Google Cloud Next '20 Recap Security Section

Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会
20.09.12 Taisei Ito

自己紹介 • 伊藤太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee

はじめに

セキュリティ、気をつけていますか？

攻撃受けていませんか？

はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上（寝れなくなる） •
やらなきゃ、セキュリティ対策

GCPのセキュリティツール 1

GCPのセキュリティツール

Security Command Center 2

Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •
Org全体のリソースについてセキュリティ上で問題あるリソースをまとめて表示

Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier
▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン

検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other

検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦
OWASP ◦ NIST ◦ ISO-27001

脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) sample@gmail.com • OPEN_FIREWALL
◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる

脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知今攻撃を受けている場所を特定できる

Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み
▪ リバースシェル

料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%
• 契約したGCP の年間費用 • 現在の実際のGCPの年間費用年間最小費用が$25,000

まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版（高価だけど） • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦
検知の仕組みが大事 • セキュリティは割と面白い

SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む
• Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる

Next で何を見ればいい？ • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪
「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp

宣伝 3

フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者

ブログも出しています

おわり

Google Cloud Next '20 Recap Security Section

Google Cloud Next '20 Recap Security Section

Taisei Ito

More Decks by Taisei Ito

Other Decks in Technology

Featured

Transcript

Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会

自己紹介 • 伊藤太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社

はじめに

セキュリティ、気をつけていますか？

攻撃受けていませんか？

はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上（寝れなくなる） •

GCPのセキュリティツール 1

GCPのセキュリティツール

Security Command Center 2

Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •

Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier

検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other

検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦

脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) sample@gmail.com • OPEN_FIREWALL

脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知今攻撃を受けている場所を特定できる

Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み

料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%

まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版（高価だけど） • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦

SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む

Next で何を見ればいい？ • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪

宣伝 3

フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software

ブログも出しています

おわり