GoogleNEXT_Security_RTC宮崎__002_.pdf

Transcript

1. 2018年8月1日 リクルートテクノロジーズ 宮崎幸恵 Google Cloud Next ’18 Recap/報告会 Security

2. (C) Recruit Technologies Co.,Ltd. All rights reserved. 2 自己紹介 リクルート社内のとあるG

   Suiteの特権管理者＆GCP組織管理者 認証/権限管理/ネットワーク設計での発表多数 • JawsDays2014 • AWS Summit2015 • Security Jaws • GoogleCloudNEXT’17 TOKYO etc.

3. (C) Recruit Technologies Co.,Ltd. All rights reserved. 3 Securityは新発表があったのか

4. (C) Recruit Technologies Co.,Ltd. All rights reserved. 4 Securityは新発表があったのか G

   Suite

5. (C) Recruit Technologies Co.,Ltd. All rights reserved. 5 Securityは新発表があったのか

6. (C) Recruit Technologies Co.,Ltd. All rights reserved. 6 セッション紹介 ここからは関連するセッションをいくつか紹介します

7. (C) Recruit Technologies Co.,Ltd. All rights reserved. 7 Context-aware access

8. (C) Recruit Technologies Co.,Ltd. All rights reserved. 8 VPC Service

   Controls Blending GCP Security Controls というセッションの中で説明あり Security access zoneでVPCやGCPのリソースを囲い、Defaultだとzone外から のIngress、zone外へのEngressともDenyする

9. (C) Recruit Technologies Co.,Ltd. All rights reserved. 9 VPC Service

   Controls zoneにどうやって（端末？スマホ？）、どこから（IP）、いつ（時間）でアク セスしたかでアクセス制御するのが、context-aware access

10. (C) Recruit Technologies Co.,Ltd. All rights reserved. 10 セッション紹介 Cloud

    Security Command Center: Control of Your Vulnerabilities on GCP  Cloud Security Command Centerはその名の通り、GCPのアレコレを可視 化するサービス。タグ付けやフィルターでカスタマイズ可  今年の3月くらいに発表され、今はAlpha。略してCloud SCC  カスタマー事例はTwo Sigma(ほかのセキュリティ関連のセッションでも事例あり  パートナーとしてCloudflareとPaloAltoNetworks  NEXT’18では5つのcontainer security partner toolsと連携できるように なった、という発表がありました

11. (C) Recruit Technologies Co.,Ltd. All rights reserved. 11 Cloud Security

    Command Center ダッシュボードで一覧表示→Filter等で絞込→さらに詳細（それこそGCSのACL まで)見える

12. (C) Recruit Technologies Co.,Ltd. All rights reserved. 12 SCCダッシュボード（Demoから抜粋）

13. (C) Recruit Technologies Co.,Ltd. All rights reserved. 13 SCCダッシュボード2（Demoから抜粋） パートナー製品たち

14. (C) Recruit Technologies Co.,Ltd. All rights reserved. 14 Two Sigmaの事例紹介

    Audit用途でSCCを利用 ForsetiのデータもSCCと連携

15. (C) Recruit Technologies Co.,Ltd. All rights reserved. 15 Two Sigmaの事例紹介

    特定のマークをしたGCSのバケットのACLを変更しようとしたら、権限をEditor に変更

16. (C) Recruit Technologies Co.,Ltd. All rights reserved. 16 Two Sigmaの事例紹介

    検知はGCEやGAEで行い、そのデータをSCCに連携

17. (C) Recruit Technologies Co.,Ltd. All rights reserved. 17 セッション紹介 Best

    Practices for Privacy and Security in Compute Engine ここにもTwo Sigmaが事例としてでてきます

18. (C) Recruit Technologies Co.,Ltd. All rights reserved. 18 Custom IAM

    Rolesがいつの間にかGA ポリシーを組み合わせて作成できるCustom IAM Roles

19. (C) Recruit Technologies Co.,Ltd. All rights reserved. 19 GCEではリソースレベルのIAMがもうすぐベータに 特定のイメージにのみアクセス、などリソースレベルで制御可能

20. (C) Recruit Technologies Co.,Ltd. All rights reserved. 20 リソースレベルのIAMの例 イメージ単位でアクセスを制御する例

21. (C) Recruit Technologies Co.,Ltd. All rights reserved. 21 Two Sigmaの事例

    ExternalIP禁止 シリアルポート接続無効化

22. (C) Recruit Technologies Co.,Ltd. All rights reserved. 22 セッション紹介 Two-Sigma:

    Implementing Fintech Security in the Cloud Two Sigmaの全容がわかるのでは… と期待

23. (C) Recruit Technologies Co.,Ltd. All rights reserved. 23 Two SigmaのSecurity

    Architecture 監査系のサービスはここには出てきていないが、あるはず（SCC事例）

24. (C) Recruit Technologies Co.,Ltd. All rights reserved. 24 オンプレミスからケルベロス認証 ユーザーはGCDSで連携、ADFSとSAML認証。VMへのアクセスはGWから

    Kerberos認証でInterconnectを通ってアクセス

25. (C) Recruit Technologies Co.,Ltd. All rights reserved. 25 ありがとうございました 徳原さん

    河村さん