PR.DS-8.1
  • ID.RA-1.1
  • DE.CM-1.1
  • DE.CM-1.2
  • DE.CM-1.3
  • DE.CM-1.4
  • DE.CM-5.1
  • DE.CM-6.1
  • DE.CM-6.2
  • DE.CM-6.3
  • DE.CM-7.1
  • DE.CM-7.2
  • DE.CM-7.3
  • DE.CM-7.4
  • DE.DP-2.1
  • DE.DP-3.1
  • DE.DP-4.1
  • DE.DP-4.2
  • DE.DP-5.1
  • DE.AE-2.1
  • DE.AE-3.1
  • DE.AE-3.2
  • DE.AE-4.1
  • ID.RA-1.1
  • ID.RA-2.1
  • ID.RA-3.1
  • ID.RA-3.2
  • ID.RA-3.3
관련 정보

Security Command Center에서 알림 구성

Google 제어 ID SCC-CO-7.1
구현 추천
설명
Security Command Center의 알림은 조직에 대한 가시성을 제공하고 Cloud de Confiance by S3NS 서비스의 문제에 대해 알려주므로 적절한 조치를 취할 수 있습니다. Cloud Logging에서 알림을 설정하여 Security Command Center 서비스 에이전트 (service-org-ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com)와 관련된 오류에 대한 알림을 받을 수 있습니다.
적용 가능한 제품
  • Security Command Center
  • 로깅
관련 NIST-800-53 컨트롤
  • AU-2
  • AU-3
  • AU-8
  • AU-9
관련 CRI 프로필 컨트롤
  • DM.ED-7.1
  • DM.ED-7.2
  • DM.ED-7.3
  • DM.ED-7.4
  • PR.IP-1.4
관련 정보

다음 단계