외부 노출 서비스를 사용하여 노출된 리소스 감지

Security Command Center 외부 노출은 자동화된 검색 및 위험 검증을 통해 외부 공격에 노출되는 영역을 관리하고 줄이는 데 도움이 되는 Google Cloud 서비스입니다.

자동화된 스캐너는 인터넷에 노출된 애셋을 몇 분 이내에 타겟팅할 수 있으므로 외부 노출은 공격자가 이를 발견하고 악용하기 전에 우발적인 노출과 섀도 리소스를 사전에 찾아냅니다.

이 서비스는 외부 관점에서 환경을 분석하여 인터넷에서 실제로 연결할 수 있는 항목을 확인하고 실제로 악용할 수 있는 노출을 식별합니다.

외부 노출은 환경 전반에서 외부 연결 IP 주소, 호스트 이름, 도메인 이름, URL을 지속적으로 스캔합니다. Google Cloud 이 기능은 네트워크 스캔을 사용하여 공개 인터넷에서 연결할 수 있는 리소스와 애플리케이션을 확인합니다.

확인된 각 노출에 대해 외부 노출은 다음을 수행합니다.

• 노출된 리소스까지 외부 부하 분산기, Google Cloud Armor 정책, 방화벽 규칙, Private Service Connect, Cloud Interconnect, 백엔드 서비스의 Google Cloud 네트워크 경로를 추적하고 표시합니다.

  이 리소스는 노출된 서비스 또는 애플리케이션을 포함하여 Compute Engine 인스턴스 또는 Google Kubernetes Engine (GKE) 포드일 수 있습니다.

  Google 네트워킹 패브릭과의 이러한 심층적인 통합은 특정 방화벽 규칙을 잠그거나 Google Cloud Armor를 구성하는 등의 예방적 완화를 즉시 적용할 수 있도록 실행 가능한 컨텍스트를 제공하는 데 도움이 됩니다.

• 지문 분석을 수행하여 각 노출된 애셋에서 실행 중인 특정 웹 애플리케이션 또는 서버 소프트웨어를 식별하려고 시도합니다.

• 노출된 서비스 또는 소프트웨어를 식별할 수 있는 경우 영향을 미치는 것으로 알려진 취약점을 식별합니다.

• 고급 수동 및 능동 감지기를 사용하여 취약점, 잘못된 구성, 기본 또는 취약한 사용자 인증 정보의 사용을 검증하여 실제 악용 가능성을 테스트합니다.

시작하기 전에

이 섹션에서는 외부 노출을 사용하도록 환경을 준비하는 방법을 설명합니다.

Security Center Management API 사용 설정

Security Command Center API를 사용하려는 경우 할당량 프로젝트에 대해 Security Center Management API를 사용 설정해야 하며, API 사용을 제한하는 조직 정책이 사용 중인 경우 Security Center Management API가 허용되는지 확인해야 합니다. Security Center Management API는 외부 노출과 같은 Security Command Center 서비스의 사용 설정 상태를 제어하는 데 사용됩니다.

1. 터미널에서 할당량 프로젝트에 대해 Security Center Management API를 사용 설정합니다.

   gcloud services enable securitycentermanagement.googleapis.com \
       --project=QUOTA_PROJECT_ID
   

   QUOTA_PROJECT_ID를 할당량을 관리하는 데 사용하는 프로젝트의 ID로 바꿉니다.

2. API 사용을 제한하는 조직 정책이 있는 경우 Security Center Management API가 허용되는지 확인합니다. 자세한 내용은 조직 정책 검토를 참조하세요.

3. 발견 항목에서 네트워크 노출 경로 통계를 수신하려면 조직 또는 폴더 수준에서 외부 노출을 활성화해야 합니다.

필요한 역할

외부 노출을 구성하고 대시보드 데이터를 보는 데 필요한 권한을 얻으려면 관리자에게 조직, 폴더 또는 프로젝트에 대해 다음 IAM 역할을 부여해 달라고 요청하세요.

