데이터 보안 상황 관리 (DSPM)를 사용하면 보유한 데이터, 데이터가 저장된 위치, 보안 및 규정 준수 요구사항에 부합하는 방식으로 데이터가 사용되는지 여부를 파악할 수 있습니다. DSPM을 사용하면 다음 작업을 완료할 수 있습니다.
리소스 유형, 위치, 프로젝트 ID와 같은 필터를 사용하여 Google Cloud 환경 내의 데이터 리소스를 검색합니다.
Google에서 권장하는 우수사례에 따라 현재 데이터 보안 상황을 평가하여 잠재적인 보안 및 규정 준수 문제를 파악하고 해결하세요.
데이터 보안 및 규정 준수 요구사항을 데이터 보안 클라우드 컨트롤에 매핑합니다.
프레임워크를 사용하여 데이터 보안 클라우드 컨트롤을 적용합니다.
워크로드가 적용된 데이터 보안 프레임워크와 얼마나 잘 일치하는지 모니터링하고, 위반사항을 수정하고, 감사 증거를 생성합니다.
DSPM은 Sensitive Data Protection과 함께 작동합니다. Sensitive Data Protection은 조직의 민감한 정보를 찾고 DSPM을 사용하면 민감한 정보에 데이터 보안 클라우드 컨트롤을 배포하여 보안 및 규정 준수 요구사항을 충족할 수 있습니다.
DSPM 구성요소
다음 섹션에서는 DSPM의 구성요소를 설명합니다.
데이터 보안 대시보드
Google Cloud 콘솔의 데이터 보안 대시보드를 사용하면 조직의 데이터가 데이터 보안 및 규정 준수 요구사항과 어떻게 일치하는지 확인할 수 있습니다.
데이터 보안 대시보드의 데이터 맵 탐색기에는 데이터가 저장된 지리적 위치가 표시되며, 지리적 위치, 데이터의 민감도, 연결된 프로젝트, 데이터를 저장하는Google Cloud 서비스별로 데이터에 관한 정보를 필터링할 수 있습니다. 데이터 지도의 원은 해당 지역의 데이터 리소스 및 알림이 있는 데이터 리소스의 상대적 수를 나타냅니다.
데이터 리소스가 데이터 보안 클라우드 컨트롤을 위반할 때 발생하는 데이터 보안 발견 항목을 볼 수 있습니다. 데이터 보안 발견 항목은 DATA_SECURITY
발견 항목 카테고리를 사용합니다. 새로운 발견 결과가 생성되면 데이터 맵 탐색기에 표시되기까지 최대 2시간이 걸릴 수 있습니다.
배포된 데이터 보안 프레임워크, 각 프레임워크와 연결된 미해결 발견 항목 수, 하나 이상의 프레임워크가 적용되는 환경의 리소스 비율에 관한 정보도 검토할 수 있습니다.
데이터 보안 프레임워크
프레임워크를 사용하여 데이터 보안 및 규정 준수 요구사항을 정의하고 이러한 요구사항을 Google Cloud 환경에 적용합니다. DSPM에는 데이터 보안 및 규정 준수를 위한 권장 기준 제어를 정의하는 데이터 보안 및 개인 정보 보호 필수사항 프레임워크가 포함되어 있습니다. DSPM을 사용 설정하면 이 프레임워크가 탐지 모드의Google Cloud 조직에 자동으로 적용됩니다. 생성된 결과를 사용하여 데이터 보안 태세를 강화할 수 있습니다.
필요한 경우 프레임워크의 사본을 만들어 맞춤 데이터 보안 프레임워크를 만들 수 있습니다. 맞춤 프레임워크에 고급 데이터 보안 클라우드 컨트롤을 추가하고 조직, 폴더 또는 프로젝트에 맞춤 프레임워크를 적용할 수 있습니다. 예를 들어 특정 폴더에 관할권 제어를 적용하는 맞춤 프레임워크를 만들어 해당 폴더 내의 데이터가 특정 지리적 지역 내에 유지되도록 할 수 있습니다.
