BigQuery 위협 모델 보고서

조작

영향

악의적인 스키마 업데이트: bigquery.tables.update 권한이 있는 주 구성원은 BigQuery 테이블에서 tables.patch API 메서드를 호출하여 스키마를 변경할 수 있습니다. 열 데이터 유형을 변경하면 데이터가 손상되거나 정보가 손실되어 클라이언트 애플리케이션 또는 비즈니스 인텔리전스 도구의 쿼리가 중단될 수 있으며, 이로 인해 다운스트림 보고에 대한 신뢰가 손실될 수 있습니다.

roles/bigquery.dataOwner과 같은 역할의 일부인 bigquery.tables.update 권한을 엄격하게 제한합니다. 관리형 스키마 이전을 담당하는 소수의 관리자 또는 자동화된 CI/CD 서비스 계정에만 이 권한을 부여하세요. BigQuery 테이블 백업을 사용 설정하거나 테이블 스냅샷을 사용하여 실수로 또는 악의적으로 변경된 스키마를 복구합니다. Cloud 감사 로그에서 tables.patch API 호출을 모니터링하고 계획된 유지관리 기간 외에 변경사항이 발생하면 알림을 보냅니다.

권한 승격

권한 에스컬레이션

• 데이터 세트 정책 수정: bigquery.datasets.update 권한이 있는 주 구성원은 BigQuery 데이터 세트에서 datasets.patch API 메서드를 호출하여 소유자 역할에 자체 ID를 추가할 수 있으며, 이를 통해 해당 데이터 세트 내의 모든 리소스를 완전히 제어할 수 있습니다.

• 서비스 계정 가장: 서비스 계정에 대한 iam.serviceAccounts.actAs 권한이 있는 ID는 연결된 서비스 계정의 ID로 코드를 실행하기 위해 서비스 계정을 Compute Engine 인스턴스와 같은 다른 리소스에 연결할 수 있습니다. 또는 iam.serviceAccounts.getAccessToken 권한이 있는 ID가 해당 서비스 계정에 대한 액세스 토큰을 생성할 수 있습니다. 타겟 서비스 계정에 BigQuery 리소스에 대한 권한이 상승된 경우 공격자가 이러한 권한을 효과적으로 상속합니다.

IAM 허용 정책 수정 (예: roles/bigquery.dataOwner과 같은 역할에 포함된 bigquery.datasets.update)을 허용하는 권한을 엄격하게 제한합니다. 이러한 역할은 최소한의 신뢰할 수 있는 관리자에게만 할당하세요. 마찬가지로 서비스 계정으로 작동하거나 서비스 계정을 가장할 수 있는 권한이 있는 IAM 역할을 엄격하게 관리하고 이러한 역할을 필요한 특정 주체로 범위 지정합니다. Cloud 감사 로그에서 SetIamPolicy 및 datasets.patch API 호출을 모니터링하여 승인되지 않은 정책 변경사항을 감지합니다.

권한 승격

권한 에스컬레이션

• 악성 함수 트리거: BigQuery 변경사항이 광범위한 권한이 있는 Cloud 함수를 트리거하고 공격자가 BigQuery 데이터를 조작하여 함수의 작업을 제어합니다.

• Dataflow 파이프라인 악용: BigQuery 쿼리 결과가 Dataflow 작업의 입력으로 사용되고 공격자가 쿼리 결과를 작성하여 Dataflow 작업이 포이즌 데이터를 수집하도록 합니다.

BigQuery에 의해 트리거되는 다운스트림 서비스에서 사용하는 서비스 계정에 최소 권한 원칙을 적용합니다. 이러한 서비스가 BigQuery 작업에서 수신한 입력 또는 매개변수를 검증하고 정리하는지 확인합니다. VPC 서비스 제어를 사용하여 네트워크 경로와 서비스 상호작용을 제한합니다. 다운스트림 서비스가 검증 없이 BigQuery의 입력을 신뢰하지 않도록 설계합니다.

