Google Cloud Platform

Cloud OnAir 番組レポート : Google Cloud でセキュアにアプリケーションを開発しよう

Cloud OnAir は、Google Cloud の製品をわかりやすく解説し、最新の情報などをいち早く皆様にお伝えする Online 番組です。

3 月 7 日の放送は、「Google Cloud でセキュアにアプリケーションを開発しよう」がテーマです。クラウド化において最も懸念されるものの 1 つがセキュリティです。Google Cloud におけるセキュリティの考え方と、お客様のアプリケーションやデータを安全かつ適切に開発、運用するための実践的な手法を番組でご紹介します。今回は、権限管理、アプリケーション、データインフラについて、デモも交えながら、Google Cloud で提供するサービスや機能を解説します。

権限管理

最初に紹介するサービスが Identity and Access Management(IAM)です。グループを使って 役割を管理すること、それぞれの役割に対して権限を割り当てる際に利用します。関連する機能が、Cloud IAM Conditions です。この機能を使用すると、Google Cloud Platform(GCP)リソースに対して条件付きの属性ベースのアクセス制御を定義して適用できます。すなわち、構成条件が満たされている場合にのみ、ID(メンバー)に権限を付与できます。たとえば、本番環境に関する問題が発生した場合、ユーザーに対して一時的なアクセス権を構成したり、本社の従業員に対してリソースへのアクセスを制限したりできます。

セキュアなアプリケーションを作る

ここで紹介するサービスや機能は以下の通りです。
  • Cloud Firewall Rules :指定した構成に基づいて、仮想マシン(VM)インスタンスとの間のトラフィックを許可または拒否できます。  
  • Shielded VMs : rootkit や bootkit なども防御するセキュリティコントロールにより堅牢化された仮想マシンです。
  • Container Optomized OS : Chromium OS ベースで作られた Compute Engine や Kubernetes Engine(GKE)で利用可能なセキュアで軽量な OS です。
  • Container Registry 脆弱性スキャン  : コンテナイメージのパッケージに存在する脆弱性を識別。Ubuntu、Debian、Alpine のパッケージにある脆弱性を特定します。
  • Binary Authorization : 信頼されたコンテナイメージのみを GKE 上にデプロイすることを保証するセキュリティコントロール機能です。
  • Identity-Aware Proxy(IAP) : ID とコンテキストを使用して、アプリケーションや VM へのアクセスを保護。当該ユーザが権限を持っていた場合にリソースへのアクセスを許可します。
  • Container Identity for Customers and Partners : サードパーティの Identity を使った認証を、アプリケーションに簡単に組み込むことができます。
  • Cloud Armor  : サービス拒否攻撃やウェブ攻撃からサービスを保護します(関連資料: Cloud Armor : インターネットに接続されたサービスを DDoS 攻撃から防御)。

データインフラを保護する

データインフラをセキュアにするため、ここでは VPC 内フローログ、監査ログ、暗号鍵の持ち込みと管理、データの不正利用や漏洩防止について関連サービスや機能を紹介します。
  • VPC Service Controls : Google Cloud Storage や BigQuery、Cloud Bigtable など、API ベースの GCP サービスに保存されたデータにセキュリティ境界を作成します。セキュリティ境界は、ID の盗難、IAM ポリシーの誤構成、悪意ある内部者、侵害された仮想マシンによるデータ漏洩リスクの軽減に役立ちます(関連資料:GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法)。
  • Cloud Key Management Service : オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。
  • Stackdriver : サービス、コンテナ、アプリケーション、インフラストラクチャのモニタリングを管理します。フローログは Stackdriver Logging で表示できます。また、複数の監査ログも参照可能です。これらのログは Stackdriver Logging からエクスポートして、Google Cloud Storage に長期保存することもできます。

VPC Service Controls については、デモもあわせてご覧ください。

pasted image 0 (1).png

番組で説明した資料はこちらで公開しています。

cloud-onair-google-cloud-201937-1-638.jpg

Cloud OnAir では、各回 Google Cloud のエンジニアがトピックを設け、Google Cloud の最新情報を解説しています。過去の番組、説明資料、さらには視聴者からの質問と回答はこちらよりご覧いただけます。 最新の情報を得るためにもまずはご登録をお願いします。