Cloud Identity-Aware Proxy : クラウド アプリケーションのアクセス保護
Google Cloud Japan Team
リフト&シフトとクラウド ネイティブのどちらのアプリケーションであるかに関係なく、適切な社内ユーザーだけを対象に、シンプルで保護されたアプリケーション アクセスを提供したいと、システム管理者やデベロッパーは考えています。
先月開催された Google Cloud Next '17 において、私たち Google は Cloud Identity-Aware Proxy(Cloud IAP)のベータ版をリリースしました。Cloud IAP は、ユーザーの ID を確認したうえでアプリケーションへのアクセスを認めるかどうかを判断し、Google Cloud Platform 上のクラウド アプリケーションへのアクセスを制御します。
Cloud IAP はお客様のアプリケーションのインターネット フロントエンドとして機能するため、これを利用すると、アプリケーションに対するグループ ベースのアクセス制御、TLS 終端、Cloud IAP の基礎となっている Google Cloud Load Balancer による DoS 防御のメリットが得られます。ユーザーとデベロッパーは、インターネットのパブリック URL としてアプリケーションにアクセスし、VPN クライアントの起動や管理は不要です。
Cloud IAP を導入すれば、デベロッパーはアプリケーションのカスタム コード開発に専念できます。あとは、アプリケーションを選択し、アクセス リストにユーザーとグループを追加してアプリケーションをデプロイするだけで、強力な不正アクセス保護機能が働きます。その他のことは Google に任せておけばよいのです。
Cloud IAP の実際
Cloud IAP による保護を有効にするには、まずシステム管理者が Google の Cloud Identity Solution とエンドユーザーの ID を同期させます。次に、アプリケーションへのアクセスを許可するユーザーとグループを選択して、HTTPS ウェブ アプリケーションへのシンプルなアクセス ポリシーを定義します。一方、デベロッパーは、HTTPS ウェブ アプリケーションを記述し、Cloud Load Balancer の背後のインターネットにそれをデプロイします。Cloud Load Balancer は、ID チェックとアクセス ポリシーの適用のためのリクエストを Cloud IAP に渡します。ユーザーがまだサインインしていない場合は、ポリシーの適用前に、サインインを求めるプロンプトが表示されます。
よりセキュアにアプリケーションにアクセスできる高速かつ信頼性の高い手段が必要なら、Cloud IAP は最適です。もはや VPN の壁に囲まれた庭にアプリケーションを隠す必要はありません。セキュリティは Cloud IAP に任せておき、デベロッパーにはもっと得意な仕事をしてもらいましょう。貴重な企業データの保護が強化され、セキュリティ チームも安心できます。
Cloud IAP は、Google の BeyondCorp に書かれているコンテキストを意識したセキュアなアクセスを実現するツール スイートの一部です。Security Key Management 機能で提供されるフィッシング攻撃防御で Cloud IAP を補完することも、ぜひ検討してください。
Cloud IAP の料金
Cloud IAP によるユーザーおよびグループ ベースのアクセス制御は無料で利用できます。今後も機能をさらに追加していく予定です。また、Cloud IAP 入門に関する新たな投稿にもご期待ください。* この投稿は米国時間 4 月 17 日、Product Manager である Ameet Jani によって投稿されたもの(投稿はこちら)の抄訳です。
- By Ameet Jani, Product Manager