민감한 정보 검색 사용 설정

이 문서에서는 Sensitive Data Protection의 민감한 정보 검색 기능, 각 Security Command Center 서비스 등급에서 작동하는 방식, 사용 설정 방법을 설명합니다.

시작하기 전에

Security Command Center에서 민감한 정보 검색을 사용하려면 다음 작업을 완료하세요.

Security Command Center 활성화

Security Command Center 활성화 Security Command Center를 활성화하는 방법에 따라 Sensitive Data Protection에 대한 추가 요금이 발생할 수 있습니다. 자세한 내용은 Security Command Center 고객을 위한 검색 가격 책정을 참고하세요.

Security Command Center가 Sensitive Data Protection 발견 항목을 수락하도록 구성되어 있는지 확인

기본적으로 Security Command Center는 Sensitive Data Protection의 발견 항목을 수락하도록 구성되어 있습니다. 조직에서 Sensitive Data Protection을 통합 서비스로 사용 중지한 경우 민감한 정보 검색 발견 항목을 수신하려면 다시 사용 설정해야 합니다. 자세한 내용은 통합 서비스 추가를 참고하세요. Google Cloud

권한 설정

민감한 정보 검색을 구성하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

목적	사전 정의된 역할	관련 권한
검색 스캔 구성 만들기 및 데이터 프로필 보기	DLP 관리자(roles/dlp.admin)	dlp.columnDataProfiles.list dlp.fileStoreProfiles.list dlp.inspectTemplates.create dlp.jobs.create dlp.jobs.list dlp.jobTriggers.create dlp.jobTriggers.list dlp.projectDataProfiles.list dlp.tableDataProfiles.list
서비스 에이전트 컨테이너로 사용할 프로젝트 만들기1	프로젝트 생성자(roles/resourcemanager.projectCreator)	resourcemanager.organizations.get resourcemanager.projects.create
검색 액세스 권한 부여2	다음 중 하나: 조직 관리자(roles/resourcemanager.organizationAdmin) 보안 관리자(roles/iam.securityAdmin)	resourcemanager.organizations.getIamPolicy resourcemanager.organizations.setIamPolicy

¹프로젝트 생성자(roles/resourcemanager.projectCreator) 역할이 없어도 스캔 구성을 만들 수 있지만 사용하는 서비스 에이전트 컨테이너가 기존 프로젝트여야 합니다.

²조직 관리자(roles/resourcemanager.organizationAdmin) 또는 보안 관리자(roles/iam.securityAdmin) 역할이 없어도 스캔 구성을 만들 수 있습니다. 스캔 구성을 만든 후 조직에서 이러한 역할 중 하나를 가진 사용자가 서비스 에이전트에 검색 액세스 권한을 부여해야 합니다.

역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

이점

이 기능은 다음과 같은 이점을 제공합니다.

• Sensitive Data Protection 결과를 사용하여 리소스에서 민감한 정보를 일반 대중이나 악의적인 행위자에게 노출할 수 있는 취약점과 잘못된 구성을 식별하고 수정할 수 있습니다.

• Sensitive Data Protection 결과를 사용하여 트리아지 프로세스에 컨텍스트를 추가하고 민감한 정보가 포함된 리소스를 타겟팅하는 위협의 우선순위를 지정할 수 있습니다.

• 공격 경로 시뮬레이션 기능을 구성하여 리소스에 포함된 데이터의 민감도에 따라 리소스의 우선순위를 자동으로 지정할 수 있습니다. 자세한 내용은 데이터 민감도에 따라 리소스 우선순위 값 자동 설정을 참고하세요.

Security Command Center Enterprise의 민감한 정보 감지

Security Command Center Enterprise에는 Sensitive Data Protection 검색 서비스의 조직 수준 구독이 포함됩니다. 이 구독을 사용하면 조직 또는 폴더 수준에서 민감한 정보 검색을 실행할 때 Sensitive Data Protection 요금이 청구되지 않습니다. 자세한 내용은 이 문서의 Enterprise 및 Premium의 검색 용량을 참고하세요.

Security Command Center Enterprise 등급을 활성화하면 조직 수준에서 지원되는 모든 리소스 유형에 대해 민감한 정보 검색이 자동으로 사용 설정됩니다. 이 자동 사용 설정 프로세스는 Enterprise 등급 활성화 시 지원되는 리소스 유형에만 적용되는 일회성 작업입니다. 나중에 Sensitive Data Protection에서 새 리소스 유형에 대한 검색 지원을 추가하는 경우 해당 검색 유형을 수동으로 사용 설정해야 합니다. 자세한 내용은 이 문서의 조직에서 기본 설정으로 검색 사용 설정하기를 참고하세요.

Security Command Center Premium의 민감한 데이터 탐색

• Security Command Center Premium이 조직 수준에서 활성화된 경우 Premium 구독에는 Sensitive Data Protection 검색 서비스의 조직 수준 구독이 포함됩니다. 이 구독을 사용하면 조직 또는 폴더 수준에서 민감한 정보 검색을 실행할 때 Sensitive Data Protection 요금이 청구되지 않습니다. 자세한 내용은 이 문서의 Enterprise 및 Premium의 검색 용량을 참고하세요.

