セキュリティ基盤ブループリント

Last reviewed 2022-12-16 UTC

このコンテンツの最終更新日は 2022 年 12 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。

このドキュメントは、Google Cloud のセキュリティに関するベスト プラクティスを組み込んだもので、ベスト プラクティスを採用または適応させて Google Cloud 上の資産にベスト プラクティスを自動的に導入できるよう編成されています。このドキュメントは、CISO、セキュリティ担当者、リスクまたはコンプライアンス責任者に役立ちます。

このドキュメントは、ランディング ゾーンに関する独自のセキュリティ基盤ブループリントを提供し、Google Cloud 資産を構成してデプロイする方法をステップごとに示すシリーズの一部です。このシリーズでは、考慮すべき重要なトピックを強調しているため、参考資料や出発点とするのに適しています。各トピックでは、それぞれの選択の背景と理由について説明します。手順ガイドに加えて、このセキュリティ基盤ブループリントには、付属する Terraform 自動化リポジトリと Google 組織のデモンストレーションのサンプルが用意されているため、ブループリントに従って構成された環境を学習し、テストできます。

このセキュリティ基盤ブループリントに関するシリーズには以下が含まれます。

最新の更新については、最新情報をご覧ください。

はじめに

クラウドの導入は企業全体で加速し続けており、パブリック クラウド インフラストラクチャの使用状況の調査から、パブリック クラウドを介して本番環境サービスを実際に提供する企業が増えています。従来、パブリック クラウドのセキュリティは、お客様が所有するインフラストラクチャとは本質的に異なります。これは、お客様とクラウド プロバイダの間でセキュリティに対する共有責任が限定されるためです。図は、クラウドのワークロードに対する従来の共有セキュリティ責任のマトリックスを示しています。

セキュリティの責任の共有

Google Cloud のプロダクトとサービスには、従来の PaaS(Platform as a Service)から IaaS(Infrastructure as a Service)、SaaS(Software as a Service)などさまざまなものがあります。上の図に示すように、ユーザーとクラウド プロバイダの間での従来の責任の境界は、選択したサービスによって異なります。少なくとも、セキュリティの責任共有の一環として、パブリック クラウド プロバイダは堅牢で安全な基盤から開始できるようにする必要があります。プロバイダは、お客様が共有責任モデルの一部を理解して実行できるように支援する必要があります。

Google Cloud の提供サービスは急速に拡大しています。各 Google Cloud サービスは、さまざまな構成やコントロールを公開するため、ビジネスやセキュリティのニーズに合わせてカスタマイズできます。コア インフラストラクチャの作成と設定における Google の目標は、この独自のセキュリティ基盤ブループリントにおいて、Google Cloud の主要なセキュリティ ベスト プラクティスをデフォルトでエンコードすることで、お客様がより迅速かつ安全に開始できるようにすることです。その後、お客様は信頼性が高く安全な基盤とランディング ゾーン上に構築し、コントロールを最適化するか、体制ブループリントからのサービス固有の追加のセキュリティ ガイダンスの利点を利用します。

Google は、Risk Protection Program の以前の発表を機に、お客様とクラウド プロバイダの間の従来の共有責任のモデルから、さらに一歩進んだ運命の共有への取り組みを行っています。このアプローチでは、Google が責任を持ってお客様と緊密に連携し、Google のプラットフォームに安全にデプロイしています。Mandiant のプロダクトとソリューションの追加によって、セキュリティ アドバイザリ、脅威インテリジェンス、テスト、検証、インシデント対応、マネージド防御サービスのスイートもさらにサポートできます。

セキュリティを念頭に置いて開始

クラウド セキュリティがオンプレミス セキュリティと異なるのは、次の組み合わせがあるためです。

  • インフラストラクチャ、プロダクト、サービス内のセキュリティ プリミティブ、可視性、コントロール ポイントの違い。
  • コンテナ化や DevSecOps などの新しいクラウドネイティブ開発方法。
  • 新しいクラウド プロダクトとサービスの継続的な速度と多様性、およびそれらの利用方法。
  • 組織によるシステムのデプロイ、管理、運用方法の文化のシフト。
  • お客様とクラウド プロバイダとの間のリスクの理解と分散

クラウド デプロイメントの設定には、決定することが数多くあります。お客様にビジネスへの影響と価値を提供する能力を高めるために、安全なデフォルトを使用して簡単、迅速、かつ効果的にワークロードをデプロイすることを支援する必要がある場合があります。しかし、クラウド移行の違いや新しい課題に対処するために必要な新しいスキルを習得する時間がないかもしれません。したがって、多くの場合、安全な基本的な出発点と、特定のニーズに合わせてカスタマイズするために、厳選された独自のガイダンスを活用できます。

