Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GCPでセキュリティガードレールを作るための方法と推しテク

yu-yamada
January 24, 2021

 GCPでセキュリティガードレールを作るための方法と推しテク

July Tech Festa 2021 winter 登壇資料
#JTF2021w #GCP

パブリッククラウドでのセキュリティ担保の方法として、利便性を犠牲にはせずセキュリティを担保しようというガードレールという考え方があり、GoogleCloudではガードレールを設置するために以下のようなサービスを使うことが出来ます。
・SecurityCommandCenter
・CloudAssetInventory
・VpcServiceControls
本セッションではこれらのサービスの使い方や、GCPプロジェクトを作成したときにセキュリティ対策としてまずやったほうが良い設定などを紹介します。

yu-yamada

January 24, 2021
Tweet

More Decks by yu-yamada

Other Decks in Technology

Transcript

  1. 創業  1960年3月31日  「大学新聞広告社」としてスタート グループ
 従業員数  49,370名     (2020年3月31日時点) 連結売上高  23,994億円    (2019年4月1日~2020年3月31日) 
 EBITDA


     3,251億円     (2019年4月1日~2020年3月31日) 
 グループ
 企業数  366社       (子会社および関連会社、2020年3月31日時点) 
 ビジョン・
 ミッション

  2. リクルートグループのうちメディア&ソリューション事業を推進する会社
 ※2012/10 中核事業会社・機能会社に分社 → 2021/4「リクルート」として統合予定
 7 リクルート
 ホールディングス リクルートキャリア リクルート住まいカンパニー

    リクルートライフスタイル リクルートジョブズ リクルートマーケティングパートナーズ リクルートスタッフィング スタッフサービス・ホールディングス メディア &
 ソリューション事業(SBU) (株)リクルート
 人材派遣事業(SBU)
 RGF Staffing B.V.
 HRテクノロジ― 事業(SBU)
 RGF OHR USA, Inc.
 その他海外派遣グループ会社 Indeed,Inc.
 Glassdoor,Inc.
 RGF International Recruitment
 リクルートマネジメントソリューションズ
 国内
 HR 国内
 販促
 リクルートテクノロジーズ リクルートコミュニケーションズ 機能
 会社
 その他

  3. ◯:ユーザ管理範囲 Iaas Paas Faas コンテンツ ◯ ◯ ◯ アクセスポリシー ◯

    ◯ ◯ 利用 ◯ ◯ ◯ デプロイ ◯ ◯ - Webアプリのセキュリティ ◯ ◯ - アイデンティティ ◯ - - 運用 ◯ - - アクセスと認証 ◯ - - ネットワークセキュリティ ◯ - - データとコンテンツ ◯ - - GuestOS ◯ - - 監査ログ - - - ネットワーク - - - ストレージ - - - カーネル - - - ブート - - - ハードウェア - - -
  4. ◯:ユーザ管理範囲 Iaas Paas Faas コンテンツ ◯ ◯ ◯ アクセスポリシー ◯

    ◯ ◯ 利用 ◯ ◯ ◯ デプロイ ◯ ◯ - Webアプリのセキュリティ ◯ ◯ - アイデンティティ ◯ - - 運用 ◯ - - アクセスと認証 ◯ - - ネットワークセキュリティ ◯ - - データとコンテンツ ◯ - - GuestOS ◯ - - 監査ログ - - - ネットワーク - - - ストレージ - - - カーネル - - - ブート - - - ハードウェア - - -
  5. 機密オンプレ環境 一般GCP環境 機密GCP環境 ProjectA ProjectB vpc-sc accessLevelの設定 basic: conditions: -

    ipSubnetworks: - XXX.XXX.XX.2/32 - XXX.XXX.XX.3/32 - members: - serviceAccount:[email protected] accessLevelの設定 basic: conditions: - ipSubnetworks: - 分析ユーザのアドレス BigQuery Cloud Storage BigQuery GCSのIAMで外部から は書込みのみを許可 Compute Engine Compute Engine
  6. 詳細は料金を参照(特にプレミアム) レガシー • Security Command Center APIによるデータ転送量 • 検出に利用されるログ量 などに基づく

    スタンダード 無料 プレミアム 以下のうち金額が大きい方の 5% • 契約した Google Cloud の年間費用額 • 現在の実際の Google Cloud の費用の年換算額
  7. Security Health Analytics FWの設定不備やCIS ベンチマークにそっ た検出 使用可能 使用可能 一部制限あり 使用可能

    Cloud Anomaly Detection Compute系の異常な 行動(ex. 乗っ取り) クレデンシャル漏洩 使用可能 使用可能 一部制限あり 使用可能 Event Threat Detection Stackdriver のログ から不正攻撃の踏み 台になっていないか などの自動検出 使用可能 使用不可 使用可能 Web Security Scanner Webアプリの脆弱性 スキャン 使用可能 使用可能 一部制限あり 使用可能 Container Threat Detection コンテナに対する 攻撃の検出 使用可能 使用不可 使用可能
  8. OPEN_SSH_PORT ファイアウォールが、一般的なアクセスを許可するオープ ン SSH ポートを持つように構成されている プレミアム・ スタンダード OPEN_MYSQL_PORT ファイアウォールが、一般的なアクセスを許可するオープ ン

    MYSQL ポートを持つように構成されている プレミアム BUCKET_LOGGING_DISA BLED ロギングが有効になっていないストレージ バケットがある プレミアム
  9. func DetectOpenSSHFirewall (change *models.CloudAssetInventoryChange ) (bool, error) { if change.Asset.AssetType

    != "compute.googleapis.com/Firewall" { return false, nil } var fw Firewall if err := json.Unmarshal(change.Asset.Resource, &fw); err != nil { return false, errors.Wrap(err, "failed to unmarshal Firewall resoruce data") } if fw.Data.Disabled || fw.Data.Direction == "EGRESS" { return false, nil } return fw.IsInternetFacing () && fw.IsSSHPortOpen (), nil }