데이터 보안 상황 관리(DSPM)를 사용하면 보유한 데이터가 무엇인지, 데이터가 어디에 저장되어 있는지, 보안 및 규정 준수 요구사항에 부합하는 방식으로 데이터가 사용되고 있는지를 파악할 수 있습니다. DSPM을 사용하면 다음 작업을 수행할 수 있습니다.
리소스 유형, 위치, 프로젝트 ID와 같은 필터를 사용하여 Google Cloud 환경 내 데이터 리소스를 검색합니다.
현재 데이터 보안 상황을 Google 추천 권장사항과 비교하여 잠재적인 보안 및 규정 준수 문제를 식별하고 해결합니다.
데이터 보안 및 규정 준수 요구사항을 데이터 보안 클라우드 제어에 매핑합니다.
프레임워크를 사용하여 데이터 보안 클라우드 제어를 적용합니다.
워크로드가 적용된 데이터 보안 프레임워크와 얼마나 잘 일치하는지 모니터링하고, 위반사항을 수정하며, 감사용 증거를 생성합니다.
DSPM은 Sensitive Data Protection과 함께 작동합니다. Sensitive Data Protection은 조직 내 민감한 정보를 찾아내고 DSPM은 민감한 정보에 데이터 보안 클라우드 제어를 배포하여 보안 및 규정 준수 요구사항을 충족할 수 있도록 합니다.
DSPM 구성요소
다음 섹션에서는 DSPM의 구성요소를 설명합니다.
데이터 보안 대시보드
Google Cloud 콘솔의 데이터 보안 대시보드를 사용하면 조직의 데이터가 데이터 보안 및 규정 준수 요구사항과 얼마나 잘 일치하는지 확인할 수 있습니다.
데이터 보안 대시보드의 데이터 맵 탐색기는 데이터가 저장된 지리적 위치를 보여주며, 지리적 위치, 데이터의 민감도, 관련 프로젝트, 데이터를 저장하는Google Cloud 서비스별로 데이터를 필터링할 수 있습니다. 데이터 맵의 원은 해당 리전의 데이터 리소스 수와 알림이 있는 데이터 리소스 수를 상대적으로 나타냅니다.
데이터 보안 발견 사항을 확인할 수 있으며, 이는 데이터 리소스가 데이터 보안 클라우드 제어를 위반할 때 발생합니다. 데이터 보안 발견 사항은 DATA_SECURITY 발견 사항 카테고리를 사용합니다. 새로운 발견 사항이 생성되면 데이터 맵 탐색기에 표시되기까지 최대 2시간이 걸릴 수 있습니다.
배포된 데이터 보안 프레임워크, 각 프레임워크와 연결된 미해결 발견 사항 수, 그리고 환경 내에서 하나 이상의 프레임워크로 보호되는 리소스 비율에 대한 정보도 확인할 수 있습니다.
데이터 보안 프레임워크
프레임워크를 사용하여 데이터 보안 및 규정 준수 요구사항을 정의하고 이러한 요구사항을 Google Cloud 환경에 적용할 수 있습니다. DSPM에는 데이터 보안 및 개인 정보 보호 기본 프레임워크가 포함되어 있으며, 이는 데이터 보안 및 규정 준수를 위한 권장 기준 제어를 정의합니다. DSPM을 사용 설정하면 이 프레임워크가 감지 모드로Google Cloud 조직에 자동 적용됩니다. 생성된 결과를 사용하여 데이터 보안 상황을 강화할 수 있습니다.
필요한 경우 프레임워크를 복사하여 커스텀 데이터 보안 프레임워크를 만들 수 있습니다. 커스텀 프레임워크에 고급 데이터 보안 클라우드 제어를 추가하고 커스텀 프레임워크를 조직, 폴더, 프로젝트, 앱 지원 폴더의 애플리케이션에 적용할 수 있습니다. 예를 들어 특정 폴더에 관할권 제어를 적용하여 해당 폴더의 데이터가 특정 지리적 리전 내에 유지되도록 하는 맞춤 프레임워크를 만들 수 있습니다.
