이 페이지에서는 Security Command Center에 적용되는 데이터와 인프라 보안을 설명합니다.
데이터 처리
Security Command Center에 등록하면 Google Cloud 에서 다음을 포함한 사용하는 Google Cloud 서비스와 관련된 정보를 처리합니다.
- Google Cloud리소스와 관련된 구성 및 메타데이터
- Identity and Access Management(IAM) 정책 및 사용자 구성 및 메타데이터
- Google Cloud수준 API 액세스 패턴 및 사용
- Google Cloud 조직의 Cloud Logging 콘텐츠
- 서비스 설정과 보안 발견 항목을 포함한 Security Command Center 메타데이터
Security Command Center는 클라우드 로그 및 원격 분석과 기타 데이터 등을 스캔하거나 모니터링하도록 구성한 애셋과 관련된 데이터를 처리하여 발견 항목을 제공하고 서비스를 개선합니다. 따라서 스캔 및 모니터링 보고서는 Google Cloud 개인정보처리방침의 약관에 따라 Google에서 서비스 데이터로 처리됩니다.
Security Command Center는 새로운 위협과 진화하는 위협으로부터 애셋을 보호하기 위해 잘못 구성된 애셋, 로그의 침해 지표, 공격 벡터와 관련된 데이터를 분석합니다. 이러한 활동에는 서비스 모델을 개선하기 위한 처리, 고객 환경 강화를 위한 권장사항, 서비스 효과와 품질, 사용자 환경이 포함될 수 있습니다. 서비스 개선을 위한 데이터를 처리하지 않고 서비스를 사용하려면 Google Cloud 지원팀에 문의하여 선택 해제하면 됩니다. 선택 해제하면 보안 원격 분석과 관련된 특정 기능을 사용하지 못할 수 있습니다. 이러한 예시로는 사용자 환경에 맞게 맞춤설정된 감지, 서비스 구성을 통합한 서비스 개선 등이 있습니다.
저장 데이터와 내부 시스템 간에 전송 중 데이터는 암호화됩니다. 또한 Security Command Center의 데이터 액세스 제어는 건강 보험 이동성 및 책임법 (HIPAA)과 기타 Google Cloud 규정 준수 서비스를 준수합니다.
민감한 정보 제한
조직의 관리자와 기타 권한이 있는 사용자는 Security Command Center에 데이터를 추가할 때 적절한 주의를 기울여야 합니다.
Security Command Center에서는 권한이 있는 사용자가Google Cloud 리소스와 검사에서 생성된 발견 항목에 설명 정보를 추가할 수 있습니다. 경우에 따라 사용자가 제품을 사용할 때 실수로 민감한 정보를 전달할 수도 있습니다(예: 발견 항목에 고객 이름이나 계좌 번호 추가). 데이터를 보호하려면 애셋의 이름을 지정하거나 주석을 작성할 때 민감한 정보를 추가하지 않는 것이 좋습니다.
보안이 강화되도록 Security Command Center와 Sensitive Data Protection을 통합할 수 있습니다. Sensitive Data Protection은 신용카드 번호, 주민등록번호, Google Cloud 사용자 인증 정보와 같은 민감한 정보와 개인 정보를 검색하고 분류하며 마스킹합니다.
정보의 양에 따라 Sensitive Data Protection 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리를 위한 권장사항을 따릅니다.
리소스 관리를 포함한 Security Command Center 설정에 대한 안내는 Security Command Center 최적화를 참조하세요.
발견 항목 데이터 보관
Security Command Center가 처리하는 데이터는 조직, 폴더, 프로젝트 내의 리소스 및 애셋에서 위협, 취약점, 잘못된 구성을 식별하는 발견 항목에 캡처되고 저장됩니다. 발견 항목에는 매일 발견 항목의 상태와 속성을 캡처하는 일련의 일일 스냅샷이 포함됩니다.
다음 표에는 Security Command Center의 발견 항목 보관 기간이 나와 있습니다.
| 발견 항목 | 보관 기간 |
|---|---|
| 비활성 취약점 | 7일 |
| 비활성 잘못된 구성 | 30일 |
| 활성 상태인 모든 항목 (위협 제외) | 다음 시간이 지난 후 삭제됩니다.
잘못된 구성 또는 취약점 발견 항목의 기본 문제가 해결되지 않거나 다시 발생하면 Security Command Center에서 후속 감지 스캔 시 발견 항목을 다시 생성합니다. |
| 기타 모든 발견사항 | 90일 |
관련 보관 기간 내에 있는 스냅샷이 하나 이상 포함된다면 발견 항목은 Security Command Center에서 유지됩니다. 발견 항목 및 모든 데이터를 더 오랜 기간 동안 보관하려면 다른 스토리지 위치로 내보냅니다. 자세한 내용은 Security Command Center 데이터 내보내기를 참조하세요.
생성 시간이 보관 기간을 초과하면 서드 파티 발견 사항이 삭제됩니다. 오류로 생성되거나 보안, 위험 또는 규정 준수 값이 없는 발견 사항은 언제든지 삭제될 수 있습니다.
모든 등급에서 조직이 Google Cloud에서 삭제되면 보관 기간에 대한 예외가 적용됩니다. 조직이 삭제되면 조직에서 파생된 모든 발견 항목과 해당 폴더 및 프로젝트가 Google Cloud의 데이터 삭제에 설명된 보관 기간 내에 삭제됩니다.
프로젝트가 삭제되면 프로젝트의 발견 항목이 동시에 삭제되지는 않고 대신 삭제된 프로젝트가 포함된 조직의 감사 가능성을 위해 보관됩니다. 보관 기간은 삭제된 프로젝트에서 활성화된 등급에 따라 다릅니다. 엔터프라이즈 및 프리미엄 등급의 경우 13개월, 스탠더드 등급의 경우 35일입니다.
프로젝트를 삭제하고 프로젝트의 모든 발견 항목을 동시에 삭제해야 하는 경우 프로젝트의 모든 발견 항목에 대한 조기 삭제를 시작할 수 있는 Cloud Customer Care에 문의하세요.
디스크 클론의 데이터 보관
가상 머신 위협 감지는 VM 영구 디스크의 단기 클론을 가져와 영역 디스크의 경우 동일한 영역에, 리전 디스크의 경우 동일한 리전에 있는 Google 소유 프로젝트에 저장합니다. VM Threat Detection은 디스크 스캔 활동을 완료하고 시간 초과와 같은 오류를 처리한 후 1시간 이내에 디스크 클론을 스캔하고 삭제합니다.
인프라 보안
Security Command Center는 Google에서 자체 소비자 및 엔터프라이즈 서비스에 사용하는 인프라와 동일한 인프라를 기반으로 빌드되었습니다. Google 인프라의 계층형 보안은 Google Cloud의 모든 서비스, 데이터, 통신, 작업을 보호하도록 설계되었습니다.
Google 인프라 보안에 대해 자세히 알아보려면 Google 인프라 보안 설계 개요를 참조하세요.
다음 단계
Security Command Center의 기능과 이점을 알아보려면 Security Command Center 개요 참조하기
Security Command Center 사용 자세히 알아보기