拡張されたカスタム組織ポリシーでセキュリティ ポスチャーを改善

※この投稿は米国時間 2024 年 12 月 11 日に、Google Cloud blog に投稿されたものの抄訳です。

クラウド リソースを保護するうえで管理者が必要とする最も重要なツールの一つは、環境全体に一貫して適用でき、一元管理が可能で、安全にロールアウトできる、リソース構成にガードレールを設定する機能です。

Google Cloud のカスタム組織ポリシーは、組織がクラウド リソースを安全に保護するのに役立つ優れたツールです。管理者は、カスタム組織ポリシーを使用してきめ細かいリソース構成を設定することで、開発速度に影響を及ぼすことなくセキュリティ ポスチャーを強化し、規制要件に対応して、運用効率を高めることができます。

このたび、カスタム組織ポリシーで30 を超える Google Cloud サービスが追加でサポートされるようになりました。

この拡張により、多様なユースケースが新たに実現可能となり、クラウド ガバナンスの範囲が拡大します。

カスタム組織ポリシーでアクセス制御管理を安全に拡張する

クラウドのデプロイが進むにつれて、組織全体から舞い込む新しいアクセス権リクエストをセキュリティ チームがすべて管理するのが困難になる場合があります。アクセス制御管理を効果的に拡張するには、組織はデベロッパーへの権限付与と、セキュリティおよびコンプライアンスのバランスを考慮したアクセス制御運用モデルを確立する必要があります。

カスタム組織ポリシーを IAM ポリシーと統合すると、任意のレベルの Google Cloud リソース階層（組織、フォルダ、プロジェクト）で IAM ポリシーに制限をかけることができます。このような環境で行われるすべてのポリシー変更は、設定されている制限に違反しないことがわかっているため、以降の IAM ポリシー管理を開発者に委任できます。

この機能を使用して、管理者は「このプロジェクト内のリソースに対して特定のロールのみを付与できるようにする」、「このフォルダに対して特定のメンバーのみにポリシーによってアクセス権を付与できるようにする、「この組織内のリソースに対して “allUsers” の付与を拒否する」」などの条件付き制限を強制適用できます。

このような大まかな制限ポリシーを使用することで、既存の許可ルールに関係なく、特定のリソースに対するアクセスを明示的に禁止できます。以下に、IAM ポリシーを制御するカスタム組織ポリシーの例をいくつかご紹介します。

このプロジェクト内のリソースに対する特定のロールの付与を制限する

この組織内のすべてのリソースに対して “allUsers” の付与を制限する

さらに、カスタム組織ポリシーでは、ポリシー構成をプリンシパル レベルの粒度で設定できるため、ドメインで制限された共有が拡張されます。たとえば、組織のすべてのユーザーに加えて、特定のパートナー ID、サービス アカウント、サービス エージェントを許可するポリシーを設定できます。この柔軟性の向上により、管理者は ID を追加せずにより効率的にポリシーを管理できるようになります。

特定の組織のメンバーまたは特定のメンバーのみ許可する

Cloud SQL に対して厳格なデータ ガバナンスを確立する

多くのデータ プラットフォーム チームは、各アプリケーション チームがさまざまな SQL プロダクトを使用する際にセキュリティのベスト プラクティスに従っていることを確認したいと思っています。カスタム組織ポリシーは Cloud SQL をサポートしているため、SQL リソースに強力なガードレールを確立して、データ ガバナンスの要件に対応することができます。以下に、カスタム組織ポリシーを Cloud SQL と組み合わせて活用する一般的なユースケースをご紹介します。

各アプリケーション チームが SQL インスタンスに最新のデータベース バージョンを使用していることを確認する

すべてのデータベース インスタンスが複雑なパスワード要件を要求していることを確認する

Yahoo がカスタム組織ポリシーを使用してセキュリティ ポスチャーを強化

Yahoo は世界中で何億人もの人々にサービスを提供しており、Yahoo のクラウド セキュリティ チームは、セキュリティとコンプライアンスの要件を満たすために、事前定義の組織ポリシー制御を積極的に使用しています。しかし、Yahoo プロパティごとにそれぞれ異なるニーズとインフラストラクチャがあるため、Yahoo のセキュリティ チームはカスタム ガードレールを構築できる柔軟なサービスを必要としていました。

2023 年 3 月以降、Yahoo のプラットフォーム エンジニアと同社の情報セキュリティ チームである The Paranoids は、Google Cloud と連携して Kubernetes などのクラウド インフラストラクチャにカスタム組織ポリシーを導入してきました。  

「当社は、GKE ノードに必須のセキュアブートなど、業界標準のベースラインを超える 24 のカスタム組織ポリシーを実装しました。カスタム組織ポリシーは、その利点である柔軟性の活用もさることながら、セキュリティ制御を安全に拡張するためにも役立っています。構築したカスタム ガードレールによって、数多くの Yahoo の情報セキュリティ ポリシーを遵守するよう自動的に処理されるため、社内のエンジニアはセキュリティ要件について積極的に心配する必要がなくなりました。当社のチームはこれらのポリシーをさらに強化して、Cloud SQL、CloudRun、IAM も対象に含めることを計画しています。新しいプロダクトやユースケースが展開される中で、Yahoo のプラットフォーム チームはカスタム組織ポリシーの導入をさらに進めていく予定です。簡単に言えば、当社はカスタム組織ポリシーによってセキュリティ ポスチャーを大幅に強化できました」と、Yahoo のシニア ソフトウェア開発エンジニアである Alex Verkhovtsev 氏は語ります。

カスタム組織ポリシーを使ってみる

Google Cloud はカスタム組織ポリシーをサポートするサービスを継続的に拡張しており、クラウド リソースの管理の制御性、柔軟性、効率性はさらに向上することが見込まれます。

カスタム組織ポリシーの使用を開始するには、ユーザーガイドおよび概要の動画をご覧ください。サポート対象のサービスについて詳しくは、こちらのリンクをご覧ください。また、すぐに使用できるサンプルのリポジトリがこちらにあります。このリポジトリは継続的に追加されています。

-Google Cloud、プロダクト マネージャー Akshay Datar