Google Cloud
Cloud OnAir 番組レポート : Google Cloud でセキュアにアプリケーションを開発しよう
2019年3月14日
Google Cloud Japan Team
Cloud OnAir は、Google Cloud の製品をわかりやすく解説し、最新の情報などをいち早く皆様にお伝えする Online 番組です。
3 月 7 日の放送は、「Google Cloud でセキュアにアプリケーションを開発しよう」がテーマです。クラウド化において最も懸念されるものの 1 つがセキュリティです。Google Cloud におけるセキュリティの考え方と、お客様のアプリケーションやデータを安全かつ適切に開発、運用するための実践的な手法を番組でご紹介します。今回は、権限管理、アプリケーション、データインフラについて、デモも交えながら、Google Cloud で提供するサービスや機能を解説します。
権限管理
最初に紹介するサービスが Identity and Access Management(IAM)です。グループを使って 役割を管理すること、それぞれの役割に対して権限を割り当てる際に利用します。関連する機能が、Cloud IAM Conditions です。この機能を使用すると、Google Cloud Platform(GCP)リソースに対して条件付きの属性ベースのアクセス制御を定義して適用できます。すなわち、構成条件が満たされている場合にのみ、ID(メンバー)に権限を付与できます。たとえば、本番環境に関する問題が発生した場合、ユーザーに対して一時的なアクセス権を構成したり、本社の従業員に対してリソースへのアクセスを制限したりできます。セキュアなアプリケーションを作る
ここで紹介するサービスや機能は以下の通りです。- Cloud Firewall Rules :指定した構成に基づいて、仮想マシン(VM)インスタンスとの間のトラフィックを許可または拒否できます。
- Shielded VMs : rootkit や bootkit なども防御するセキュリティコントロールにより堅牢化された仮想マシンです。
- Container Optomized OS : Chromium OS ベースで作られた Compute Engine や Kubernetes Engine(GKE)で利用可能なセキュアで軽量な OS です。
- Container Registry 脆弱性スキャン : コンテナイメージのパッケージに存在する脆弱性を識別。Ubuntu、Debian、Alpine のパッケージにある脆弱性を特定します。
- Binary Authorization : 信頼されたコンテナイメージのみを GKE 上にデプロイすることを保証するセキュリティコントロール機能です。
- Identity-Aware Proxy(IAP) : ID とコンテキストを使用して、アプリケーションや VM へのアクセスを保護。当該ユーザが権限を持っていた場合にリソースへのアクセスを許可します。
- Container Identity for Customers and Partners : サードパーティの Identity を使った認証を、アプリケーションに簡単に組み込むことができます。
- Cloud Armor : サービス拒否攻撃やウェブ攻撃からサービスを保護します(関連資料: Cloud Armor : インターネットに接続されたサービスを DDoS 攻撃から防御)。
データインフラを保護する
データインフラをセキュアにするため、ここでは VPC 内フローログ、監査ログ、暗号鍵の持ち込みと管理、データの不正利用や漏洩防止について関連サービスや機能を紹介します。- VPC Service Controls : Google Cloud Storage や BigQuery、Cloud Bigtable など、API ベースの GCP サービスに保存されたデータにセキュリティ境界を作成します。セキュリティ境界は、ID の盗難、IAM ポリシーの誤構成、悪意ある内部者、侵害された仮想マシンによるデータ漏洩リスクの軽減に役立ちます(関連資料:GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法)。
- Cloud Key Management Service : オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。
- Stackdriver : サービス、コンテナ、アプリケーション、インフラストラクチャのモニタリングを管理します。フローログは Stackdriver Logging で表示できます。また、複数の監査ログも参照可能です。これらのログは Stackdriver Logging からエクスポートして、Google Cloud Storage に長期保存することもできます。
VPC Service Controls については、デモもあわせてご覧ください。


番組で説明した資料はこちらで公開しています。


Cloud OnAir では、各回 Google Cloud のエンジニアがトピックを設け、Google Cloud の最新情報を解説しています。過去の番組、説明資料、さらには視聴者からの質問と回答はこちらよりご覧いただけます。 最新の情報を得るためにもまずはご登録をお願いします。