데이터 보안 및 개인 정보 보호 필수사항 프레임워크
다음 클라우드 컨트롤은 데이터 보안 및 개인 정보 보호 기본사항 프레임워크의 일부입니다.
| 클라우드 제어 | 설명 |
|---|---|
민감한 데이터 BigQuery 테이블 CMEK 사용 중지됨 |
민감한 정보가 포함된 BigQuery 테이블에 CMEK가 사용되지 않는 경우 감지 |
민감한 데이터 데이터 세트 CMEK 사용 중지됨 |
민감한 정보가 포함된 BigQuery 데이터 세트에 CMEK가 사용되지 않는 경우를 감지합니다. |
민감한 데이터 공개 데이터 세트 |
공개적으로 액세스할 수 있는 BigQuery 데이터 세트 내에서 민감한 정보를 감지합니다. |
민감한 데이터 공개 SQL 인스턴스 |
공개적으로 액세스 가능한 SQL 데이터베이스 내에서 민감한 데이터를 감지합니다. |
민감한 데이터 SQL CMEK 사용 중지됨 |
민감한 정보가 포함된 SQL 데이터베이스에 CMEK가 사용되지 않는 경우를 감지합니다. |
고급 데이터 보안 클라우드 제어
DSPM에는 추가 데이터 보안 요구사항을 충족하는 데 도움이 되는 고급 데이터 보안 클라우드 제어가 포함되어 있습니다. 이러한 고급 데이터 보안 클라우드 컨트롤에는 다음이 포함됩니다.
- 데이터 액세스 거버넌스: 지정한 주 구성원 외의 주 구성원이 민감한 데이터에 액세스하는지 감지합니다.
- 데이터 흐름 거버넌스: 지정된 지리적 (국가) 위치 외부에 있는 클라이언트가 민감한 데이터에 액세스하는지 감지합니다.
- 데이터 보호 및 키 관리: 민감한 정보가 고객 관리 암호화 키 (CMEK) 암호화 없이 생성되는지 감지합니다.
- 데이터 삭제: 민감한 정보의 최대 보관 기간 정책 위반을 감지합니다.
이러한 컨트롤은 감지 모드만 지원합니다. 이러한 컨트롤을 배포하는 방법에 관한 자세한 내용은 DSPM 사용을 참고하세요.
데이터 보안 클라우드 컨트롤
다음 섹션에서는 고급 데이터 보안 클라우드 컨트롤을 설명합니다.
데이터 액세스 거버넌스 클라우드 컨트롤
이 제어는 민감한 정보에 대한 액세스를 지정된 주 구성원 집합으로 제한합니다. 데이터 리소스에 대한 비준수 액세스 시도 (허용된 주 구성원 이외의 주 구성원에 의한 액세스)가 있으면 발견 항목이 생성됩니다. 지원되는 주 구성원 유형은 사용자 계정 또는 그룹입니다. 사용할 형식에 대한 자세한 내용은 지원되는 주 구성원 형식 표를 참고하세요.
사용자 계정에는 다음이 포함됩니다.
- 사용자가 google.com에서 가입하는 일반 Google 계정(예: Gmail.com 계정)
- 비즈니스용 관리 Google 계정
- Google Workspace for Education 계정
사용자 계정에는 로봇 계정, 서비스 계정, 위임 전용 브랜드 계정, 리소스 계정, 기기 계정이 포함되지 않습니다.
지원되는 확장 소재 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Cloud Storage 버킷
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 스토어
DSPM은 사용자 계정이 지원되는 리소스 유형을 읽을 때마다 이 제어와의 준수 여부를 평가합니다.
이 클라우드 제어를 사용하려면 Cloud Storage 및 Vertex AI에 대해 데이터 액세스 감사 로그를 사용 설정해야 합니다.
제한사항은 다음과 같습니다.
- 읽기 작업만 지원됩니다.
- 서비스 계정 가장을 비롯한 서비스 계정의 액세스는 이 제어에서 제외됩니다. 완화 조치로 신뢰할 수 있는 서비스 계정만 민감한 Cloud Storage, BigQuery, Vertex AI 리소스에 액세스할 수 있도록 합니다. 또한 액세스 권한이 없어야 하는 사용자에게 서비스 계정 토큰 생성자 (
roles/iam.serviceAccountTokenCreator) 역할을 부여하지 마세요. - 이 제어는 Storage Transfer Service 및 BigQuery Data Transfer Service에서 만든 복사본과 같은 서비스 계정 작업을 통해 만들어진 복사본에 대한 사용자의 액세스를 방지하지 않습니다. 사용자가 이 제어가 사용 설정되지 않은 데이터 사본에 액세스할 수 있습니다.
