Security Health Analytics 개요

Security Health Analytics는 클라우드 환경에서 공격에 노출될 수 있는 일반적인 잘못된 구성을 검사하는 Security Command Center의 관리형 서비스입니다.

Security Health Analytics는 Standard-legacy, 프리미엄, Enterprise 등급에서 Security Command Center를 새로 활성화할 때 자동으로 사용 설정됩니다.

등급별 Security Health Analytics 기능

사용할 수 있는 Security Health Analytics 기능은 Security Command Center가 사용 설정된 서비스 등급에 따라 다릅니다. 각 등급에서 제공되는 발견 사항을 확인하려면 Security Health Analytics 발견 사항을 참조하세요.

Standard-legacy 등급 기능

Standard-legacy 등급에서 Security Health Analytics는 중간 심각도 및 높음 심각도 취약성의 기본 그룹만 감지할 수 있습니다.

표준 등급 기능

조직에서 표준 등급이 새로 활성화된 경우(즉, 조직이 표준-레거시 등급에서 이전되지 않은 경우) Security Health Analytics를 사용할 수 없습니다. 규정 준수 관리자의 Security Essentials 프레임워크 및 Google Cloud취약점 평가를 사용하여 공격에 노출될 수 있는 잘못된 구성과 취약점을 환경에서 스캔합니다.

조직이 기존 표준 등급에서 표준 등급으로 이전된 경우 다음 Security Health Analytics 감지기가 Security Essentials 프레임워크의 규정 준수 관리자 컨트롤로 이전됩니다.

• DATAPROC_IMAGE_OUTDATED
• LEGACY_AUTHORIZATION_ENABLED
• OPEN_CISCOSECURE_WEBSM_PORT
• OPEN_DIRECTORY_SERVICES_PORT
• OPEN_FIREWALL
• OPEN_RDP_PORT
• OPEN_SSH_PORT
• OPEN_TELNET_PORT
• PUBLIC_DATASET
• PUBLIC_IP_ADDRESS
• PUBLIC_SQL_INSTANCE
• SSL_NOT_ENFORCED
• WEB_UI_ENABLED

Security Health Analytics가 사용 설정되어 있고 모든 감지기가 계속해서 발견 항목을 생성하지만, 이전된 감지기의 Security Health Analytics 버전에서 생성된 발견 항목에는 필드 값 식별자 launch_state="LAUNCH_STATE_DEPRECATED"가 라벨로 지정되어 있으며 일부 Google Cloud 콘솔 페이지에 표시되지 않습니다.

대부분의 SHA 감지기에는 상응하는 규정 준수 관리자 컨트롤이 있습니다. 자세한 내용은 Security Health Analytics 감지기와 클라우드 컨트롤 간 매핑을 참고하세요.

이전된 감지기의 규정 준수 관리자 버전에서 생성된 발견 항목을 보려면 다음을 사용하세요.

• 발견 항목 페이지
• 규정 준수 페이지 > 모니터링 탭

마이그레이션된 감지기의 Security Health Analytics 버전에서 생성된 발견 항목을 보려면 다음을 사용하세요.

• 발견 사항 페이지로 이동하여 쿼리에서 launch_state="LAUNCH_STATE_DEPRECATED" 용어를 삭제합니다.
• 기존 취약점

다음 감지기는 규정 준수 관리자의 Security Essentials 프레임워크로 이전되지 않습니다.

• MFA_NOT_ENFORCED
• NON_ORG_IAM_MEMBER
• OPEN_GROUP_IAM_MEMBER
• PUBLIC_BUCKET_ACL
• PUBLIC_COMPUTE_IMAGE
• PUBLIC_LOG_BUCKET

설정> Security Health Analytics> 모듈 탭에서 이러한 감지기를 사용 설정할 수 있습니다.

이러한 Security Health Analytics 감지기로 생성된 발견 항목을 보려면 다음을 사용하세요.