ここで朗報ですが、これらのセキュリティ ブループリントを使用することで、Google Cloud をより迅速、効果的、かつ安全に構築できます。この場合、Google Cloud のセキュリティ階層に重要な新しいレイヤーセットが追加されます。Google Cloud のインフラストラクチャをスタートの基盤として、5 つの主要部分があります。後続の 4 つのレイヤは Google Cloud のプロダクトとサービス、つまり、セキュリティ基盤ブループリントセキュリティ対策、ワークロード、アプリケーション用のブループリント、そしてソリューションのレイヤです。このソリューションは、プロダクト、サービス、ブループリントをユースケースの例、お客様事例、商用サービスとバンドルして、お客様の理解、導入、消費を簡素化するものです。以下で説明するように、各レイヤは前のレイヤ上に構築されます。

コアの Google Cloud インフラストラクチャ

Google には、情報処理ライフサイクル全体を通したセキュリティを提供するグローバル規模の技術インフラストラクチャがあります。このインフラストラクチャによって、サービスのデプロイにおけるセキュリティ、データ保存のセキュリティとエンドユーザーのプライバシー保護、サービス間の通信のセキュリティ、お客様とのインターネット経由の通信における機密性とセキュリティ、管理者オペレーションの安全性が提供されています。

Google のプロダクトとサービス

Google Cloud のプロダクトとサービスはコア インフラストラクチャ上に構築されており、Google の BeyondProd のホワイトペーパーで共有されるクラウドネイティブのセキュリティ原則に従って一貫して設計、運用されます。それらは、アクセス制御、セグメンテーション、データ保護を可能にする組み込みのセキュリティ機能を含みます。さらに、Google Cloud では、特定のセキュリティ プロダクトを構築して、ポリシー要件を満たし、セキュリティのプロダクトと機能を使用して重要なアセットを保護するようにします。

セキュリティ基盤ブループリント

このセキュリティ基盤ブループリントの目標は、Google Cloud のデプロイのための安全な開始点とランディング ゾーンの構築に向けたネイティブの制御とサービスの最適化を支援する、厳選された独自のガイダンスと、それに伴う自動化を提供することです。

セキュリティ体制、ワークロード、アプリケーションのブループリント

この強力なセキュリティ基盤の上に、セキュリティ対策、ワークロード、アプリケーションに関する追加のブループリントを提供して、ワークロードとアプリケーションの設計、構築、運用に役立つ、厳選された独自のガイダンスを提供します。例には、機密データ用の安全なデータ ウェアハウス安全なサーバーレス ブループリントGKE ブループリント上の PCI があります。

ソリューション

Google Cloud のセキュリティのベスト プラクティスを組み込んだプロダクトとブループリントの組み合わせによって、特定のサービスのセットを構成、デプロイ、運用するための機能、アーキテクチャ、ガイダンスが提供されます。ソリューションは、これらのプロダクトを、垂直でユースケース固有のカスタマイズ、追加の例、お客様の事例紹介、バンドルされた商用サービスとともにパッケージ化しています。Google の目標は、組織のビジネスニーズに合わせてソリューションを導入して適用する能力を簡素化して、加速することです。現在のソリューション ポートフォリオについては、Google Cloud ソリューションのページをご覧ください。

次の表は、Google Cloud を使用し、セキュリティ ブループリントのガイダンスとテンプレートに基づいて構築できるセキュリティ レイヤを示しています。

レイヤ 利点
セキュリティ ソリューション セキュリティ ソリューション レイヤは、次のことに対応します。
  • 特定のアプリケーション、プロセス、サービス向けの適切なセキュリティ対策を確保します。
  • 特定のニーズ(たとえば、Anthos on HIPAA)に関する規制とコンプライアンスの要件への対応に役立ちます。
ワークロード セキュリティ対策のブループリントとサービスごとのブループリント ワークロードのブループリント レイヤは、特定のワークロード、アプリケーション、プロセス、サービス向けの適切なセキュリティ対策を確保します。

サービス固有のブループリントは、特定のサービスの構成、直接セキュリティ、補償コントロールのガイダンスを提供します。
セキュリティ基盤ブループリント セキュリティ基盤ブループリントは、インフラストラクチャ、リソース、組織のポリシー、ID とアクセス権、ネットワーキング、ロギング、検出のための安全なベースライン ランディング ゾーンを提供します。この Google 独自のブループリントによって、お客様は安全な基盤の上にユースケースを構築できます。
デフォルトで安全なプロダクト このセキュリティ レイヤは事前構成されており、すぐに使用できます。これは、安全でさまざまな規制を遵守するように設計されています。
Google のコア インフラストラクチャのセキュリティ このセキュリティ レイヤは事前構成されてお