GCPの権限管理に関する自動化について

©10X, Inc. All Rights Reserved. GCPの権限管理に関する自動化について Product Security Casual Talk
vol.1【テーマ：自動化】2023.07.26 swdyh

©10X, Inc. All Rights Reserved. 自己紹介  ◦ swdyh (さわだようへい)  ◦
株式会社10X   ◦ ソフトウェアエンジニア (2018から)  ◦ 社員規模: 入社時4名、現在120名くらい  ◦ リライアビリティ&セキュリティ部  ◦ Stailerのプロダクトセキュリティを担当(2022から)  ◦ サーバサイドの開発も一部兼任   

©10X, Inc. All Rights Reserved. プロダクトで扱うデータの整理  ◦ どこに何があるか  → データの棚卸しと整理 
◦ それに誰がどうアクセスできるか  → 権限の整理  ◦ それにアクセスしたかどうか分かる  → AuditLogの整備   

©10X, Inc. All Rights Reserved. 権限の整理の背景      ◦ ちゃんと整備せずに数年たってしまった 
◦ やや荒れ気味  ◦ ざっくりと広めにつけられている  ◦ すでに役割を終えてそうなもの  ◦ 意図したものが分からないもの  ◦ データの棚卸しと整理をしたので、どこにどういう情報があるかは分かってきた  ◦ 大事な情報へのアクセス権を限定したい  ◦ 組織の構造が変わったり、業務も日々かわっていく、必要な権限も変わっていく  ◦ 整理された状態にしたいし、それをコストかけずに維持したい 

©10X, Inc. All Rights Reserved. 権限の整理のアプローチ      ◦ ともかくまずは把握から 
◦ 把握しやすい状態をつくる  ◦ 把握できたら問題点を洗い出す  ◦ 大事な情報へのアクセス権はどれが該当するか  ◦ 権限昇格になりそうなものはないか  ◦ 不要なものはないものはないか  ◦ 継続的に問題点を把握していければよさそう 

©10X, Inc. All Rights Reserved. 把握のためのデータ集め      CloudAsset Cloud
Identity Cloud IAM BigQuery ◦ CloudAssetやAPIで権限に関連するデータを BigQueryへエクスポート  ◦ Cloud Asset  ▪ IAM Policy, Project, Folder, CustomRole...  ◦ Cloud Identity API  ▪ Google Group Member  ◦ Cloud IAM API  ▪ PredefinedRole  ◦ 毎日定期実行、snapshotも日毎に残す 

©10X, Inc. All Rights Reserved. どういうものを見ているか      ◦ 現状のIAM
Policy 一覧  ◦ 変更の履歴  ◦ 良くない権限設定  ◦ 権限昇格系、個人情報/機密情報アクセス権、広い権限。   ▪ このへんはわりと業務やデータに応じて変動しそう。都度SQL見直すつもり   ◦ 各種集計  ◦ 使われてるロールの集計、プロジェクトごとの集計など  ◦ 便利なツール的なもの  ◦ 冗長な設定検出(あるロールとそのサブセットのロールがともに付与されているときに、サブセットのほうは要らないというのを出す、追加で権限足すと起こりがち)   ◦ RoleとRoleのpermission diff 

©10X, Inc. All Rights Reserved. まとめ      ◦ いろいろエクスポートしてBIツールで見るようにしたら、だいぶ見通しよくなった
  ◦ SQLでいろいろ検出できる   ◦ 今は良くない設定なおしているところ   ◦ 良くないところが減るのを観測できるし、新たになにか出てきてもすぐ分かる   ◦ すごく自動化できたわけではないけど、荒れ地をよい状態に持っていけそう   ◦ とはいえ難しさはある  ◦ 業務を把握しないと適切な権限が分からないし、日々業務が変わる。組織の形も変わったりする。  ◦ 「データの棚卸しと整理」「権限の整理」「AuditLogの整備」3つの施策の1つ、それぞれ関連していて、データを集めて繋げればよりいい感じのものができそう  

©10X, Inc. All Rights Reserved. こんな環境に興味のある方ぜひ      ◦ 10Xでは、事業が成長とともにセキュリティの重要度が高まってきています。活躍できる
余白もたくさんあります。  ◦ ジョブディスクリプション  ◦ セキュリティエンジニア（Product Security）  ◦ ソフトウェアエンジニア(Product Security Ops)  ▪ ソフトウェアエンジニアでセキュリティに取り組むひと  • ソフトウェアエンジニア(Product Security Ops)を募集します  ◦ カジュアルな情報交換とかもしましょう  ◦ カジュアル面談フォーム  (注: Speaker Deckで見ていてリンクを開けない場合、スライドの下のDescriptionにリンクがあります)  

GCPの権限管理に関する自動化について

GCPの権限管理に関する自動化について

10xinc

More Decks by 10xinc

Other Decks in Technology

Featured

Transcript

©10X, Inc. All Rights Reserved. GCPの権限管理に関する自動化について Product Security Casual Talk

©10X, Inc. All Rights Reserved. 自己紹介  ◦ swdyh (さわだようへい)  ◦

©10X, Inc. All Rights Reserved.

©10X, Inc. All Rights Reserved.

©10X, Inc. All Rights Reserved. プロダクトで扱うデータの整理  ◦ どこに何があるか  → データの棚卸しと整理

©10X, Inc. All Rights Reserved. 権限の整理の背景      ◦ ちゃんと整備せずに数年たってしまった

©10X, Inc. All Rights Reserved. 権限の整理のアプローチ      ◦ ともかくまずは把握から

©10X, Inc. All Rights Reserved. 把握のためのデータ集め      CloudAsset Cloud

©10X, Inc. All Rights Reserved. 集めた情報を見やすくする    ◦ BIツールを利用 (LookerStudio)

©10X, Inc. All Rights Reserved. どういうものを見ているか      ◦ 現状のIAM

©10X, Inc. All Rights Reserved. まとめ      ◦ いろいろエクスポートしてBIツールで見るようにしたら、だいぶ見通しよくなった

©10X, Inc. All Rights Reserved. こんな環境に興味のある方ぜひ      ◦ 10Xでは、事業が成長とともにセキュリティの重要度が高まってきています。活躍できる