정보 공개

유출

• 신뢰할 수 없는 네트워크에서의 API 액세스: 공격자가 도용된 사용자 인증 정보를 사용하여 외부 머신에서 공개 BigQuery API 또는 BigQuery Storage Read API에 연결하여 온프레미스 호스트 또는 사용자 기기에 구성된 네트워크 제어를 우회합니다.

• 외부 Google Cloud 서비스로 내보내기: bigquery.jobs.create 및 Cloud Storage 권한이 있는 손상된 서비스 계정이 조직의 통제 범위 밖에 있는 공개 Cloud Storage 버킷으로 결과를 내보내는 쿼리를 실행합니다.

임의의 외부 서비스로의 데이터 무단 반출을 완화하기 위해 네트워크 이그레스 제어를 구현합니다. BigQuery 리소스가 포함된 프로젝트 주위에 VPC 서비스 제어 경계를 구현합니다. 이 경계는 경계 외부의 Google Cloud 서비스로의 데이터 무단 반출을 제한하는 데 도움이 됩니다. 신뢰할 수 있는 IP 범위 또는 특정 VPC 네트워크에서 시작된 API 요청만 허용하도록 경계의 액세스 수준을 구성하여 정의된 보안 경계 외부에서 데이터에 액세스하거나 데이터를 이동하는 것을 효과적으로 방지합니다.

조작

영향

• 측정기준 표 조작: 제품 측정기준 표에서 키 값 또는 속성을 변경합니다.

• 조회 손상: 참고표의 매핑 데이터를 변경합니다.

참조 또는 조회 테이블에 대한 쓰기 액세스 (bigquery.tables.updateData)를 신뢰할 수 있는 데이터 수집 프로세스로만 엄격하게 제한합니다. 데이터 품질 검사 및 검증 파이프라인을 구현합니다. 테이블 스냅샷 또는 버전 관리를 사용하여 변경사항을 추적하고 롤백을 사용 설정합니다. 감사 로그에서 이러한 중요한 테이블의 변경사항을 모니터링합니다.

조작

영향

• 테이블 덮어쓰기: bigquery.jobs.create 및 bigquery.tables.updateData 권한이 있는 주 구성원이 쓰기 처리 방법이 WRITE_TRUNCATE로 설정된 로드 작업을 시작하여 기존 데이터를 모두 삭제하고 외부 소스의 악성 데이터로 대체합니다.

• 악성 데이터 추가: 공격자가 WRITE_APPEND가 포함된 로드 작업을 사용하여 기존 테이블에 가비지 또는 악성 데이터를 삽입하여 원본 레코드를 삭제하지 않고 분석을 손상시킵니다.

최소 권한의 원칙을 적용합니다. bigquery.jobs.create 및 bigquery.tables.updateData과 같은 권한을 엄격하게 관리합니다 (roles/bigquery.dataEditor과 같은 역할에 있음). 이러한 권한은 신뢰할 수 있는 보안 주체에게만 부여하고 특정 데이터 세트 또는 테이블로 범위를 지정합니다. Cloud 감사 로그에서 로드 작업 완료를 모니터링합니다(특히 WRITE_TRUNCATE 처리가 있는 작업). 예상치 못한 사용자로부터 시작되거나 신뢰할 수 없는 소스에서 데이터를 로드하는 작업에 대한 알림을 만듭니다.

정보 공개

유출

• 직접 데이터 읽기: bigquery.tables.getData 권한이 있는 주 구성원은 tabledata.list API 메서드 또는 처리량이 높은 BigQuery Storage Read API를 사용하여 테이블에서 직접 데이터를 읽을 수 있습니다.

• 쿼리 기반 유출: bigquery.jobs.create 권한이 있는 보안 주체는 jobs.insert 또는 jobs.query를 사용하여 액세스할 수 있는 테이블에서 데이터를 읽는 쿼리 작업을 실행한 다음 jobs.getQueryResults를 사용하여 결과를 검색할 수 있습니다.

• 공개 액세스 가능: BigQuery 데이터 세트 또는 BigQuery 테이블의 IAM 허용 정책은 allUsers 또는 allAuthenticatedUsers과 같은 특수 주체에 역할을 부여하여 공개 액세스를 허용하도록 구성할 수 있으며, 이렇게 하면 데이터가 인터넷에 노출됩니다.

