Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Google Cloud Next '20 Recap Security Section
Search
Taisei Ito
September 12, 2020
Technology
1
350
Google Cloud Next '20 Recap Security Section
Taisei Ito
September 12, 2020
Tweet
Share
More Decks by Taisei Ito
See All by Taisei Ito
Grafana Meetup Japan Vol. 6
kaedemalu
1
730
Cloudflare Meetup Nagano Vol.3
kaedemalu
0
99
Cloudflare Meetup Nagano Vol.2
kaedemalu
0
1.9k
20220214_Future Tech Night
kaedemalu
0
2.5k
20210910_nyle
kaedemalu
0
1k
20210827 Future Tech Night
kaedemalu
0
4.5k
CNDO2021 Open Policy Agent
kaedemalu
1
1.4k
20210210 Terraform meetup ONLINE
kaedemalu
0
690
Future Talk Night 20201118
kaedemalu
0
240
Other Decks in Technology
See All in Technology
Claude Code 2026年 最新アップデート
oikon48
10
8.1k
PMBOK第8版は第7版から何が変わったのか(PMBOK第8版概要解説) / 20260304 Takeshi Watarai
shift_evolve
PRO
0
200
vLLM Community Meetup Tokyo #3 オープニングトーク
jpishikawa
0
320
最強のAIエージェントを諦めたら品質が上がった話 / how quality improved after giving up on the strongest AI agent
kt2mikan
0
160
JAWSDAYS2026_A-6_現場SEが語る 回せるセキュリティ運用~設計で可視化、AIで加速する「楽に回る」運用設計のコツ~
shoki_hata
0
3k
聲の形にみるアクセシビリティ
tomokusaba
0
170
開発組織の課題解決を加速するための権限委譲 -する側、される側としての向き合い方-
daitasu
5
590
非情報系研究者へ送る Transformer入門
rishiyama
11
7.1k
OCI技術資料 : コンピュート・サービス 概要
ocise
4
54k
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
aoto
PRO
2
280
新職業『オーケストレーター』誕生 — エージェント10体を同時に回すAgentOps
gunta
4
1.8k
Scrumは歪む — 組織設計の原理原則
dashi
0
120
Featured
See All Featured
Paper Plane
katiecoart
PRO
0
48k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
How to Align SEO within the Product Triangle To Get Buy-In & Support - #RIMC
aleyda
1
1.4k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
31
2.7k
Evolving SEO for Evolving Search Engines
ryanjones
0
150
Navigating Algorithm Shifts & AI Overviews - #SMXNext
aleyda
1
1.2k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
140
SEO Brein meetup: CTRL+C is not how to scale international SEO
lindahogenes
1
2.4k
GitHub's CSS Performance
jonrohan
1032
470k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.5k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
160
Transcript
Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会
20.09.12 Taisei Ito
自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee
はじめに
セキュリティ、 気をつけていますか?
攻撃受けていませんか?
はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •
やらなきゃ、セキュリティ対策
GCPのセキュリティツール 1
GCPのセキュリティツール
Security Command Center 2
Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •
Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示
Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier
▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン
検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other
検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦
OWASP ◦ NIST ◦ ISO-27001
脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.)
[email protected]
• OPEN_FIREWALL
◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる
脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる
Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み
▪ リバースシェル
料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%
• 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000
まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦
検知の仕組みが大事 • セキュリティは割と面白い
SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む
• Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる
Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪
「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp
宣伝 3
フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」
こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者
ブログも出しています
おわり
kaedemalu
oikon48
shift_evolve
jpishikawa
kt2mikan
shoki_hata
tomokusaba
daitasu
rishiyama
ocise
aoto
gunta
.jpg){kind=avatar}
dashi
katiecoart
samlambert
aleyda
marktimemedia
ryanjones
pwiseman
lindahogenes
jonrohan
inesmontani
eileencodes
baasie
![脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) [email protected] • OPEN_FIREWALL](https://files.speakerdeck.com/presentations/a9932f51112f4fcfb3b57fd0d995f5a5/slide_13.jpg){kind=link}
