Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GCPの権限管理に関する自動化について

10xinc
July 26, 2023

 GCPの権限管理に関する自動化について

10xinc

July 26, 2023
Tweet

More Decks by 10xinc

Other Decks in Technology

Transcript

  1. ©10X, Inc. All Rights Reserved.
    GCPの権限管理に関する自動化について
    Product Security Casual Talk vol.1【テーマ:自動化】2023.07.26 swdyh

    View full-size slide

  2. ©10X, Inc. All Rights Reserved.
    自己紹介

    ○ swdyh (さわだようへい)

    ○ 株式会社10X 

    ○ ソフトウェアエンジニア (2018から)

    ○ 社員規模: 入社時4名、現在120名くらい

    ○ リライアビリティ&セキュリティ部

    ○ Stailerのプロダクトセキュリティを担当(2022から)

    ○ サーバサイドの開発も一部兼任


    View full-size slide

  3. ©10X, Inc. All Rights Reserved.

    View full-size slide

  4. ©10X, Inc. All Rights Reserved.

    View full-size slide

  5. ©10X, Inc. All Rights Reserved.
    プロダクトで扱うデータの整理

    ○ どこに何があるか

    → データの棚卸しと整理

    ○ それに誰がどうアクセスできるか

    → 権限の整理

    ○ それにアクセスしたかどうか分かる

    → AuditLogの整備


    View full-size slide

  6. ©10X, Inc. All Rights Reserved.
    権限の整理の背景



    ○ ちゃんと整備せずに数年たってしまった

    ○ やや荒れ気味

    ○ ざっくりと広めにつけられている

    ○ すでに役割を終えてそうなもの

    ○ 意図したものが分からないもの

    ○ データの棚卸しと整理をしたので、どこにどういう情報があるかは分かってき
    た

    ○ 大事な情報へのアクセス権を限定したい

    ○ 組織の構造が変わったり、業務も日々かわっていく、必要な権限も変わって
    いく

    ○ 整理された状態にしたいし、それをコストかけずに維持したい


    View full-size slide

  7. ©10X, Inc. All Rights Reserved.
    権限の整理のアプローチ



    ○ ともかくまずは把握から

    ○ 把握しやすい状態をつくる

    ○ 把握できたら問題点を洗い出す

    ○ 大事な情報へのアクセス権はどれが該当するか

    ○ 権限昇格になりそうなものはないか

    ○ 不要なものはないものはないか

    ○ 継続的に問題点を把握していければよさそう


    View full-size slide

  8. ©10X, Inc. All Rights Reserved.
    把握のためのデータ集め



    CloudAsset
    Cloud Identity
    Cloud IAM
    BigQuery
    ○ CloudAssetやAPIで権限に関連するデータを
    BigQueryへエクスポート

    ○ Cloud Asset

    ■ IAM Policy, Project, Folder,
    CustomRole...

    ○ Cloud Identity API

    ■ Google Group Member

    ○ Cloud IAM API

    ■ PredefinedRole

    ○ 毎日定期実行、snapshotも日毎に残す


    View full-size slide

  9. ©10X, Inc. All Rights Reserved.
    集めた情報を見やすくする

    
 ○ BIツールを利用 (LookerStudio)

    ○ GCPの画面と比べて

    ○ プロジェクト横断

    ○ リソース単位(bucket, datasetな
    ど)も一括で見れる

    ○ 集計したり、特定の条件を出し
    たりが楽

    ○ SQLで込み入ったことも書きや
    すい


    View full-size slide

  10. ©10X, Inc. All Rights Reserved.
    どういうものを見ているか



    ○ 現状のIAM Policy 一覧

    ○ 変更の履歴

    ○ 良くない権限設定

    ○ 権限昇格系、個人情報/機密情報アクセス権、広い権限。

    ■ このへんはわりと業務やデータに応じて変動しそう。都度SQL見直すつもり

    ○ 各種集計

    ○ 使われてるロールの集計、プロジェクトごとの集計など

    ○ 便利なツール的なもの

    ○ 冗長な設定検出(あるロールとそのサブセットのロールがともに付与されているときに、サブセットの
    ほうは要らないというのを出す、追加で権限足すと起こりがち)

    ○ RoleとRoleのpermission diff


    View full-size slide

  11. ©10X, Inc. All Rights Reserved.
    まとめ



    ○ いろいろエクスポートしてBIツールで見るようにしたら、だいぶ見通しよくなった

    ○ SQLでいろいろ検出できる

    ○ 今は良くない設定なおしているところ

    ○ 良くないところが減るのを観測できるし、新たになにか出てきてもすぐ分かる

    ○ すごく自動化できたわけではないけど、荒れ地をよい状態に持っていけそう

    ○ とはいえ難しさはある

    ○ 業務を把握しないと適切な権限が分からないし、日々業務が変わる。組織の形も変わった
    りする。

    ○ 「データの棚卸しと整理」「権限の整理」「AuditLogの整備」3つの施策の1つ、それぞれ関連して
    いて、データを集めて繋げればよりいい感じのものができそう

    View full-size slide

  12. ©10X, Inc. All Rights Reserved.
    こんな環境に興味のある方ぜひ



    ○ 10Xでは、事業が成長とともにセキュリティの重要度が高まってきています。活躍できる
    余白もたくさんあります。

    ○ ジョブディスクリプション

    ○ セキュリティエンジニア(Product Security)

    ○ ソフトウェアエンジニア(Product Security Ops)

    ■ ソフトウェアエンジニアでセキュリティに取り組むひと

    ● ソフトウェアエンジニア(Product Security Ops)を募集します

    ○ カジュアルな情報交換とかもしましょう

    ○ カジュアル面談フォーム

    (注: Speaker Deckで見ていてリンクを開けない場合、スライドの下のDescriptionにリンクがあります)

    View full-size slide