클라우드용 Defender 앱이 GCP(Google Cloud Platform) 환경을 보호하는 방법

  • 아티클

Google Cloud Platform은 조직에서 클라우드에서 전체 워크로드를 호스트하고 관리할 수 있도록 하는 IaaS 공급자입니다. 클라우드에서 인프라를 활용하는 이점과 함께 조직의 가장 중요한 자산은 위협에 노출될 수 있습니다. 노출된 자산에는 잠재적으로 중요한 정보가 있는 스토리지 인스턴스, 조직에 액세스할 수 있는 가장 중요한 애플리케이션, 포트 및 가상 사설망 중 일부를 운영하는 컴퓨팅 리소스가 포함됩니다.

클라우드용 Defender 앱에 GCP를 커넥트 관리 및 로그인 활동을 모니터링하고, 가능한 무차별 암호 대입 공격, 권한 있는 사용자 계정의 악의적인 사용 및 비정상적인 VM 삭제를 알려 자산을 보호하고 잠재적인 위협을 감지할 수 있습니다.

주요 위협

  • 클라우드 리소스 남용
  • 손상된 계정 및 내부자 위협
  • 데이터 유출
  • 리소스 구성이 잘못되었으며 액세스 제어가 부족합니다.

클라우드용 Defender 앱이 환경을 보호하는 데 도움이 되는 방법

기본 제공 정책 및 정책 템플릿을 사용하여 GCP 제어

다음 기본 제공 정책 템플릿을 사용하여 잠재적 위협을 감지하고 알릴 수 있습니다.

Type 이름
기본 제공 변칙 검색 정책 익명 IP 주소에서의 활동
자주 사용되지 않는 국가에서의 활동
의심스러운 IP 주소에서의 활동
이동 불가능
종료된 사용자가 수행한 작업(IdP로 Microsoft Entra ID 필요)
여러 번의 로그인 시도 실패
비정상적인 관리 활동
복수 삭제 VM 작업
비정상적인 여러 VM 만들기 작업 (미리 보기)
활동 정책 템플릿 컴퓨팅 엔진 리소스에 대한 변경 내용
StackDriver 구성 변경 내용
스토리지 리소스에 대한 변경 내용
가상 사설망에 대한 변경 내용
위험한 IP 주소에서 로그온

정책 만들기에 대한 자세한 내용은 정책 만들기를 참조하세요.

거버넌스 제어 자동화

잠재적인 위협에 대한 모니터링 외에도 다음 GCP 거버넌스 작업을 적용하고 자동화하여 검색된 위협을 수정할 수 있습니다.

Type 작업
사용자 거버넌스 - 사용자가 Google로 암호를 재설정하도록 요구(연결된 Google Workspace 인스턴스 필요)
- 사용자 일시 중단(연결된 Google Workspace 인스턴스 필요)
- 사용자에게 경고 알림(Microsoft Entra ID를 통해)
- 사용자가 다시 로그인하도록 요구(Microsoft Entra ID를 통해)
- 사용자 일시 중단(Microsoft Entra ID를 통해)

앱에서 위협을 수정하는 방법에 대한 자세한 내용은 연결된 앱 관리를 참조하세요.

실시간으로 GCP 보호

외부 사용자와의 보안 및 공동 작업, 관리되지 않거나 위험한 디바이스에 대한 중요한 데이터 다운로드 차단 및 보호에 대한 모범 사례를 검토합니다.

Google Cloud Platform을 클라우드용 Microsoft Defender 앱에 커넥트

이 섹션에서는 커넥터 API를 사용하여 클라우드용 Microsoft Defender 앱을 기존 GCP(Google Cloud Platform) 계정에 연결하기 위한 지침을 제공합니다. 이 연결을 사용하면 GCP 사용을 파악하고 제어할 수 있습니다. 클라우드용 Defender 앱이 GCP를 보호하는 방법에 대한 자세한 내용은 GCP 보호를 참조하세요.

통합에 전용 프로젝트를 사용하고 프로젝트에 대한 액세스를 제한하여 안정적인 통합을 기본 설치 프로세스의 삭제/수정을 방지하는 것이 좋습니다.

참고 항목

감사를 위해 GCP 환경을 연결하는 지침은 집계된 로그를 사용하기 위한 Google의 권장 사항을 따릅니다. 통합은 Google StackDriver를 활용하며 청구에 영향을 줄 수 있는 추가 리소스를 사용합니다. 사용된 리소스는 다음과 같습니다.

클라우드용 Defender 앱 감사 연결은 관리 활동 감사 로그만 가져옵니다. 데이터 액세스 및 시스템 이벤트 감사 로그는 가져오지 않습니다. GCP 로그에 대한 자세한 내용은 클라우드 감사 로그를 참조 하세요.

필수 조건

통합 GCP 사용자에게는 다음 권한이 있어야 합니다.

  • IAM 및 관리 편집 – 조직 수준
  • 프로젝트 만들기 및 편집

GCP 보안 감사를 클라우드용 Defender 앱 연결에 연결하여 GCP 앱 사용에 대한 가시성을 확보하고 제어할 수 있습니다.

Google Cloud Platform 구성

전용 프로젝트 만들기

통합 격리 및 안정성을 사용하도록 조직에서 GCP에서 전용 프로젝트 만들기

  1. 통합 GCP 사용자 계정을 사용하여 GCP 포털에 로그인합니다.

  2. 프로젝트 만들기를 선택하여 새 프로젝트를 시작합니다.