• Security Command Center에서 외부 노출 설정을 구성하고 대시보드 데이터 보기: 보안 센터 관리자 (roles/securitycenter.admin)
• `externalexposure.serviceAgent` 역할과 같은 서비스 에이전트에 역할 부여: 보안 관리자 (roles/iam.securityAdmin)externalexposure.serviceAgent
• 서비스 계정 생성 및 관리: 서비스 계정 관리자 (roles/iam.serviceAccountAdmin)
• 대시보드 데이터만 보기: 보안 센터 관리자 뷰어 (roles/securitycenter.adminViewer)
• 콘솔, CLI 또는 API에서 외부 노출 대시보드 및 스캔 측정항목 보기: 외부 노출 뷰어 (roles/externalexposure.viewer)

역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

다음 Google Cloud CLI 명령어를 사용하여 앞서 언급한 역할을 사용자에게 할당할 수 있습니다.

gcloud CLI를 사용하여 역할 할당

• 사용자에게 보안 센터 관리자 역할을 부여하려면 다음 명령어를 실행합니다.

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.admin
  

• 사용자에게 보안 센터 관리자 뷰어 역할을 부여하려면 다음 명령어를 실행합니다.

  gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/securitycenter.adminViewer
  

• CLI 또는 API 측정항목 액세스를 위해 사용자에게 외부 노출 뷰어 역할을 부여하려면 다음 명령어를 실행합니다.

  gcloud projects add-iam-policy-binding PROJECT_ID \
      --member=user:USER_EMAIL_ID \
      --role=roles/externalexposure.viewer
  

  다음을 바꿉니다.

  • ORGANIZATION_ID: 숫자로 된 조직 ID입니다.
  • PROJECT_ID: 프로젝트 ID입니다.
  • USER_EMAIL_ID: 액세스가 필요한 사용자의 이메일 주소입니다.

서비스 사용 설정 및 구성

외부 노출을 사용 설정하고 구성하려면 다음 섹션의 작업을 완료하세요.

조직, 폴더 또는 프로젝트 수준에서 서비스를 사용 설정하고 구성할 수 있습니다. API를 사용할 때 프로젝트 수준이 아닌 폴더 또는 조직 수준에서 설정을 구성하려면 모든 요청 URL 및 JSON 데이터 매개변수에서 projects/PROJECT_ID를 folders/FOLDER_ID 또는 organizations/ORGANIZATION_ID로 바꿉니다.

외부 노출 활성화

조직, 폴더 또는 프로젝트에 대해 외부 노출을 활성화합니다.

서비스를 활성화한 후, 서비스 에이전트에 서비스 에이전트 권한 부여에 설명된 대로 필요한 권한을 부여해야 합니다.

서비스 에이전트 권한 부여

서비스를 사용 설정하는 리소스 수준에 따라 Google Cloud 서비스 에이전트가 생성됩니다.

• 조직 또는 폴더 수준: 조직 수준 또는 폴더 수준 서비스 에이전트가 생성됩니다.
• 프로젝트 수준: 프로젝트 수준 서비스 에이전트가 생성됩니다.

조직 수준에서 권한을 부여하려면 터미널에서 다음 gcloud 명령어를 실행합니다.

gcloud organizations add-iam-policy-binding ORGANIZATION_ID \
    --member="serviceAccount:service-org-ORGANIZATION_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

ORGANIZATION_ID를 조직의 숫자 ID로 바꿉니다.

폴더 수준에서 권한을 부여하려면 터미널에서 다음 gcloud 명령어를 실행합니다.

gcloud resource-manager folders add-iam-policy-binding FOLDER_ID \
    --member="serviceAccount:service-folder-FOLDER_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com" \
    --role=roles/externalexposure.serviceAgent

FOLDER_ID를 폴더의 숫자 ID로 바꿉니다.

서비스 경계에 대한 인바운드 액세스 권한 부여

VPC 서비스 제어를 사용하는 경우 외부 노출 서비스 에이전트에 스캔하려는 프로젝트를 보호하는 서비스 경계에 대한 인바운드 액세스 권한을 부여합니다. 인바운드 액세스 권한을 부여하지 않으면 외부 노출은 서비스 경계로 보호되는 프로젝트에 대해 스캔을 실행하거나 발견 항목을 생성할 수 없습니다.

서비스가 사용 설정된 리소스 수준에 따라 서비스 계정 식별자는 다음 이메일 주소 형식 중 하나를 사용합니다.

