규정 준수 관리자로 환경 감사

규정 준수 관리자를 사용하면 프레임워크에 따라 감사를 실행하여 Google Cloud 환경의 규정 준수 상태를 파악할 수 있습니다. 환경 감사를 통해 다음을 수행할 수 있습니다.

  • Google Cloud워크로드가 규정 준수 의무와 얼마나 잘 부합하는지 평가하기 위해 규정 준수 평가를 자동화합니다.
  • 규정 준수 감사를 위한 증거를 수집합니다.
  • 위반을 해결하는 데 도움이 되는 격차를 식별합니다.

규정 준수 관리자는 모든Google Cloud 폴더 또는 프로젝트에 대한 평가를 제공할 수 있습니다.

감사 프로세스는 다음과 같은 아티팩트를 생성하며, 규정 준수 관리자는 이를 Cloud Storage 버킷에 저장합니다.

  • 감사 요약 보고서는 다음을 제공합니다.
    • 폴더 또는 프로젝트가 프레임워크의 클라우드 제어와 얼마나 잘 부합하는지에 대한 개요
    • Google과의 공유 책임을 이해하는 데 도움이 되는 책임 매트릭스
  • 제어 개요 보고서는 특정 클라우드 제어에 대한 평가 결과를 설명합니다. 이 보고서는 각 규정 준수 검사에 대한 관찰 결과와 예상 값 등 평가 세부정보를 제공합니다.
  • 보고서를 만드는 데 사용된 증거에는 애셋 데이터의 원시 덤프와 함께 각 클라우드 컨트롤에 대해 평가된 모든 리소스가 포함됩니다.

시작하기 전에

  • 감사 데이터를 저장할 수 있는 Cloud Storage 버킷을 식별하거나 만듭니다. 자세한 내용은 버킷 만들기를 참조하세요.
  • 감사하려는 프레임워크를 적절한 조직, 폴더, 프로젝트에 적용합니다.
  • 리소스 위치를 제한하는 경우 감사를 처리하려는 위치가 조직 정책에 포함되어 있는지 확인합니다.
  • VPC 서비스 제어 서비스 경계를 사용하는 경우 적절한 인그레스 및 이그레스 규칙을 구성합니다.

리소스 등록

환경을 감사할 수 있으려면, 먼저 감사할 조직, 폴더 또는 프로젝트를 등록하고 Cloud Storage 버킷을 지정해야 합니다. 규정 준수 관리자는 감사 데이터를 Cloud Storage 버킷에 저장합니다.

  1. 콘솔에서 규정 준수 페이지로 이동합니다.

    규정 준수로 이동

  2. 조직을 선택합니다.

  3. 감사(미리보기) 탭에서 감사 설정을 클릭합니다.

  4. 감사하려는 프로젝트 또는 폴더를 찾습니다.

  5. 등록을 클릭합니다. 상속은 다음과 같이 작동합니다.

    • 조직을 등록하면 모든 폴더와 프로젝트를 감사할 수 있습니다.
    • 폴더를 등록하면 해당 폴더 내의 폴더와 프로젝트를 감사할 수 있습니다.

  6. 감사 데이터를 저장하는 데 사용할 Cloud Storage 버킷을 선택하거나 새 버킷을 만듭니다.

  7. 등록을 클릭합니다.

리소스 등록 업데이트

리소스를 등록한 후에도 Cloud Storage 버킷을 변경할 수 있습니다.

  1. 콘솔에서 규정 준수 페이지로 이동합니다.

    규정 준수로 이동

  2. 조직을 선택합니다.

  3. 감사(미리보기) 탭에서 감사 설정을 클릭합니다.

  4. 변경하려는 프로젝트 또는 폴더를 찾습니다.

  5. 업데이트를 클릭합니다.

  6. 버킷 정보를 수정합니다.

  7. 등록을 클릭합니다.

환경 감사

폴더 또는 프로젝트 감사를 시작하려면 다음 태스크를 수행합니다.

  1. 콘솔에서 규정 준수 페이지로 이동합니다.

    규정 준수로 이동

  2. 조직을 선택합니다.

  3. 감사(미리보기) 탭에서 감사 실행을 클릭합니다.

  4. 감사하려는 리소스를 선택합니다. 감사별로 하나의 폴더 또는 프로젝트만 선택할 수 있습니다.

  5. 적용된 프레임워크를 선택합니다.

  6. 감사 평가를 처리해야 하는 위치를 선택합니다. 지원되는 위치 목록은 규정 준수 관리자의 감사 위치를 참조하세요. 찾으려는 위치가 표시되지 않으면 전역을 선택합니다. 다음을 클릭합니다.

