このコンテンツの最終更新日は 2023 年 12 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。
このドキュメントでは、Google Cloud に基本的なリソース一式をデプロイするためのベスト プラクティスについて説明します。クラウドの基盤とは、企業がビジネスニーズに合わせて Google Cloud を導入するためのリソース、構成、機能のベースラインのことです。適切に設計された基盤により、Google Cloud 環境内のすべてのワークロードで、共有サービスに対する一貫したガバナンス、セキュリティ管理、スケール、可視性、アクセスが可能になります。このドキュメントで説明するコントロールとガバナンスをデプロイしたら、Google Cloud にワークロードをデプロイできます。
エンタープライズ基盤ブループリント(旧セキュリティ基盤ブループリント)は、Google Cloud 上でエンタープライズ向けの環境設計を担当するアーキテクト、セキュリティ担当者、プラットフォーム エンジニアリング チームを対象としています。このブループリントは次の内容で構成されています。
- デプロイ可能な Terraform アセットを含む terraform-example-foundation GitHub リポジトリ。
- ブループリント(このドキュメント)で実装するアーキテクチャ、設計、コントロールを説明するガイド。
このガイドは、次の 2 つの用途に使用できます。
- Google のベスト プラクティスに基づく完全な基盤を構築する。このガイドのすべての推奨事項を出発点としてデプロイし、ビジネス固有の要件に合わせて環境をカスタマイズできます。
- Google Cloud の既存の環境を確認する。Google が推奨するベスト プラクティスに照らして設計の特定のコンポーネントを比較できます。
サポートされるユースケース
エンタープライズ基盤ブループリントは、Google Cloud であらゆるタイプのワークロードを可能にするリソースと構成のベースライン レイヤを実現します。既存のコンピューティング ワークロードを Google Cloud に移行する場合、コンテナ化されたウェブ アプリケーションの構築する場合、ビッグデータと ML ワークロードを作成する場合のいずれにおいても、エンタープライズ基盤ブループリントを使用することで、エンタープライズ ワークロードを大規模にサポートする環境を構築できます。
エンタープライズ基盤ブループリントをデプロイすると、ワークロードを直接デプロイするか、追加のブループリントをデプロイすることで、追加機能を必要とする複雑なワークロードをサポートできます。
多層防御セキュリティ モデル
Google Cloud サービスは、基盤となる Google インフラストラクチャのセキュリティ設計から恩恵を受けています。Google Cloud 上に構築するシステムへのセキュリティを設計するのはお客様の責任です。エンタープライズ基盤ブループリントは、Google Cloud サービスとワークロードに多層防御のセキュリティ モデルを実装するうえで役立ちます。
次の図では、アーキテクチャ制御、ポリシー制御、検出制御を組み合わせた Google Cloud 組織の多層防御セキュリティ モデルを示します。
この図には、次のコントロールが示されています。
- ポリシー制御は、許容可能なリソース構成を適用し、危険な構成を防ぐプログラム上の制約です。このブループリントでは、パイプラインの Infrastructure as Code(IaC)検証などのポリシー制御と組織のポリシー制約を組み合わせて使用します。
- アーキテクチャ制御は、ネットワークやリソース階層などの Google Cloud リソースの構成です。このブループリントのアーキテクチャは、セキュリティのベスト プラクティスに基づいています。
- 検出制御では、組織内の異常な動作や悪意のある動作を検出できます。このブループリントは、Security Command Center などのプラットフォーム機能を使用し、既存の検出制御やセキュリティ オペレーション センター(SOC)などのワークフローと統合して、カスタム検出制御を実施する機能を実現します。
主要な判断項目
このセクションでは、ブループリントのアーキテクチャに関する判断項目について概要を説明します。
この図は、Google Cloud サービスが主要なアーキテクチャ上の判断にどのように影響を与えているかを示しています。
- Cloud Build: インフラストラクチャのリソースは GitOps モデルを使用して管理されます。宣言型 IaC は Terraform で記述され、レビューと承認のためにバージョン管理システムで管理されます。リソースは、継続的インテグレーション / 継続的デプロイ(CI / CD)の自動化ツールである Cloud Build を使用してデプロイされます。パイプラインは Policy as Code チェックも実施して、リソースが期待する構成を満たしていることをデプロイ前に検証します。
- Cloud Identity: ユーザーとグループ メンバーシップは、既存の ID プロバイダから同期されます。ユーザー アカウントのライフサイクル管理とシングル サインオン(SSO)の制御は、ID プロバイダの既存の制御とプロセスに依存します。
- Identity and Access Management(IAM): 許可ポリシー(旧 IAM ポリシー)はリソースへのアクセス権を許可するものであり、職務に基づいてグループに適用されます。ユーザーは適切なグループに追加され、基盤リソースに対する閲覧権限が付与されます。基盤リソースに対する変更は,、すべて特権サービス アカウント ID を使用する CI / CD パイプラインを介してデプロイされます。
- Resource Manager: すべてのリソースは、プロジェクトが環境別に整理されているフォルダのリソース階層を使用して 1 つの組織で管理されます。プロジェクトには、費用の帰属などの管理を行うためにメタデータでラベル付けされます。
- ネットワーキング: ネットワーク トポロジでは共有 VPC が使用されており、別々の環境に存在して複数のリージョンやゾーンにまたがっているワークロードにネットワーク リソースを提供し、一元管理します。オンプレミス ホスト、VPC ネットワーク内の Google Cloud リソース、Google Cloud サービスの間のネットワーク パスはすべてプライベートです。デフォルトでは、公共のインターネットとの間のインバウンド トラフィックやアウトバウンド トラフィックは許可されません。
- Cloud Logging: 集約ログシンクは、セキュリティと監査に関連するログを一元化されたプロジェクトに収集して長期的な保持、分析、外部システムへのエクスポートを実現するように構成されます。
- 組織のポリシー サービス: 組織のポリシーの制約は、さまざまなリスクの高い構成を防止するように構成されます。
- Secret Manager: コンプライアンス要件を満たすために、機密性の高いアプリケーション シークレットの使用について管理と監査を担当するチーム用に、一元化されたプロジェクトが作成されます。
- Cloud Key Management Service(Cloud KMS): コンプライアンス要件を満たすために、暗号鍵の管理と監査を担当するチーム用に、一元化されたプロジェクトが作成されます。
- Security Command Center: 脅威の検出とモニタリングの機能は、Security Command Center の組み込みセキュリティ管理と、セキュリティ イベントの検出と対応を可能にするカスタム ソリューションを組み合わせて実現されます。
これらの主要な判断項目に代わる選択肢については、別の方法をご覧ください。
次のステップ
- 認証と認可(このシリーズの次のドキュメント)を読む。