Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Google Cloud Next '20 Recap Security Section

Avatar for Taisei Ito Taisei Ito
September 12, 2020
Technology
1
340

Google Cloud Next '20 Recap Security Section

Avatar for Taisei Ito

Taisei Ito

September 12, 2020
Tweet

More Decks by Taisei Ito

See All by Taisei Ito
Grafana Meetup Japan Vol. 6
Avatar for Taisei Ito kaedemalu
1
490
Cloudflare Meetup Nagano Vol.3
Avatar for Taisei Ito kaedemalu
0
79
Cloudflare Meetup Nagano Vol.2
Avatar for Taisei Ito kaedemalu
0
1.7k
20220214_Future Tech Night
Avatar for Taisei Ito kaedemalu
0
2.4k
20210910_nyle
Avatar for Taisei Ito kaedemalu
0
990
20210827 Future Tech Night
Avatar for Taisei Ito kaedemalu
0
4.4k
CNDO2021 Open Policy Agent
Avatar for Taisei Ito kaedemalu
1
1.4k
20210210 Terraform meetup ONLINE
Avatar for Taisei Ito kaedemalu
0
670
Future Talk Night 20201118
Avatar for Taisei Ito kaedemalu
0
220

Other Decks in Technology

See All in Technology
AI時代だからこそ考える、僕らが本当につくりたいスクラムチーム / A Scrum Team we really want to create in this AI era
Avatar for TAKAKING22 takaking22
8
4.1k
そのWAFのブロック、どう活かす? サービスを守るための実践的多層防御と思考法 / WAF blocks defense decision
Avatar for 株式会社カミナシ kaminashi
0
150
SwiftUIのGeometryReaderとScrollViewを基礎から応用まで学び直す:設計と活用事例
Avatar for Fumiya Sakai fumiyasac0921
0
150
Escaping_the_Kraken_-_October_2025.pdf
Avatar for Maarten Dalmijn mdalmijn
0
160
能登半島災害現場エンジニアクロストーク 【JAWS FESTA 2025 in 金沢】
Avatar for Masakatsu Sugii ditccsugii
0
340
AIAgentの限界を超え、 現場を動かすWorkflowAgentの設計と実践
Avatar for Koji Miyata miyatakoji
1
160
"プロポーザルってなんか怖そう"という境界を超えてみた@TSUDOI by giftee Tech #1
Avatar for shilo shilo113
0
170
プロポーザルのコツ ~ Kaigi on Rails 2025 初参加で3名の登壇を実現 ~
Avatar for naro143 naro143
1
210
これがLambdaレス時代のChatOpsだ!実例で学ぶAmazon Q Developerカスタムアクション活用法
Avatar for iwamot iwamot
PRO
5
910
The Cake Is a Lie... And So Is Your Login’s Accessibility
Avatar for Ramona Schwering leichteckig
0
110
英語は話せません!それでも海外チームと信頼関係を作るため、対話を重ねた2ヶ月間のまなび
Avatar for ニイオカ niioka_97
0
130
AI ReadyなData PlatformとしてのAutonomous Databaseアップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
230

Featured

See All Featured
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
6.1k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
5
220
Raft: Consensus for Rubyists
Avatar for Patrick Van Stee vanstee
139
7.1k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
180
9.9k
Fireside Chat
Avatar for paigeccino paigeccino
40
3.7k
Building Adaptive Systems
Avatar for Chris Keathley keathley
43
2.8k
Facilitating Awesome Meetings
Avatar for Lara Hogan lara
56
6.6k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
Writing Fast Ruby
Avatar for Erik Berlin sferik
629
62k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k

Transcript

  1. Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会

    20.09.12 Taisei Ito

  2. 自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社

    ▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee

  3. はじめに

  4. セキュリティ、 気をつけていますか?

  5. 攻撃受けていませんか?

  6. はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •

    やらなきゃ、セキュリティ対策

  7. GCPのセキュリティツール 1

  8. GCPのセキュリティツール

  9. Security Command Center 2

  10. Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •

    Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示

  11. Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier

    ▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン

  12. 検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other

  13. 検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦

    OWASP ◦ NIST ◦ ISO-27001

  14. 脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) [email protected] • OPEN_FIREWALL

    ◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる

  15. 脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる

  16. Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み

    ▪ リバースシェル

  17. 料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%

    • 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000

  18. まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦

    検知の仕組みが大事 • セキュリティは割と面白い

  19. SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む

    • Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる

  20. Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪

    「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp

  21. 宣伝 3

  22. フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

  23. こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software

    Foundationのボードメンバー • OSS「Vuls」の作成者

  24. ブログも出しています

  25. おわり