  조직 수준에서 민감한 정보 검색을 수행하려면 이 문서의 조직에서 기본 설정으로 검색 사용 설정을 참고하세요.

• Security Command Center Premium이 프로젝트 수준에서 활성화된 경우 프로젝트 수준에서 민감한 정보 탐색을 사용 설정하고 Security Command Center에서 발견 항목을 확인할 수 있습니다. 하지만 이 기능은 별도로 가격이 책정됩니다. 프로젝트 수준에서 검색을 사용 설정하려면 Sensitive Data Protection 문서의 스캔 구성 만들기를 참고하세요.

Security Command Center 인스턴스의 활성화 유형을 확인하려면 현재 활성화 유형 보기를 참고하세요.

Security Command Center Standard의 민감한 정보 감지

Security Command Center 스탠더드를 사용하는 경우 민감한 정보 검색을 사용 설정하고 Security Command Center에서 발견 항목을 확인할 수 있습니다. 하지만 이 기능은 별도로 가격이 책정됩니다.

작동 방식

Sensitive Data Protection 검색 서비스는 민감하고 위험성이 높은 데이터가 어디에 있는지 확인하여 조직 전체의 데이터를 보호하는 데 기여합니다.

• Sensitive Data Protection에서 검색 서비스는 다양한 세부 수준에서 데이터에 대한 측정항목과 인사이트를 제공하는 데이터 프로필을 생성합니다.
• Security Command Center에서 검색 서비스는 발견 항목을 생성합니다.

생성된 발견 항목

• Sensitive Data Protection은 Security Command Center에서 데이터의 계산된 민감도 및 데이터 위험 수준을 보여주는 관찰 발견 항목을 생성합니다. 이러한 발견 항목을 사용하면 데이터 애셋과 관련된 위협과 취약점이 발생할 때 대응 방법을 찾는 데 도움이 됩니다. 생성되는 발견 항목 유형의 목록은 검색 서비스의 관찰 발견 항목을 참조하세요.

  이러한 발견 항목은 데이터 민감도를 기준으로 고가치 리소스를 자동으로 지정하는 데 도움이 될 수 있습니다. 자세한 내용은 이 문서의 검색 통계를 사용하여 가치가 높은 리소스 식별을 참고하세요.

• Sensitive Data Protection이 보호되지 않은 민감도가 높거나 중간인 데이터를 감지하면 Security Command Center에서 취약점 및 잘못된 구성 발견 항목을 생성합니다. 생성되는 발견 항목 유형의 목록은 다음을 참고하세요.

  • Sensitive Data Protection 검색 서비스의 취약점 발견 항목
  • Sensitive Data Protection 검색 서비스의 구성 오류 발견 항목

Sensitive Data Protection의 전체 발견 항목 목록은 Sensitive Data Protection을 참고하세요.

발견 항목 생성 지연 시간

조직 규모에 따라 민감한 데이터 검색을 사용 설정한 후 몇 분 이내에 Sensitive Data Protection 발견 사항이 Security Command Center에 표시되기 시작할 수 있습니다. 대규모 조직이나 발견 사항 생성에 영향을 미치는 특정 구성이 있는 조직의 경우 초기 발견 사항이 Security Command Center에 표시되기까지 최대 12시간이 걸릴 수 있습니다.

그런 다음 탐색 서비스가 리소스를 스캔한 후 몇 분 이내에 Sensitive Data Protection에서 Security Command Center에 발견 사항을 생성합니다.

조직에서 기본 설정으로 검색 사용 설정

검색을 사용 설정하려면 스캔할 각 데이터 소스에 대한 검색 구성을 만듭니다. 구성을 만든 후 구성을 수정할 수 있습니다. 구성을 만드는 과정에서 설정을 맞춤설정하려면 스캔 구성 만들기를 참고하세요.

조직 수준에서 기본 설정으로 검색을 사용 설정하려면 다음 단계를 따르세요.

1. Google Cloud 콘솔에서 Sensitive Data Protection 검색 사용 설정 페이지로 이동합니다.

   검색 사용 설정으로 이동

2. 표시된 조직이 Security Command Center를 활성화한 조직인지 확인합니다.

3. 탐색 사용 설정 창의 서비스 에이전트 컨테이너 필드에서 서비스 에이전트 컨테이너로 사용할 프로젝트를 설정합니다. 이 프로젝트 내에서 시스템은 서비스 에이전트를 만들고 필요한 검색 역할을 여기에 자동으로 부여합니다.

   • 서비스 에이전트 컨테이너로 사용할 프로젝트를 자동으로 만들려면 다음 단계를 따르세요.

     1. 만들기를 클릭합니다.
     2. 새 프로젝트의 이름, 결제 계정, 상위 조직을 지정합니다. 필요한 경우 프로젝트 ID를 수정합니다.
     3. 만들기를 클릭합니다.

     새 프로젝트의 서비스 에이전트에 역할이 부여되는 데 몇 분 정도 걸릴 수 있습니다.

