Help us understand the problem. What is going on with this article?

[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編)

More than 1 year has passed since last update.

GCPって

https://qiita.com/risa0320/items/5f34bc9102e575705274

サービスの分類

おおまかにはこんな感じ。(一部省略してます)
※2019年8月末時点のもの。
※α版、β版を含む。
https://cloud.google.com/products/?hl=ja よりいろいろ引用してます。

分類 サービス例
AIと機械学習 AutoML,Vision AI,Cloud TPU...
API管理 Apigee Sense,Cloud Healthcare API...
コンピューティング Compute Engine,App Engine,Cloud Functions...
データ分析 BigQuery,Cloud Composer,Cloud Dataflow...
データベース Cloud SQL,Cloud Bigtable,Cloud Spanner...
デベロッパーツール Container Registry,Cloud Build...
ハイブリットとマルチクラウド Anthos,GKE On-Prem...
IoT Cloud IoT Core,Edge TPU
管理ツール Stackdriver,Monitoring,Private Catalog...
メデイアとゲーム Zync Render,Anvato...
移行 Cloud Data Transfer,Transfer Application...
ネットワーキング Virtual Private Cloud,Cloud DNS,Cloud NAT...
セキュリティ Cloud Security Scanner,Cloud IAM,Cloud HSM...
ストレージ Cloud Storage,Cloud Firestore...

サービスをもう少し深く見てみる

セキュリティ

Binary Authorization

信頼できるコンテナのみを Kubernetes Engine にデプロイ。

Binary Authorization は、Google Kubernetes Engine(GKE)に信頼できるコンテナ イメージのみがデプロイされることを保証するデプロイ時のセキュリティ管理サービスです。Binary Authorization を使用すると、開発プロセス時に、信頼できる機関によるイメージへの署名を必須にして、デプロイ時にその署名を検証する過程を導入できます。検証プロセスを適用することで、適切であると認められたイメージのみがビルドとリリースのプロセスに統合されるため、コンテナの環境をより厳密に制御できます。

<機能>

  • ポリシーの作成
  • ポリシーの検証と適用
  • Cloud Security Command Center の統合
  • 監査ログ
  • Cloud KMS のサポート
  • Kubernetes のオープンソースのサポート
  • ドライランのサポート
  • ブレークグラスのサポート
  • サードパーティ製ソリューションとの統合

Cloud Audit Logs

Google Cloud Platformのすべてのユーザーアクティビティに対して、誰が、いつ、どこで何をしたかを可視化します。

Cloud Audit Logsは、セキュリティチームがGoogle Cloud Platform(GCP)で監査証跡を維持するのに役立ちます。このツールを使用すると、企業はオンプレミス環境と同じレベルの管理アクティビティとGoogle Cloud Platformのデータへのアクセスに対して透明性を実現できます。すべての管理アクティビティは、強化された常時稼働の監査証跡に記録されます。これは、不正なアクターが無効にすることはできません。データアクセスログは、監視とコンプライアンスに関する組織のニーズに最適にカスタマイズできます。

<特徴>

  • 自動化された可視性
  • 事故管理
  • デフォルトのコンプライアンス
  • パートナーとの統合

Cloud IAM(Cloud Identity & Access Management)

きめ細かいアクセス制御と可視化によってクラウド リソースの一元管理を実現

Cloud Identity & Access Management(Cloud IAM)を使用すると、特定のリソースに対するアクションの実行を、管理者の承認を受けたユーザーのみに許可できます。管理者には、クラウド リソースを一元管理するための完全な権限と可視性が与えられます。組織全体のセキュリティ ポリシーを管理するための統合ビューを備えており、さらに監査機能も組み込まれているため、数百のワークグループやそれ以上の数のプロジェクトからなる複雑な組織システムを抱える企業でも、コンプライアンス プロセスが容易になります。

<特徴>

  • 単一のアクセス制御インターフェース
  • きめ細かい管理
  • コンテキスト認識アクセス
  • フレキシブルな役割
  • ウェブ、プログラム、コマンドラインからのアクセス
  • 組み込みの監査証跡
  • Cloud Identity のサポート
  • 利用は無料

