Google SecOps용 VPC 서비스 제어 구성
이 가이드에서는 Google Security Operations용 VPC 서비스 제어를 구성하는 방법을 설명합니다.
VPC 서비스 제어를 사용하면 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있습니다. Google SecOps가 서비스 경계 외부의 리소스와 서비스에 액세스할 수 있도록 VPC 서비스 제어를 사용하여 Google Security Operations를 구성합니다.
VPC 서비스 제어에 대한 자세한 내용은 VPC 서비스 제어 개요를 참조하세요. VPC 서비스 제어 지원 제품 표에서 Google Security Operations 항목을 확인할 수도 있습니다.
시작하기 전에
- 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
VPC 서비스 제어를 사용하여 Google SecOps를 사용하려면 VPC 서비스 제어 규정 준수 기능만 사용할 수 있습니다. 다음은 VPC 서비스 제어 규정 준수 기능 목록입니다.
- VPC 서비스 제어를 사용하는 Google SecOps는 Google Cloud ID 인증, 서드 파티 ID 공급업체, 직원 ID 제휴만 지원합니다.
- Google SecOps에서 VPC 서비스 제어를 사용하려면 Google SecOps 기능 RBAC를 사용 설정해야 합니다.
VPC 서비스 제어를 사용하는 Google SecOps는 다음과 같은 공개 API만 지원합니다.
chronicle.googleapis.comchronicleservicemanager.googleapis.com
VPC 서비스 제어를 온보딩하려면 모든 해당 엔드포인트를
chronicle.googleapis.comAPI로 이전해야 합니다.VPC 서비스 제어를 사용하는 Google SecOps는 Google SecOps 통합 데이터 모델 (UDM) 데이터를 자체 관리 BigQuery 프로젝트로 내보내거나 Advanced BigQuery Export를 사용하는 경우에만 지원합니다.
VPC 서비스 제어는 Google SecOps 대시보드만 지원합니다.
v2 커넥터를 사용하여
GOOGLE_CLOUD_STORAGE_V2소스 유형으로만 Cloud Storage 피드를 만들 수 있습니다.VPC 서비스 제어 경계 내에서 Google SecOps가 제한된 경우 새 Pub/Sub 구독을 만들 때 Google SecOps에서는 CLOUD_PUB_SUB 피드 대신 Cloud Storage에 로그를 쓰고 GOOGLE_CLOUD_STORAGE_V2 또는 GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN을 사용해야 합니다.
고객 관리 암호화 키 (CMEK)를 사용하는 Google SecOps 인스턴스의 경우 Cloud Key Management Service 프로젝트를 Google SecOps 연결 프로젝트와 동일한 경계 내에 유지하거나 키를 Google SecOps 연결 프로젝트 자체 내에 유지하는 것이 좋습니다. Google Cloud Google Cloud
제한사항
Google SecOps Chronicle API 엔드포인트
ImportPushLogs는 VPC 서비스 제어를 지원하지 않습니다. 하지만ImportPushLogs엔드포인트는 데이터 액세스가 아닌 Google SecOps 인스턴스로 데이터를 푸시하는 데만 사용되므로 이 제한사항은 데이터 무단 반출 위험을 야기하지 않습니다.VPC 서비스 제어를 사용하는 Google SecOps는 Looker 대시보드를 지원하지 않습니다.
Google Cloud Pub/Sub는 Chronicle API 엔드포인트를 사용하여 로그를 수집하는 새 Pub/Sub 구독을 만드는 것을 지원하지 않습니다 (VPC 서비스 제어 지원 제품 표의 Pub/Sub 항목). 하지만 기존 Pub/Sub 구독 (VPC 서비스 제어 경계 내에서 프로젝트를 이동하기 전에 생성됨)은 예상대로 로그를 계속 수집합니다. Google Cloud
VPC 서비스 제어를 사용하는 Google SecOps는 기존 클라우드 버킷 및 서드 파티 API 피드 커넥터를 지원하지 않습니다.
인그레스 및 이그레스 규칙 구성
서비스 경계 구성에 따라 인그레스 및 이그레스 규칙을 구성합니다. 자세한 내용은 서비스 경계 개요를 참조하세요.