• 발견 항목 페이지

• 위험 개요 > 모든 위험 대시보드:

  • 상위 잘못된 구성 패널
  • 날짜별 잘못된 구성 패널

이러한 Security Health Analytics 감지기에 의해 생성된 발견 항목은 규정 준수 페이지에 표시되지 않습니다.

프리미엄 등급 기능

조직에서 프리미엄 등급이 새로 활성화된 경우(즉, 조직이 표준 등급에서 이전되지 않은 경우) Security Health Analytics에는 다음 기능이 포함됩니다.

• Google Cloud의 모든 감지기와 커스텀 감지 모듈 생성 기능과 같은 기타 여러 취약점 감지 기능.
• 발견 사항은 규정 준수 보고를 위해 규정 준수 제어에 매핑됩니다. 자세한 내용은 감지기 및 규정 준수를 참조하세요.
• Security Command Center 공격 경로 시뮬레이션은 대부분의 Security Health Analytics 발견 사항에 대한 공격 노출 점수와 잠재적 공격 경로를 계산합니다. 자세한 내용은 공격 노출 점수 및 공격 경로 개요를 참조하세요.

조직이 표준 등급에서 프리미엄 등급으로 업그레이드된 경우 수정된 Security Health Analytics 감지기 기능 세트에 대한 자세한 내용은 등급 전환을 참고하세요.

엔터프라이즈 등급 기능

조직에서 엔터프라이즈 등급이 새로 활성화된 경우(즉, 조직이 표준 등급에서 이전되지 않은 경우) Security Health Analytics에는 모든 프리미엄 등급 기능과 다른 클라우드 서비스 제공업체 플랫폼의 감지기가 포함됩니다.

조직이 표준 등급에서 프리미엄 등급으로 업그레이드된 경우 수정된 Security Health Analytics 감지기 기능 세트에 대한 자세한 내용은 등급 전환을 참고하세요.

등급 전환

프리미엄 등급 및 엔터프라이즈 등급의 Security Command Center에는 표준-레거시 등급보다 더 많은 감지기가 있습니다. 프리미엄 또는 Enterprise 등급을 사용 중이고 표준 또는 표준(기존) 등급으로 다운그레이드하려는 경우 등급을 변경하기 전 모든 발견 사항을 해결하는 것이 좋습니다.

프리미엄 또는 Enterprise 체험판이 종료되거나 이러한 등급에서 표준 또는 표준(기존) 등급으로 다운그레이드하면 상위 등급에서 생성된 발견 사항의 상태가 INACTIVE로 설정됩니다.

조직에 Security Command Center가 없었고 표준 등급으로 자동 활성화된 후 프리미엄 또는 Enterprise 등급으로 업그레이드한 경우 규정 준수 관리자의 Security Essentials 프레임워크를 사용하여 감지를 구성합니다.

조직이 Standard-legacy 등급에서 표준 등급으로 마이그레이션된 후 프리미엄 또는 Enterprise 등급으로 업그레이드된 경우 프리미엄 또는 Enterprise 등급 Security Health Analytics 감지기를 사용 설정할 수 없습니다. 프리미엄 및 Enterprise 등급에서 사용할 수 있는 규정 준수 관리자 프레임워크를 사용하여 감지를 구성합니다.

프리미엄 및 엔터프라이즈 등급의 대부분의 Security Health Analytics 감지기가 규정 준수 관리자의 Security Essentials 프레임워크로 이전됩니다.

규정 준수 관리자 프레임워크 및 클라우드 컨트롤에 대한 자세한 내용은 규정 준수 관리자 프레임워크를 참고하세요.

Security Health Analytics 감지기가 규정 준수 관리 도구 클라우드 컨트롤에 매핑되는 방식에 대한 자세한 내용은 Security Health Analytics 감지기와 클라우드 컨트롤 간의 매핑을 참고하세요.

멀티 클라우드 지원

Security Health Analytics는 다른 클라우드 플랫폼에서 배포의 잘못된 구성을 감지할 수 있습니다.

Security Health Analytics는 다음과 같은 다른 클라우드 서비스 제공업체를 지원합니다.