데이터 보안 및 개인 정보 보호 기본 프레임워크
다음 클라우드 제어는 데이터 보안 및 개인 정보 보호 기본 프레임워크에 포함됩니다.
| 클라우드 제어 | 설명 |
|---|---|
SENSITIVE DATA BIGQUERY TABLE_CMEK DISABLED |
민감한 정보가 포함된 BigQuery 테이블에서 CMEK가 사용되지 않을 때 이를 감지합니다. |
SENSITIVE DATA DATASET CMEK DISABLED |
민감한 정보가 포함된 BigQuery 데이터 세트에 CMEK가 사용되지 않을 때 이를 감지합니다. |
SENSITIVE DATA PUBLIC DATASET |
공개적으로 액세스 가능한 BigQuery 데이터 세트 내에서 민감한 정보를 감지합니다. |
SENSITIVE DATA PUBLIC SQL INSTANCE |
공개적으로 액세스 가능한 SQL 데이터베이스 내에서 민감한 정보를 감지합니다. |
SENSITIVE DATA SQL CMEK DISABLED |
민감한 정보가 포함된 SQL 데이터베이스에서 CMEK가 사용되지 않을 때 이를 감지합니다. |
고급 데이터 보안 클라우드 제어
DSPM에는 추가적인 데이터 보안 요구사항을 충족하는 데 도움이 되는 고급 데이터 보안 클라우드 제어가 포함되어 있습니다. 이러한 고급 데이터 보안 클라우드 제어는 다음과 같이 그룹화됩니다.
- 데이터 액세스 거버넌스: 지정된 사용자 외의 주 구성원이 민감한 정보에 액세스하는지 감지합니다.
- 데이터 흐름 거버넌스: 지정된 지리적 위치(국가) 외부에 있는 클라이언트가 민감한 정보에 액세스하는지 감지합니다.
- 데이터 보호 및 키 거버넌스: 민감한 정보가 고객 관리 암호화 키(CMEK) 암호화 없이 생성되는지 감지합니다.
- 데이터 삭제: 민감한 정보의 최대 보관 기간 정책 위반을 감지합니다.
이러한 컨트롤은 감지 모드만 지원합니다. 이러한 컨트롤을 배포하는 방법은 DSPM 사용을 참조하세요.
데이터 보안 클라우드 제어
다음 섹션에서는 고급 데이터 보안 클라우드 제어에 대해 설명합니다.
데이터 액세스 거버넌스 클라우드 제어
이 제어는 민감한 정보에 대한 액세스를 지정된 주 구성원 집합으로 제한합니다. 허용된 사용자 외의 주 구성원이 데이터 리소스에 액세스를 시도하는 비준수 액세스 시도가 발생하면 발견 사항이 생성됩니다. 지원되는 주 구성원 유형은 사용자 계정 또는 그룹입니다. 사용할 형식에 대한 자세한 내용은 지원되는 주 구성원 형식 표를 참조하세요.
사용자 계정에는 다음이 포함됩니다.
- 사용자가 google.com에서 가입한 일반 Google 계정(예: Gmail.com 계정)
- 기업용 관리 Google 계정
- Google Workspace for Education 계정
사용자 계정에는 로봇 계정, 서비스 계정, 위임 전용 브랜드 계정, 리소스 계정, 기기 계정은 포함되지 않습니다.
지원되는 애셋 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Cloud Storage 버킷
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 저장소
DSPM은 사용자 계정이 지원되는 리소스 유형을 읽을 때마다 이 제어에 대한 준수 여부를 평가합니다.
이 클라우드 제어를 사용하려면 Cloud Storage 및 Vertex AI에 대해 데이터 액세스 감사 로그를 사용 설정해야 합니다.
제한사항은 다음과 같습니다.
- 읽기 작업만 지원됩니다.
- 서비스 계정(서비스 계정 가장 포함)을 통한 액세스는 이 제어에서 제외됩니다. 완화책으로, 신뢰할 수 잇는 서비스 계정만 민감한 Cloud Storage, BigQuery, Vertex AI 리소스에 액세스할 수 있도록 하세요. 또한 액세스 권한이 없어야 하는 사용자에게 서비스 계정 토큰 생성자(
roles/iam.serviceAccountTokenCreator) 역할을 부여하지 마세요. - 이러한 제어는 Storage Transfer Service 및 BigQuery Data Transfer Service와 같은 서비스 계정 작업을 통해 생성된 사본에 대한 사용자 액세스를 방지하지 않습니다. 따라서 사용자는 이 제어가 사용 설정되지 않은 데이터 사본에 액세스할 수 있습니다.
