GCP의 위협 감지 및 모니터링 기능은 Security Command Center에서 기본 제공되는 보안 제어와 보안 관련 활동을 감지하고 대응할 수 있게 해주는 커스텀 솔루션의 조합을 사용하여 제공됩니다.
- 로그 싱크는 리소스 계층 구조의 모든 프로젝트에서 로그를 집계하도록 조직 노드에서 구성됩니다.
- 필터 조건에 맞는 로그를 다른 스토리지 및 분석 대상으로 전송하도록 여러 로그 싱크가 구성됩니다.
- prj-c-logging 프로젝트에는 로그 스토리지 및 분석을 위한 모든 리소스가 포함됩니다.
- 선택적으로 SIEM으로 로그를 내보내기 위한 추가 도구를 구성할 수 있습니다.
Security Command Center로 위협 모니터링
조직에서 Google Cloud 리소스에서 위협, 취약점, 잘못된 구성을 자동으로 감지할 수 있도록 Security Command Center 프리미엄을 활성화하는 것이 좋습니다. Security Command Center는 다음을 포함한 여러 소스에서 보안 발견 항목을 만듭니다.
- Security Health Analytics: Google Cloud 리소스에서 일반적인 취약점과 구성 오류를 감지합니다.
- 공격 경로 노출: 다른 Security Command Center 소스에서 감지한 취약점과 잘못된 구성을 기반으로 공격자가 고가치 리소스를 악용할 수 있는 시뮬레이션된 경로를 보여줍니다.
- Event Threat Detection: 로그에 감지 로직 및 독점 위협 인텔리전스를 적용하여 거의 실시간으로 위협을 식별합니다.
- Container Threat Detection: 일반적인 컨테이너 런타임 공격을 감지합니다.
- VM 위협 감지: 가상 머신에서 실행 중인 잠재적 악성 애플리케이션을 감지합니다.
- Web Security Scanner: Compute Engine, App Engine 또는 Google Kubernetes Engine의 웹 대면 애플리케이션에서 OWASP 상위 10개 취약점을 스캔합니다.
Security Command Center에서 다루는 취약점 및 위협에 대한 자세한 내용은 Security Command Center 소스를 참조하세요.
로그에 대한 커스텀 쿼리를 기반으로 하는 보안 관련 활동에 대한 알림을 만들어야 할 수 있습니다. 커스텀 쿼리는 Google Cloud에서 로그를 분석하고 조사를 필요로 하는 이벤트만 내보내므로 특히 모든 Cloud 로그를 SIEM으로 내보낼 용량이 없는 경우 SIEM의 기능을 보완할 수 있습니다.
청사진은 연결된 BigQuery 데이터 세트를 사용하여 쿼리할 수 있는 로그의 중앙 집중식 소스를 설정하여 이러한 로그 분석을 사용 설정합니다. 이 기능을 자동화하려면 bq-log-alerting에서 코드 샘플을 구현하고 기반 기능을 확장해야 합니다. 샘플 코드를 사용하면 로그 소스를 정기적으로 쿼리하고 커스텀 발견 항목을 Security Command Center로 전송할 수 있습니다.
다음 다이어그램에서는 자동 로그 분석의 대략적인 흐름을 보여줍니다.
- 다양한 소스의 로그가 로그 분석 및 연결된 BigQuery 데이터 세트를 사용하여 중앙 집중식 로그 버킷에 집계됩니다.
- BigQuery 뷰는 모니터링하려는 보안 관련 활동의 로그를 쿼리하도록 구성됩니다.
- Cloud Scheduler는 15분마다 이벤트를 Pub/Sub 주제에 푸시하고 Cloud Functions를 트리거합니다.
- Cloud Functions는 뷰에 새 이벤트를 쿼리합니다. 이벤트를 찾으면 Security Command Center에 커스텀 발견 항목으로 푸시합니다.
- Security Command Center는 새로운 발견 항목에 대한 알림을 다른 Pub/Sub 주제에 게시합니다.
- SIEM과 같은 외부 도구는 Pub/Sub 주제를 구독하여 새 발견 항목을 수집합니다.
샘플에는 잠재적으로 의심스러운 동작을 쿼리하기 위한 몇 가지 사용 사례가 있습니다. 예를 들어 최고 관리자 또는 지정한 기타 높은 권한이 있는 계정 목록에서 로그인, 로깅 설정 변경 또는 네트워크 경로 변경사항이 있습니다. 요구사항에 맞는 새 쿼리 뷰를 작성하여 사용 사례를 확장할 수 있습니다. Google Cloud 로그를 분석하는 데 도움이 되도록 자체 쿼리를 작성하거나 SQL 쿼리 라이브러리에 대한 보안 로그 분석을 참조하세요.
탐지 구현
Security Command Center 서비스를 통한 Detective Controls 구현 외 GCP Detective Controls를 구현하기 위해 아래 방법을 참고하세요.
Protecting your GCP infrastructure at scale with Forseti Config Validator part three: Writing your own policy
https://github.com/GoogleCloudPlatform/policy-library/blob/main/docs/constraint_template_authoring.md
Learning Rego
https://www.openpolicyagent.org/docs/latest/policy-language/#learning-rego
Policy Language
Policy-based control for cloud native environments
www.openpolicyagent.org
이외에도 GCP Preventive Controls에 대해서는 다음 문서를 참고하세요.
참고
https://cloud.google.com/architecture/security-foundations/detective-controls?hl=ko
'IT > Infra&Cloud' 카테고리의 다른 글
| K8s Ingress(L7) (4) | 2024.10.13 |
|---|---|
| [gcp] Gemini (0) | 2024.08.04 |
| [gcp] Cloud Identity SSO 설정 (0) | 2024.07.15 |
| [gcp] Cloud Run (0) | 2024.07.13 |
| [gcp] Cloud Function(with jenkins) (0) | 2024.07.13 |
