생성형 AI 사용 사례를 위한 Cloud Storage 컨트롤

storage.publicAccessPrevention 불리언 제약 조건은 인터넷을 통해 기존 및 향후 리소스에 액세스하지 못하도록 합니다. allUsers 및 allAuthenticatedUsers에 대한 액세스를 부여하는 액세스 제어 목록 (ACL) 및 Identity and Access Management (IAM) 권한을 사용 중지하고 차단합니다.

storage.uniformBucketLevelAccess 부울 제약 조건은 버킷에서 균일한 버킷 수준 액세스를 사용하도록 요구합니다. 균일한 버킷 수준 액세스를 사용하면 버킷 수준 Identity and Access Management (IAM) 권한만 사용하여 Cloud Storage 리소스에 대한 액세스 권한을 부여할 수 있습니다.

HMAC 키는 Cloud Storage의 서비스 계정 또는 사용자 계정과 연결된 장기 사용자 인증 정보 유형입니다. HMAC 키를 사용하여 Cloud Storage에 대한 요청에 포함된 서명을 만듭니다. 서명은 사용자 또는 서비스 계정이 요청을 승인했음을 증명합니다.

단기 사용자 인증 정보 (예: OAuth 2.0 토큰과 달리 HMAC 키는 자동으로 만료되지 않으며 수동으로 취소될 때까지 유효합니다. HMAC 키는 위험도가 높은 사용자 인증 정보입니다. 보안이 침해되면 리소스에 대한 지속적인 액세스 권한이 부여됩니다. 이러한 데이터를 보호하기 위한 적절한 메커니즘이 마련되어 있어야 합니다.

서비스 계정은 애플리케이션을 위해 설계된 비인간 ID이며 동작이 예측 가능하고 자동화되어 있습니다. 일반적으로 서비스 계정은 이미 매핑되어 있으므로 버킷을 항목화할 필요가 없습니다. 따라서 모든 Cloud Storage 버킷 목록을 가져오려고 하는 서비스 계정이 감지되면 즉시 조사해야 합니다. 정찰 열거는 서비스 계정에 액세스한 악의적인 행위자가 정찰 기법으로 자주 사용합니다.

Cloud Storage 버킷의 IAM 정책이 공개 액세스 권한을 부여하도록 수정될 때 이를 감지하는 알림을 구성합니다. 이 알림은 allUsers 또는 allAuthenticatedUsers 주 구성원이 버킷의 IAM 정책에 추가될 때 발생합니다. 이 알림은 버킷의 모든 데이터를 노출할 수 있으므로 심각도가 높은 중요한 이벤트입니다. 이 알림을 즉시 조사하여 변경이 승인되었는지 또는 잘못된 구성이나 악의적인 행위자의 징후인지 확인하세요.

알림에서 data.protoPayload.serviceData.policyData.bindingDeltas.member JSON 속성을 allUsers 또는 allAuthenticatedUsers로 설정하고 작업을 ADD로 설정합니다.

규제 요구사항에 따라 각 Cloud Storage 버킷 보관 정책이 잠겨 있는지 확인합니다. 요구사항을 충족하는 기간으로 보관 기간을 설정합니다.

SetStorageClass 작업 유형이 있는 각 Cloud Storage 버킷에 수명 주기 규칙을 적용합니다.

Cloud Storage의 수명 주기 관리가 사용 설정되고 구성되어 있는지 확인합니다. 수명 주기 제어에는 스토리지 수명 주기에 관한 구성이 포함되어 있습니다. 이 설정의 정책이 요구사항과 일치하는지 확인합니다.

Cloud Storage의 수명 주기 관리 규칙이 사용 설정되고 구성되어 있는지 확인합니다. 규칙 제어에는 스토리지 수명 주기에 관한 구성이 포함되어 있습니다. 이 설정의 정책이 요구사항과 일치하는지 확인합니다.

temporaryHold가 TRUE로 설정된 모든 객체를 식별하고 조사 및 검증 프로세스를 시작합니다. 이 평가는 다음 사용 사례에 적합합니다.

