[GCP]GCP 에서 조직(Organization) 활용하기 5부 — 보안센터(Security Command Center)

이정운 (Jungwoon Lee)
google-cloud-apac
Published in
11 min readJun 8, 2020

안녕하세요 이정운 입니다.

지금까지 GCP 에서 조직(Organization) 활용하기 주제로 총 4부의 시리즈로 이야기 하였습니다.

GCP 에서 조직(Organization) 활용하기 1부 — Cloud Identity
GCP 에서 조직(Organization) 활용하기 2부 — 조직 마이그레이션
GCP 에서 조직(Organization) 활용하기 3부 — 조직 정책
GCP 에서 조직(Organization) 활용하기 4부 — 지원 케이스(Support case)

상단의 이야기들을 통해서 조직에 대한 이해가 넓어졌길 바라며, 이번에는 그 5번째 시리즈인 보안센터(Security Command Center) 에 대한 이야기를 해보려고 합니다.

보안 센터는 Google Cloud의 표준 보안 및 위험에 관련된 데이터베이스이며 조직 전체의 Google Cloud 보안 및 데이터 위험을 표면화하여 이해하고 개선하기 위한, 직관적이고 지능적인 위험 대시 보드이자 분석시스템 입니다.

설명에도 나와있지만 조직 전체에 대한 보안을 확인 할 수 있기 때문에 조직이 있는 경우에만 사용할 수 있는 솔루션 입니다.

https://cloud.google.com/security-command-center

그럼 실제 테스트를 통해서 보안센터를 어떻게 사용하고 활용할 수 있는지 직접 확인해볼까요?

#1) 보안 센터 사용하기

조직에서 보안센터를 사용하려면 GCP 관리콘솔에서 “보안 > 보안센터” 메뉴를 선택합니다. 해당 메뉴를 선택하면 보안센터의 기본 화면이 나오면서 우측 상단에 ‘시작하기’ 버튼을 확인할 수 있습니다. 보안센터 사용을 시작하기 위해서 ‘시작하기’ 버튼을 클릭합니다.

그러면, 하단과 같은 Security Command Center 설명 메세지가 나오며 우측 하단의 ‘업그레이드’ 버튼을 클릭합니다. (여기서 ‘업그레이드’ 를 누른다고 실제 업그레이드가 되지는 않으며 마법사 메뉴가 나옵니다.)

보안센터 설정 마법사 화면을 하단과 같이 확인 가능하며, 처음에는 표준/프리미엄 등급에 대한 설명 화면을 확인할 수 있습니다.

보시면 아시겠지만 표준모드는 무료로 사용가능 하지만 Security Health Analytics 만 사용 가능하고 프리미엄은 비용이 발생하지만 Web Security Scanner, Event Thread Detection, Container Thread Detection 등 보다 강화된 보안 기능을 사용할 수 있습니다. 좀 더 자세한 내용이 궁금하신 분들은 하단의 링크를 참고하시기 바라겠습니다.

Security Command Center conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-security-command-center-overview

여기서는 테스트 목적이기도 하고 Security Health Analytics 기능만으로도 굉장히 유용하기 때문에 무료로 사용 가능한 ‘기본 모드’ 를 사용하도록 하겠습니다. 서비스 선택 메뉴에서 기본 값으로 두고 ‘다음’을 클릭합니다.

다음에는 적용가능한 리소스를 선택하도록 되어있는데 이것도 기본값으로 둡니다.

보안센터가 서비스를 위해서 필요한 서비스 계정을 자동으로 생성하도록 ‘역할 부여’ 버튼을 클릭합니다.

그러면, 자동으로 서비스 계정 생성 및 테스트까지 진행되고 문제가 없다면 ‘다음’을 클릭합니다.

마지막으로 설정 완료가 되었다는 메세지를 확인하고 보안센터 설정을 마무리 합니다.

#2) 보안 센터 활용하기

조직에서 보안센터 사용 설정이 완료한 후 보안센터에 들어가보면 자원에 관련된 ‘에셋 요약’이나 보안 위협이 정리되는 ‘발견 항목 요약’과 같은 대시보드를 확인할 수 있습니다.

좌측 상단의 다양한 탭중에서 ‘취약점’ 항목을 들어가면 어떠한 기준으로 어떤 취약점 및 권장사항을 확인할 수 있는지 리스트를 확인할 수 있습니다.

그리고, 애셋 메뉴 탭을 클릭하면 조직 전체의 자원을 일목 요연하게 하나의 대시보드에서 확인 가능합니다. 당연히 조직적인 뷰이기 때문에 조직내의 여러 프로젝트의 자원을 통합적으로 하나의 대시보드에서 확인 가능합니다. (참고적으로 시점을 지정할 수 있어서 안보이신다면 우측 상단의 ‘지금’을 클릭해야 합니다.)

좌측 상단의 ‘보기 기준’을 ‘애셋 유형’으로 변경하면 좀 더 보기 편하게 GCP 자원 유형별로 확인하는 것도 가능합니다.

예를 들어, Firewall 을 선택해보면 조직내의 다양한 프로젝트에서 만들어져 사용중인 방화벽 자원들을 보안센터에서 확인 가능합니다.

