이 페이지는 Cloud Translation API를 통해 번역되었습니다.

데이터 보안 상황 관리 사용

이 문서에서는 데이터 보안 상황 관리 (DSPM)을 사용 설정하고 사용하는 방법을 설명합니다.

DSPM 사용 설정

Security Command Center 활성화 중 또는 활성화 후에 DSPM을 사용 설정할 수 있습니다.

조직 수준에서 DSPM을 사용 설정하려면 다음을 완료하세요.

DSPM을 사용 설정하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 조직 관리자(roles/resourcemanager.organizationAdmin)
- 보안 센터 관리자(roles/securitycenter.admin)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

다음 방법 중 하나를 사용하여 DSPM을 사용 설정합니다.

시나리오	안내
Security Command Center를 아직 활성화하지 않았거나 Security Command Center Standard 등급을 사용 중이며 Security Command Center Premium 등급을 사용하려고 합니다.	조직에 대해 Security Command Center 프리미엄을 활성화하여 DSPM을 사용 설정합니다.
Security Command Center를 활성화하지 않았고 Security Command Center Enterprise 등급을 사용하려고 합니다.	Security Command Center Enterprise를 활성화하여 DSPM을 사용 설정하세요.
이미 Security Command Center 프리미엄 등급을 활성화한 상태에서 DSPM을 사용 설정하려고 합니다.	설정 페이지에서 DSPM을 사용 설정합니다. 설정 페이지로 이동
이전에 Security Command Center Enterprise 등급을 활성화했으며 DSPM을 사용 설정하려고 합니다.	DSPM 활성화 페이지를 사용하여 DSPM을 사용 설정합니다. DSPM 활성화로 이동

Security Command Center 등급에 대한 자세한 내용은 Security Command Center 서비스 등급을 참고하세요.

DSPM으로 보호할 리소스의 검색을 사용 설정합니다.

DSPM을 사용 설정하면 다음 서비스도 사용 설정됩니다.

규정 준수 관리자를 사용하여 데이터 보안 프레임워크와 클라우드 제어를 만들고 적용하고 관리합니다.
Sensitive Data Protection을 사용하여 기본 데이터 위험 평가에 데이터 민감도 신호를 사용합니다.
조직 수준에서 Event Threat Detection(Security Command Center의 일부)을 사용하여 데이터 액세스 거버넌스 클라우드 제어 및 데이터 흐름 거버넌스 클라우드 제어를 사용합니다.
AI Protection: AI 워크로드의 수명 주기를 보호합니다 (Security Command Center Enterprise 등급만 해당).

데이터 보안 및 개인 정보 보호 기본 프레임워크가 조직에 자동으로 적용됩니다.

DSPM을 사용 설정하면 DSPM 서비스 에이전트 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)가 생성됩니다.

DSPM Identity and Access Management 역할에 대한 자세한 내용은 조직 수준 활성화를 위한 Identity and Access Management를 참고하세요.

VPC 서비스 제어 경계에 대한 DSPM 지원

VPC 서비스 제어 경계가 포함된 조직에서 DSPM을 사용 설정할 때는 다음 사항을 고려하세요.

Security Command Center 제한사항을 검토합니다.
모든 리소스가 조직 수준에 있으므로 경계를 사용하여 DSPM 리소스를 보호할 수 없습니다. DSPM 권한을 관리하려면 IAM을 사용하세요.
DSPM은 조직 수준에서 사용 설정되므로 서비스 경계 내의 데이터 위험 및 위반을 감지할 수 없습니다. 액세스를 허용하려면 다음을 완료하세요.
1. 조직 수준에서 VPC 서비스 제어를 구성하는 데 필요한 역할이 있는지 확인합니다.
2. 다음 인그레스 규칙을 구성합니다.
```
- ingressFrom:
  identities:
  - serviceAccount: DSPM_SA_EMAIL_ADDRESS
  sources:
      - accessLevel: "*"
  ingressTo:
    operations: "*"
    resources: "*"
```
DSPM_SA_EMAIL_ADDRESS을 DSPM 서비스 에이전트의 이메일 주소 (service-org-ORGANIZATION_ID@gcp-sa-dspm-hpsa.iam.gserviceaccount.com)로 바꿉니다.

서비스 에이전트에 필요한 IAM 역할은 DSPM을 사용 설정할 때 부여되며 서비스 에이전트가 실행할 수 있는 작업을 결정합니다.

인그레스 규칙에 대한 자세한 내용은 인그레스 및 이그레스 정책 구성을 참고하세요.

DSPM 대시보드 사용

대시보드를 사용하여 데이터 보안 상태를 분석하려면 다음 작업을 완료하세요.

DSPM 대시보드를 사용하는 데 필요한 권한을 얻으려면 관리자에게 조직에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.
- 데이터 보안 상태 관리 관리자 (roles/dspm.admin)
- 보안 센터 관리자(roles/securitycenter.admin)
- 읽기 전용 액세스의 경우:
  - 데이터 보안 상황 관리 뷰어 (roles/dspm.viewer)
  - 보안 센터 관리자 뷰어(roles/securitycenter.adminViewer)
역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.
데이터 검색 및 위험 분석에 DSPM 대시보드를 사용합니다. DSPM을 사용 설정하면 환경이 데이터 보안 및 개인 정보 보호 기본 프레임워크와 얼마나 일치하는지 즉시 평가할 수 있습니다.

