생성형 AI 사용 사례를 위한 안전한 엔터프라이즈 기반 제어

Google Cloud 서비스에서 과도한 권한 역할이 있는 기본 서비스 계정을 자동으로 생성하는 경우 automaticIamGrantsForDefaultServiceAccounts 불리언 제약 조건을 사용하여 자동 역할 부여를 사용 중지합니다.

기본적으로 일부 시스템에서는 자동 계정에 지나치게 광범위한 권한을 부여하므로 보안 위험이 발생할 수 있습니다. 예를 들어 이 제약 조건을 적용하지 않고 기본 서비스 계정을 만드는 경우 서비스 계정에 프로젝트에 대한 편집자 역할 (roles/editor)이 자동으로 부여됩니다. 공격자가 시스템의 단일 부분을 손상시키면 전체 프로젝트를 제어할 수 있습니다. 이 제약 조건은 이러한 자동 상위 수준 권한을 사용 중지하여 필요한 최소 권한만 부여하는 보다 안전하고 신중한 접근 방식을 강제합니다.

iam.disableServiceAccountKeyCreation 불리언 제약조건을 사용하여 외부 서비스 계정 키가 생성되지 않도록 합니다. 이 제약조건을 사용하면 서비스 계정에 대한 장기 비관리 사용자 인증 정보의 사용을 제어할 수 있습니다. 이 제약 조건이 설정되면 제약 조건의 영향을 받는 프로젝트에서 서비스 계정에 대해 사용자 관리 사용자 인증 정보를 만들 수 없습니다.

iam.disableServiceAccountKeyUpload 불리언 제약조건을 사용하여 서비스 계정에 외부 공개 키 업로드를 사용 중지합니다. 이 제약 조건이 설정되면 사용자는 제약 조건의 영향을 받는 프로젝트의 서비스 계정에 공개 키를 업로드할 수 없습니다.

Google에서는 최고 관리자 계정의 2단계 인증에 Titan 보안 키를 사용할 것을 권장합니다. 하지만 이 방법이 불가능한 사용 사례의 경우 다른 보안 키를 대신 사용하는 것이 좋습니다.

특정 조직 단위(OU) 또는 전체 조직에 2단계 인증을 적용합니다. 최고 관리자용 OU를 만들고 해당 OU에 2단계 인증을 시행하는 것이 좋습니다.

단일 최고 관리자 또는 조직 관리자가 없습니다. 하나 이상의 백업 관리자 계정 (최대 20개)을 만듭니다. 최고 관리자 또는 조직 관리자가 한 명인 경우 계정 잠금 시나리오가 발생할 수 있습니다. 또한 한 사람이 플랫폼을 변경하는 작업을 감독 없이 수행할 수 있으므로 위험이 더 커집니다.

태그를 사용하면 리소스의 주석을 만들 수 있으며 리소스에 특정 태그가 있는지 여부에 따라 정책을 조건부로 허용하거나 거부할 수 있습니다. 태그 및 조건부 정책 적용을 사용하여 리소스 계층 구조 전반을 세밀하게 제어할 수 있습니다.

Cloud 감사 로그를 사용하여 조직 관리자 및 최고 관리자와 같은 고위험 역할이 부여된 계정과 같은 고위험 활동을 모니터링합니다. 이 유형의 활동에 대한 알림을 설정합니다.

Google Cloud에 과도한 액세스 권한을 부여하지 않으려면 Cloud ID 관리형 사용자 계정의 Cloud Shell 액세스를 차단하세요.

컨텍스트 인식 액세스를 사용하면 사용자 ID, 위치, 기기 보안 상태, IP 주소와 같은 속성을 기반으로 애플리케이션에 대한 상세 액세스 제어 보안 정책을 만들 수 있습니다. 컨텍스트 인식 액세스를 사용하여 Google Cloud 콘솔 (https://console.cloud.google.com/) 및 Google 관리 콘솔 (https://admin.cloud.google.com)에 대한 액세스를 제한하는 것이 좋습니다.

Google Cloud 는 여러 TLS 프로토콜 버전을 지원합니다. 규정 준수 요구사항을 충족하기 위해 이전 TLS 버전을 사용하는 클라이언트의 핸드셰이크 요청을 거부해야 할 수 있습니다.

