감사 관리자 개요

감사 관리자는 Google Cloud에서 규정 준수 감사 프로세스를 간소화하는 데 도움이 되는 규정 준수 감사 솔루션입니다. 감사 관리자를 사용하면 규정 준수 관리자 또는 Assured Workloads 프레임워크 (미리보기)를 사용하여 정의한 내장 프레임워크 및 맞춤 프레임워크에 대해 감사를 실행할 수 있습니다.

감사 관리자에는 다음과 같은 기능이 있습니다.

  • 책임 분리 및 책임을 관리하기 위한 권장사항을 보여주는 공동 책임 매트릭스
  • Google Cloud규정 준수 문서
  • 워크로드의 규정 준수 제어를 평가하여 규정 준수 상태를 파악하는 자동 규정 준수 평가
  • 규정 준수 감사를 위한 증거 수집
  • 생성된 위반을 해결하는 데 도움이 되는 격차 식별

감사 관리자는 모든 Google Cloud 프로젝트 또는 폴더에 대한 평가를 제공할 수 있습니다.

지원되는 프레임워크

감사 관리자는 클라우드 컨트롤과 다음 내장 프레임워크의 컨트롤을 기준으로 리소스를 평가할 수 있습니다.

Security Command Center 프리미엄 또는 엔터프라이즈 구독을 구매하거나 Assured Workloads를 사용 설정하면 다음이 적용됩니다.

이전 프레임워크에서 이전

2026년 6월 30일 이전에 감사를 실행한 경우 다른 프레임워크를 사용했습니다. 이러한 프레임워크는 더 이상 감사를 실행하는 데 사용할 수 없습니다. 다음 표에서는 이전 프레임워크를 규정 준수 관리자 또는 Assured Workloads 프레임워크 (미리보기)를 사용하여 배포할 수 있는 프레임워크에 매핑합니다.

이전 프레임워크 동등한 감사 관리자 프레임워크 동일한 규정 준수 관리자 프레임워크 (미리보기) 동등한 Assured Workloads 프레임워크
NIST 800-53 버전 4 NIST 800-53 버전 5 NIST 800-53 버전 5
Google 권장 AI 제어 [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8 CIS 중요 보안 제어 v8 CIS 중요 보안 제어 v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
NIST CSF v1 NIST 사이버 보안 프레임워크 1.1 NIST 사이버 보안 프레임워크 1.1
CIS Google Cloud Foundation Benchmark 2.0 CIS GCP Foundations Benchmark v3.0 CIS GCP Foundations Benchmark v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

이전 프레임워크를 사용하여 감사를 실행한 경우 평가 보기 페이지와 보고서를 저장한 Cloud Storage 버킷에서 감사 보고서를 계속 볼 수 있습니다.

1 Compliance Manager 및 Assured Workloads 프레임워크 (미리보기)에는 효과적인 AI 활용을 위한 Google 권장사항 - Gemini Enterprise Agent Platform 내장 프레임워크가 포함되어 있습니다. 이 프레임워크는 환경을 평가하는 데 다른 컨트롤을 사용하지만, 이전의 Google 권장 AI 컨트롤 프레임워크 대신 사용할 수 있습니다.

커스텀 프레임워크

2026년 6월 30일 이전에 Audit Manager에는 맞춤 프레임워크를 만들 수 있는 미리보기 기능이 포함되어 있었습니다. 이 미리보기 기능을 사용하여 맞춤 프레임워크를 만든 경우 맞춤 프레임워크에 대한 감사를 계속 실행하고 만든 보고서를 볼 수 있습니다. 하지만 맞춤 프레임워크는 보거나 수정할 수 없습니다.

감사 관리자의 내장 프레임워크 중 어느 것도 환경에 적용되지 않는 경우 다음 옵션을 사용할 수 있습니다.

컨트롤 및 클라우드 컨트롤

감사 관리자에는 프레임워크 내에 컨트롤과 클라우드 컨트롤이 포함됩니다. 다음 사항을 고려하세요.