• Amazon Web Services(AWS): AWS 데이터를 대상으로 감지기를 실행하려면 먼저 구성 및 리소스 데이터 수집을 위한 AWS 연결에 설명된 대로 Security Command Center를 AWS에 연결해야 합니다.

• Microsoft Azure: Microsoft Azure 데이터를 대상으로 감지기를 실행하려면 먼저 취약점 감지 및 위험 평가를 위한 Microsoft Azure 연결에 설명된 대로 Security Command Center를 Microsoft Azure에 연결해야 합니다.

지원되는 Google Cloud 클라우드 서비스

Google Cloud용 Security Health Analytics 관리형 취약점 평가 스캔을 통해 다음 Google Cloud 서비스에서 일반적인 취약점 및 구성 오류를 자동으로 감지할 수 있습니다.

• Cloud Monitoring 및 Cloud Logging
• Compute Engine
• Google Kubernetes Engine 컨테이너 및 네트워크
• Cloud Storage
• Cloud SQL
• Identity and Access Management(IAM)
• Cloud Key Management Service(Cloud KMS)

Security Health Analytics 스캔 유형

Security Health Analytics는 세 가지 모드로 실행됩니다.

• 일괄 검사: 모든 감지기가 등록된 모든 조직 또는 프로젝트에 대해 하루에 한 번 실행하도록 예약됩니다. Security Command Center Standard-legacy의 경우 수집 스캔이 48시간마다 실행되므로 발견 항목 업데이트 지연 시간이 72시간이 될 수 있습니다.

• 실시간 검사: Google Cloud 배포의 경우에만 리소스 구성에서 변경사항이 감지될 때마다 지원되는 감지기가 검사를 시작합니다. 발견 사항은 Security Command Center에 기록됩니다. 다른 클라우드 플랫폼의 배포에는 실시간 검사가 지원되지 않습니다.

• 혼합 모드: 실시간 검사를 지원하는 일부 감지기는 모든 지원되는 리소스 유형에서 실시간으로 변경사항을 감지하지 못할 수 있습니다. 이러한 경우 일부 리소스 유형의 구성 변경사항이 즉시 캡처되고, 다른 자산의 구성 변경사항은 일괄 검사에서 캡처됩니다. 예외는 Security Health Analytics 발견 사항 표에 표시되어 있습니다.

Security Health Analytics 감지기 사용 설정

Security Health Analytics는 감지기를 사용하여 클라우드 환경의 취약점과 잘못된 구성을 식별합니다. 각 감지기는 발견 사항 카테고리에 해당합니다.

Security Health Analytics에는 수많은 카테고리 및 리소스 유형에서 취약점 및 잘못된 구성을 확인하는 여러 감지기가 기본 제공됩니다.

프리미엄 및 엔터프라이즈 서비스 등급의 경우 기본 제공 감지기에 포함되지 않거나 사용자 환경에 고유한 취약점이나 잘못된 구성을 확인할 수 있는 커스텀 감지기를 직접 만들 수도 있습니다.

기본 제공 Security Health Analytics 감지기에 대한 자세한 내용은 Security Health Analytics 기본 제공 감지기를 참조하세요.

커스텀 모듈 만들기 및 사용에 대한 자세한 내용은 Security Health Analytics 커스텀 모듈을 참조하세요.

감지기 사용 설정 및 중지

모든 Security Health Analytics 기본 제공 감지기는 기본적으로 사용 설정되지 않습니다.

비활성 기본 제공 감지기를 사용 설정하려면 감지기 사용 설정 및 사용 중지를 참조하세요.

Security Health Analytics 커스텀 감지 모듈을 사용 설정하거나 중지하려면 Google Cloud 콘솔, gcloud CLI 또는 Security Command Center API를 사용하여 커스텀 모듈을 업데이트할 수 있습니다.

Security Health Analytics 커스텀 모듈 업데이트에 대한 자세한 내용은 커스텀 모듈 업데이트를 참조하세요.