Cloud Identity

ID、アクセス、アプリ、デバイス管理(IAM / EMM)の統合プラットフォームが、IT チームやセキュリティチームによるエンドユーザー効率の最大化と会社データの保護、デジタル ワークスペースへの移行をサポートします。

BeyondCorp セキュリティ モデルと Google の脅威インテリジェンス シグナルで組織を守ります。Cloud Identity により、SaaS アプリへのアクセス制御、強力な多要素認証(MFA)によるユーザー アカウントの保護、デバイスの管理、セキュリティ センターを使った脅威の調査が可能になります。

<特徴>

  • アカウントのセキュリティ
  • デバイスのセキュリティ
  • デジタル ワークスペース
  • 統合型管理コンソール
  • HRMS の統合
  • ハイブリッドな ID 管理
  • SLA とコンプライアンス
  • テクニカル サポート
  • アカウントの乗っ取り防止

Identity Platform

Google レベルの ID 管理とアクセス管理をアプリに組み込めます。

Identity Platform は、ID 管理機能とアクセス管理機能を自社アプリに組み込むことにより、ユーザー アカウントの保護と Google Cloud での信頼性の高いスケーリングを可能にする、顧客 ID およびアクセス管理(CIAM)プラットフォームです。

<特徴>

  • サービスとしての認証
  • 幅広いプロトコルのサポート
  • 2 要素認証(近日提供予定)
  • インテリジェントなアカウント保護
  • グローバル インフラストラクチャ
  • エンタープライズ サポートと SLA

Cloud IAP(Cloud Identity-Aware Proxy)

ID とコンテキストを確認して、アプリケーションや VM へのアクセスを保護できます。

Cloud Identity-Aware Proxy(Cloud IAP)で、Google Cloud Platform(GCP)で実行されているクラウド アプリケーションや VM へのアクセスを制御できます。Cloud IAP がユーザー ID とリクエストのコンテキストを確認し、そのユーザーにアプリケーションや VM へのアクセスを許可すべきかどうかを判断します。信頼されないネットワークから VPN を使わずにすべての従業員が作業できるようにするためのエンタープライズ向けセキュリティ ソリューションである BeyondCorp の構成要素の 1つです。

<特徴>

  • VPN を使用せずにアクセスを制御
  • エンドユーザーの時間を節約
  • 管理者の時間を節約
  • デプロイは数分で完了
  • クラウドアプリやオンプレミス アプリと連携
  • アプリや VM を保護

Cloud Data Loss Prevention

あらゆる場所の機密データを自動的に検出して秘匿化します。

Cloud DLP を使用すると、機密データについて理解を深めながら適切に管理できます。機密データの要素(クレジット カード番号、氏名、社会保障番号、米国および一部諸国の身分証明書番号、電話番号、GCP 認証情報など)を、高速かつスケーラブルに分類して秘匿化できます。Cloud DLP は 90 種以上の定義済み検出項目を使って、パターン、フォーマット、チェックサムを識別し、そのコンテキストも考慮しながらデータを分類します。マスキング、セキュア ハッシュ、トークン化、バケット化、フォーマット保持暗号化などの手法でデータを秘匿化することもできます。こちらのデモ アプリケーション Cloud DLP を試してみましょう。

機密データを見つけるだけでなく、性質に応じて分類もしてくれるのはすごい。
多くのデータの中から機密情報を漏れなく人間が見つけて、また、GCPをがっつり利用していると
機密データがいろんなサービスに散らばることは珍しいことではなく、
それをマスキングするのはかなりの労力が必要なので自動検出&分類、マスキングはありがたい。

<特徴>

  • 柔軟な分類機能
  • 従量制課金
  • 安全なデータ処理
  • ハードウェアやデプロイの管理が不要に
  • カスタム検出項目
  • 詳細な知見
  • ワークロードを簡単に統合
  • シンプルで強力な秘匿化機能
  • 尤度スコア
  • REST API