  • 관리는 자산 보호, 위험 완화, 비즈니스 규제 목표를 평가할 수 있는 일반적인 목표입니다. 제어는 기술적 클라우드 제어와 비기술적 클라우드 제어로 구성될 수 있습니다.

  • 클라우드 컨트롤은 Google Cloud 환경에서 특정 구성을 확인하는 소프트웨어 정의 컨트롤입니다. 대부분의 클라우드 컨트롤은 기술적입니다. 예를 들어 컨트롤은 환경을 감사하기 위한 규제 요구사항이고, 클라우드 컨트롤은 다양한 API에 대해 Cloud 감사 로그가 사용 설정되어 있는지 확인하는 구체적인 메커니즘입니다.

  • 프레임워크는 특정 규제 표준을 준수하는 데 도움이 되는 제어 및 클라우드 제어 모음입니다. 예를 들어 감사 관리자에는 ISO 27001 2022 프레임워크가 포함되어 있습니다. 클라우드 컨트롤과 기술 컨트롤에는 감사 중에 감사 관리자가 확인할 수 있고 증거를 수집할 수 있는 하나 이상의 규칙이 포함됩니다.

관리 및 클라우드 관리가 감사되는 방식

감사 관리자가 컨트롤 또는 클라우드 컨트롤을 감사하는 방식은 감사 관리자가 컨트롤 또는 클라우드 컨트롤을 기술적으로 평가할 수 있는지에 따라 다릅니다. 다음 사항을 고려하세요.

  • 감사 관리자가 유효성을 검사하기 위해 실행할 수 있는 API 호출이 없기 때문에 일부 컨트롤 또는 클라우드 컨트롤에는 수동 검토가 필요합니다. 예를 들어 관리에서는Google Cloud에 없는 액세스 시스템을 검토하도록 요구할 수 있습니다. 관리 또는 클라우드 관리에 수동 검토가 필요한 경우 감사 관리자는 직접 검토를 완료해야 한다는 관찰을 만듭니다. 기술적 증거가 생성될 수 있습니다. 제어 또는 클라우드 제어의 상태가 선택사항: 직접 검토 필요입니다.

  • 일부 컨트롤 또는 클라우드 컨트롤은Google Cloud의 특정 값에 직접 적용됩니다. 예를 들어 클라우드 컨트롤에서는 Cloud Storage 버킷에 CMEK를 사용 설정하도록 요구할 수 있습니다. 이 시나리오에서 감사 관리자는 API를 호출하여 특정 설정을 확인할 수 있습니다. 반환되는 값은 증거입니다. 그런 다음 감사 관리자가 증거가 예상 규칙을 충족하는지 또는 충족하지 않는지 평가할 수 있습니다. 감사 관리자는 증거와 평가가 포함된 관찰을 만듭니다. 제어 또는 클라우드 제어의 상태는 다음 중 하나일 수 있습니다.

    • 감사 관리자가 증거가 규칙을 충족하는 것으로 평가하면 컨트롤 또는 클라우드 컨트롤의 상태는 규정 준수입니다.

    • 감사 관리자가 증거를 규칙을 위반하는 것으로 평가하면 컨트롤 또는 클라우드 컨트롤의 상태는 failed입니다. 규칙이 여러 개 포함된 컨트롤 또는 클라우드 컨트롤의 경우 규칙이 하나라도 실패하면 상태는 위반입니다.

    • 이 프로세스 중에 감사 관리자에서 오류가 발생하면 (예: API 호출 시간이 초과됨) 컨트롤 또는 클라우드 컨트롤의 상태는 건너뜀입니다.

감사 관리자 워크플로

감사 관리자의 개략적인 워크플로는 감사 관리자 액세스 권한을 설정하고 감사를 관리하는 것입니다.

  1. 감사 관리자 액세스 권한을 설정하려면 감사 관리자 관리자(roles/auditmanager.admin)여야 하며 감사를 위해 리소스를 등록해야 합니다.
  2. 감사를 관리하려면 관리자 또는 감사자로서 다음 작업을 수행하면 됩니다.
    1. 감사를 실행합니다.
    2. 감사 상태를 가져옵니다.
    3. 자세한 감사 관리자 보고서를 확인합니다.

다음 단계