특히, ‘보기 기준’에서 ‘애셋 변경됨’ 을 클릭한 뒤 우측상단의 시점을 조절하면 일정시간 기준으로 새롭게 만들어지거나 추가된 애셋을 확인할 수 있으므로 전체적인 조직의 자원관리나 변경 관리에 편리하게 활용 가능하지 않을까 합니다.

#3) 보안 센터 실제 활용하기

조금 더 보안센터의 장점을 느껴보기 위해서 테스트용 GCE 를 만들어서 외부의 모든 ip 에 열려있는 CIDR 인 0.0.0.0/0 으로 오픈된 방화벽 설정을 만든다거나 GCS 에서 아무나 접속 가능한 퍼블릭 공개 버킷등을 간단하게 만들어 둡니다.

스캔과 반영을 위해 일정 시간이 지난후에 보안센터를 확인해보면 이전의 기본화면과 달라진 것을 확인 가능합니다. 대표적으로 ‘발견 항목 요약’ 화면에서 Security Health Analytics 가 9개의 발견항목을 찾았다는 것을 확인할 수 있으며 추가적으로 ‘보안 상태 분석’ 화면에서 발견항목의 내용(예:Open_Firewall)과 레벨을 확인할 수 있습니다.

발견 항목 요약의 소스를 클릭하면 하단과 같이 발견항목의 상세 내용 페이지로 이동합니다.

당연히 각 아이템을 클릭하면 각 아이템 별로 개요나 교정 방안, 영향을 받은 애셋, 최종 변경 시간등의 상세 내용을 확인할 수 있습니다.

또한, ‘보기 기준’을 ‘발견 항목 변경’으로 변경하면 발견 항목에 대한 상태변경이 가능합니다. 예를 들어 보안 위협으로 발견된 항목이지만 반드시 필요한 항목이라면 ‘비활성’으로 상태를 변경해두면 실제 대시보드 화면에서는 ‘활성’ 항목만 표시되도록 설정되어 있으므로 다음부터는 표시되지 않게 할 수 있습니다. 또는, 보안 표시 설정 메뉴를 클릭하여 좀 더 편한 정리 및 검색을 위해서 Key/Value 값을 원하는 형태로 추가 할 수 있습니다.

해당 메뉴의 좀 더 상세 내용이 궁금하신 분들은 하단의 링크를 참고하시기 바라겠습니다.

Using the Security Command Center dashboard
https://cloud.google.com/security-command-center/docs/how-to-use-security-command-center

마지막으로 상단에 취약점 메뉴에서도 해당 부분을 하단과 같이 확인 가능합니다.

추신 #1: 기 언급한 것처럼 무료로 사용가능한 보안센터의 기본 등급 말고 비용이 발생되는 프리미엄 등급이 추가로 있습니다. 프리미엄은 비용이 발생하지만 Web Security Scanner, Event Thread Detection, Container Thread Detection 등 보다 강화된 보안 기능을 사용할 수 있으므로 해당 내용이 더 궁금하신 분들은 하단의 링크 참고하시기 바라겠습니다.

Overview of Web Security Scanner
https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview

Event Threat Detection conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview

Container Threat Detection conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-container-threat-detection-overview

여기까지 잘 따라오셨다면 조직에서 보안센터를 어떻게 활용하고, 어떤 장점을 가지고 있는지 테스트 해보면서 직접 확인해 보셨을 것입니다. 기 언급한 것처럼 보안센터는 기본/프리미엄 등급으로 나뉘어져 있고 오늘 이야기에서 다룬것은 무료로 사용 가능한 기본 등급이지만, Security Health Analytics 를 사용할 수 있기 때문에 비록 이름은 기본이지만 보안이나 관리 측면에서 많은 장점을 가지고 있고 조직내에서 보안센터를 활용해야 할 충분한 이유가 되지 않을까 합니다. 그럼 이번 이야기는 여기서 마무리하고 다음에 다른 이야기를 들고 다시 돌아오겠습니다. 휘리릭~~~

Disclaimer: 본 글의 작성자는 Google 직원이지만 Google cloud 를 공부하는 한 개인으로서 작성된 글입니다. 본 글의 내용, 입장은 Google 을 대변하지 않으며 Google 이 해당 콘텐츠를 보장하지 않습니다.

참고 자료 #1

Security Command Center
https://cloud.google.com/security-command-center

Security Command Center conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-security-command-center-overview?hl=en

Using the Security Command Center dashboard
https://cloud.google.com/security-command-center/docs/how-to-use-security-command-center

Overview of Web Security Scanner
https://cloud.google.com/security-command-center/docs/concepts-web-security-scanner-overview

Event Threat Detection conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-event-threat-detection-overview

Container Threat Detection conceptual overview
https://cloud.google.com/security-command-center/docs/concepts-container-threat-detection-overview

--

--

이정운 (Jungwoon Lee)
google-cloud-apac

Technical engineer who dreams better future. (These thoughts are my own personal opinions, and do not reflect or represent Google’s opinions or plans.)