  3. 새 프로젝트 화면에서 프로젝트 이름을 지정하고 만들기를 선택합니다.

    Screenshot showing GCP create project dialog.

필요한 API 사용

  1. 전용 프로젝트로 전환합니다.

  2. 라이브러리 탭으로 이동합니다.

  3. 클라우드 로깅 API를 검색하여 선택한 다음, API 페이지에서 ENABLE을 선택합니다.

  4. Cloud Pub/Sub API를 검색하여 선택한 다음, API 페이지에서 ENABLE을 선택합니다.

    참고 항목

    Pub/Sub Lite API를 선택하지 않는지 확인합니다.

보안 감사 통합을 위한 전용 서비스 계정 만들기

  1. IAM 및 관리자에서 서비스 계정을 선택합니다.

  2. CREATE SERVICE ACCOUNT를 선택하여 전용 서비스 계정을 만듭니다.

  3. 계정 이름을 입력한 다음 만들기를 선택합니다.

  4. 역할을Pub/Sub 관리 지정한 다음 저장을 선택합니다.

    Screenshot showing GCP add IAM role.

  5. 전자 메일 값을 복사합니다. 나중에 필요합니다.

    Screenshot showing GCP service account dialog.

  6. IAM 및 관리자에서 IAM을 선택합니다.

    1. 조직 수준으로 전환합니다.

    2. ADD를 선택합니다.

    3. 새 구성원 상자에 이전에 복사한 전자 메일 값을 붙여넣습니다.

    4. 역할을 로그 구성 기록기로 지정한 다음 저장을 선택합니다.

      Screenshot showing add member dialog.

전용 서비스 계정에 대한 프라이빗 키 생성

  1. 프로젝트 수준으로 전환합니다.

  2. IAM 및 관리자에서 서비스 계정을 선택합니다.

  3. 전용 서비스 계정을 열고 편집을 선택합니다.

  4. CREATE KEY를 선택합니다.

  5. 프라이빗 키 만들기 화면에서 JSON을 선택한 다음 CREATE를 선택합니다.

    Screenshot showing create private key dialog.

    참고 항목

    나중에 디바이스에 다운로드되는 JSON 파일이 필요합니다.

조직 ID 검색

조직 ID를 기록해 둡니다. 나중에 필요합니다. 자세한 내용은 조직 ID 가져오기를 참조하세요.

Screenshot showing organization ID dialog.

클라우드용 Defender 앱에 Google Cloud Platform 감사 커넥트

이 절차에서는 GCP 연결 세부 정보를 추가하여 Google Cloud Platform 감사를 클라우드용 Defender 앱에 연결하는 방법을 설명합니다.

  1. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 커넥트 앱에서 앱 커넥트 선택합니다.

  2. 앱 커넥터 페이지에서 GCP 커넥터 자격 증명을 제공하려면 다음 중 하나를 수행합니다.

    참고 항목

    통합 사용자 관리 및 거버넌스를 얻으려면 Google Workspace 인스턴스를 연결하는 것이 좋습니다. Google Workspace 제품을 사용하지 않고 GCP 사용자가 Google Workspace 사용자 관리 시스템을 통해 관리되는 경우에도 권장됩니다.

    새 커넥터의 경우

    1. +커넥트 앱을 선택한 다음 Google Cloud Platform선택합니다.

      Connect GCP.

    2. 다음 창에서 커넥터의 이름을 입력한 다음, 다음을 선택합니다.

      GCP connector name.

    3. 세부 정보 입력 페이지에서 다음을 수행하고 제출을 선택합니다.

      1. 조직 ID 상자에 앞에서 적어 두는 조직을 입력합니다.
      2. 프라이빗 키 파일 상자에서 이전에 다운로드한 JSON 파일을 찾습니다.

      Connect GCP app security auditing for new connector.

    기존 커넥터의 경우

    1. 커넥터 목록의 GCP 커넥터가 표시되는 행에서 설정 편집을 선택합니다.

      Screenshot of the Connected Apps page, showing edit Security Auditing link.

    2. 세부 정보 입력 페이지에서 다음을 수행하고 제출을 선택합니다.

      1. 조직 ID 상자에 앞에서 적어 두는 조직을 입력합니다.
      2. 프라이빗 키 파일 상자에서 이전에 다운로드한 JSON 파일을 찾습니다.

      Connect GCP app security auditing for existing connector.

  3. Microsoft Defender 포털에서 설정 선택합니다. 그런 다음, Cloud Apps를 선택합니다. 커넥트 앱에서 앱 커넥트 선택합니다. 연결된 앱 커넥트or의 상태 커넥트 있는지 확인합니다.

    참고 항목

    클라우드용 Defender 앱은 통합 프로젝트의 통합 서비스 계정을 사용하여 집계된 내보내기 싱크(조직 수준), Pub/Sub 토픽 및 Pub/Sub 구독을 만듭니다.

    집계된 내보내기 싱크는 GCP 조직 전체에서 로그를 집계하는 데 사용되며 만든 Pub/Sub 토픽이 대상으로 사용됩니다. 클라우드용 Defender 앱은 GCP 조직 전체에서 관리 활동 로그를 검색하기 위해 만든 Pub/Sub 구독을 통해 이 항목을 구독합니다.

앱 연결에 문제가 있는 경우 앱 커넥트 문제 해결을 참조하세요.

다음 단계

정책을 사용하여 클라우드 앱 제어

문제가 발생하면 도움을 받으세요. 제품 문제에 대한 지원 또는 지원을 받으려면 지원 티켓을 여세요.