모든 IAM 허용 정책에 최소 권한의 원칙을 구현합니다. 프로젝트 수준이 아닌 필요한 가장 세부적인 수준 (예: 특정 BigQuery 테이블 또는 데이터 세트)에서 권한을 부여합니다. 특정 작업에 필요한 권한 (예: bigquery.tables.getData, bigquery.jobs.create)만 포함된 최소 권한 IAM 역할을 사용합니다. 리소스 계층 구조의 상위 수준에 적용된 roles/bigquery.dataViewer 또는 roles/bigquery.user와 같이 과도하게 허용적인 역할에 대한 IAM 허용 정책을 정기적으로 감사합니다.

정보 공개

유출

• 외부 버킷으로 내보내기: 내보내기 작업을 사용하여 테이블 데이터를 공격자의 프로젝트에 있는 Cloud Storage 버킷에 저장합니다.

• 교차 프로젝트 쿼리 대상: 쿼리를 실행하고 대상 테이블을 공격자가 제어하는 프로젝트의 데이터 세트로 설정합니다.

VPC 서비스 제어를 구현하여 프로젝트 주위에 경계를 만들어 경계 외부의 프로젝트로 데이터가 이그레스되지 않도록 합니다. bigquery.tables.export 및 bigquery.jobs.create과 같은 권한을 엄격하게 관리합니다. 조직 정책 제약조건을 사용하여 프로젝트 공유 및 생성을 제한합니다. 예상 프로젝트 경계 외부의 대상이 있는 내보내기 작업 또는 쿼리에 대해 Cloud 감사 로그를 모니터링합니다.

정보 공개

컬렉션

• 잘못된 뷰 로직: 승인된 뷰의 쿼리에서 기본 테이블의 행 수준 보안 정책에 있는 필수 WHERE 절이 누락됩니다.

• 행 수준 보안 우회: 복잡한 행 수준 보안 정책에 의도한 것보다 광범위한 액세스를 허용하는 논리적 오류가 포함되어 있습니다.

승인된 뷰 및 행 수준 보안 정책에 사용되는 SQL 로직에 엄격한 코드 검토 프로세스를 구현합니다. 보안 로직을 철저히 테스트합니다. 뷰 및 행 수준 보안 정책을 만들거나 업데이트할 수 있는 권한 (예: bigquery.tables.create, bigquery.tables.update, bigquery.rowAccessPolicies.create)을 제한합니다. 기존 뷰와 행 수준 보안 구성을 정기적으로 감사합니다. 행 수준 보안 권장사항을 따릅니다.

정보 공개

유출

• 공개 데이터 세트: 데이터 세트의 IAM 허용 정책은 allUsers에 보기 권한을 부여합니다.

• 프로젝트 간 과도한 공유: 데이터 세트가 외부 조직 또는 신뢰할 수 없는 프로젝트의 서비스 계정과 공유됩니다.

데이터 세트 IAM 허용 정책에 최소 권한의 원칙을 구현합니다. constraints/iam.allowedPolicyMemberDomains와 같은 조직 정책을 사용하여 특정 도메인으로 공유를 제한합니다. Security Command Center를 사용하여 데이터 세트 IAM 허용 정책을 정기적으로 감사하여 공개 또는 지나치게 광범위한 권한을 감지합니다. VPC 서비스 제어를 사용하여 민감한 정보가 포함된 프로젝트 주위에 경계를 만들어 승인되지 않은 유출을 방지합니다.

정보 공개

컬렉션

• 데이터 저장: 작업 요구사항을 초과하는 고객 데이터를 정기적으로 쿼리하고 다운로드합니다.

• 민감한 분석: 유출을 위해 영업 비밀 또는 개인 식별 정보를 추출하는 분석을 실행합니다.