  7. 평가 계획을 검토합니다. 이 계획은 선택한 프레임워크에 따라 감사 범위에 대한 정보를 제공합니다. OpenDocument 스프레드시트(ODS) 파일을 다운로드하려면 링크를 클릭합니다.

  8. 다음을 클릭합니다.

  9. 감사 보고서를 저장하려는 Cloud Storage 버킷을 선택합니다. 완료를 클릭합니다.

  10. 감사 실행을 클릭합니다. 감사를 완료하는 데 다소 시간이 걸릴 수 있습니다. 기본 감사 페이지를 새로고침하여 진행 상황을 확인합니다.

Cloud Storage 버킷의 변경사항을 감시하려면 이벤트 기반 함수 또는 Pub/Sub를 사용하여 알림을 설정하면 됩니다.

감사 정보 보기

감사가 완료되면 규정 준수 관리자는 사용자가 볼 수 있도록 대상 스토리지 버킷에 아티팩트를 만들어 저장합니다.

  1. 콘솔에서 규정 준수 페이지로 이동합니다.

    규정 준수로 이동

  2. 조직을 선택합니다.

  3. 감사(미리보기) 탭에서 감사 요약을 보려면 상태 열의 링크를 클릭합니다.

    기본 정보 페이지에는 범위 내 규정 준수 제어 및 자동 규정 준수 상태에 대한 정보가 표시됩니다.

    • 규정 준수: 모든 요구사항을 충족하는 구성을 보여줍니다.
    • 위반: 지정된 제어를 기준으로 감지된 잘못된 구성을 표시합니다.
    • 수동 검토 필요: 구성이 규정을 준수하는지 확인하기 위해 수동으로 검증해야 하는 구성을 표시합니다.
    • 건너뜀: 규정 준수 관리자가 특정 컨트롤에 대해 건너뛴 구성을 표시합니다.

  4. 확인하려는 감사 정보의 유형에 따라 해당 탭의 안내를 따르세요.

    감사 요약 보고서

    1. 상태의 세부정보를 보려면 보기를 클릭합니다.

    2. 감사 요약 보고서를 내보내려면 내보내기를 클릭합니다.

      감사 요약 보고서 내보내기는 ODS 형식으로 수행됩니다.

    제어 개요 보고서

    제어 또는 상태별로 제어 개요 보고서를 볼 수 있습니다.

    제어 기준으로 제어 개요 페이지를 보려면 다음을 수행합니다.

    1. 필터링된 목록에서 필요한 제어를 확장합니다.

    2. 해당 하이퍼링크를 클릭합니다. 제어 페이지에는 책임, 발견 사항, 요구사항이 표시됩니다.

    상태 기준으로 제어 개요 보고서를 보려면 다음을 수행합니다.

    1. 필요한 상태에서 보기를 클릭합니다.

    2. 제어 목록에서 필요한 하이퍼링크를 클릭합니다. 제어 개요 페이지에는 책임, 발견 사항, 요구사항이 표시됩니다.

    제어 개요 보고서를 내보내려면 내보내기를 클릭합니다. 제어 개요 보고서 내보내기는 ODS 형식으로 수행됩니다.

    증거

    제어 또는 상태를 기준으로 증거를 확인할 수 있습니다.

    제어 기준에 따른 증거를 보려면 다음을 수행합니다.

    1. 필요한 제어를 확장합니다.

    2. 각 규칙에 대한 자세한 규정 준수 평가를 보려면 해당 하이퍼링크를 클릭합니다.

    제어 페이지에는 책임, 발견 사항, 요구사항이 표시됩니다.

    상태 기준으로 증거를 보려면 다음 단계를 수행합니다.

    1. 필요한 상태에서 보기를 클릭합니다.

    2. 제어 목록에서 필요한 하이퍼링크를 클릭합니다.

    제어 페이지에는 책임, 발견 사항, 요구사항이 표시됩니다.

    발견 사항의 증거를 보려면 필터링된 목록에서 증거를 열려면 여기를 클릭하세요를 클릭합니다. 증거 세부정보가 포함된 객체 세부정보 페이지가 별도의 탭으로 열립니다.

    증거를 다운로드하려면 다운로드를 클릭합니다. 증거는 JSON 형식으로 다운로드됩니다.

또는 대상 스토리지 버킷에서 필요한 보고서와 증거를 직접 다운로드할 수 있습니다. 자세한 내용은 버킷에서 객체 다운로드를 참조하세요.

