君たちは VPC Service Controls を知っているか

1 22nd Feb, GDG Tokyo Monthly Online Tech Talks Kento
Kimura 君たち VPC Service Controls を知っているか

Self-Introduction • 所属：Technical Solutions / Sales Engineer • 担当：パブリッククラウドアーキテクト知識を活かした
　Datadog プリセールス技術支援 • 資格：Google Cloud 全 11 資格、AWS 全 12 資格、Azure 13 資格 • 表彰：Google Cloud Partner Top Engineer 2023-24 2022-23 APN All AWS Certifications Engineer 2023 Japan AWS Jr.Champion Jagu'e'r Award 2023 優秀賞木村健人 (Kento Kimura) Datadog Japan GK Technical Solutions Sales Engineering History データセンター運用保守 → パブリッククラウド技術支援 → プリセールス技術支援 Community Jagu’e’r デジクラ人材育成分科会運営リード　　　 O11y-SRE 分科会運営メンバー　　　　TechWriters 分科会運営メンバー Partner Top Engineer 2023 Partner Top Engineer 2024 3

4 Google Cloud を利用する際懸念 VPC 外マネージドサービスセキュリティオンプレミス
システム構築時に考慮したセキュリティポリシー、VPC 外 IAM 権限でアクセス制御をするマネージドサービスを想定していないで利用できないでないか。 Cloud Storage や BigQuery からデータ漏洩大量にデータを保管するサービスから、悪意ある関係者や感染コードによってデータ持ち出しが行われてしまうでないか。権限管理ミスによる、不正アクセスや非公開データ開示認証情報漏洩や過剰な権限構成によって、非公開データへアクセスを予期せぬ形で許可してしまうでないか。

そこで VPC Service Controls 一言で説明：Google Cloud サービスへ API コール接続元を制限するサービス
詳しく説明： Google Cloud サービスを操作する際に利用される API コールを行う際認証認可に加え、そ接続元を制限することができるサービス。 Google Cloud サービスに境界を定義することで、境界外 API コールをデフォルトで拒否し、ポリシーやアクセスレベルを定義して API コールを許可できる。 Virtual Private Cloud 自体を境界内に含むことができ、VPC から API コールを制限したり、限定公開 Google アクセスでオンプレミスからアクセスを許可できる。 5

図で VPC Service Controls 6 VPC Service Controls Project A
VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage

図で VPC Service Controls + アクセスレベル 7 VPC Service Controls
Project A VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage アクセスレベルで許可しているサービスアカウントからアクセス

アクセスレベルと一言で説明：Access Context Manager で管理されるアクセス許可方法詳しく説明： VPC Service Controls だけで
なく、Identity-Aware Proxy などにも利用される。 IP アドレスやサービスアカウントを許可する接続元として指定でき、BeyondCorp Enterprise であれデバイスポリシー(デバイス種類や OS)によって制限できる。 8

図で VPC Service Controls + ポリシー 9 VPC Service Controls
Project A VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage 内向きポリシーで許可しているアクセス元からアクセス外向きポリシーで許可しているサービスにアクセス

内向き・外向きポリシーと一言で説明：VPC Service Controlsで管理されるアクセス許可方法詳しく説明：内向きポリシーでアクセスレベルやプロジェクト、VPC ネットワークなど単位でアクセス許可を設定できる。外向きポリシーで
境界外 Google Cloud リソースへアクセス許可を設定できる。 10

VPC Service Controls NW を制限できますか？ No 11

12 Thank you

君たちは VPC Service Controls を知っているか

君たちは VPC Service Controls を知っているか

Kento Kimura
PRO

Video

More Decks by Kento Kimura

Other Decks in Technology

Featured

Transcript

1 22nd Feb, GDG Tokyo Monthly Online Tech Talks Kento

Self-Introduction • 所属：Technical Solutions / Sales Engineer • 担当：パブリッククラウドアーキテクト知識を活かした

4 Google Cloud を利用する際懸念 VPC 外マネージドサービスセキュリティオンプレミス

そこで VPC Service Controls 一言で説明：Google Cloud サービスへ API コール接続元を制限するサービス

図で VPC Service Controls 6 VPC Service Controls Project A

図で VPC Service Controls + アクセスレベル 7 VPC Service Controls

アクセスレベルと一言で説明：Access Context Manager で管理されるアクセス許可方法詳しく説明： VPC Service Controls だけで

図で VPC Service Controls + ポリシー 9 VPC Service Controls

VPC Service Controls NW を制限できますか？ No 11

12 Thank you