Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Google Cloud Next '20 Recap Security Section
Search
Sponsored
·
SiteGround - Reliable hosting with speed, security, and support you can count on.
→
Taisei Ito
September 12, 2020
Technology
1
350
Google Cloud Next '20 Recap Security Section
Taisei Ito
September 12, 2020
Tweet
Share
More Decks by Taisei Ito
See All by Taisei Ito
Grafana Meetup Japan Vol. 6
kaedemalu
1
690
Cloudflare Meetup Nagano Vol.3
kaedemalu
0
96
Cloudflare Meetup Nagano Vol.2
kaedemalu
0
1.9k
20220214_Future Tech Night
kaedemalu
0
2.4k
20210910_nyle
kaedemalu
0
1k
20210827 Future Tech Night
kaedemalu
0
4.5k
CNDO2021 Open Policy Agent
kaedemalu
1
1.4k
20210210 Terraform meetup ONLINE
kaedemalu
0
690
Future Talk Night 20201118
kaedemalu
0
230
Other Decks in Technology
See All in Technology
使いにくいの壁を突破する
sansantech
PRO
1
110
M&A 後の統合をどう進めるか ─ ナレッジワーク × Poetics が実践した組織とシステムの融合
kworkdev
PRO
1
390
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
daitak
0
320
Databricks Free Edition講座 データサイエンス編
taka_aki
0
290
usermode linux without MMU - fosdem2026 kernel devroom
thehajime
0
210
オープンウェイトのLLMリランカーを契約書で評価する / searchtechjp
sansan_randd
3
650
SREが向き合う大規模リアーキテクチャ 〜信頼性とアジリティの両立〜
zepprix
0
390
なぜ今、コスト最適化(倹約)が必要なのか? ~AWSでのコスト最適化の進め方「目的編」~
htan
1
110
Tebiki Engineering Team Deck
tebiki
0
24k
(金融庁共催)第4回金融データ活用チャレンジ勉強会資料
takumimukaiyama
0
120
データの整合性を保ちたいだけなんだ
shoheimitani
7
2.9k
2026年はチャンキングを極める!
shibuiwilliam
9
1.9k
Featured
See All Featured
Exploring anti-patterns in Rails
aemeredith
2
250
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
100
How Fast Is Fast Enough? [PerfNow 2025]
tammyeverts
3
450
Writing Fast Ruby
sferik
630
62k
What's in a price? How to price your products and services
michaelherold
247
13k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.4k
Music & Morning Musume
bryan
47
7.1k
Impact Scores and Hybrid Strategies: The future of link building
tamaranovitovic
0
200
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
aleyda
1
1.1k
Conquering PDFs: document understanding beyond plain text
inesmontani
PRO
4
2.3k
Automating Front-end Workflow
addyosmani
1371
200k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Transcript
Google Cloud Next Recap ~ Security Section ~ #GCPUG 女子会
20.09.12 Taisei Ito
自己紹介 • 伊藤 太斉(Taisei Ito) ◦ @kaedemalu(Twitter, Github) ◦ フューチャー株式会社
▪ Technology Innovation Group / DX Unit ◦ コンサルタント&インフラエンジニア ◦ #GCP #Terraform • Community ◦ GCPUG Shonan Staff ◦ CloudNative Days Tokyo Committee
はじめに
セキュリティ、 気をつけていますか?
攻撃受けていませんか?
はじめに • サービス運用の上では大事 • でも、重要度は上がりにくい ◦ サービスのリリースの方が重要だし。。 ◦ いざ攻撃受けたら大炎上(寝れなくなる) •
やらなきゃ、セキュリティ対策
GCPのセキュリティツール 1
GCPのセキュリティツール
Security Command Center 2
Security Command Center • GCPのセキュリティ管理プラットフォーム • Organizationリソース ◦ ドメインがないと使うことができない •
Org全体のリソースについてセキュリティ 上で問題あるリソースをまとめて表示
Security Command Center • Security Command Centerで検知できるもの ◦ Standard Tier
▪ 脆弱性 ◦ Premium Tier (有料) ▪ 脅威 ▪ コンテナ ▪ コンプライアンス ▪ Webアプリスキャン
検出結果について • 重要度が5段階で表示 ◦ Critical、High、Medium、Low、Other
検出結果について(脆弱性について) • ベンチマークが5種類で表示 ◦ CIS Benchmark ←GCPではリファレンスとしている ◦ PCI-DSS ◦
OWASP ◦ NIST ◦ ISO-27001
脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.)
[email protected]
• OPEN_FIREWALL
◦ ファイアウォールが一般的なアクセスを受ける ▪ ex.) Inbound 0.0.0.0/0 Port 22 攻撃を受けやすい箇所を示してくれる
脅威の検知例 • malware_bad_ip ◦ 既知の不正IPからアクセスを受けていることが分かる • brute_force_ssh ◦ ホストへSSHが成功した時のブルートフォースを検知 今攻撃を受けている場所を特定できる
Premium Tierでできるその他 • コンテナ脅威検知 ◦ GKEで利用できる ▪ 追加されたバイナリの実行 ▪ 追加されたライブラリの読み込み
▪ リバースシェル
料金 • Standard Tier • Premium Tier 無料 ✨ 以下のどちらか大きい方の5%
• 契約したGCP の年間費用 • 現在の実際のGCPの年間費用 年間最小費用が$25,000
まとめ • 成熟した環境、巨大な環境にこそSCC入れよう ◦ できれば有料版(高価だけど) • セキュリティは後回しにしがち ◦ 構築段階で事前に潰す ◦
検知の仕組みが大事 • セキュリティは割と面白い
SCC以外でできるセキュリティ対策 • IAM ◦ Primitive Roleの扱い方 ◦ GCSへのRoleの付け方 ◦ Org、Folderから継承するRoleを作り込む
• Firewall ◦ ソースをできるだけ絞る • IAP ◦ 外部IP外せる ◦ Firewall狭められる
Next で何を見ればいい? • Week 4がセキュリティの週 ◦ 40ちょっとのセッション(ユニークではない) ◦ 日本語のセッション ▪
「Cloud Security Command Centerによるセキュリティ管理」 • Cloud OnAir のRecap Vol. 2でセキュリティを扱っている ◦ Security Overview ◦ IAM ◦ BeyondCorp
宣伝 3
フューチャーについて • 大崎にあるITコンサル会社 • 経営戦略から実装、運用までを全てこなす • ベンダーニュートラルの考え方 • 「ないものは作る」
こんな人がいます • Real World HTTPの著者 • Vue.jsのコミッター • Apache Software
Foundationのボードメンバー • OSS「Vuls」の作成者
ブログも出しています
おわり
SiteGround - Reliable hosting with speed, security, and support you can count on.
kaedemalu
sansantech
kworkdev
daitak
taka_aki
thehajime
sansan_randd
zepprix
htan
tebiki
takumimukaiyama
shoheimitani
shibuiwilliam
aemeredith
techseoconnect
tammyeverts
sferik
michaelherold
bryan
tamaranovitovic
aleyda
inesmontani
addyosmani
samlambert
![脆弱性の検知例 • NON_ORG_IAM_MEMBER ◦ Orgの管理外のドメインのユーザーがIAMにいる ▪ ex.) [email protected] • OPEN_FIREWALL](https://files.speakerdeck.com/presentations/a9932f51112f4fcfb3b57fd0d995f5a5/slide_13.jpg){kind=link}
