リソース ガードレールの調整を確実に支援するカスタム組織ポリシーの一般提供を開始

※この投稿は米国時間 2024 年 1 月 26 日に、Google Cloud blog に投稿されたものの抄訳です。

Google Cloud の組織ポリシー サービスは、リソース構成を管理し、クラウド環境にガードレールを構築するのに役立ちます。このたびこの組織ポリシー サービスに、カスタムの組織ポリシーというパワフルな拡張機能が追加され、クラウドのガバナンス要件に対応するためのきめ細かいリソース ポリシーを作成できるようになりました。一般提供が開始となったこの新機能には、本番環境に影響を与えることなく新しいポリシーを安全にロールアウトできる、ドライラン モードも付いています。

組織ポリシー サービスは、クラウド組織内でコンプライアンスを満たすリソース構成のみを許可するセキュリティ ガードレールを確立するのに役立ちます。業界のベスト プラクティスに基づいて事前定義されたポリシーが 100 以上ライブラリに用意されています。カスタムの組織ポリシーにより、組織のビジネス要件やポリシーの変更に適合し対処できる、独自のセキュリティおよびコンプライアンスのポリシーを作成、管理する機能が追加されます。

カスタムの組織ポリシーの仕組み

カスタムの組織ポリシーは、リソース構成のためのカスタマイズ可能なセキュリティ ガードレールで、組織、フォルダ、プロジェクトなど、任意のレベルで環境全体に適用できます。セキュリティ管理者は、自社のユースケースに合わせたカスタム制約を、コンソール、CLI、または API を使用して、数分で素早く作成することができます。

カスタムの組織ポリシーでは、直感的な Common Expression Language（CEL）を使用して、リソースの作成やミューテーションを許可するために満たすべき条件を指定します。これにより、セキュリティ対策の強化や、環境に必要な重要なポリシーの適用が容易になります。

カスタムの組織ポリシーの主な利点

カスタムの組織ポリシーを使用することで、組織での制御が一元化され、セキュリティ管理者がクラウド環境のガードレールを設定しやすくなります。こうしたガードレールにより、開発者は管理者が定義した境界内でアプリケーションを構築できます。カスタムの組織ポリシーを使用すると、すべてのクラウド リソースを可視化して、ポリシーを適用できるため、セキュリティ対策の管理と改善が容易になります。

カスタムの組織ポリシーにより、規制環境に応じたコンプライアンス要件の遵守も合理化できます。HIPAA、PCI-DSS、GDPR などの規制上の義務や、自社のコンプライアンス基準を満たすために役立つカスタムポリシーを作成することが可能です。変化する組織のセキュリティ ニーズに応じてポリシーを作成、管理でき、リスクの軽減につながります。カスタムの組織ポリシーを利用し、セキュリティとコンプライアンスを確保するためのプロアクティブな対策を導入することで、インシデントのリスクを最小限に抑え、運用効率を向上させることができます。

「Snap のプロダクション インフラストラクチャを保護するというミッションに妥協なく取り組んでいくために、当社は常に進化を続け、アクセスとポリシーのガードレールを確立する新しい機会を探しています。カスタムの組織ポリシーは、CIS ベンチマークに関連する GKE の制約などを適用するために利用する予定です。一般提供が始まることを楽しみにしています」- Snap、プロダクション セキュリティ マネージャー、Babak Bahamin 氏

カスタムの組織ポリシーのユースケースと利点を詳しく見てみましょう。

ユースケース: カスタムの組織ポリシーで、GKE の自動アップグレードを必須化

セキュリティに関する最新の修正を GKE クラスタ内のすべてのノードに確実に適用し、かつ、手動でノードを更新するオーバーヘッドを削減するには、組織内のすべてのノードプールにおいて自動アップグレードを必須にします。カスタムの組織ポリシーは、カスタム制約を使用して簡単にセットアップできます。カスタム制約は、特定のパラメータに基づいてリソースを構成することを可能にするものです。

このシナリオでは、管理者は resource.management.autoUpgrade == true のような条件でカスタム制約をセットアップし、必要に応じてリソース階層全体（組織、フォルダ、プロジェクト）に適用できます。自動アップグレードを有効にするオペレーションの作成と更新を行うノードプールのみが許可されるため、確実に条件を満たせます。カスタムの組織ポリシーは遡及的ではないため、既存のリソースには適用されず、新しく作成したために本番環境の既存のワークフローが停止する心配はありません。

ユースケース: 仮想マシンを制限して操作を管理

コストやコンプライアンス上の理由から、プロジェクト全体で特定の仮想マシンの使用を制限するには、カスタムの組織ポリシーをデプロイして、特定の VM タイプの作成のみを許可するように指定します。たとえば、作成されたすべての VM に対し、N2D マシンタイプのみを使用するように制限するには、次のように条件を設定します。resource.machineType.contains('/machineTypes/n2d') このポリシーは一元的に適用でき、承認されたユースケースには例外を認めることもできるため、慎重なコスト管理とクラウド支出の予算配分が可能になります。

ここで取り上げたユースケースの他にも多くのセキュリティ制御を適用できます。たとえば、セキュリティ強化されたイメージのみを VM で使用するよう制限したり、トラフィックで不適切なネットワーク経路をブロックしたり、リソースを作成できるリージョンを制限したりするなどです。

カスタムの組織ポリシーを安全に環境にデプロイする方法

カスタムの組織ポリシーに変更を加える際には、混乱を最小限に抑えることが重要になります。そのため、カスタムの組織ポリシーのドライランも同時に一般提供を開始することとなりました。ドライランを使用すると、監査専用モードでカスタムの組織ポリシーをデプロイし、本番ワークロードをリスクをもたらすことなく、新しいリソース アクションの結果をライブとドライランで比較できます。

ドライラン モードでは、変更を適用する前に、ポリシーの変更がワークロードでどのように動作するかを素早く把握できます。安全なロールアウト戦略のもう一つの要素は、現在はプレビュー版である Policy Simulator です。Policy Simulation を使用すると、新しいカスタムの組織ポリシーを適用する前に、そのポリシーに抵触する可能性がある既存のリソースを確認できます。カスタムの組織ポリシーにリソースが準拠しているかどうかをスナップショットで確認できるようになったということです。

これらのツールを併用することで、新しいカスタムの組織ポリシーのデプロイによる影響をより網羅的に把握するとともに、ポリシーを適用する前に微調整を行うことができるようになります。ポリシーが意図したとおりに動作していることを確認したら、スイッチを入れるのと同じくらい簡単にポリシーを有効化できます。

次のステップ

こちらのスタートガイドを参照して、カスタム ポリシーを定義、デプロイ、管理する方法を確認してください。Google Cloud Next '23 で紹介した、プレビュー版のカスタムの組織ポリシーのデモもご覧いただけます。セキュリティ アーキテクチャであれ、コンプライアンス担当者であれ、デベロッパーであれ、カスタムの組織ポリシーはクラウド リソースを制御し、より安全でコンプライアンスに準拠した環境を構築するのに有用なツールとなります。

-Google Cloud セキュリティ、プロダクト マネージャー、Akshay Datar

-Google Cloud セキュリティ、グループ プロダクト マネージャー、Alok Jain