이 페이지는 Cloud Translation API를 통해 번역되었습니다.

데이터 보안 상황 관리 사용

이 문서에서는 데이터 보안 상황 관리 (DSPM)을 사용 설정하고 사용하는 방법을 설명합니다.

DSPM 사용 설정

조직 수준에서 DSPM을 사용 설정하려면 다음을 완료하세요.

DSPM을 사용 설정하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 조직 관리자(roles/resourcemanager.organizationAdmin)
- 보안 센터 관리자(roles/securitycenter.admin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
다음 방법 중 하나를 사용하여 DSPM을 사용 설정합니다.
- 조직에서 Security Command Center를 아직 활성화하지 않았으면 Security Command Center Enterprise를 활성화합니다.
- Security Command Center의 Enterprise 서비스 등급을 이미 활성화한 경우 DSPM 활성화 페이지를 사용하여 DSPM을 추가합니다.
  DSPM 활성화로 이동
DSPM으로 보호할 리소스의 검색을 사용 설정합니다.

DSPM을 사용 설정하면 다음 서비스도 사용 설정됩니다.

규정 준수 관리자를 사용하여 데이터 보안 프레임워크와 클라우드 제어를 만들고, 적용하고, 관리합니다.
Sensitive Data Protection을 사용하여 기본 데이터 위험 평가에 데이터 민감도 신호를 사용합니다.
조직 수준에서 Event Threat Detection(Security Command Center의 일부)을 사용하여 데이터 액세스 거버넌스 클라우드 제어 및 데이터 흐름 거버넌스 클라우드 제어
AI 보호를 사용하여 AI 워크로드의 수명 주기를 보호할 수 있습니다.

DSPM을 사용 설정하면 DSPM 서비스 에이전트 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)가 생성됩니다.

DSPM Identity and Access Management 역할에 대한 자세한 내용은 조직 수준 활성화를 위한 Identity and Access Management를 참고하세요.

DSPM 대시보드 사용

대시보드를 사용하여 데이터 보안 상태를 분석하려면 다음 작업을 완료하세요.

DSPM 대시보드를 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 데이터 보안 상태 관리 관리자 (roles/dspm.admin)
- 보안 센터 관리자(roles/securitycenter.admin)
- 읽기 전용 액세스의 경우:
  - 데이터 보안 상황 관리 뷰어 (roles/dspm.viewer)
  - 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
데이터 검색 및 위험 분석에 DSPM 대시보드를 사용합니다. DSPM을 사용 설정하면 환경이 데이터 보안 및 개인 정보 보호 기본 프레임워크와 얼마나 일치하는지 즉시 평가할 수 있습니다.

콘솔에서 데이터 보안 및 규정 준수 아래의 데이터 보호 탭을 클릭합니다.

데이터 보안 대시보드로 이동

다음 정보를 확인할 수 있습니다.
- 데이터 지도 탐색기
- 데이터 보안 발견 항목
- 적용된 데이터 보안 제어 및 프레임워크에 관한 통계
이 정보를 사용하여 결과를 검토하고 수정하여 환경이 보안 및 규정 준수 요구사항에 더 잘 부합하도록 합니다.

조직 수준에서 대시보드를 보고 앱 지원 폴더에 애플리케이션을 배포하는 경우 애플리케이션을 선택하여 대시보드를 필터링하여 애플리케이션에 적용되는 결과 및 통계만 표시할 수 있습니다. 데이터를 검토할 때 다음 스캔 지연 시간을 고려하세요.
- 상위 발견 사항 패널에 오래된 리소스 구성 데이터가 표시될 수 있습니다. 예를 들어 취약점의 기본 리소스가 오래된 애플리케이션과 연결되어 있을 수 있습니다.
- 애플리케이션 선택기에 지난 24시간 이내에 생성된 애플리케이션 및 리소스 등록이 표시되지 않을 수 있습니다.
Security Command Center를 활성화한 후 데이터 맵 탐색기에 Security Command Center 및 Cloud Asset Inventory의 모든 데이터를 채우는 데 최대 24시간이 걸릴 수 있습니다.

맞춤 데이터 보안 프레임워크 만들기

필요한 경우 데이터 보안 및 개인 정보 보호 기본 프레임워크를 복사하고 데이터 보안 및 규정 준수 요구사항에 맞게 맞춤설정합니다. 자세한 내용은 프레임워크 적용을 참고하세요.

고급 데이터 보안 클라우드 제어 배포

필요한 경우 고급 데이터 보안 클라우드 제어를 커스텀 프레임워크에 추가합니다. 이러한 컨트롤을 배포하려면 추가 구성이 필요합니다. 클라우드 컨트롤 및 프레임워크를 배포하는 방법은 프레임워크 적용을 참고하세요.

App Hub의 앱 지원 폴더에 있는 조직, 폴더, 프로젝트, 애플리케이션에 고급 데이터 보안 클라우드 제어가 포함된 프레임워크를 배포할 수 있습니다. 애플리케이션에 고급 데이터 보안 클라우드 제어를 배포하려면 프레임워크에 이러한 제어만 포함할 수 있습니다. 클라우드 제어 기능으로 모니터링할 앱 지원 폴더와 애플리케이션을 선택해야 합니다. 호스트 프로젝트의 애플리케이션은 지원되지 않습니다.

다음 사항을 고려하세요.

각 고급 데이터 보안 클라우드 제어의 정보를 검토하여 제한사항을 확인하세요.

다음 표에 설명된 대로 각 규칙의 작업을 완료합니다.

규칙	추가 구성
데이터 액세스 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI (사용자 환경에 적용되는 경우)에 대해 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 다음 형식 중 하나를 사용하여 허용된 주 구성원을 하나 이상 추가합니다 (최대 200명의 주 구성원). 사용자의 경우 `principal://goog/subject/USER_EMAIL_ADDRESS` 예: `principal://goog/subject/alex@example.com` 그룹의 경우 `principalSet://goog/group/GROUP_EMAIL_ADDRESS` 예: `principalSet://goog/group/my-group@example.com`
데이터 흐름 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI(사용자 환경에 적용되는 경우)에 대해 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 유니코드 Common Locale Data Repository (CLDR)에 정의된 국가 코드를 사용하여 허용된 국가를 지정합니다.
데이터 보호 및 키 거버넌스 클라우드 제어	BigQuery 및 Vertex AI에서 CMEK를 사용 설정합니다.
데이터 삭제 클라우드 컨트롤	보관 기간을 설정합니다. 예를 들어 보관 기간을 90일(초)로 설정하려면 보관 기간을 `777600`로 설정합니다.

다음 단계

데이터 보안과 관련된 발견 항목을 검토합니다.