Cloud HSM

お客様の暗号鍵を、クラウドでホストされるフルマネージド型のハードウェア セキュリティ モジュール(HSM)サービスで保護します。

Cloud HSM は Google Cloud Platform で提供されるクラウドホスト型のハードウェア セキュリティ モジュール(HSM)サービスです。Cloud HSM を使用すれば、暗号鍵をホストして、FIPS 140-2 レベル 3 認定取得済みの HSM で暗号化操作を実行できます。このフルマネージド型のサービスにより、HSM クラスタの管理に伴うオペレーション上のオーバーヘッドについて心配することなく、機密性が特に高いワークロードを保護できます。

<特徴>

  • 対称鍵と非対称鍵に対応
  • ステートメント証明書
  • Cloud KMS との統合
  • マルチリージョンのサポート

Cloud KMS(Cloud Key Management Service)

Google Cloud Platform で暗号鍵を管理する

Cloud KMS はクラウドでホスティングされる鍵管理サービスです。このサービスを利用することで、オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。AES256、RSA 2048、RSA 3072、RSA 4096、EC P256、EC P384 の各規格に対応し、暗号鍵の生成、使用、ローテーション、破棄をサポートしています。Cloud KMS は Cloud IAM と Cloud Audit Logging に統合されているため、個々の鍵の権限を管理し、それらの用途を監視することができます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。

LDAPみたいな感じなのかな。

<機能>

  • 対称鍵と非対称鍵に対応
  • 鍵破棄の遅延
  • API による暗号化と復号
  • グローバルな高可用性
  • 自動鍵ローテーションと任意の鍵ローテーション
  • GKE との統合

Cloud Security Command Center

GCP 用の包括的なセキュリティ管理とデータリスク プラットフォーム

Cloud Security Command Center は、Google Cloud Platform 内のアセットとそのセキュリティの状態を可視化することで、脅威を簡単に防止、検出し、対処します。ビジネスの損害や損失を引き起こす前に、仮想マシン、ネットワーク、アプリケーション、ストレージの誤った構成を 1 か所から識別して対処できます。また、組み込みの脅威検知機能により、Stackdriver のセキュリティ ログ内の不正なアクティビティや仮想マシンの不正使用をすばやく表面化できます。そして、推奨された処理を行うか、データを SIEM にエクスポートすることで、脅威に迅速に対処します。

<特徴>

  • アセットの検出とインベントリ
  • 機密データの検出
  • アプリケーションの脆弱性の検出
  • REST API と SIEM
  • アクセス制御のモニタリング
  • Google の異常検出
  • 脅威の検出
  • サードパーティ製セキュリティ ツールの入力
  • リアルタイムの通知と修復
  • 監査ログ

Cloud Security Scanner

App Engine アプリを自動的にスキャンし、一般的な脆弱性を検出

Cloud Security Scanner は、App Engine、Compute Engine、Google Kubernetes Engine アプリケーションの一般的な脆弱性を検出するためのウェブベースのセキュリティ スキャナです。このスキャナでは、クロス サイト スクリプティング(XSS)、Flash インジェクション、混在コンテンツ(HTTPS 内の HTTP)、更新されていない / 安全ではないライブラリなど、4 つのよくある脆弱性について自動的にスキャンし、脅威を検出します。早い段階で脅威を特定し、極めて低い偽陽性率を実現しています。セキュリティ スキャンの設定、実行、スケジュール、管理はとても簡単で、Google Cloud Platform をお使いのお客様は無料でご利用いただけます。

<特徴>

  • 脆弱性検出
  • エージェント ブラウザの選択
  • 操作が簡単
  • ユーザー認証
  • 解決策の表示

コンテキスト認識アクセス(β版)

ユーザーの ID とコンテキストに基づいてアプリとインフラストラクチャへのアクセスを管理

コンテキスト認識アクセスは、ユーザーの ID とリクエストのコンテキストに基づいて、G Suite などの Google Cloud Platform(GCP)ワークロードとウェブ アプリケーションの詳細な管理機能を提供する、アクセス管理アプローチです。BeyondCorp セキュリティ モデルに基づくコンテキスト認識アクセスを使用することで、ユーザーのアクセスをシンプルにし、詳細な管理機能を利用して、クラウドおよびオンプレミスのアプリケーションとインフラストラクチャ リソースを 1 つのクラウド プラットフォームで使用できます。

