GCPの権限管理に関する自動化について

Slide 1

Slide 1 text

Slide 2

Slide 2 text

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

©10X, Inc. All Rights Reserved. 権限の整理の背景      ○ ちゃんと整備せずに数年たってしまった  ○ やや荒れ気味  ○ ざっくりと広めにつけられている  ○ すでに役割を終えてそうなもの  ○ 意図したものが分からないもの  ○ データの棚卸しと整理をしたので、どこにどういう情報があるかは分かってきた  ○ 大事な情報へのアクセス権を限定したい  ○ 組織の構造が変わったり、業務も日々かわっていく、必要な権限も変わっていく  ○ 整理された状態にしたいし、それをコストかけずに維持したい 

Slide 7

Slide 7 text

Slide 8

Slide 8 text

©10X, Inc. All Rights Reserved. 把握のためのデータ集め      CloudAsset Cloud Identity Cloud IAM BigQuery ○ CloudAssetやAPIで権限に関連するデータを BigQueryへエクスポート  ○ Cloud Asset  ■ IAM Policy, Project, Folder, CustomRole...  ○ Cloud Identity API  ■ Google Group Member  ○ Cloud IAM API  ■ PredefinedRole  ○ 毎日定期実行、snapshotも日毎に残す 

Slide 9

Slide 9 text

Slide 10

Slide 10 text

©10X, Inc. All Rights Reserved. どういうものを見ているか      ○ 現状のIAM Policy 一覧  ○ 変更の履歴  ○ 良くない権限設定  ○ 権限昇格系、個人情報/機密情報アクセス権、広い権限。   ■ このへんはわりと業務やデータに応じて変動しそう。都度SQL見直すつもり   ○ 各種集計  ○ 使われてるロールの集計、プロジェクトごとの集計など  ○ 便利なツール的なもの  ○ 冗長な設定検出(あるロールとそのサブセットのロールがともに付与されているときに、サブセットのほうは要らないというのを出す、追加で権限足すと起こりがち)   ○ RoleとRoleのpermission diff 

Slide 11

Slide 11 text

©10X, Inc. All Rights Reserved. まとめ      ○ いろいろエクスポートしてBIツールで見るようにしたら、だいぶ見通しよくなった   ○ SQLでいろいろ検出できる   ○ 今は良くない設定なおしているところ   ○ 良くないところが減るのを観測できるし、新たになにか出てきてもすぐ分かる   ○ すごく自動化できたわけではないけど、荒れ地をよい状態に持っていけそう   ○ とはいえ難しさはある  ○ 業務を把握しないと適切な権限が分からないし、日々業務が変わる。組織の形も変わったりする。  ○ 「データの棚卸しと整理」「権限の整理」「AuditLogの整備」3つの施策の1つ、それぞれ関連していて、データを集めて繋げればよりいい感じのものができそう  

Slide 12

Slide 12 text

©10X, Inc. All Rights Reserved. こんな環境に興味のある方ぜひ      ○ 10Xでは、事業が成長とともにセキュリティの重要度が高まってきています。活躍できる余白もたくさんあります。  ○ ジョブディスクリプション  ○ セキュリティエンジニア（Product Security）  ○ ソフトウェアエンジニア(Product Security Ops)  ■ ソフトウェアエンジニアでセキュリティに取り組むひと  ● ソフトウェアエンジニア(Product Security Ops)を募集します  ○ カジュアルな情報交換とかもしましょう  ○ カジュアル面談フォーム  (注: Speaker Deckで見ていてリンクを開けない場合、スライドの下のDescriptionにリンクがあります)  