기본 제공 감지기 및 프로젝트 수준 활성화

프로젝트에만 Security Command Center를 활성화하면 조직 수준 권한이 필요하므로 특정 기본 제공 Security Health Analytics 감지기는 지원되지 않습니다.

조직 수준의 활성화가 필요한 기본 제공 감지기 중 조직의 Standard-legacy 등급을 사용 설정하여 프로젝트 수준 활성화를 위해 Security Command Center의 Standard-legacy 등급에서 사용할 수 있는 감지기를 사용 설정할 수 있습니다.

프리미엄 계층 및 조직 수준 사용 권한이 모두 필요한 기본 제공 감지기는 프로젝트 수준 활성화에서 지원되지 않습니다.

프로젝트 수준 활성화와 함께 사용하기 위해 Security Command Center 표준-레거시의 조직 수준 활성화가 필요한 기본 제공 표준-레거시 등급 감지기 목록은 조직 수준 표준 등급 발견 항목 카테고리를 참고하세요.

프로젝트 수준 활성화에서 지원되지 않는 기본 제공 프리미엄 등급 감지기 목록은 지원되지 않는 Security Health Analytics 발견 사항을 참고하세요.

커스텀 모듈 감지기 및 프로젝트 수준 활성화

프로젝트에서 만드는 커스텀 모듈 감지기의 검사는 Security Command Center의 활성화 수준에 관계없이 프로젝트 범위로 제한됩니다. 커스텀 모듈 감지기는 생성된 프로젝트에서 사용할 수 있는 리소스만 검사할 수 있습니다.

커스텀 모듈에 대한 자세한 내용은 Security Health Analytics 커스텀 모듈을 참조하세요.

Security Health Analytics 기본 제공 감지기

이 섹션에서는 클라우드 플랫폼별로 나열된 감지기의 상위 수준 카테고리와 이러한 감지기가 생성하는 발견 사항 카테고리에 대해 설명합니다.

상위 수준 카테고리별 Google Cloud 용 기본 제공 감지기

Google Cloud용 Security Health Analytics 감지기와 이러한 감지기가 생성하는 발견 사항은 다음과 같은 상위 수준 카테고리로 그룹화됩니다.

Security Health Analytics 감지기는 Cloud 애셋 인벤토리에서 지원하는 Google Cloud리소스 유형의 하위 집합을 모니터링합니다.

각 카테고리에 포함된 개별 감지기를 보려면 카테고리 이름을 클릭합니다.

• API 키 취약점 발견 사항
• Compute 이미지 취약점 발견 사항
• 컴퓨팅 인스턴스 취약점 발견 사항
• 컨테이너 취약점 발견 사항
• Dataproc 취약점 발견 사항
• 데이터 세트 취약점 발견 사항
• DNS 취약점 발견 사항
• 방화벽 취약점 발견 사항
• IAM 취약점 발견 사항
• KMS 취약점 발견 사항
• 취약점 발견 사항 로깅
• 취약점 발견 사항 모니터링
• 다단계 인증 취약점 발견 사항
• 네트워크 취약점 발견 사항
• 조직 정책 취약점 발견 사항
• Pub/Sub 취약점 발견 사항
• SQL 취약점 발견 사항
• 스토리지 취약점 발견 사항
• 서브네트워크 취약점 발견 사항

AWS용 기본 제공 감지기

모든 AWS용 Security Health Analytics 감지기 목록은 AWS 발견 사항을 참조하세요.

Security Health Analytics 커스텀 모듈

Security Health Analytics 커스텀 모듈은 기본 제공되는 감지기에서 제공하는 것 이상으로 Security Health Analytics의 감지 기능을 확장하는Google Cloud 용 커스텀 감지기입니다.

다른 클라우드 플랫폼에서는 커스텀 모듈이 지원되지 않습니다.

Google Cloud 콘솔의 안내식 워크플로를 사용하여 커스텀 모듈을 생성하거나, YAML 파일에서 커스텀 모듈 정의를 직접 생성한 다음 Google Cloud CLI 명령어 또는 Security Command Center API를 사용하여 Security Command Center에 업로드할 수 있습니다.

