Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Google Cloud Next '20 Recap Security Section

Taisei Ito
September 12, 2020
Technology
1
320

Google Cloud Next '20 Recap Security Section

Taisei Ito

September 12, 2020
Tweet

More Decks by Taisei Ito

See All by Taisei Ito
Cloudflare Meetup Nagano Vol.3
kaedemalu
0
40
Cloudflare Meetup Nagano Vol.2
kaedemalu
0
1.3k
20220214_Future Tech Night
kaedemalu
0
2.2k
20210910_nyle
kaedemalu
0
920
20210827 Future Tech Night
kaedemalu
0
4.3k
CNDO2021 Open Policy Agent
kaedemalu
1
1.3k
20210210 Terraform meetup ONLINE
kaedemalu
0
630
Future Talk Night 20201118
kaedemalu
0
200
20201114 GCPUG Shonan
kaedemalu
0
420

Other Decks in Technology

See All in Technology
開発者が自律的に AWS Security Hub findings に 対応する仕組みと AWS re:Invent 2024 登壇体験談 / Developers autonomously report AWS Security Hub findings Corresponding mechanism and AWS re:Invent 2024 presentation experience
kaminashi
0
190
Ask! NIKKEI RAG検索技術の深層
hotchpotch
13
2.8k
生成AIの利活用を加速させるための取り組み「prAIrie-dog」/ Shibuya_AI_1
visional_engineering_and_design
1
140
SA Night #2 FinatextのSA思想/SA Night #2 Finatext session
satoshiimai
1
100
Larkご案内資料
customercloud
PRO
0
600
組織貢献をするフリーランスエンジニアという生き方
n_takehata
1
1k
Culture Deck
optfit
0
330
インフラをつくるとはどういうことなのか、 あるいはPlatform Engineeringについて
nwiizo
5
2.1k
『AWS Distinguished Engineerに学ぶ リトライの技術』 #ARC403/Marc Brooker on Try again: The tools and techniques behind resilient systems
quiver
0
130
「海外登壇」という 選択肢を与えるために 〜Gophers EX
logica0419
0
500
これからSREになる人と、これからもSREをやっていく人へ
masayoshi
6
4.1k
日経電子版 x AIエージェントの可能性とAgentic RAGによって提案書生成を行う技術
masahiro_nishimi
1
290

Featured

See All Featured
Speed Design
sergeychernyshev
25
780
Agile that works and the tools we love
rasmusluckow
328
21k
Thoughts on Productivity
jonyablonski
69
4.5k
The Power of CSS Pseudo Elements
geoffreycrofte
75
5.5k
Optimising Largest Contentful Paint
csswizardry
34
3.1k
A Tale of Four Properties
chriscoyier
158
23k
Reflections from 52 weeks, 52 projects
jeffersonlam
348
20k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
232
17k
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.7k
Gamification - CAS2011
davidbonilla
80
5.1k
Designing on Purpose - Digital PM Summit 2013
jponch
117
7.1k
A Modern Web Designer's Workflow
chriscoyier
693
190k

Transcript

  1. Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会

    20.09.12 Taisei Ito

  2. 自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社

    ▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee

  3. はじめに

  4. セキュリティ、 気をつけていますか?

  5. 攻撃受けていませんか?

  6. はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •

    やらなきゃ、セキュリティ対策

  7. GCPのセキュリティツール 1

  8. GCPのセキュリティツール

  9. Security Command Center 2

  10. Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •

    Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示

  11. Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier

    ▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン

  12. 検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other

  13. 検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦

    OWASP ◦ NIST ◦ ISO-27001

  14. 脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) [email protected] • OPEN_FIREWALL

    ◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる

  15. 脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる

  16. Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み

    ▪ リバースシェル

  17. 料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%

    • 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000

  18. まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦

    検知の仕組みが大事 • セキュリティは割と面白い

  19. SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む

    • Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる

  20. Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪

    「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp

  21. 宣伝 3

  22. フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」

  23. こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software

    Foundationのボードメンバー • OSS「Vuls」の作成者

  24. ブログも出しています

  25. おわり