이 제어를 구성하려면 TLS 버전 제한 (gcp.restrictTLSVersion) 조직 정책 제약 조건을 사용하세요. 이 제약 조건은 리소스 계층 구조의 조직, 폴더 또는 프로젝트에 적용할 수 있습니다. TLS 버전 제한 제약 조건은 명시적 값을 거부하고 다른 모든 값을 허용하는 거부 목록을 사용합니다. 허용 목록을 사용하려고 하면 오류가 발생합니다.

조직 정책 계층 구조 평가의 동작으로 인해 TLS 버전 제한은 지정된 리소스 노드와 모든 폴더 및 프로젝트 (하위)에 적용됩니다. 예를 들어 조직의 TLS 버전 1.0을 거부하면 해당 조직에서 비롯된 모든 하위 항목에도 거부됩니다.

하위 리소스의 조직 정책을 업데이트하여 상속된 TLS 버전 제한을 재정의할 수 있습니다. 예를 들어 조직 정책이 조직 수준에서 TLS 1.0을 거부하는 경우 하위 폴더에 별도의 조직 정책을 설정하여 해당 폴더에서 제약조건을 제거할 수 있습니다. 폴더에 하위 요소가 있는 경우 정책 상속으로 인해 폴더의 정책이 각 하위 리소스에도 적용됩니다.

TLS 버전을 TLS 1.3으로만 추가로 제한하려면 이 정책을 설정하여 TLS 버전 1.2도 제한하면 됩니다. Google Cloud내에서 호스팅하는 애플리케이션에 이 제어를 구현해야 합니다. 예를 들어 조직 수준에서 다음을 설정합니다.

["TLS_VERSION_1","TLS_VERSION_1.1","TLS_VERSION_1.2"]

조직의 ID만 Google Cloud 환경에서 허용되는지 확인합니다. 도메인 제한 공유 (iam.allowedPolicyMemberDomains) 또는 iam.managed.allowedPolicyMembers 조직 정책 제약 조건을 사용하여 Identity and Access Management (IAM) 정책에 주 구성원을 추가할 수 있는 하나 이상의 Cloud ID 또는 Google Workspace 고객 ID를 정의합니다.

이러한 제약 조건은 직원이 다중 인증 (MFA) 또는 비밀번호 관리에 대한 보안 정책을 따르지 않는 조직 외부 계정에 액세스 권한을 부여하는 것을 방지하는 데 도움이 됩니다. 이 제어는 신뢰할 수 있는 관리형 회사 ID만 사용할 수 있도록 하여 무단 액세스를 방지하는 데 매우 중요합니다.

gcp.restrictServiceUsage 제약 조건은 승인된 Google Cloud 서비스만 적절한 위치에서 사용되도록 합니다. 예를 들어 프로덕션 또는 매우 민감한 폴더에는 데이터를 저장하도록 승인된 Google Cloud 서비스 목록이 작습니다. 샌드박스 폴더에는 데이터 무단 반출을 방지하는 데 도움이 되는 더 많은 서비스와 데이터 보안 제어가 있을 수 있습니다. 이 값은 시스템에 따라 다르며 특정 폴더 및 프로젝트에 대해 승인된 서비스 및 종속 항목 목록과 일치합니다.

이 제약 조건을 사용하면 조직에서 승인된 서비스의 허용 목록을 만들어 직원이 검증되지 않은 서비스를 사용하지 못하도록 할 수 있습니다.

리소스 위치 제한 (gcp.resourceLocations) 제약 조건은 승인된 Google Cloud 리전만 데이터를 저장하는 데 사용되도록 합니다. 이 값은 시스템에 따라 다르며 조직에서 승인한 데이터 상주 리전 목록과 일치합니다.

이 제약 조건을 사용하면 조직에서 리소스와 데이터가 승인된 특정 지리적 리전에서만 생성되고 저장되도록 강제할 수 있습니다.

compute.skipDefaultNetworkCreation 불리언 제약 조건은 Google Cloud 프로젝트를 만들 때 기본 네트워크 및 관련 리소스의 생성을 건너뜁니다.