• 조직 또는 폴더의 경우:

  service-RESOURCE_KEYWORD-RESOURCE_ID@gcp-sa-ee-hpsa.iam.gserviceaccount.com
  

• 프로젝트의 경우:

  service-project-PROJECT_NUMBER@gcp-sa-ee.iam.gserviceaccount.com
  

다음을 바꿉니다.

• RESOURCE_KEYWORD: 키워드 org 또는 folder
• RESOURCE_ID: 조직 ID 또는 폴더 ID
• PROJECT_NUMBER: 프로젝트 번호

조직 수준 서비스와 프로젝트 수준 서비스 계정이 모두 있는 경우 두 계정 모두에 다음 단계를 적용합니다.

액세스 권한을 부여하려면 각 차단 서비스 경계에 인그레스 규칙을 추가합니다.

1. 콘솔에서 VPC 서비스 제어 페이지로 이동합니다. Google Cloud

   VPC 서비스 제어로 이동

2. 차단 액세스 정책 및 서비스 경계를 선택합니다.

3. 수정 을 클릭한 후 인그레스 정책 을 클릭합니다.

4. 인그레스 규칙 추가 를 클릭하고 From 블록을 구성합니다.

   1. **ID** 에서 **선택한 ID 및 그룹** 을 선택합니다.
   2. 외부 노출 서비스 계정의 이메일 주소를 입력합니다.
   3. 소스에 모든 소스를 선택합니다.

5. 규칙의 To 블록을 구성합니다.

   1. 프로젝트에 모든 프로젝트를 선택합니다.
   2. **작업 또는 IAM 역할** 에서 **모든 작업** 을 선택합니다.

6. 저장 을 클릭합니다.

커스텀 포트 구성

기준 포트 외에 스캔할 프로젝트당 최대 32개의 커스텀 포트를 구성합니다.

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=service_config" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "serviceConfig": {
      "ports": [8081, 8188]
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

스캔 모듈 구성

사용 설정 또는 사용 중지할 특정 스캔 모듈을 구성합니다.

curl --request PATCH \
  "https://securitycentermanagement.googleapis.com/v1/projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure?updateMask=modules" \
  --header "Authorization: Bearer $(gcloud auth print-access-token)" \
  --header "X-Goog-User-Project: QUOTA_PROJECT_ID" \
  --header "Accept: application/json" \
  --header "Content-Type: application/json" \
  --data '{
    "modules": {
      "EXTERNALLY_EXPOSED_RCE_VULNERABILITY": {
        "intendedEnablementState": "ENABLED"
      },
      "EXTERNALLY_EXPOSED_WEAK_CREDENTIALS": {
        "intendedEnablementState": "DISABLED"
      }
    },
    "name": "projects/PROJECT_ID/locations/global/securityCenterServices/external_exposure"
  }' \
  --compressed

gcloud alpha scc findings list projects/PROJECT_ID \
    --location=global \
    --filter="state=\"ACTIVE\" AND finding_class=\"EXTERNAL_EXPOSURE\""

{
  "httpRequest": {
    "latency": "0.004745622s",
    "protocol": "HTTP/1.1",
    "remoteIp": "2600:1900:4180:5b2:0:1ae::",
    "requestMethod": "POST",
    "requestSize": "441",
    "requestUrl": "https://SERVICE_URL/mcp",
    "responseSize": "131",
    "serverIp": "2600:1900:4244:200::",
    "status": 405,
    "userAgent": "TsunamiSecurityScanner"
  },
  "insertId": "6a16af86000c7e0d0fdc1c58",
  "labels": {
    "goog-managed-by": "cloudfunctions",
    "goog-serve-source": "user-container"
  },
  "logName": "projects/PROJECT_ID/logs/run.googleapis.com%2Frequests",
  "receiveTimestamp": "2026-05-27T08:47:03.025492782Z",
  "resource": {
    "labels": {
      "configuration_name": "SERVICE_NAME",
      "location": "us-central1",
      "project_id": "PROJECT_ID",
      "revision_name": "REVISION_NAME",
      "service_name": "SERVICE_NAME"
    },
    "type": "cloud_run_revision"
  },
  "severity": "WARNING",
  "timestamp": "2026-05-27T08:47:02.811254Z"
}