콘솔에서 데이터 보안 및 규정 준수 아래의 데이터 보호 탭을 클릭합니다.

데이터 보안 대시보드로 이동

다음 정보를 확인할 수 있습니다.
- 데이터 지도 탐색기
- 데이터 보안 발견 항목
- 적용된 데이터 보안 제어 및 프레임워크에 관한 통계
이 정보를 사용하여 결과를 검토하고 수정하여 환경이 보안 및 규정 준수 요구사항에 더 잘 부합하도록 합니다.

조직 수준에서 대시보드를 보고 애플리케이션 관리를 위해 구성된 폴더에 애플리케이션을 배포하는 경우 애플리케이션을 선택하여 대시보드를 필터링하여 애플리케이션에 적용되는 결과 및 인사이트만 표시할 수 있습니다. 데이터를 검토할 때 다음 스캔 지연 시간을 고려하세요.
- 상위 발견 사항 패널에 오래된 리소스 구성 데이터가 표시될 수 있습니다. 예를 들어 발견 사항의 기본 리소스가 오래된 애플리케이션과 연결되어 있을 수 있습니다.
- 애플리케이션 선택기에 지난 24시간 이내에 생성된 애플리케이션 및 리소스 등록이 표시되지 않을 수 있습니다.
Security Command Center를 활성화한 후 데이터 맵 탐색기에 Security Command Center 및 Cloud Asset Inventory의 모든 데이터가 채워지기까지 24시간이 걸릴 수 있습니다.

맞춤 데이터 보안 프레임워크 만들기

필요한 경우 데이터 보안 및 개인 정보 보호 기본 프레임워크를 복사하고 데이터 보안 및 규정 준수 요구사항에 맞게 맞춤설정합니다. 자세한 내용은 프레임워크 적용을 참고하세요.

고급 데이터 보안 클라우드 제어 배포

필요한 경우 고급 데이터 보안 클라우드 제어를 맞춤 프레임워크에 추가합니다. 이러한 컨트롤을 배포하려면 추가 구성이 필요합니다. 클라우드 컨트롤 및 프레임워크를 배포하는 방법은 프레임워크 적용을 참고하세요.

애플리케이션 관리를 위해 구성된 폴더의 조직, 폴더, 프로젝트, App Hub 애플리케이션에 고급 데이터 보안 클라우드 제어가 포함된 프레임워크를 배포할 수 있습니다. 애플리케이션에 고급 데이터 보안 클라우드 제어를 배포하려면 프레임워크에 이러한 제어만 포함할 수 있습니다. 클라우드 제어 기능으로 모니터링할 앱 지원 폴더와 애플리케이션을 선택해야 합니다. 호스트 프로젝트 또는 단일 프로젝트 경계의 애플리케이션은 지원되지 않습니다.

다음 사항을 고려하세요.

각 고급 데이터 보안 클라우드 제어의 정보를 검토하여 제한사항을 확인하세요.

다음 표에 설명된 대로 각 규칙의 작업을 완료합니다.

규칙	추가 구성
데이터 액세스 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI (사용자 환경에 적용되는 경우)에 대해 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 다음 형식 중 하나를 사용하여 허용된 주 구성원을 하나 이상 추가합니다 (최대 200명의 주 구성원). 사용자의 경우 `principal://goog/subject/USER_EMAIL_ADDRESS` 예: `principal://goog/subject/alex@example.com` 그룹의 경우 `principalSet://goog/group/GROUP_EMAIL_ADDRESS` 예: `principalSet://goog/group/my-group@example.com`
데이터 흐름 거버넌스 클라우드 제어	Cloud Storage 및 Vertex AI(사용자 환경에 적용되는 경우)에 대해 데이터 액세스 감사 로그를 사용 설정합니다. 데이터 액세스 권한 유형을 `DATA_READ`로 설정합니다. 데이터 액세스 거버넌스 클라우드 제어를 적용하는 위치에 따라 조직 수준 또는 프로젝트 수준에서 데이터 액세스 로그를 사용 설정합니다. 승인된 주 구성원만 감사 로깅에서 제외되는지 확인합니다. 감사 로깅에서 제외된 주 구성원은 DSPM에서도 제외됩니다. 유니코드 Common Locale Data Repository (CLDR)에 정의된 국가 코드를 사용하여 허용된 국가를 지정합니다.
데이터 보호 및 키 거버넌스 클라우드 제어	BigQuery 및 Vertex AI에서 CMEK를 사용 설정합니다.
데이터 삭제 클라우드 컨트롤	보관 기간을 설정합니다. 예를 들어 보관 기간을 90일(초)로 설정하려면 보관 기간을 `777600`로 설정합니다.

다음 단계

데이터 보안과 관련된 발견 항목을 검토합니다.