   • 이전에 검색 작업에 사용한 프로젝트를 선택하려면 서비스 에이전트 컨테이너 필드를 클릭하고 프로젝트를 선택합니다.

4. 기본 설정을 검토하려면 expand_more 펼치기 아이콘을 클릭합니다.

5. 검색 사용 설정 섹션에서 사용 설정할 각 검색 유형에 대해 사용 설정을 클릭합니다. 검색 유형을 사용 설정하면 다음 작업이 수행됩니다.

   • BigQuery: 조직 전반의 BigQuery 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 BigQuery 데이터 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.
   • Cloud SQL: 조직 전반의 Cloud SQL 테이블을 프로파일링하는 검색 구성을 만듭니다. Sensitive Data Protection에서 각 Cloud SQL 인스턴스의 기본 연결을 만들기 시작합니다. 이 프로세스는 몇 분 정도 걸릴 수 있습니다. 기본 연결이 준비되면 적절한 데이터베이스 사용자 인증 정보로 각 연결을 업데이트하여 Cloud SQL 인스턴스에 Sensitive Data Protection 액세스 권한을 부여해야 합니다.
   • 보안 비밀/사용자 인증 정보 취약점: Cloud Run 환경 변수에서 암호화되지 않은 보안 비밀을 감지하고 보고하는 탐색 구성을 만듭니다. Sensitive Data Protection에서 환경 변수 스캔을 시작합니다.
   • Cloud Storage: 조직 전체에서 Cloud Storage 버킷을 프로파일링하기 위한 검색 구성을 만듭니다. Sensitive Data Protection에서 Cloud Storage 데이터 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.
   • Vertex AI 데이터 세트: 조직 전체에서 Vertex AI 데이터 세트를 프로파일링하기 위한 검색 구성을 만듭니다. Sensitive Data Protection에서 Vertex AI 데이터 세트 프로파일링을 시작하고 Security Command Center로 프로필을 전송합니다.

   • Amazon S3: AWS 커넥터가 액세스할 수 있는 모든 Amazon S3 데이터를 프로파일링하기 위한 검색 구성을 만듭니다.

   • Azure Blob Storage: Azure 커넥터가 액세스할 수 있는 모든 Azure Blob Storage 데이터를 프로파일링하기 위한 검색 구성을 만듭니다.

6. 새로 생성된 검색 구성을 보려면 탐색 구성으로 이동을 클릭합니다.

   Cloud SQL 검색을 사용 설정하면 사용자 인증 정보가 없음을 나타내는 오류와 함께 검색 구성이 일시중지 모드로 생성됩니다. 디스커버리에 사용할 연결 관리를 참조하여 서비스 에이전트에 필요한 IAM 역할을 부여하고 각 Cloud SQL 인스턴스에 데이터베이스 사용자 인증 정보를 제공하세요.

7. 창을 닫습니다.

Sensitive Data Protection에서 생성한 발견 항목을 보려면 Google Cloud 콘솔에서 Sensitive Data Protection 발견 항목 검토를 참고하세요.

스캔 구성 맞춤설정

사용 설정한 각 검색 유형에는 맞춤설정할 수 있는 검색 스캔 구성이 있습니다. 예를 들어 다음을 수행할 수 있습니다.

• 스캔 빈도를 조정합니다.
• 다시 프로파일링하지 않을 데이터 애셋의 필터를 지정합니다.
• Sensitive Data Protection에서 스캔하는 정보 유형을 정의하는 검사 템플릿을 변경합니다.
• 생성된 데이터 프로필을 다른 Google Cloud 서비스에 게시합니다.
• 서비스 에이전트 컨테이너를 변경합니다.

검색 통계를 사용하여 가치가 높은 리소스 식별

Security Command Center는 높음 심각도 또는 중간 심각도 데이터를 포함하는 리소스를 자동으로 고가치 리소스로 지정할 수 있습니다. 고가치 리소스의 경우 Security Command Center는 민감한 정보가 포함된 리소스의 보안에 우선순위를 정하는 데 사용할 수 있는 공격 노출 점수 및 공격 경로 시각화를 제공합니다. 자세한 내용은 데이터 민감도에 따라 리소스 우선순위 값 자동 설정을 참고하세요.

Enterprise 및 Premium의 검색 용량

민감한 정보 검색 요구사항이 Security Command Center Enterprise 또는 Premium (조직 수준) 고객에게 할당된 용량을 초과하는 경우 Sensitive Data Protection에서 일시적으로 용량을 늘릴 수 있습니다. 하지만 이러한 증가는 보장되지 않으며 컴퓨팅 리소스의 사용 가능 여부에 따라 달라집니다. 더 많은 검색 용량이 필요한 경우 계정 담당자 또는 Google Cloud 영업 전문가에게 문의하세요. 자세한 내용은 Sensitive Data Protection 문서의 사용량 모니터링을 참고하세요.

다음 단계

• Sensitive Data Protection 발견 항목 보기
• Sensitive Data Protection에서 데이터 프로필을 확인합니다.