- 연결된 데이터 세트는 지원되지 않습니다. 연결된 데이터 세트는 소스 데이터 세트에 대한 심볼릭 링크 역할을 하는 읽기 전용 BigQuery 데이터 세트를 만듭니다. 연결된 데이터 세트는 데이터 액세스 감사 로그를 생성하지 않으며, 승인되지 않은 사용자가 플래그가 지정되지 않은 데이터를 읽을 수 있습니다. 예를 들어 사용자가 규정 준수 경계 외부의 데이터 세트에 데이터 세트를 연결하여 액세스 제어를 우회한 다음 소스 데이터 세트에 대한 로그를 생성하지 않고 새 데이터 세트를 쿼리할 수 있습니다. 완화 조치로 민감한 BigQuery 리소스에 액세스할 수 없어야 하는 사용자에게 BigQuery 관리자(
roles/bigquery.admin), BigQuery 데이터 소유자(roles/bigquery.dataOwner) 또는 BigQuery Studio 관리자(roles/bigquery.studioAdmin) 역할을 부여하지 마세요. - 와일드 카드 테이블 쿼리는 데이터 세트 수준에서 지원되지만 테이블 세트 수준에서는 지원되지 않습니다. 이 기능을 사용하면 와일드 카드 표현식을 사용하여 여러 BigQuery 테이블을 동시에 쿼리할 수 있습니다. DSPM은 데이터 세트 내의 개별 테이블이 아닌 상위 BigQuery 데이터 세트에 액세스하는 것처럼 와일드 카드 쿼리를 처리합니다.
- Cloud Storage 객체에 대한 공개 액세스는 지원되지 않습니다. 공개 액세스는 정책 검사 없이 모든 사용자에게 액세스 권한을 부여합니다.
- 인증된 브라우저 세션을 사용한 Cloud Storage 객체의 액세스 또는 다운로드는 지원되지 않습니다.
데이터 흐름 거버넌스 클라우드 컨트롤
이 제어를 사용하면 데이터에 액세스할 수 있는 허용된 국가를 지정할 수 있습니다. 클라우드 제어는 다음과 같이 작동합니다.
읽기 요청이 인터넷에서 오는 경우 국가는 읽기 요청의 IP 주소를 기반으로 결정됩니다. 프록시를 사용하여 읽기 요청을 전송하는 경우 프록시의 위치를 기반으로 알림이 전송됩니다.
읽기 요청이 Compute Engine VM에서 오는 경우 요청이 시작된 클라우드 영역에 따라 국가가 결정됩니다.
지원되는 확장 소재 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Cloud Storage 버킷
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 스토어
제한사항은 다음과 같습니다.
- 읽기 작업만 지원됩니다.
- Vertex AI의 경우 인터넷의 요청만 지원됩니다.
- Cloud Storage 객체에 대한 공개 액세스는 지원되지 않습니다.
- 인증된 브라우저 세션을 사용한 Cloud Storage 객체의 액세스 또는 다운로드는 지원되지 않습니다.
데이터 보호 및 키 관리 클라우드 제어
이 제어를 사용하려면 CMEK를 사용하여 특정 리소스를 암호화해야 합니다.
지원되는 확장 소재 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 스토어
데이터 삭제 클라우드 제어
이 컨트롤은 민감한 정보의 보관 기간을 관리합니다. 리소스 (예: BigQuery 테이블)를 선택하고 리소스가 최대 보관 기간 제한을 위반하는지 감지하는 데이터 삭제 클라우드 컨트롤을 적용할 수 있습니다.
지원되는 확장 소재 유형은 다음과 같습니다.
- BigQuery 데이터 세트 및 테이블
- Vertex AI 모델, 데이터 세트, Feature Store, 메타데이터 스토어
다음 단계
- DSPM을 사용 설정합니다.