기본 네트워크는 내부 통신 경로를 허용하도록 IPv4 방화벽 규칙이 사전 지정된 자동 모드 가상 프라이빗 클라우드 (VPC) 네트워크입니다. 일반적으로 이 설정은 프로덕션 환경에 권장되는 보안 태세가 아닙니다.

Domain Name System Security Extensions (DNSSEC)는 도메인 이름 조회에 대한 응답을 인증하는 DNS (도메인 이름 시스템) 기능입니다. DNSSEC는 이러한 조회에 대해 개인 정보 보호를 제공하지 않지만 공격자가 DNS 요청에 대한 응답을 조작하거나 악성 처리하는 것을 방지합니다.

Cloud DNS 내에서 다음 위치에 DNSSEC를 사용 설정합니다.

• DNS 영역
• 최상위 도메인 (TLD)
• DNS 확인

모든 서비스 경계에 대해 Google Cloud 콘솔에서 경계 유형이 일반으로 설정되어 있는지 확인합니다.

모든 서비스 경계에 대해 Access Context Manager를 사용하여 경계가 API를 보호하는지 확인합니다.

compute.setNewProjectDefaultToZonalDNSOnly 불리언 제약 조건을 사용하면 새 프로젝트의 내부 DNS 설정을 영역 DNS만 사용하도록 설정할 수 있습니다. 영역 DNS는 DNS 등록의 장애를 격리하므로 개별 영역에 비해 더 높은 안정성을 제공하므로 영역 DNS를 사용하세요 .

Cloud ID를 사용하는 경우 Cloud ID의 감사 로그를 Google Cloud에 공유합니다.

Google Workspace 또는 Cloud ID의 관리자 활동 감사 로그는 기본적으로 Google 관리 콘솔에서 별도로 관리되며, 조직의 다른 Google Cloud 로그 환경과 분리되어 있습니다. 이러한 로그에는 사용자 로그인 이벤트 등 Google Cloud 환경 보안에 유용한 정보가 포함됩니다.

따라서 Cloud ID의 감사 로그를 Google Cloud 환경에 공유하여 중앙에서 관리하는 것이 좋습니다.

Google Cloud 서비스는 감사 로그 항목을 작성하여 Google Cloud 리소스에서 누가, 언제, 어디서 무엇을 했는지에 답합니다.

조직 수준에서 감사 로깅을 사용 설정합니다. Google Cloud 조직을 설정하는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

VPC 흐름 로그는 Google Kubernetes Engine (GKE) 노드로 사용되는 인스턴스를 포함하여 VM 인스턴스에서 전송되거나 수신되는 네트워크 흐름의 샘플을 기록합니다. 이 샘플은 보통 VPC 네트워크 흐름의 50% 이하입니다.

VPC 흐름 로그를 사용 설정하면 서브넷의 모든 VM에 대해 로깅이 사용 설정됩니다. 그러나 로깅에 기록되는 정보의 양을 줄일 수 있습니다.

각 VPC 서브넷에 대해 VPC 흐름 로그를 사용 설정합니다. 프로젝트를 만드는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

기본적으로 방화벽 규칙은 로그를 자동으로 작성하지 않습니다.방화벽 규칙 로깅을 사용하면 방화벽 규칙의 영향을 감사, 확인, 분석할 수 있습니다. 예를 들어 트래픽을 거부하도록 설계된 방화벽 규칙이 의도한 대로 작동하는지 확인할 수 있습니다. 지정된 방화벽 규칙의 영향을 받는 연결 수를 확인하려는 경우에도 유용합니다.

각 방화벽 규칙에 대해 로깅을 사용 설정합니다. 방화벽을 만드는 데 사용하는 파이프라인을 사용하여 로깅을 구성할 수 있습니다.

Google Cloud 환경에서 데이터에 액세스한 사용자를 추적하려면 데이터 액세스 감사 로그를 사용 설정하세요. 이 로그에는 사용자 데이터를 읽거나, 만들거나, 수정하는 API 호출뿐만 아니라 리소스 구성을 읽는 API 호출도 기록됩니다.

정보를 읽은 사용자를 감사할 수 있도록 생성형 AI 모델과 민감한 정보에 대해 데이터 액세스 감사 로그를 사용 설정하는 것이 좋습니다. 데이터 액세스 감사 로그를 사용하려면 최고 관리자 로그인과 같은 특정 활동에 대한 자체 맞춤 감지 로직을 설정해야 합니다.

