コロナ禍の影響により、リモートワークの導入が進んでいる。
その際、気になるのはセキュリティの部分。
外部から内部へ接続する場合、様々な方法があるが、最近Googleが押し出している「BeyondCorp」について、調べてみたので、まとめます。
BeyondCorpとは
・Googleが提唱する企業セキュリティに対する新しいアプローチ。
・アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移すことで、従来のように VPN を介さなくても従業員や契約業者などのユーザーがほぼどこからでもより安全に働けるようにするもの
・Google のミッションとして、2011 年~現在まで、Google の全従業員が VPN を使用せずに、信頼できないネットワークを介して問題なく働けるようにすることを目指している。
・VPNを利用せず、すべてのネットワークを検証する。
・VPNを利用できない企業への設置を推奨している。
・Googleも閉域から移行する際、安全性を確認しながら移行した。
・BeyondCorpはGoogleが提唱するゼロトラストの概念。
・IAP(他要素認証のあるリバースプロキシ)が中核となり、GsuiteやGCP上のWebアプリケーション、API+VPN/GCIを介してオンプレのWEbアプリケーションと接続が可能。
BeyondCorp Remote Access
・掲題の機能とともに、BeyondCorp Remote Accessが発表されたが、BeyondCorp Remote Accessという機能はなく、
BeyondCorp を実現するために、Googleのどの機能を実装することで実現可能かということを発表しました。
どんなことができるのか?
例えば、以下のようなルールを設定することができる。
・「請負業者が自宅から彼らのPCで仕事をする場合、最新バージョンのOSを使っている場合のみ、Webベースのドキュメント管理システムにアクセス可能で、フィッシングに耐性のあるセキュリティキーのような認証を使用する」
・「タイムカードアプリにはすべての従業員がさまざまなデバイスや場所から安全にアクセスする必要がある」
・「特定のOSを利用している端末のみアクセス可能」
・「セキュリティチェックを実施し、問題ないと判断された端末のみアクセス可能」
どのような検証が行われるか
すべてのネットワークを検証するとあるが、実際にどんな情報をどのツールで見てるのかをまとめました。
GCPの場合
誰が:Cloud Identity
どんな状態のどの端末で:Endpoint Verification
Access Proxy:Cloud Identity-Aware Proxy
「動的なリスク計算」と「通信可否の判断」:Access Context Manager
「クラウドサービスと社内の接続」:Cloud Interconnect
Azureの場合
誰が:Azure AD
どんな状態のどの端末で:Microsoft Intune
「Access Proxy」と「動的なリスク計算」、「通信可否の判断」:Azure AD
条件付きアクセス、「クラウドサービスと社内の接続」:Azure AD Application Proxy
BeyondCorpとVPNの比較
BeyondCorpはVPNを必要としないということを全面に押し出している。
どんなことをすればVPNに代替できるほどのセキュリティを担保するのかをまとめる。
まず、VPNには以下のような要素が求められる。
VPNに求められるセキュリティ3要素
Authentication/認証
VPNクライアント立ち上げ時、アカウントのIDとパスワードを入力
Device Trust/機器認証
SSL証明書などを端末にインストールする
Encryption/暗号化
あらゆる通信パケットをラッピングして暗号化
ここの部分はBeyondCorpだとどう置き換わるのか?
Authentication/認証
Cloud Identity
Device Trust/機器認証
Endpoint Verificationなど
Encryption/暗号化
HTTPSで対応
実装方法
GCPの場合
確認中
ユースケース
airbnbの事例を記載します。
元々はVPNを使用していましたが、BeyondCorp Remote Access に切り替えたそうです。
AWSで構築されているairbnb.comのセキュリティを強固にしたいという要望がありましたが、AWS環境を一切変更したくないという要件が有ったそうです。
現状使っている認証機能を変更せずにGCPの機能を導入したかった
それが実現可能なGCPを選択したそうです。
airbnbの悩み
・VPNを利用していたが、安定して仕事ができなかった。
・待ち時間が長かった。(マルチリージョンではなかったことが起因のよう)
・どこからでも仕事ができるようにしたかった。
元々の環境
↓
料金
関連機能
| 機能名 | 料金 | 参考URL |
|---|---|---|
| Cloud Identity | 1 ユーザーあたり 645 円など | https://support.google.com/cloudidentity/answer/7666159?hl=ja |
| Endpoint Verification | 無料 | |
| Cloud Load Balancing | https://cloud.google.com/load-balancing?hl=ja | |
| GCE | https://cloud.google.com/compute/all-pricing?hl=ja | |
| Cloud Identity-Aware Proxy | 無料 | https://cloud.google.com/iap/pricing?hl=ja |
| Cloud Interconnect or partner Interconnect | https://cloud.google.com/interconnect/pricing?hl=ja | |
| Access Context Manager | 無料 | https://cloud.google.com/access-context-manager/pricing?hl=ja |
料金計算の参考
| タイトル | サイトURL |
|---|---|
| Google Cloud Platform における課金の仕組み | https://www.youtube.com/watch?v=lYp1_1mWv60&t=13s |
| 料金リスト | https://cloud.google.com/pricing/list?hl=ja |
| 料金計算例 | https://www.cloud-ace.jp/column/detail23/ |
参考URL
機能について
https://cloud.google.com/beyondcorp?hl=ja
https://pc.watch.impress.co.jp/docs/news/1248727.html
https://note.com/suwash/n/na22941028e38
https://www.youtube.com/watch?v=Sq9gp8KBsY0&t=2185s
VPNとの違い
論文
https://research.google.com/pubs/pub46134.html?hl=ja
BeyondCorp への移行:「セキュリティを改善しながら生産性を維持する」
Handling Easy Use Cases with the Access Proxy
の部分
Beyond Corp: The Access Proxy
https://research.google.com/pubs/pub45728.html?hl=ja
BeyondCorp’s Front-End Infrastructure
の部分
BeyondCorp: A New Approach to Enterprise Security
https://research.google.com/pubs/pub43231.html?hl=ja
Cutting Back on the Usage of VPN
の部分
Migrating to BeyondCorp: Maintaining Productivity While Improving Security
https://research.google.com/pubs/pub46134.html?hl=ja
TRUST EVALUATION
の部分