1 22nd Feb, GDG Tokyo Monthly Online Tech Talks Kento Kimura 君たち VPC Service Controls を知っているか

Self-Introduction ● 所属：Technical Solutions / Sales Engineer ● 担当：パブリッククラウド アーキテクト知識を活かした 　Datadog プリセールス技術支援 ● 資格：Google Cloud 全 11 資格、AWS 全 12 資格、Azure 13 資格 ● 表彰：Google Cloud Partner Top Engineer 2023-24 2022-23 APN All AWS Certifications Engineer 2023 Japan AWS Jr.Champion Jagu'e'r Award 2023 優秀賞 木村 健人 (Kento Kimura) Datadog Japan GK Technical Solutions Sales Engineering History データセンター運用保守 → パブリッククラウド技術支援 → プリセールス技術支援 Community Jagu’e’r デジクラ人材育成分科会 運営リード 　　　 O11y-SRE 分科会 運営メンバー 　　　　TechWriters 分科会 運営メンバー Partner Top Engineer 2023 Partner Top Engineer 2024 3

4 Google Cloud を利用する際 懸念 VPC 外 マネージドサービス セキュリティ オンプレミス システム構築時に考慮したセキュリティポリシー 、VPC 外 IAM 権限でアクセス制御をする マネージドサービスを想定していない で利用できない で ないか。 Cloud Storage や BigQuery から データ漏洩 大量にデータを保管するサービスから、悪意 ある関係者や感染コードによってデータ 持ち出しが行われ てしまう で ないか。 権限管理ミスによる、不正アクセスや非公開データ 開示 認証情報 漏洩や過剰な権限構成によって、非公開データへ アクセスを予期せぬ形で許可してしまう で ないか。

そこで VPC Service Controls 一言で説明：Google Cloud サービスへ API コール 接続元を制限するサービス 詳しく説明： Google Cloud サービスを操作する際に利用される API コールを行う際 認証認可に加え、そ 接続元を制限す ることができるサービス。 Google Cloud サービスに境界を定義することで、境界外 API コールをデフォルトで拒否し、ポリシーやアクセ スレベルを定義して API コールを許可できる。 Virtual Private Cloud 自体を境界内に含むことができ、VPC から API コールを制限したり、限定公開 Google アクセスでオンプレミスから アクセスを許可できる。 5

図で VPC Service Controls 6 VPC Service Controls Project A VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage

図で VPC Service Controls + アクセスレベル 7 VPC Service Controls Project A VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage アクセスレベルで許可している サービスアカウントからアクセス

アクセスレベルと 一言で説明：Access Context Manager で管理されるアクセス許可方法 詳しく説明： VPC Service Controls だけで なく、Identity-Aware Proxy などにも利用される。 IP アドレスやサービスアカウントを許可する接続元として指定でき、BeyondCorp Enterprise であれ デバイスポ リシー(デバイス 種類や OS)によって制限できる。 8

図で VPC Service Controls + ポリシー 9 VPC Service Controls Project A VPC BigQuery Cloud Storage Google Kubernetes Engine Compute Engine Project B VPC Google Kubernetes Engine Compute Engine BigQuery Cloud Storage 内向きポリシーで許可している アクセス元からアクセス 外向きポリシーで許可している サービスにアクセス

内向き・外向きポリシーと 一言で説明：VPC Service Controlsで管理されるアクセス許可方法 詳しく説明： 内向きポリシーで アクセスレベルやプロジェクト、VPC ネットワークなど 単位でアクセス許可を設定できる。 外向きポリシーで 境界外 Google Cloud リソースへ アクセス許可を設定できる。 10

VPC Service Controls NW を制限できますか？ No 11

12 Thank you