Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Google Cloud Next '20 Recap Security Section
Search
Taisei Ito
September 12, 2020
Technology
1
330
Google Cloud Next '20 Recap Security Section
Taisei Ito
September 12, 2020
Tweet
Share
More Decks by Taisei Ito
See All by Taisei Ito
Cloudflare Meetup Nagano Vol.3
kaedemalu
0
63
Cloudflare Meetup Nagano Vol.2
kaedemalu
0
1.5k
20220214_Future Tech Night
kaedemalu
0
2.3k
20210910_nyle
kaedemalu
0
960
20210827 Future Tech Night
kaedemalu
0
4.4k
CNDO2021 Open Policy Agent
kaedemalu
1
1.4k
20210210 Terraform meetup ONLINE
kaedemalu
0
650
Future Talk Night 20201118
kaedemalu
0
220
20201114 GCPUG Shonan
kaedemalu
0
440
Other Decks in Technology
See All in Technology
KubeCon + CloudNativeCon Japan 2025 Recap
ren510dev
1
300
OPENLOGI Company Profile for engineer
hr01
1
33k
Lazy application authentication with Tailscale
bluehatbrit
0
110
2025-06-26_Lightning_Talk_for_Lightning_Talks
_hashimo2
2
110
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
3.2k
ビギナーであり続ける/beginning
ikuodanaka
2
230
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
3
940
ハッカソン by 生成AIハッカソンvol.05
1ftseabass
PRO
0
140
PHPでWebブラウザのレンダリングエンジンを実装する
dip_tech
PRO
0
220
Zephyr RTOSを使った開発コンペに参加した件
iotengineer22
0
140
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
i35_267
0
970
GeminiとNotebookLMによる金融実務の業務革新
abenben
0
240
Featured
See All Featured
Designing Experiences People Love
moore
142
24k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
680
Building Better People: How to give real-time feedback that sticks.
wjessup
367
19k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
130
19k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
26
2.9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
124
52k
Fantastic passwords and where to find them - at NoRuKo
philnash
51
3.3k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
138
34k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.3k
GraphQLとの向き合い方2022年版
quramy
49
14k
Typedesign – Prime Four
hannesfritz
42
2.7k
Transcript
Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会
20.09.12 Taisei Ito
自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee
はじめに
セキュリティ、 気をつけていますか?
攻撃受けていませんか?
はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •
やらなきゃ、セキュリティ対策
GCPのセキュリティツール 1
GCPのセキュリティツール
Security Command Center 2
Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •
Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示
Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier
▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン
検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other
検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦
OWASP ◦ NIST ◦ ISO-27001
脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.)
[email protected]
• OPEN_FIREWALL
◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる
脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる
Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み
▪ リバースシェル
料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%
• 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000
まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦
検知の仕組みが大事 • セキュリティは割と面白い
SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む
• Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる
Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪
「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp
宣伝 3
フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」
こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者
ブログも出しています
おわり