이 페이지에서는 Security Command Center에 적용되는 데이터와 인프라 보안을 설명합니다.
데이터 처리
Security Command Center에 등록하면정보를 처리합니다. 사용하는서비스와 관련된 정보입니다. 여기에는 다음이 포함됩니다. Google Cloud Google Cloud
- 리소스와 관련된 구성 및 메타데이터 Google Cloud
- Identity and Access Management (IAM) 정책 및 사용자 구성 및 메타데이터
- Google Cloud-수준 API 액세스 패턴 및 사용
- 조직의 Cloud Logging 콘텐츠 Google Cloud
- 서비스 설정과 보안 발견 항목을 포함한 Security Command Center 메타데이터
Security Command Center는 클라우드 로그 및 원격 분석과 기타 데이터 등을 스캔하거나 모니터링하도록 구성한 애셋과 관련된 데이터를 처리하여 발견 항목을 제공하고 서비스를 개선합니다. 따라서 스캔 및 모니터링 보고서는 Google Cloud 개인정보처리방침의 약관 에 따라 Google에서 서비스 데이터로 처리합니다.
Security Command Center는 새로운 위협과 진화하는 위협으로부터 애셋을 보호하기 위해 잘못 구성된 애셋, 로그의 침해 지표, 공격 벡터와 관련된 데이터를 분석합니다. 이러한 활동에는 서비스 모델을 개선하기 위한 처리, 고객 환경 강화를 위한 권장사항, 서비스 효과와 품질, 사용자 환경이 포함될 수 있습니다. 서비스 개선을 위한 데이터를 처리하지 않고 서비스를 사용하려면 Google Cloud 지원팀에 문의하여 선택 해제하면 됩니다. 선택 해제하면 보안 원격 분석과 관련된 특정 기능을 사용하지 못할 수 있습니다. 이러한 예시로는 사용자 환경에 맞게 맞춤설정된 감지, 서비스 구성을 통합한 서비스 개선 등이 있습니다.
저장 데이터와 내부 시스템 간에 전송 중 데이터는 암호화됩니다. 또한 Security Command Center의 데이터 액세스 제어는 건강 보험 이동성 및 책임법 (HIPAA)과 기타 Google Cloud 규정 준수 서비스를 준수합니다.
민감한 정보 제한
조직의 관리자와 기타 권한이 있는 사용자는 Security Command Center에 데이터를 추가할 때 적절한 주의를 기울여야 합니다.
Security Command Center에서는 권한이 있는 사용자가 Google Cloud 리소스와 검사에서 생성된 발견 항목에 설명 정보를 추가할 수 있습니다. 경우에 따라 사용자가 제품을 사용할 때 실수로 민감한 정보를 전달할 수도 있습니다(예: 발견 항목에 고객 이름이나 계좌 번호 추가). 데이터를 보호하려면 애셋의 이름을 지정하거나 주석을 작성할 때 민감한 정보를 추가하지 않는 것이 좋습니다.
보안이 강화되도록 Security Command Center와 Sensitive Data Protection을 통합할 수 있습니다. Sensitive Data Protection은 민감한 정보와 개인정보(예: 신용 카드 번호, 주민등록번호, 사용자 인증 정보 Google Cloud )를 검색하고 분류하며 마스킹합니다.
정보의 양에 따라 Sensitive Data Protection 비용이 크게 증가할 수 있습니다. Sensitive Data Protection 비용 관리를 위한 권장사항을 따릅니다.
리소스 관리를 포함한 Security Command Center 설정에 대한 안내는 Security Command Center 최적화를 참조하세요.
발견 항목의 데이터 보관
Security Command Center가 처리하는 데이터는 조직, 폴더, 프로젝트 내의 리소스 및 애셋에서 위협, 취약점, 잘못된 구성을 식별하는 발견 항목에 캡처되고 저장됩니다. 발견 항목에는 매일 발견 항목의 상태와 속성을 캡처하는 일련의 일일 스냅샷 이 포함됩니다.
다음 표에는 Security Command Center의 발견 항목 보관 기간이 나와 있습니다.
| 발견 사항 | 보관 기간 |
|---|---|
| 비활성 취약점 | 7일 |
| 비활성 구성 오류 | 30일 |
| 활성 상태인 모든 항목 (위협 제외) | 다음 기간이 경과한 후 삭제됨:
구성 오류 또는 취약점 발견 항목의 기본 문제가 해결되지 않거나 재발하는 경우 Security Command Center는 후속 감지 스캔에서 발견 항목을 다시 만듭니다. |
| 기타 모든 발견 항목 | 90일 |
발견 항목은 적용 가능한 보관 기간 내에 있는 스냅샷이 하나 이상 포함되어 있는 한 Security Command Center에서 유지됩니다. 발견 항목 및 모든 데이터를 더 오랜 기간 동안 보관하려면 다른 스토리지 위치로 내보냅니다. 자세한 내용은 Security Command Center 데이터 내보내기를 참조하세요.