감사 요약 보고서

감사 요약 보고서는 Google Cloud 폴더 또는 프로젝트의 규정 준수를 이해하는 데 도움이 되는 모든 규정 준수 제어 및 책임 규정을 개략적으로 제공하는 포괄적인 보고서입니다. 감사 요약 보고서는 OpenDocument 스프레드시트(ODS) 형식으로 제공됩니다.

대상 스토리지 버킷에서 감사 요약 보고서에는 다음과 같은 이름 지정 규칙이 사용됩니다.

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/overall_report.ods

값은 다음과 같습니다.

  • FRAMEWORK_NAME: 프레임워크의 이름입니다.
  • TIMESTAMP: 보고서가 생성된 시간을 나타내는 타임스탬프입니다.
  • UNIQUE_ID: 보고서의 고유 ID입니다.

적용 가능한 제어 유형마다 감사 요약 보고서에서 다음 필드가 채워집니다.

컨트롤 유형 설명
제어 정보 제어에 대한 설명 및 요구사항입니다.
Google 책임 Google Cloud 책임 및 구현에 대한 세부정보입니다.
고객 책임 사용자의 책임 및 구현에 대한 세부정보입니다.
평가 상태

제어의 규정 준수 상태입니다. 상태는 다음 유형 중 하나일 수 있습니다.

  • 미준수: 규정 준수 드리프트가 감지되었습니다.
  • 준수: 시스템이 규정을 준수합니다.
  • 수동 검토 필요: 아티팩트가 생성되지만 규정 준수 상태를 결정하려면 사용자 입력이 필요합니다.
  • 건너뜀: 규정 준수 관리자가 클라우드 컨트롤을 평가할 수 없습니다.
제어 보고서 링크 제어 개요 보고서의 링크

제어 개요 보고서

제어 개요 보고서에는 단일 제어에 대한 규정 준수 평가에 관한 자세한 설명이 포함되어 있습니다. 이 보고서는 관찰 결과와 예상 값이 포함된 각 규정 준수 검사의 평가 세부정보를 제공합니다.

대상 스토리지 버킷에서 제어 개요 보고서는 다음 이름 지정 규칙을 사용합니다.

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/CONTROL_ID.ods

값은 다음과 같습니다.

  • FRAMEWORK_NAME: 프레임워크의 이름입니다.
  • TIMESTAMP: 보고서가 생성된 타임스탬프입니다.
  • UNIQUE_ID: 보고서의 고유 ID입니다.
  • CONTROL_ID: 제어 ID입니다.

보고서 내에서 날짜에는 MM/DD/YYYY 형식을 사용합니다.

제어 개요 보고서는 다음 예시와 비슷합니다.

제어 ID: COMPLIANT
서비스 이름 리소스 수 상태 리소스 평가 세부정보
리소스 ID 측정된 필드 현재 값 예상 값 상태 증거 리소스 URI 증거 타임스탬프 프로젝트/폴더 증거 증거 링크
이 제어 범위 내의 총 서비스 감사 범위의 총 리소스 규정 준수 상태 리소스 식별자 감사 대상으로 측정할 구성 관측된 값 규정 준수 값 개별 규정 준수 상태 증거가 수집된 시점의 타임스탬프
product1.googleapis.com 2 COMPLIANT folder_123456 abc 10 >=10 COMPLIANT 리소스 1 01/01/2025 12:55:16 프로젝트 1 링크 1
def 15 =15 COMPLIANT 리소스 4 12/05/2024 13:55:16 프로젝트 1 링크 4
project_123456 xyz 20 =20 COMPLIANT 리소스 2 12/05/2024 14:55:16 프로젝트 1 링크 2
product2.googleapis.com 1 COMPLIANT project_123456 def 5 >=5 COMPLIANT 리소스 3 12/05/2024 15:55:16 프로젝트 1 링크 3

증거

증거에는 출력을 생성하기 위해 실행된 명령어와 함께 애셋 데이터의 원시 덤프를 포함하여 각 제어에 대해 평가된 모든 리소스가 포함됩니다.

대상 스토리지 버킷에서 증거는 JSON 형식이며 다음 이름 지정 규칙을 사용합니다.

audit-reports/audit_FRAMEWORK_NAME_TIMESTAMP/UNIQUE_ID/evidences/evidenceEVIDENCE_ID.json

값은 다음과 같습니다.

  • FRAMEWORK_NAME: 프레임워크의 이름입니다.
  • TIMESTAMP: 보고서가 생성된 타임스탬프입니다.
  • UNIQUE_ID: 보고서의 고유 ID입니다.
  • EVIDENCE_ID: 증거의 고유 ID입니다.

다음 단계