- 연결된 데이터 세트는 지원되지 않습니다. 연결된 데이터 세트는 소스 데이터 세트에 대한 심볼릭 링크처럼 동작하는 읽기 전용 BigQuery 데이터 세트를 만듭니다. 연결된 데이터 세트는 데이터 액세스 감사 로그를 생성하지 않으므로 승인되지 않은 사용자가 탐지 없이 데이터를 읽을 수 있게 만들 수 있습니다. 예를 들어 사용자가 규정 준수 경계 외부의 데이터 세트로 링크를 연결하면 소스 데이터 세트에 로그를 남기지 않고 새 데이터 세트를 쿼리하여 액세스 제어를 우회할 수 있습니다. 완화책으로, 민감한 BigQuery 리소스에 액세스하면 안 되는 사용자에게 BigQuery 관리자(
roles/bigquery.admin), BigQuery 데이터 소유자(roles/bigquery.dataOwner), BigQuery Studio 관리자(roles/bigquery.studioAdmin) 역할을 부여하지 마세요. - 와일드 카드 테이블 쿼리는 데이터 세트 수준에서 지원되지만 테이블 세트 수준에서는 지원되지 않습니다. 이 기능을 사용하면 와일드 카드 표현식을 사용하여 여러 BigQuery 테이블을 동시에 쿼리할 수 있습니다. DSPM은 와일드 카드 쿼리를 데이터 세트 내의 개별 테이블이 아니라 상위 BigQuery 데이터 세트에 대한 액세스로 처리합니다.
- Cloud Storage 객체에 대한 공개 액세스는 지원되지 않습니다. 공개 액세스는 정책 검증 없이 모든 사용자에게 액세스 권한을 부여합니다.
- 인증된 브라우저 세션을 통한 Cloud Storage 객체 액세스 또는 다운로드는 지원되지 않습니다.
- 앱 지원 폴더의 애플리케이션에 배포된 경우 BigQuery 테이블과 데이터 세트는 지원되지 않습니다.
데이터 흐름 거버넌스 클라우드 제어
이 제어를 사용하면 데이터에 액세스할 수 있는 허용 국가를 지정할 수 있습니다. 클라우드 제어는 다음과 같이 작동합니다.
읽기 요청이 인터넷에서 시작된 경우, 해당 요청의 IP 주소를 기준으로 국가가 결정됩니다. 프록시를 사용하여 읽기 요청을 전송하는 경우 프록시 위치를 기준으로 알림이 전송됩니다.
읽기 요청이 Compute Engine VM에서 시작된 경우 요청이 시작된 클라우드 영역에 따라 국가가 결정됩니다.
지원되는 애셋 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Cloud Storage 버킷
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 저장소
제한사항은 다음과 같습니다.
- 읽기 작업만 지원됩니다.
- Vertex AI의 경우 인터넷에서 시작된 요청만 지원됩니다.
- Cloud Storage 객체에 대한 공개 액세스는 지원되지 않습니다.
- 인증된 브라우저 세션을 통한 Cloud Storage 객체 액세스 또는 다운로드는 지원되지 않습니다.
- 앱 지원 폴더의 애플리케이션에 배포된 경우 BigQuery 테이블과 데이터 세트는 지원되지 않습니다.
데이터 보호 및 키 거버넌스 클라우드 제어
이러한 제어를 사용하려면 특정 리소스를 CMEK로 암호화해야 합니다. 다음이 포함됩니다.
- Vertex AI 데이터 세트에 대해 CMEK 사용 설정
- Vertex AI 메타데이터 스토어에 대해 CMEK 사용 설정
- Vertex AI 모델에 대해 CMEK 사용 설정
- Vertex AI Featurestore에 대해 CMEK 사용 설정
- BigQuery 테이블의 CMEK 사용 설정
앱 지원 폴더의 애플리케이션에 이러한 컨트롤을 배포하는 경우 BigQuery 테이블은 지원되지 않습니다.
데이터 삭제 클라우드 제어
이 컨트롤은 민감한 정보의 보관 기간을 관리합니다. 예를 들어 BigQuery 테이블과 같은 리소스를 선택하여, 해당 리소스가 최대 보관 기간 제한을 위반하는지 감지하는 데이터 삭제 클라우드 제어를 적용할 수 있습니다.
지원되는 애셋 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 저장소
앱 지원 폴더의 애플리케이션에 이 컨트롤을 배포하면 BigQuery 테이블과 데이터 세트가 지원되지 않습니다.
다음 단계
- DSPM을 사용 설정합니다.