VPC 서비스 제어에 문제가 발생하면 VPC 서비스 제어 위반 분석 도구를 사용하여 문제를 디버그하고 분석합니다. 자세한 내용은 위반 분석 도구에서 액세스 거부 진단을 참조하세요.
SOAR 규칙 구성
이 섹션에서는 플랫폼의 SOAR 측면에서 VPC 서비스 제어를 구성하는 방법을 설명합니다.
Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 인그레스 규칙을 구성합니다.
- ingressFrom:
identityType: ANY_SERVICE_ACCOUNT
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
PROJECT_NUMBER를 Google SecOps 연결 Google Cloud 프로젝트 번호로 바꿉니다.
SIEM 규칙 구성
이 섹션에서는 플랫폼의 SIEM 측면에서 VPC 서비스 제어를 구성하는 방법을 설명합니다.
데이터 테이블을 사용하는 경우 Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 규칙을 구성합니다.
- ingressFrom:
identities:
- user:malachite-data-plane-api@prod.google.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: storage.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/PROJECT_NUMBER
PROJECT_NUMBER를 Google SecOps 연결 Google Cloud 프로젝트 번호로 바꿉니다.
Security Command Center를 사용하여 Google SecOps 규칙 구성
이 섹션에서는 Security Command Center를 사용하여 Google SecOps용 VPC 서비스 제어를 구성하는 방법을 설명합니다.
다음 규칙의 서비스 계정은 Google SecOps 프로비저닝 중에만 생성되므로 프로비저닝 후 Security Command Center를 사용하기 전에 Security Command Center 규칙을 구성해야 합니다.
Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 작업을 완료합니다.
다음 인그레스 규칙을 구성합니다.
- ingressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-csc-hpsa.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-asm-hpsa.iam.gserviceaccount.com sources: - accessLevel: "*" ingressTo: operations: - serviceName: chronicle.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: monitoring.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: orgpolicy.googleapis.com methodSelectors: - method: "*" - serviceName: serviceusage.googleapis.com methodSelectors: - method: "*" - serviceName: dns.googleapis.com methodSelectors: - method: "*" resources: - projects/PROJECT_NUMBER다음을 바꿉니다.
GOOGLE_ORGANIZATION_NUMBER: 조직 번호 Google CloudPROJECT_NUMBER: Google SecOps 연결 Google Cloud 프로젝트 번호
다음 이그레스 규칙을 구성합니다.
- egressTo: operations: - serviceName: pubsub.googleapis.com methodSelectors: - method: "*" - serviceName: securitycenter.googleapis.com methodSelectors: - method: "*" - serviceName: cloudasset.googleapis.com methodSelectors: - method: "*" - serviceName: iam.googleapis.com methodSelectors: - method: "*" - serviceName: compute.googleapis.com methodSelectors: - method: "*" resources: - "*" egressFrom: identities: - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@security-center-api.iam.gserviceaccount.com sources: - resource: projects/PROJECT_NUMBER다음을 바꿉니다.
GOOGLE_ORGANIZATION_NUMBER: 조직 번호 Google CloudPROJECT_NUMBER: Google SecOps 연결 Google Cloud 프로젝트 번호
고객 관리 암호화 키 (CMEK) 규칙 구성
이 섹션에서는 고객 관리 암호화 키 (CMEK)를 사용하여 Google SecOps용 VPC 서비스 제어를 구성하는 방법을 설명합니다. CMEK는 사용자가 소유하고 Cloud Key Management Service에서 관리 및 저장하는 암호화 키입니다.
다음 인그레스 규칙을 구성합니다.
- ingressFrom:
identities:
- serviceAccount: service-SECRET_MANAGER_PROJECT_NUMBER@gcp-sa-secretmanager.iam.gserviceaccount.com
sources:
- accessLevel: "*"
ingressTo:
operations:
- serviceName: secretmanager.googleapis.com
methodSelectors:
- method: "*"
- serviceName: cloudkms.googleapis.com
methodSelectors:
- method: "*"
resources:
- projects/CMEK_PROJECT_NUMBER
다음을 바꿉니다.
SECRET_MANAGER_PROJECT_NUMBER: Google에서 일부 수집 기능의 보안 비밀을 저장하는 데 사용하는 프로젝트입니다. Google SecOps 담당자에게서 확인할 수 있습니다.CMEK_PROJECT_NUMBER: CMEK를 저장하는 프로젝트 번호