데이터 액세스 감사 로그의 볼륨이 클 수 있습니다. 데이터 액세스 로그를 사용 설정하면 추가 로그 사용량에 따라 요금이 Google Cloud 프로젝트에 청구될 수 있습니다.

Cloud Billing 예산을 설정해 모든 Google Cloud 청구를 한곳에서 모니터링하면 예상하지 못한 금액이 청구되는 것을 방지할 수 있습니다. 예산 금액을 설정한 후에는 프로젝트별로 예산 알림 기준 규칙을 설정하여 이메일 알림을 트리거합니다. 이러한 알림을 통해 예산 대비 지출을 추적할 수 있습니다. Cloud Billing 예산을 사용하여 비용 관리 응답을 자동화할 수도 있습니다.

표준 로그는 조직의 자체 사용자가 수행하는 작업을 보여주지만 액세스 투명성 로그는 Google 지원 직원이 계정에 액세스할 때 수행하는 작업을 보여줍니다. 이 액세스는 일반적으로 지원 요청에 대한 응답으로만 발생합니다. 액세스 투명성 로그는 엄격한 규정 준수 및 데이터 거버넌스 요구사항을 충족하는 데 필수적인 모든 액세스의 완전하고 검증 가능한 감사 추적을 제공합니다.

조직 수준에서 액세스 투명성을 사용 설정할 수 있습니다.

추가 결제 분석을 위해 Google Cloud 결제 데이터를 BigQuery 또는 JSON 파일로 내보낼 수 있습니다. 예를 들어 사용량, 예상 비용, 가격과 같은 세부 데이터를 하루 종일 지정한 BigQuery 데이터 세트로 자동으로 내보낼 수 있습니다. 그런 다음 BigQuery에서 Cloud Billing 데이터에 액세스하여 세부 분석을 수행하거나 데이터 스튜디오와 같은 도구를 사용하여 데이터를 시각화할 수 있습니다.

Google Cloud 의 모든 데이터는 NIST 승인 알고리즘을 사용하여 기본적으로 저장 상태에서 암호화됩니다.

Cloud Key Management Service (Cloud KMS)가 환경에 민감한 키를 저장할 때 NIST 승인 알고리즘만 사용하도록 합니다. 이 제어는 NIST 승인 알고리즘과 보안만 사용하여 보안 키 사용을 보장합니다. CryptoKeyVersionAlgorithm 필드는 제공된 허용 목록입니다.

조직의 정책을 준수하지 않는 알고리즘을 삭제합니다.

키가 데이터 암호화 및 복호화에만 사용되도록 Cloud KMS 키의 용도를 ENCRYPT_DECRYPT로 설정합니다. 이 제어는 서명과 같은 다른 기능을 차단하고 키가 의도된 용도로만 사용되도록 합니다. 다른 기능에 키를 사용하는 경우 이러한 사용 사례를 검증하고 추가 키를 만드는 것이 좋습니다.

보호 수준은 암호화 작업이 수행되는 방식을 나타냅니다. 고객 관리 암호화 키 (CMEK)를 만든 후에는 보호 수준을 변경할 수 없습니다. 지원되는 보호 수준은 다음과 같습니다.

• 소프트웨어: 암호화 작업이 소프트웨어에서 수행됩니다.
• HSM: 암호화 작업이 하드웨어 보안 모듈 (HSM)에서 수행됩니다.
• 외부: 암호화 작업은 인터넷을 통해 Google Cloud 에 연결된 외부 키 관리자에 저장된 키를 사용하여 수행됩니다. 대칭 암호화 및 비대칭 서명으로 제한됩니다.
• EXTERNAL_VPC: 암호화 작업은 Virtual Private Cloud (VPC) 네트워크를 통해 Google Cloud 에 연결된 외부 키 관리자에 저장된 키를 사용하여 수행됩니다. 대칭 암호화 및 비대칭 서명으로 제한됩니다.

Cloud KMS 키의 순환 기간이 90일로 설정되어 있는지 확인합니다. 일반적인 권장사항은 정기적으로 보안 키를 순환하는 것입니다. 이 컨트롤은 HSM 서비스로 생성된 키의 키 순환을 적용합니다.