자세한 내용은 Security Health Analytics용 커스텀 모듈 개요를 참고하세요.

감지기 및 규정 준수

보안 벤치마크 규정 준수에 대한 Security Command Center 측정은 주로 Security Health Analytics 취약점 감지기에서 생성된 결과를 기반으로 합니다.

Security Health Analytics는 다양한 보안 표준의 제어에 매핑된 감지기를 통해 사용자의 규정 준수를 모니터링합니다.

Security Health Analytics는 지원되는 각 보안 표준에 대해 제어 하위 집합을 확인합니다. 선택된 제어의 경우 Security Command Center에 통과하는 제어 수가 표시됩니다. 통과하지 못한 제어의 경우 Security Command Center에 제어 실패를 설명하는 발견 사항 목록이 표시됩니다.

CIS는 CIS Google Cloud Foundations 벤치마크의 각 지원 버전에 대한 Security Health Analytics 감지기 매핑을 검토하고 인증합니다. 추가 규정 준수 매핑은 참조 목적으로만 포함되었습니다.

Security Health Analytics는 정기적으로 새로운 벤치마크 버전 및 표준에 대한 지원을 추가합니다. 이전 버전이 계속 지원되지만 결국은 지원이 중단됩니다. 사용 가능한 지원되는 최신 벤치마크 또는 표준을 사용하는 것이 좋습니다.

보안 상황 서비스를 사용하면 조직 정책 및 Security Health Analytics 감지기를 비즈니스에 적용되는 표준 및 제어에 매핑할 수 있습니다. 보안 상황을 만든 후 비즈니스 규정 준수에 영향을 미칠 수 있는 환경 변경사항을 모니터링할 수 있습니다.

규정 준수 관리자를 사용하면 규제 제어를 클라우드 제어에 매핑하는 프레임워크를 배포할 수 있습니다. 프레임워크를 만든 후 비즈니스 규정 준수에 영향을 줄 수 있는 환경 변경사항을 모니터링하고 환경을 감사할 수 있습니다.

규정 준수 관리에 대한 자세한 내용은 보안 표준 준수 평가 및 보고를 참조하세요.

지원되는 보안 표준

Google Cloud

Security Health Analytics는 다음 규정 준수 표준 중 하나 이상에 대해 Google Cloud 의 감지기를 매핑합니다.

• Center for Information Security(CIS) 제어 8.0
• CIS Google Cloud Computing Foundations 벤치마크 v2.0.0, v1.3.0, v1.2.0, v1.1.0, and v1.0.0
• CIS Kubernetes 벤치마크 v1.5.1
• Cloud Controls Matrix(CCM) 4
• 건강 보험 이동성 및 책임법(HIPAA)
• 국제표준화기구(ISO) 27001, 2022, 2013
• 미국 국립 표준 기술 연구소(NIST) 800-53 R5 및 R4
• 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크(CSF) 1.0
• Open Web Application Security Project(OWASP) 상위 10개, 2021년 및 2017년
• 결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 및 3.2.1
• 시스템 및 조직 제어(SOC) 2 2017 Trusted Services Criteria(TSC)

AWS

Enterprise 서비스 등급에서 Security Health Analytics는 Amazon Web Services (AWS)의 감지기를 다음 규정 준수 표준 중 하나 이상에 매핑합니다.

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls 버전 8.0
• Cloud Controls Matrix(CCM) 4
• 건강 보험 이동성 및 책임법(HIPAA)
• 국제표준화기구(ISO) 27001, 2022
• 미국 국립 표준 기술 연구소(NIST) 800-53 R5
• 미국 국립 표준 기술 연구소(NIST) 사이버 보안 프레임워크(CSF) 1.0
• 결제 카드 산업 데이터 보안 표준(PCI DSS) 4.0 및 3.2.1
• 시스템 및 조직 제어(SOC) 2 2017 Trusted Services Criteria(TSC)

규정 준수에 대한 자세한 내용은 보안 벤치마크 규정 준수 평가 및 보고를 참조하세요.