Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Google Cloud Next '20 Recap Security Section
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Taisei Ito
September 12, 2020
Technology
1
350
Google Cloud Next '20 Recap Security Section
Taisei Ito
September 12, 2020
Tweet
Share
More Decks by Taisei Ito
See All by Taisei Ito
Grafana Meetup Japan Vol. 6
kaedemalu
1
700
Cloudflare Meetup Nagano Vol.3
kaedemalu
0
96
Cloudflare Meetup Nagano Vol.2
kaedemalu
0
1.9k
20220214_Future Tech Night
kaedemalu
0
2.5k
20210910_nyle
kaedemalu
0
1k
20210827 Future Tech Night
kaedemalu
0
4.5k
CNDO2021 Open Policy Agent
kaedemalu
1
1.4k
20210210 Terraform meetup ONLINE
kaedemalu
0
690
Future Talk Night 20201118
kaedemalu
0
230
Other Decks in Technology
See All in Technology
量子クラウドサービスの裏側 〜Deep Dive into OQTOPUS〜
oqtopus
0
130
SREじゃなかった僕らがenablingを通じて「SRE実践者」になるまでのリアル / SRE Kaigi 2026
aeonpeople
6
2.5k
OCI Database Management サービス詳細
oracle4engineer
PRO
1
7.4k
Introduction to Sansan for Engineers / エンジニア向け会社紹介
sansan33
PRO
6
68k
FinTech SREのAWSサービス活用/Leveraging AWS Services in FinTech SRE
maaaato
0
130
今日から始める Amazon Bedrock AgentCore
har1101
4
410
マーケットプレイス版Oracle WebCenter Content For OCI
oracle4engineer
PRO
5
1.6k
Data Hubグループ 紹介資料
sansan33
PRO
0
2.7k
Ruby版 JSXのRuxが気になる
sansantech
PRO
0
160
15 years with Rails and DDD (AI Edition)
andrzejkrzywda
0
200
プロポーザルに込める段取り八分
shoheimitani
1
280
プロダクト成長を支える開発基盤とスケールに伴う課題
yuu26
4
1.3k
Featured
See All Featured
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
sarafernandez
1
1.3k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.3k
YesSQL, Process and Tooling at Scale
rocio
174
15k
Statistics for Hackers
jakevdp
799
230k
AI: The stuff that nobody shows you
jnunemaker
PRO
2
260
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
730
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
190
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
230
Agile that works and the tools we love
rasmusluckow
331
21k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.1k
The Pragmatic Product Professional
lauravandoore
37
7.1k
Un-Boring Meetings
codingconduct
0
200
Transcript
Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会
20.09.12 Taisei Ito
自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee
はじめに
セキュリティ、 気をつけていますか?
攻撃受けていませんか?
はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •
やらなきゃ、セキュリティ対策
GCPのセキュリティツール 1
GCPのセキュリティツール
Security Command Center 2
Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •
Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示
Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier
▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン
検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other
検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦
OWASP ◦ NIST ◦ ISO-27001
脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.)
[email protected]
• OPEN_FIREWALL
◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる
脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる
Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み
▪ リバースシェル
料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%
• 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000
まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦
検知の仕組みが大事 • セキュリティは割と面白い
SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む
• Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる
Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪
「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp
宣伝 3
フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」
こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者
ブログも出しています
おわり
SiteGround - Reliable hosting with speed, security, and support you can count on.
kaedemalu
oqtopus
aeonpeople
oracle4engineer
sansan33
maaaato
har1101
sansantech
andrzejkrzywda
shoheimitani
yuu26
sarafernandez
tammyeverts
rocio
jakevdp
jnunemaker
aleyda
techseoconnect
baasie
rasmusluckow
addyosmani
lauravandoore
codingconduct
![脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) [email protected] • OPEN_FIREWALL](https://files.speakerdeck.com/presentations/a9932f51112f4fcfb3b57fd0d995f5a5/slide_13.jpg){kind=link}
