Cloud SQL による PostgreSQL のセキュリティとガバナンスの向上

※この投稿は米国時間 2020 年 10 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。

データベースの安全な管理の確保は、すべての組織の重要なオペレーションに欠かせない必要事項です。組織が Cloud SQL のようなマネージド サービスを利用している場合、1 つのサービスにとどまらないセキュリティ ポリシーなど、管理の整合性が大きなメリットになります。Cloud SQL はセキュリティ機能を強化し続けてきました。Google は、お客様がデータベース インスタンスに安全に接続できるように VPC Service Controls を導入し、法令遵守の要件を満たすためのオプションとして顧客管理の暗号鍵を追加しました。本日は、Cloud Identity and Access Management（Cloud IAM）の統合と PostgreSQL Audit Extension（pgAudit）の有効化についてお知らせします。どちらも Cloud SQL for PostgreSQL のプレビュー版でご利用いただけます。

pgAudit を有効にすると、Cloud SQL ユーザーは今後の調査や監査のために必要なレベルの粒度でステートメントをログに記録できる柔軟性が得られます。pgAudit を使用することで、Cloud SQL ユーザーはデータに固有の機密アクションのみをログに記録するようにフィルタを構成し、データベースへのパフォーマンスの影響を最小限に抑えられます。Cloud SQL pgAudit ログには、タイムスタンプ、ユーザー名、データベース、コマンドタイプのほか、未加工のクエリが含まれており、データベース アクセスに関する詳細情報をセキュリティ チームに提供します。この拡張機能は、監査する特定のコマンドセットを含めるように構成できます。また、監査担当者ロールを作成し、指定されたユーザーに割り当てることも可能です。上記のログが収集されると、ユーザーは Cloud Logging、BigQuery、サードパーティのログ管理ツールからログの分析とモニタリングを行えます。

Cloud IAM との統合により、管理者は、従来のデータベース パスワードの代わりに短期アクセス トークンを使用して PostgreSQL データベースにログインするユーザーを認証できるようになります。これにより、データベースにアクセスするための個別の認証情報セットが不要になり、ID 管理の複雑さが軽減されるので、ユーザーの認証ワークフローが簡素化されます。Cloud IAM による一元化されたアプローチにより、他の Google Cloud データベース サービスとの認証と認可処理の整合性が高まり、設定がシンプルでわかりやすくなります。以下に例を示します。

Cloud IAM ユーザーのデータベース ログインを認証する

管理者は 1 つのフラグを更新することで、データベース インスタンスの Cloud IAM 統合を有効にできます。次のコマンドをご覧ください。

Cloud IAM で使用されているものと同じメールアドレスを使用し、通常の許可コマンドで権限を付与するか、またはそのユーザーにロールを割り当てることによって、データベース ユーザーを作成できるようになりました。

これらの新機能について詳しくは、こちらとこちらのドキュメントでご確認いただけます。独自のプロジェクトでお試しください。Cloud SQL は他の Google Cloud による機能強化とともに、セキュリティとガバナンスの機能を継続的に高め、お客様のニーズに対応しています。当ブログで発信する、すべてのデータベース エンジンへの追加投資と更新に関する情報に今後もご注目ください。

-プロダクト マネージャー Ori Kashi

-プロダクト マネージャー Akhil Jariwala