데이터 액세스 감사 로그를 사용 설정하고 모니터링하여 데이터 액세스 패턴을 추적합니다. Sensitive Data Protection과 같은 도구를 사용하여 쿼리 결과에서 민감한 정보를 스캔합니다. 사용자 행동 분석 (UBA)을 구현하여 비정상적인 쿼리 패턴 또는 데이터 액세스 볼륨을 감지합니다. 명확한 데이터 처리 정책을 시행하고 보안 인식 교육을 제공합니다. 행 수준 보안 및 열 수준 보안을 사용하여 승인된 사용자에게도 데이터 노출을 제한합니다.

권한 승격

지속성

• 숨겨진 데이터 세트 IAM: 모니터링이 덜 되는 특정 데이터 세트에 개인 계정 보기 권한을 부여합니다.

• 승인된 뷰 백도어: 제한된 테이블에 액세스할 수 있는 권한이 부여된 뷰를 만들고 뷰에 대한 액세스 권한을 부여합니다.

• 악성 예약 쿼리: 데이터를 외부 위치에 주기적으로 복사하도록 예약된 쿼리를 구성합니다.

Security Command Center와 같은 도구를 사용하여 데이터 세트 수준 권한을 포함한 모든 IAM 허용 정책을 정기적으로 감사합니다. 데이터 세트 (bigquery.datasets.update), 루틴 (bigquery.routines.create/update), 데이터 전송 (bigquery.transfers.update)의 생성 또는 업데이트 권한을 엄격하게 관리합니다.

위장

초기 액세스

• 서비스 계정 키 유출: JSON 키 파일이 코드 저장소, 공개 스토리지 또는 인스턴스 메타데이터에 노출됩니다.

• 도용된 애플리케이션: 서비스 계정을 사용하는 애플리케이션이 도용되어 공격자가 사용자 인증 정보를 추출하여 사용할 수 있습니다.

• 도용된 OAuth 토큰: 공격자가 클라이언트 애플리케이션 또는 브라우저 세션에서 OAuth 토큰을 가로채거나 유출합니다.

• 범위가 과도한 토큰: 애플리케이션이 과도한 범위 (예: 읽기만 필요한데 전체 BigQuery 액세스)가 있는 토큰을 요청하고 저장합니다.

서비스 계정 키를 내보내지 마세요. 가능한 경우 연결된 서비스 계정 또는 워크로드 아이덴티티 제휴를 사용하세요. 키가 필요한 경우 키를 정기적으로 순환하고 서비스 계정에 필요한 최소 권한만 부여합니다. Cloud 감사 로그 및 Security Command Center에서 비정상적인 서비스 계정 활동 또는 키 노출을 모니터링합니다. constraints/iam.disableServiceAccountKeyCreation 조직 정책 제약 조건을 사용하여 서비스 계정 키 생성을 사용 중지합니다. OAuth 토큰을 안전하게 저장하고 전송합니다. OAuth 2.0 권장사항을 따릅니다. 필요한 범위만 요청합니다. 단기 토큰과 갱신 토큰을 안전하게 사용합니다. 손상된 토큰을 감지하고 취소하는 메커니즘을 구현합니다. 비정상적인 토큰 사용 패턴을 모니터링합니다. 표준 서비스 계정 키 보호 조치를 완료합니다. Google Cloud 서비스의 세션 길이를 구성하여 단기 토큰을 적용하고 유출된 토큰의 위험을 완화합니다.

서비스 거부

영향

• 최적화되지 않은 쿼리: 필터 없이 큰 테이블에서 크로스 조인을 사용하여 쿼리를 실행합니다.

• 반복 실행: 비용이 많이 드는 쿼리를 자주 실행하는 스크립트

BigQuery 맞춤 할당량을 사용하여 쿼리 사용량 (예: 일일 스캔된 바이트)에 대한 사용자 수준 및 프로젝트 수준 한도를 설정합니다. 쿼리 작업에서 maximumBytesBilled 매개변수를 사용합니다. BigQuery 예약을 사용하여 워크로드를 격리하고 용량을 보장합니다. Cloud 결제에서 결제 알림을 구성하고 Cloud Monitoring에서 슬롯 사용률을 모니터링하여 이상을 감지하고 대응합니다.