• 소송자료 보존 조치: 데이터 저장에 관한 법적 요구사항을 준수하기 위해 진행 중인 조사 또는 소송과 관련이 있을 수 있는 민감한 정보가 삭제되지 않도록 임시 보존 조치를 사용할 수 있습니다.
• 데이터 손실 방지: 중요한 데이터가 실수로 삭제되지 않도록 임시 보관을 안전 조치로 사용하여 중요한 비즈니스 정보를 보호할 수 있습니다.
• 콘텐츠 검토: 민감하거나 부적절할 수 있는 콘텐츠가 공개적으로 액세스 가능해지기 전에 검토하려면 추가 검사 및 검토 결정을 위해 Cloud Storage에 업로드된 콘텐츠에 임시 보류를 적용하세요.

모든 Cloud Storage 버킷에 보관 정책이 있는지 확인합니다.

데이터 분류는 모든 데이터 거버넌스 및 보안 프로그램의 기본 구성요소입니다. 각 버킷에 공개, 내부, 기밀, 제한됨과 같은 값이 있는 분류 라벨을 적용하는 것이 중요합니다.

google_storage_bucket.labels에 분류 표현식이 있는지 확인하고 없는 경우 위반을 생성합니다.

모든 Cloud Storage 버킷에 로그 버킷이 포함되어 있는지 확인합니다.

Cloud Storage에서 storage.buckets/lifecycle.rule.action.type는 버킷 내 수명 주기 규칙에 따라 특정 객체에 취해질 작업의 유형을 나타냅니다. 이 구성을 사용하면 클라우드에 저장된 데이터의 관리 및 수명 주기를 자동화할 수 있습니다.

객체가 버킷에서 영구적으로 삭제되도록 storage.buckets/lifecycle.rule.action.type를 구성합니다.

삭제 규칙의 경우 규칙의 isLive 조건이 false로 설정되어 있는지 확인합니다.

Cloud Storage에서 storage.buckets/lifecycle.rule.condition.isLive는 객체가 활성 상태로 간주되는지 여부를 확인하기 위해 수명 주기 규칙에 사용되는 불리언 조건입니다. 이 필터를 사용하면 수명 주기 규칙 내의 작업이 실시간 상태를 기반으로 원하는 객체에만 적용됩니다.

사용 사례:

• 이전 버전 보관: 최신 버전에 쉽게 액세스할 수 있도록 유지하면서 스토리지 비용을 절감하기 위해 이전 버전의 객체만 보관합니다.
• 삭제된 객체 정리: 사용자가 삭제한 객체를 영구적으로 삭제하여 버킷의 공간을 확보합니다.
• 라이브 데이터 보호: 임시 보존 설정과 같은 작업이 라이브 객체에만 적용되도록 하여 보관되거나 삭제된 버전이 실수로 수정되지 않도록 합니다.

모든 Cloud Storage 버킷에 버전 관리가 사용 설정되어 있는지 확인합니다. 사용 사례는 다음과 같습니다.

• 데이터 보호 및 복구: 덮어쓰기를 방지하고 삭제되거나 수정된 데이터의 복구를 지원하여 실수로 인한 데이터 손실을 방지합니다.
• 규정 준수 및 감사: 규정 준수 또는 내부 감사 목적으로 모든 객체 수정 내역을 유지합니다.
• 버전 관리: 파일 및 데이터 세트의 변경사항을 추적하여 공동작업을 지원하고 필요한 경우 이전 버전으로 롤백할 수 있습니다.

google_storage_bucket.labels에 소유자 표현식이 있는지 확인합니다.

사용 사례에 따라 특정 스토리지 객체에 관한 추가 로깅을 사용 설정합니다. 예를 들어 누가 언제 액세스했는지 추적할 수 있도록 민감한 데이터 버킷에 대한 액세스를 로깅합니다. 추가 로깅을 사용 설정할 때는 생성될 수 있는 로그의 양을 고려하세요.