はじめに
Google Cloudの認定資格であるProfessional Security Engineerを受験するにあたって、Google Cloudのセキュリティ系のプロダクトを理解するためのまとめます。詳しく書いていると言うよりは、試験のために出そうなところを中心にまとめる感じです。間違いや意見、LGTMお待ちしております。
Security Command Center
Google Cloud上のサービスのセキュリティの脆弱性とデータのリスクを検出するためのサービス群。
スタンダードティアとプレミアムティアがあり、ティアによって使用できるサービスが変わる。ちなみにスタンダードティアは無料だが、プレミアムティアは有料。
参考: https://cloud.google.com/security-command-center/docs/concepts-security-command-center-overview?hl=ja#tiers
Security Command Centerで用意されているサービス
Standard Tier
- Security Health Analytics(検出タイプ少なめ)
- Web Security Scannerのカスタムスキャン(手動で)
- Cloud Data Loss Prevention
- Google Cloud Armor
- Anomaly Detection
- Forseti Security
Preminum Tier
- Security Health Analytics(検出タイプ多め)
- Standard Tierのサービス群
- Event Threat Detection
- Container Threat Detection
- Web Security Scannerのマネージドスキャン(自動で)
Cloud ArmorとかCloud DLPとかAnomaly Detectionは厳密にはSecurity Command Center(以降、SCC)のツールではなく、独立存在しているツールじゃない?と思った。ドキュメントにはSCCのツール群のように紹介されてるけど。
組織全体のリソースや脆弱性を可視化できる
上記のサービスに加えて、組織全体のGoogle Cloudリソースとその脆弱性を可視化できる機能がある。これにより、所有しているリソース、センシティブデータの内容、検知された脆弱性などが可視化できる。上で紹介されているCloud ArmorとかCloud DLPとかはSCCと統合されており、SCCの管理画面でそれぞれの検知結果などを一覧できるっぽい。
脆弱性検知の画面
Security Health Analyticsの結果
組織内のリソースの一覧表示
サードパーティのセキュリティツールをSCCに統合する
Market Placeから大量のサードパーティーツールをSCCに統合することができる。
SCCの機能まとめ
ドキュメントに乗っている内容をまとめただけなんですが、ざっと見てこんな感じでした。アクセス制御のモニタリングがちょっとよく分からなかったのですが、調べて後で修正します。
| 機能名 | 機能の詳細 |
|---|---|
| アセットの検出とインベントリ | 組織のアセットやデータを検出し、一覧表示できる。検出スキャンの履歴を確認できる。 |
| 機密データの識別 | Cloud DLP(Data Loss Prevention)を使用すると、センシティブデータ(メールアドレスやパスワード、マイナンバー番号など)を検出してアクションが起こせる。 |
| アプリケーションの脆弱性検出 | Web Security Scannerを使用すると、アプリケーションの脆弱性(XSSやFlash Injectionなど)を検知できる |
| アクセス制御のモニタリング | Forsetiを使用して、アクセス制御ポリシー周りを監視してくれる。 |
| Googleの異常検出 | Googleが用意した組み込みの検出機能により、仮想通貨のマイニングや異常な再起動などを検知してくれる。 |
| サードパーティツールの統合 | Market Placeからサードパーティツールを統合することができる。 |
| リアルタイム通知 | 脆弱性を検知したときにPubSubに通知することで、迅速にアクションを起こせる。(メール通知など) |
| 他システムとの統合 | SCCのAPIもしくはSDKを使用して、既存のセキュリティシステムと統合できる。 |
※ アセットは組織、プロジェクト、データベース、インスタンス、アプリケーションなどを指す
Security Health Analytics
Google Cloudのアセットに関して、脆弱性や構成ミスを検知し自動的に検出するマネージドサービス。例えば、ソースIPが0.0.0.0/0になっているファイアーウォールや外部IPを持っているVMなどを検知して警告してくれる。その他の検知は以下のドキュメントに記載されている。これらの検知項目は、CISや[PCI-DSS](Payment Card Industry Data Security Standard 3.2.1)、 NIST 800-53、ISOなどのセキュリティ規格で定義されているものに則ったものになっている。ここで検知されている結果が意図通りでない場合は、修正することが推奨される
https://cloud.google.com/security-command-center/docs/concepts-vulnerabilities-findings?hl=ja
※スタンダードティアのSecurity Health Analyticsでは、ISOやCISなどに準拠した検知項目の一部分だけになっており、プレミアムティアではそのほとんどがサポートされるようになる。
スキャン
Cloud Asset Inventoryというアセットの一覧表示や変更のモニタリングができるサービスを使って、アセットを監視している。スキャンは三つの方法で行われている。
バッチスキャン
SLOを満たすようにスケジュールされたスキャン。12時間、もしくは24時間のSLOを満たすように6時間もしくは12時間毎にバッチスキャンを実行する。リアルタイムスキャンが行われなかったときに、スキャンの間隔が長期間あかないようにするためのスキャンだと理解した。
リアルタイムスキャン
Cloud Asset Inventoryによってアセットの変更が通知されるたびに実行されるスキャン
混合モード
全てのアセットの変更をリアルタイムで検出できない場合があるため、バッチスキャンとリアルタイムスキャンが混合するアセットもある。
まとめ
とりあえずSCCの概要とHealth Security Analyticsの概要は把握できた。Securityのプロダクトが思ったより多かったので、別の記事で一個一個プロダクトを書いていこうと思います。