Slide 1
Slide 1 text
2018年8月1日
リクルートテクノロジーズ
宮崎幸恵
Google Cloud Next ’18 Recap/報告会
Security
Slide 2
Slide 2 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 2
自己紹介
リクルート社内のとあるG Suiteの特権管理者&GCP組織管理者
認証/権限管理/ネットワーク設計での発表多数
• JawsDays2014
• AWS Summit2015
• Security Jaws
• GoogleCloudNEXT’17 TOKYO etc.
Slide 3
Slide 3 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 3
Securityは新発表があったのか
Slide 4
Slide 4 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 4
Securityは新発表があったのか
G Suite
Slide 5
Slide 5 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 5
Securityは新発表があったのか
Slide 6
Slide 6 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 6
セッション紹介
ここからは関連するセッションをいくつか紹介します
Slide 7
Slide 7 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 7
Context-aware access
Slide 8
Slide 8 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 8
VPC Service Controls
Blending GCP Security Controls というセッションの中で説明あり
Security access zoneでVPCやGCPのリソースを囲い、Defaultだとzone外から
のIngress、zone外へのEngressともDenyする
Slide 9
Slide 9 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 9
VPC Service Controls
zoneにどうやって(端末?スマホ?)、どこから(IP)、いつ(時間)でアク
セスしたかでアクセス制御するのが、context-aware access
Slide 10
Slide 10 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 10
セッション紹介
Cloud Security Command Center: Control of Your Vulnerabilities on GCP
Cloud Security Command Centerはその名の通り、GCPのアレコレを可視
化するサービス。タグ付けやフィルターでカスタマイズ可
今年の3月くらいに発表され、今はAlpha。略してCloud SCC
カスタマー事例はTwo Sigma(ほかのセキュリティ関連のセッションでも事例あり
パートナーとしてCloudflareとPaloAltoNetworks
NEXT’18では5つのcontainer security partner toolsと連携できるように
なった、という発表がありました
Slide 11
Slide 11 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 11
Cloud Security Command Center
ダッシュボードで一覧表示→Filter等で絞込→さらに詳細(それこそGCSのACL
まで)見える
Slide 12
Slide 12 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 12
SCCダッシュボード(Demoから抜粋)
Slide 13
Slide 13 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 13
SCCダッシュボード2(Demoから抜粋)
パートナー製品たち
Slide 14
Slide 14 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 14
Two Sigmaの事例紹介
Audit用途でSCCを利用
ForsetiのデータもSCCと連携
Slide 15
Slide 15 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 15
Two Sigmaの事例紹介
特定のマークをしたGCSのバケットのACLを変更しようとしたら、権限をEditor
に変更
Slide 16
Slide 16 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 16
Two Sigmaの事例紹介
検知はGCEやGAEで行い、そのデータをSCCに連携
Slide 17
Slide 17 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 17
セッション紹介
Best Practices for Privacy and Security in Compute Engine
ここにもTwo Sigmaが事例としてでてきます
Slide 18
Slide 18 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 18
Custom IAM Rolesがいつの間にかGA
ポリシーを組み合わせて作成できるCustom IAM Roles
Slide 19
Slide 19 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 19
GCEではリソースレベルのIAMがもうすぐベータに
特定のイメージにのみアクセス、などリソースレベルで制御可能
Slide 20
Slide 20 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 20
リソースレベルのIAMの例
イメージ単位でアクセスを制御する例
Slide 21
Slide 21 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 21
Two Sigmaの事例
ExternalIP禁止
シリアルポート接続無効化
Slide 22
Slide 22 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 22
セッション紹介
Two-Sigma: Implementing Fintech Security in the Cloud
Two Sigmaの全容がわかるのでは… と期待
Slide 23
Slide 23 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 23
Two SigmaのSecurity Architecture
監査系のサービスはここには出てきていないが、あるはず(SCC事例)
Slide 24
Slide 24 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 24
オンプレミスからケルベロス認証
ユーザーはGCDSで連携、ADFSとSAML認証。VMへのアクセスはGWから
Kerberos認証でInterconnectを通ってアクセス
Slide 25
Slide 25 text
(C) Recruit Technologies Co.,Ltd. All rights reserved. 25
ありがとうございました
徳原さん
河村さん