Google Cloud 환경 내에서의 서비스 계정 키및 API 키 관리와 관련된 보안 권장사항을 안내해 드리고자 합니다.
최근 보안 동향에 따르면 적절한 보안 권장사항이 없는 장기 사용자 인증 정보는 무단 액세스가 발생할 수 있는 주요 보안 위험으로 남아 있습니다. 환경의 보안을 유지하고 인증 전략을 현대화하려면 아래에 설명된 통합 보안 프레임워크를 구현하는 것이 좋습니다.
필요한 조치
권장되는 조치
사용자 인증 정보 수명 주기 보호: 다음 권장사항에 따라 표준 보안 관리를 적용합니다.
- 코드 없는 스토리지: 소스 코드나 버전 제어에 키를 커밋하지 않습니다. Secret Manager를 사용하여 런타임에 사용자 인증 정보를 삽입하세요.
- 휴면 키 사용 중지: 활성 키를 감사하고 지난 30일 동안 활동이 없는 키를 사용 중단합니다.
- API 제한 시행: API 키를 제한되지 않은 상태로 두지 않습니다. 키를 특정 API로 제한(예: Maps JavaScript만 허용)하고 환경 제한(IP 주소, HTTP 리퍼러 또는 번들 ID)을 적용하세요.
- 최소 권한 적용: 서비스 계정에 전체 권한을 부여하지 않습니다. IAM 추천자를 사용해 서비스 계정에서 사용하지 않는 권한을 정리하여 역할에 필요한 최소한의 액세스 권한만 부여합니다.
- 필수 순환:
iam.serviceAccountKeyExpiryHours정책을 구현하여 모든 사용자 관리 서비스 계정 키의 최대 수명을 적용합니다. 서비스 계정 키가 필요하지 않은 경우iam.managed.disableServiceAccountKeyCreation을 구현하여 새 서비스 계정 키의 생성을 중지합니다.
운영상의 보호 장치 개선: 보안 사고에 신속하게 대응할 수 있도록 다음 작업을 완료합니다.
- 필수 연락처 설정: 사고 발생 시 중요한 보안 알림이 알맞은 담당자에게 전달되도록 필수 연락처가 최신 상태인지 확인합니다.
- 결제 이상 및 예산 알림 설정: 결제 이상 알림과 예산 알림에 대한 조치가 제대로 이루어지도록 합니다. 사용량이 갑자기 급증하는 것은 사용자 인증 정보의 보안이 침해되었음을 나타내는 첫 번째 지표인 경우가 많습니다.