Google Cloud アーキテクチャ フレームワークのこのドキュメントでは、安全でコンプライアンスに配慮したサービスを Google Cloud で実行するための主要な原則について説明しています。オンプレミス環境でよく知られているセキュリティ原則の多くは、クラウド環境にも適用されます。
階層化されたセキュリティ アプローチを構築する
アプリケーションとインフラストラクチャの各レベルでセキュリティを実装し、多層防御を実現します。各プロダクトの機能を使用してアクセスを制限し、必要に応じて暗号化を構成します。
分離された安全なシステムを設計する
可能であれば、柔軟性に対応するためにシステム設計を簡素化し、各コンポーネントのセキュリティ要件を文書化します。復元性と復元を考慮して堅牢なセキュリティ メカニズムを組み込みます。
重要なタスクのデプロイを自動化する
デプロイやその他の管理タスクを自動化し、人手による作業をなくします。
セキュリティ モニタリングを自動化する
自動化ツールを使用して、アプリケーションとインフラストラクチャをモニタリングします。インフラストラクチャの脆弱性をスキャンしてセキュリティ インシデントを検出するには、継続的インテグレーションと継続的デプロイ(CI / CD)パイプラインで自動スキャンを使用します。
リージョンのコンプライアンス要件を満たす
規制要件を満たすには、個人情報(PII)を難読化または秘匿化する必要があるので注意してください。可能であれば、コンプライアンスへの取り組みを自動化します。たとえば、新しいデータをシステムに保存する前に、Sensitive Data Protection と Dataflow を使用して PII 秘匿化ジョブを自動化します。
データ所在地と主権の要件を遵守する
内部または外部要件により、データ ストレージと処理のロケーションを制御する必要があります。これらの要件は、システムの設計目標、業界の規制に関する懸念、国内法、務上の影響、文化によって異なります。データ所在地は、データの保存場所を表します。データ所在地の要件を遵守するため、Google Cloud ではデータの保存場所、アクセス方法、処理方法を制御できます。
セキュリティを左にシフトする
DevOps とデプロイの自動化により、組織は製品提供をスピードアップできます。製品の安全性を維持するため、開発プロセスの最初からセキュリティ プロセスを組み込みます。たとえば、次のことを行います。
- デプロイ パイプラインの早い段階で、コードのセキュリティ問題をテストします。
- コンテナ イメージとクラウド インフラストラクチャを継続的にスキャンします。
- 構成ミスとセキュリティ アンチパターンの検出を自動化します。たとえば、自動化を使用して、アプリケーションまたは構成にハードコードされたシークレットを探します。
次のステップ
セキュリティに関する基本原則の詳細については、次のリソースをご覧ください。
- リスクをコントロールする(このシリーズの次のドキュメント)
- Google Cloud エンタープライズ基盤のブループリント
- Google のセキュリティ資料
- Google インフラストラクチャのセキュリティ設計の概要
- 共同インシデント管理プロセスを構築する
- 業界向けのデプロイ可能なブループリント