서드 파티 발견 항목은 이벤트 시간이 보관 기간을 초과하면 삭제됩니다. 오류로 인해 생성되거나 보안, 위험 또는 규정 준수 값이 없는 발견 항목은 언제든지 삭제될 수 있습니다.
등급 다운그레이드 영향
등급을 다운그레이드한 후 새 등급에서 지원되지 않는 감지기에서 생성된 활성 발견 항목은 INACTIVE로 설정됩니다. 동작은 발견 항목을 생성한 서비스에 따라 다를 수 있습니다. 서비스에 대한 등급 변경의 영향에 대한 자세한 내용은 서비스에 대한 등급 변경의 영향을 참조하세요.
INACTIVE 상태가 되므로 Security Command Center는 비활성 발견 항목의 표준 보관 기간에 따라 이러한 발견 항목과 연결된 보안 표시 및 숨기기 규칙을 보관합니다. 비활성 발견 항목이 보관되는 기간에 대한 자세한 내용은
발견 항목의 데이터 보관 표를 참조하세요.
프리미엄 및 엔터프라이즈 등급 구성 (예: 사용 설정 또는 사용 중지된 폴더 및 프로젝트) 은 30일 동안 보관됩니다. 이 30일 이내에 상위 등급을 다시 활성화하면 Security Command Center에서 구성을 복원합니다. 30일 후에는 영구 삭제됩니다.
조직 삭제
모든 등급에서 조직 을 삭제하면 Google Cloud보관 기간에 대한 예외가 적용됩니다. 조직이 삭제되면 조직에서 파생된 모든 발견 항목과 해당 폴더 및 프로젝트가 Google Cloud의 데이터 감지에 설명된 보관 기간 내에 삭제됩니다.
프로젝트 삭제
프로젝트가 삭제되면 프로젝트의 발견 항목이 동시에 삭제되지는 않고 대신 삭제된 프로젝트가 포함된 조직의 감사 가능성을 위해 보관됩니다. 보관 기간은 삭제된 프로젝트에서 활성 상태였던 등급에 따라 다릅니다. Enterprise 및 Premium 등급의 경우 13개월, Standard 및 Standard-legacy 등급의 경우 35일입니다.
프로젝트를 삭제하고 프로젝트의 모든 발견 항목을 동시에 삭제해야 하는 경우 프로젝트의 모든 발견 항목에 대한 조기 삭제를 시작할 수 있는 Cloud Customer Care에 문의하세요.
애셋 삭제
발견 항목과 연결된 애셋이 삭제되면 Security Command Center에서 발견 항목을 조직에 다시 할당할 수 있습니다. 즉, 발견 항목의 상위 요소가 조직이 됩니다. 이 재할당 은 애셋이 삭제된 후 며칠 후에 발생하며 발견 항목이 업데이트된 경우에만 발생합니다. 이 재할당 을 통해 원래 애셋이 더 이상 존재하지 않더라도 발견 항목을 감사 가능성에 계속 사용할 수 있습니다.
디스크 클론의 데이터 보관
Virtual Machine Threat Detection은 VM의 영구 디스크의 수명이 짧은 클론을 가져와서 Google 소유 프로젝트에 영역 디스크의 경우 동일한 영역에, 리전 디스크의 경우 동일한 리전에 저장합니다. VM Threat Detection은 디스크 클론을 스캔하고 디스크 스캔 활동을 완료하고 시간 초과와 같은 오류를 처리한 후 1시간 이내에 삭제합니다.
인프라 보안
Security Command Center는 Google에서 자체 소비자 및 엔터프라이즈 서비스에 사용하는 인프라와 동일한 인프라를 기반으로 빌드되었습니다. Google 인프라의 계층형 보안은 의 모든 서비스, 데이터, 통신, 작업을 보호하도록 설계되었습니다 Google Cloud.
Google 인프라 보안에 대해 자세히 알아보려면 Google 인프라 보안 설계 개요를 참조하세요.
다음 단계
Security Command Center의 기능과 이점을 알아보려면 Security Command Center 개요 참조하기
Security Command Center 사용 자세히 알아보기