はじめに
AWS だとTrusted Advisor、Guard Duty、Security Hubなど、運用するにあたって、有効化しようという話題が挙がるが、GCだとこれをやろう、みたいなのが、見つけられなかったので、AWSでいうそれらに当たるものが何かを確認した。
概要
簡単な比較表を作成してみました。
| GoogleCloudでのサービス | 機能 | 見方 | できること | 必要なこと | AWSで該当すること |
|---|---|---|---|---|---|
| Recommender | - |
各種推奨事項の確認 コマンド |
レコメンダーリスト | ・デフォルトで表示されるところもある ・Recommender API を有効化しないとでないところもある |
ほぼTrustedAdvisorですが、若干項目数に差分があるかな、という印象 |
| Security Command Center | Security Health Analytics | 左記に記載あり | 定められた内容に従っているかを検出できる(バケットのロギングが無効なものを検出したり、監査ロギングが無効なものを検出したり、、) | ・Security Health Analyticsを有効化する必要がある →スタンダードとプレミアムがありプレミアムだと有償 →スタンダードだと影響度が高のものしかでない |
SecurityHubのセキュリティ標準 |
| 脅威 | 左記リンクに記載あり | サービスアカウントの不正利用、データの引き出し、Cloud SQLの不審なアクティビティなどのセキュリティ検査機能 | 組織レベルで各機能を有効化する必要がある(プロジェクトレベルだと機能しなものがあるため) →異常検出、Container Threat Detection、Event Threat Detection、Forseti Security、Virtual Macine Threat Detection →プレミアでないと使えないものが多い |
GuarDuty | |
| WebSecurityScanner | - | カスタムスキャンの設定 | 脆弱性のチェック(CVS値とかがでるではなくXSSのリスクがあるとかそういう観点のものでWebアプリケーション観点でのチェックになる) | 対象機能を有効化する必要がある スタンダードだと自分で手動で掛ける必要があるが、プレミアにすると自動で週に1回自動実行されるマネージドスキャンが可能である |
ちょっと思いつかない |
確認しての所感
Recommender
AWSは機能を把握していない人にもわかりやすいように、Trusted Advisorには網羅的な項目が当該機能に集約されており、Recommenderのようにコンポーネントが偏ったりしていないように見えました。
ただ、当たり前ですがGoogle Cloudに対する機能は Trusted Advisor では提供されていないので、BigQueryを皮切りにGoogle Cloudを使う人にとっては、有効であり、BigQueryの料金プランで迷っている場合なども実績ベースで推奨事項が出てくるので、環境によっては削減がかなり見込めるのではと思いました。
個人的には利用が増えてきていると思われるCloud Runの推奨事項や、Cloud SQLだけでなく、Spannerなどの他のDB系のマネージドサービスに対する推奨事項はもっと増えてもいいのではないか?と思う。
Security Command Center
Google WorkspaceのSSO認証を検知できたりとGoogleならではの部分も行き届いており、その点まで検査対象なのは良い。
DB である Cloud SQL に対する不審なアクティビティ検知ができ、その点まで検査対象なのも良い。
具体的な検査対象の差異までは洗い出せていないが、プレミアムディアにすることである程度網羅されていると感じた。
所感
Recommender は機能の網羅する項目が偏っていたり、SCCのプレミアムティアでないと使えなかったりするサービスがあるが、これらは Google のサービスを保護するうえでは重要な役割を持っており、案件の要件によっては、これらの運用のセキュリティ的な機能がないと Google Cloud を扱えないこともあると思うので、その点からも重要なサービスであると感じました。
こういった運用サービスがあることが広まり、 Google 上でのサービスの優先順位としても上がり、より拡張していってもらいたいサービスだと感じました。