Google Cloud Platform Advent Calendar 2020 7日目の記事となります
GCPではorganization全体のセキュリティ監視をするためのSecurityCommandCenter(以下SCC)というサービスがあります
- どのようなサービスであるのか
- 何を守れるのか
- どうやって使うのか
をこの記事では解説をしたいと思います
SecurityCommandCenterとは
organization配下のセキュリティリスクだと思われる検知を自動的に行なってくれて、ダッシュボード上から確認出来るサービスです
CIS,PCI-DSS,NIST,ISOにも対応した検知が出来るようになっています
対応表
SCCのプランについて
2020/05にSCCは今後スタンダートとプレミアムの2階層に分かれるとアナウンスがありました
スタンダート/プレミアム以前のSCCはレガシーと呼ばれています
SCCでは何が検知出来てそれぞれのプランで何が対応しているのか以下にまとめました
| 項目 | サービス概要 | レガシー | スタンダード | プレミアム |
|---|---|---|---|---|
| Cloud Anomaly Detection | 異常と思われる挙動の検知 Compute系が異常な行動(乗っ取られてないか)してないか、クレデンシャルが漏れてないか |
使用可能 | 使用可能 一部制限あり |
使用可能 |
| Security Health Analytics | FWのミス設定やCISベンチマークにそった検知 | 使用可能 | 使用可能 一部制限あり |
使用可能 |
| Event Threat Detection | Stackdriver のログから不正攻撃の踏み台になっていないかなどの自動検知 | 使用可能 | 使用不可 | 使用可能 |
| Web Security Scanner | webアプリの脆弱性スキャン | 使用可能 | 使用可能 一部制限あり |
使用可能 |
| Container Threat Detection | コンテナに対する攻撃の検知 | 使用可能 | 使用不可 | 使用可能 |
レガシーからスタンダードまたはプレミアムに移行するとレガシープランに戻ることは出来ません
スタンダードからプレミアム、またプレミアムからスタンダードへの移行は出来ます
レガシーは今後使えなくなり、スタンダードまたはプレミアムへの移行となるようですが、レガシーがいつまで使えるかのアナウンスは今の所ないようです
料金
| プラン | 料金 |
|---|---|
| レガシー | 無料 |
| スタンダード | 無料 |
| プレミアム | GCP年間使用料の5% |
プレミアムの料金については細かい設定があるので、こちらのドキュメントを参照してください
SCCの使い方
SCCのダッシュボード
以下のようなダッシュボードがSCCでは見ることが出来ます(SCC検証用に作ったサンプルです)
ここで、 脅威 と 脆弱性 の2つがありますが検知内容によって別れています
0件の新たな脅威 となっていても、新たな脆弱性はあるかもしれません
検知内容が脅威にあたるのか、脆弱性にあたるのかはリンクを参照してください
ダッシュボードを見ればどのプロジェクトでどのような脆弱性が検知されているかはわかります
検知内容の通知/分析
ダッシュボードで確認は出来るのですが、多くの場合は脆弱性が見つかったタイミングで通知をしたいと思います
SCCは単体で通知機能を持っていませんが、新規の検知をpub/subに送る機能があります
また、ダッシュボード上だけですと検知内容の分析がしづらいのでBigQueryなどに入れて分析することをおすすめします
以下のようなアーキテクチャで実現が出来ます
pub/subに来たデータをそのままBigQueryに入れるためのCloudFunctionsやslack通知するCloudFunctionsはこちらを参考にしていただければと思います
おわりに
SecurityCommandCenterの紹介をさせていただきました
まだダッシュボード見たことない!という方は無料なのでまずは見てみることをおすすめします。意外な脆弱性が発見されるかもしれません。
明日のGoogle Cloud Platform Advent Calendar 2020は、@suzutatsuさんです。