Google Security Operations의 VPC 서비스 제어 구성

다음에서 지원:

Google Cloud VPC 서비스 제어를 사용하면 데이터 무단 반출을 방지하기 위해 서비스 경계를 설정할 수 있습니다. Google SecOps가 서비스 경계 외부의 리소스와 서비스에 액세스할 수 있도록 VPC 서비스 제어를 사용하여 Google Security Operations를 구성합니다.

시작하기 전에

제한사항

  • VPC 서비스 제어는 Google Cloud ID 인증과 Google SecOps Bring Your Own Identity (BYOID) 및 직원 ID 제휴만 지원합니다.
  • VPC 서비스 제어를 사용하려면 Google SecOps 기능 RBAC를 사용 설정해야 합니다.
  • VPC 서비스 제어는 Google SecOps chronicle.googleapis.comchronicleservicemanager.googleapis.com API만 지원합니다. 다른 Google SecOps API는 계속 사용할 수 있지만, 계속 사용하려면 특별한 규칙을 구성해야 할 수 있으며 이러한 다른 API를 사용하는 데이터와 서비스는 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다.
  • VPC 서비스 제어는 Google SecOps 통합 데이터 모델 (UDM) 데이터를 자체 관리 BigQuery 프로젝트로만 내보내거나 고급 BigQuery 내보내기를 사용하는 경우에만 지원합니다. 다른 Google SecOps 내보내기 방법을 계속 사용할 수 있지만, 이를 계속 사용하려면 특별한 규칙을 구성해야 할 수 있으며 이러한 방법을 사용한 데이터 내보내기는 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다. 자세한 내용은 Google SecOps 담당자에게 문의하세요.
  • VPC 서비스 제어는 Cloud Monitoring을 지원하지 않습니다. 하지만 규정을 준수하지 않는 액세스를 방지하려면 Cloud Monitoring 데이터를 볼 수 있는 권한을 취소하면 됩니다. Cloud Monitoring을 계속 사용할 수 있지만 계속 사용하려면 특별 규칙을 구성해야 할 수 있으며 데이터 전송은 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다. 자세한 내용은 Google SecOps 담당자에게 문의하세요.
  • VPC 서비스 제어는 Looker 대시보드를 지원하지 않습니다. VPC 서비스 제어는 Google SecOps 대시보드만 지원합니다. Looker 대시보드를 계속 사용할 수 있지만 계속 사용하려면 특별 규칙을 구성해야 할 수 있으며 Looker 대시보드는 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다.
  • VPC 서비스 제어는 Xenon 피드를 지원하지 않습니다. GOOGLE_CLOUD_STORAGE_V2 소스 유형으로 Cloud Storage 피드를 만들어야 합니다. Xenon 피드를 계속 사용할 수 있지만 이러한 피드를 계속 사용하려면 특별 규칙을 구성해야 할 수 있으며 Xenon 피드 사용은 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다.
  • VPC 서비스 제어는 Google Cloud 환경에서 공격을 시뮬레이션하여 보안을 테스트하는 Google SecOps Security Validation을 지원하지 않습니다. 보안 검증을 계속 사용할 수 있지만 계속 사용하려면 특별 규칙을 구성해야 할 수 있으며 보안 검증 사용은 VPC 서비스 제어 경계 제한에 의해 보호되지 않습니다.
  • VPC 서비스 제어는 DataTap을 지원하지 않습니다.
  • 고객 관리 암호화 키 (CMEK)를 사용하는 경우 Cloud Key Management Service 프로젝트를 Google Cloud 프로젝트와 동일한 경계에 유지하거나 키를 Google Cloud 프로젝트 내에 유지하는 것이 좋습니다.

인그레스 및 이그레스 규칙 구성

서비스 경계 구성을 기반으로 인그레스 및 이그레스 규칙을 구성합니다. 자세한 내용은 서비스 경계 개요를 참고하세요.

VPC 서비스 제어에 문제가 발생하면 VPC 서비스 제어 위반 분석기를 사용하여 문제를 디버그하고 분석하세요. 자세한 내용은 위반 분석 도구에서 액세스 거부 진단을 참고하세요.

SOAR 규칙 구성

이 섹션에서는 Google SecOps SOAR에 VPC 서비스 제어를 구성하는 방법을 설명합니다.

Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 작업을 완료합니다.

  1. 다음 인그레스 규칙을 구성합니다.

    - ingressFrom:
    identityType: ANY_SERVICE_ACCOUNT
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: secretmanager.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER
- ingressFrom:
    identities:
    - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    다음을 바꿉니다.

    • PROJECT_NUMBER: Google SecOps 담당자에게서 확인할 수 있는 Google Cloud SOAR 프로젝트 번호

  2. 다음 이그레스 규칙을 구성합니다.

    - egressTo:
    operations:
    - serviceName: binaryauthorization.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: monitoring.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/soar-infra-SOAR_REGION_ID
  egressFrom:
    identities:
      - serviceAccount: chronicle-soar-provisioning-service@system.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    다음을 바꿉니다.

    • SOAR_REGION_ID: SOAR 지역에 따라 Google에서 할당하는 코드입니다. Google SecOps 담당자에게 문의하여 확인할 수 있습니다.
    • PROJECT_NUMBER: Google Cloud Bring Your Own Project (BYOP) 프로젝트 번호

Google SecOps SIEM의 규칙 구성

이 섹션에서는 Google SecOps SIEM에 VPC 서비스 제어를 구성하는 방법을 설명합니다.

Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 이그레스 규칙을 구성합니다.

  - egressTo:
      operations:
      - serviceName: pubsub.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/389186463911
    egressFrom:
      identities:
      - user: "*"
      sources:
      - resource: PROJECT_NUMBER

다음을 바꿉니다.

  • PROJECT_NUMBER: Google SecOps 담당자에게서 확인할 수 있는 Google Cloud 프로젝트 번호

Security Command Center를 사용하여 Google SecOps의 규칙 구성

이 섹션에서는 Security Command Center를 사용하여 Google SecOps용 VPC 서비스 제어를 구성하는 방법을 설명합니다.

Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 작업을 완료합니다.

  1. 다음 인그레스 규칙을 구성합니다.

    - ingressFrom:
    identityType: ANY_IDENTITY
    sources:
    - accessLevel: "*"
  ingressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - projects/PROJECT_NUMBER

    다음을 바꿉니다.

    • PROJECT_NUMBER: Google SecOps 담당자에게서 확인할 수 있는 Google Cloud 프로젝트 번호

  2. 다음 이그레스 규칙을 구성합니다.

    - egressTo:
    operations:
    - serviceName: pubsub.googleapis.com
      methodSelectors:
      - method: "*"
    - serviceName: securitycenter.googleapis.com
      methodSelectors:
      - method: "*"
    resources:
    - "*"
  egressFrom:
    identities:
    - serviceAccount: service-org-GOOGLE_ORGANIZATION_NUMBER@gcp-sa-chronicle-soar.iam.gserviceaccount.com
    sources:
    - resource: projects/PROJECT_NUMBER

    다음을 바꿉니다.

    • GOOGLE_ORGANIZATION_NUMBER: Google Cloud 조직 번호입니다.
    • PROJECT_NUMBER: Google SecOps 담당자에게서 확인할 수 있는 Google Cloud 프로젝트 번호

고객 관리 암호화 키가 다른 프로젝트에 있는 경우 규칙 구성

이 섹션에서는 다른 프로젝트의 고객 관리 암호화 키 (CMEK)를 사용하는 경우 Google SecOps에 VPC 서비스 제어를 구성하는 방법을 설명합니다. CMEK는 사용자가 소유하고 Cloud Key Management Service에서 관리 및 저장하는 암호화 키입니다.

Google SecOps를 설정할 때 지정한 Google Cloud 사용자 계정에 대해 다음 이그레스 규칙을 구성합니다.

  - egressTo:
      operations:
      - serviceName: cloudkms.googleapis.com
        methodSelectors:
        - method: "*"
      resources:
      - projects/CMEK_PROJECT_NUMBER
    egressFrom:
      identityType: ANY_SERVICE_ACCOUNT
      sources:
      - resource: projects/PROJECT_NUMBER

다음을 바꿉니다.

  • PROJECT_NUMBER: Google SecOps 담당자에게서 확인할 수 있는 Google Cloud 프로젝트 번호
  • CMEK_PROJECT_NUMBER: 다른 프로젝트의 프로젝트 번호

다음 단계