<特徴>

  • VPN を使用しないユーザー アクセス
  • ゼロトラスト セキュリティ
  • GCP と G Suite に搭載
  • クラウドとオンプレミス
  • プラットフォームとポリシーをまとめる
  • グローバル インフラストラクチャ

Event Threat Detection(β版)

Google Cloud Platform 環境に存在するセキュリティの脅威を検出

Event Threat Detection は、Stackdriver のログを自動的にスキャンして、Google Cloud Platform 環境の不審なアクティビティを発見します。Google セーフ ブラウジングといった業界トップクラスの脅威インテリジェンスを使用することにより、マルウェア、クリプトマイニング、GCP リソースへの不正アクセス、DDoS 攻撃の送信、ポートスキャン、ブルート フォース SSH など、リスクが高く費用のかかる脅威を迅速に検出できます。セキュリティ チームは大量のログデータから情報を抽出し、リスクの高いインシデントをすばやく識別して修復に専念できます。

<特徴>

  • Stackdriver Logging との統合
  • 重要なクラウドの脅威を検出
  • Cloud Security Command Center で検出結果を確認
  • Cloud Pub/Sub と Cloud Functions で検出結果をストリーミング
  • 柔軟な API

Managed Service for Microsoft Active Directory(α版)

Microsoft® Active Directory(AD)を実行する、可用性の高い強化されたサービスをお使いいただけます。

Managed Service for Microsoft Active Directory(AD)は Microsoft AD を実際に実行する、可用性の高い強化された Google Cloud サービスです。クラウドベースの AD 依存ワークロードの管理、AD サーバーのメンテナンスやセキュリティの構成自動化、クラウドへのオンプレミス AD ドメインの拡張を実施できます。

<特徴>

  • 実際の AD ドメイン
  • 使い慣れた機能やツール
  • 高可用性
  • 自動パッチ適用
  • 構成の強化
  • 柔軟なデプロイ

Policy Intelligence(α版)

GCP リソースに対するスマート アクセス制御

クラウドのセキュリティ チームは、環境を安全に保つために処理すべき膨大な量の情報に直面しています。手作業で最新の状態に保つことは終わりのない困難なタスクであり、失敗すると重大な影響を及ぼすおそれがあります。Google Cloud Policy Intelligence は、企業のポリシーの把握と管理を支援し、リスクを軽減する手助けとなります。可視性を高めて自動化を進めることで、お客様がワークロードを増やさずにセキュリティを強化できるようにしています。

Resource Manager

プロジェクト、フォルダ、組織ごとに、階層的にリソースを管理

Google Cloud Platform では、組織、フォルダ、プロジェクトなどのリソース コンテナを使うことで、他の GCP のリソースをグループ化したり、階層的にまとめたりすることができます。この階層的組織を使うと、アクセス管理や構成設定など、リソースに共通のルールを簡単に管理できます。Resource Manager では、これらのリソース コンテナをプログラムによって管理できます。

<特徴>

  • 組織
  • 組織のポリシー
  • Cloud IAM ポリシー
  • アセット インベントリ
  • プロジェクトの作成、更新、削除
  • プロジェクトの詳細
  • クラウド フォルダ
  • Cloud Console と API アクセス

VPC Service Controls

Google Cloud Platform サービスで機密データのセキュリティ境界を定義。

VPC Service Controls によって、Cloud Storage バケット、Bigtable インスタンス、BigQuery データセットなどの Google Cloud Platform リソースの周囲にセキュリティ境界を定義して、VPC 内のデータを制限し、データ引き出しのリスクを軽減できます。VPC Service Controls を使用すると、機密データを非公開にしたまま Google Cloud Platform のフルマネージド ストレージやデータ処理機能を利用できます。

<特徴>

  • 監査ロギング
  • ハイブリッド環境のサポート
  • コンテキスト認識アクセス
  • マネージド GCP サービスの境界のセキュリティ
  • 安全な通信
  • VPC フローログ
risa0320
Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away