이 교체 기간을 만들 때는 정보 보호와 가용성 보장을 위해 키 자료의 생성, 삭제, 수정을 안전하게 처리할 수 있도록 적절한 정책과 절차도 만드세요. 이 기간이 키 순환에 관한 회사 정책을 준수하는지 확인합니다.

CMEK용 KMS CryptoKey를 제공할 수 있는 프로젝트 제한 (gcp.restrictCmekCryptoKeyProjects) 조직 정책 제약조건을 사용하여 고객 관리 암호화 키 (CMEK)를 저장할 수 있는 프로젝트를 정의합니다. 이 제약 조건을 사용하면 암호화 키의 거버넌스와 관리를 중앙 집중화할 수 있습니다. 선택한 키가 이 제약 조건을 충족하지 않으면 리소스 생성이 실패합니다.

이 제약 조건을 수정하려면 관리자에게 조직 정책 관리자 (roles/orgpolicy.policyAdmin) IAM 역할이 필요합니다.

Bring Your Own Key와 같은 두 번째 보호 레이어를 추가하려면 사용 설정된 CMEK의 키 이름을 나타내도록 이 제약 조건을 변경하세요.

제품 세부정보:

• Gemini Enterprise Agent Platform에서는 KEY PROJECTS 프로젝트에 키를 저장합니다.

Google-owned and Google-managed encryption keys 허용하는 것보다 키 작업을 더 세밀하게 제어해야 하는 경우 고객 관리 암호화 키 (CMEK)를 사용할 수 있습니다. 이러한 키는 Cloud KMS를 사용하여 생성되고 관리됩니다. 키를 소프트웨어 키로, HSM 클러스터에 또는 외부 키 관리 시스템에 저장합니다.

Cloud KMS 암호화 및 복호화 비율에는 할당량이 적용됩니다.

Cloud Storage 세부사항

Cloud Storage에서 개별 객체에 CMEK를 사용하거나 버킷에 추가되는 모든 새 객체에 기본적으로 CMEK를 사용하도록 Cloud Storage 버킷을 구성합니다. CMEK를 사용하면 객체가 버킷에 저장될 때 Cloud Storage에 의해 키를 통해 암호화되고, 요청자에게 제공될 때 Cloud Storage에 의해 자동으로 복호화됩니다.

Cloud Storage에서 CMEK를 사용할 때 다음 제한사항이 적용됩니다.

• 객체의 메타데이터를 업데이트하여 CMEK로 객체를 암호화할 수는 없습니다. 대신 객체 재작성 시 키를 포함하세요.
• Cloud Storage는 객체 업데이트 명령어를 사용하여 객체에 암호화 키를 설정하지만 명령어는 요청의 일부로 객체를 다시 작성합니다.
• 암호화할 데이터와 같은 위치에 Cloud KMS 키링을 생성해야 합니다. 예를 들어 버킷이 us-east1에 있는 경우 해당 버킷의 객체를 암호화하는 데 사용되는 키링도 us-east1에 생성되어야 합니다.
• 대부분의 이중 리전의 경우 연결된 멀티 리전에 Cloud KMS 키링을 만들어야 합니다. 예를 들어 버킷이 us-east1, us-west1 쌍에 있는 경우 해당 버킷에서 객체를 암호화하는 데 사용되는 모든 키링은 미국 멀티 리전에서 생성되어야 합니다.
• asia1, eur4, nam4 사전 정의된 이중 리전의 경우 동일한 사전 정의된 이중 리전에 키링을 만들어야 합니다.
• JSON API를 사용하여 객체를 나열할 때는 CMEK로 암호화된 객체의 CRC32C 체크섬 및 MD5 해시가 반환되지 않습니다.
• Cloud Storage와 같은 도구를 사용하여 각 암호화 객체에 추가 메타데이터 GET 요청을 수행하여 CRC32C 및 MD5 정보를 가져오면 목록을 훨씬 짧게 만들 수 있습니다. Cloud Storage는 Cloud KMS에 저장된 비대칭 키의 복호화 부분을 사용하여 CMEK와 동일한 방식으로 관련 객체를 자동으로 복호화할 수 없습니다.