コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

Google Cloud 環境の評価に役立つ Cloud Asset Inventory の新機能

2021年6月23日
Google Cloud Japan Team

※この投稿は米国時間 2021 年 6 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。

複雑なクラウド環境、大規模なフリート、または高度なセキュリティ運用の中で事業を運営している企業はいずれも、チームの俊敏性とデータのセキュリティを維持するために、クラウド アセットの可視化を必要としています。Cloud Asset Inventory(CAI)は、完全な可視化、リアルタイムのモニタリング、強力なアセット分析の機能を提供することで、このようなチームが Google Cloud 環境や Anthos 環境を把握できるよう支援します。本日、Cloud Asset Inventory に 4 つの新機能が追加されました。これらの新機能により、かつてないほど明確かつ簡単に環境を把握できるようになります。

新しいユーザー インターフェースでアセットや分析情報の検出が簡単に

Cloud Asset Inventory コンソールのプレビュー版が GCP および Anthos のお客様に一般公開されました。このプレビュー版は、クラウド フットプリントや、リソース使用の履歴と詳細に関する分析情報を提供し、強力なフィルタ機能と検索機能を備えています。たとえば、リソースとポリシーのグローバルな分布、GCE VM フットプリントの経時的な変化、すべてのアセットの完全なメタデータと変更履歴などを表示できます。CAI コンソールは、組織レベル、フォルダレベル、またはプロジェクト レベルでフィルタできるため、各ユーザーはプロジェクト レベルまでの粒度で、アクセス権限を持つリソースを表示できます。

https://storage.googleapis.com/gweb-cloudblog-publish/images/Cloud_Asset_Inventory.max-1700x1700.jpg

アセットの検出と Datadog の統合

CAI の新しいアセットリスト サービスでは、データを保存先にエクスポートしなくても、アセット履歴を含むアセットを迅速かつ包括的に検出できます。マルチクラウド モニタリングおよびセキュリティ サービスの大手プロバイダである Datadog は、CAI との緊密な統合により、サービスとアセットを検出しています。Datadog は、新たにリリースされたアセットリスト サービスを試験運用し、最大限に活用しています。Datadog のプロダクト マネージャーである Steve Harrington 氏は、次のようにコメントしています。

「Google の新しい Cloud Asset Inventory API は、特定の GCP 環境内に存在するリソースを特定するための、非常に価値の高い単一の情報源を当社にもたらしています。その情報源と豊富なメタデータにより、指標収集の合理化や、カスタムラベルの取り込みなど、GCP との統合をさまざまな面で強化できます。今後は既存の機能を改善するために Cloud Asset Inventory を中心とした構築を継続する予定で、それにより当社のお客様に関するまったく新しい分析情報を取得する方法を構想しています。」

「誰がどのリソースにアクセスできるか?」に対する答え

「個人情報を含むストレージ バケットからデータを読み取れるのは誰か?」や「退職した従業員は今も会社のシステムにアクセスできる状態なのか?」といったセキュリティ関連の疑問点に対して信頼できる答えを見つけることは難しく、時間がかかる場合があります。そのため、アクセス管理と ID 認証は、クラウドでワークロードを実行している企業にとって、セキュリティ上の最優先事項の一つとなっています。この課題の解決を支援するために、CAI の新しい Policy Analyzer 機能では、IAM のポリシーとリソースの間の関係が徹底的に分析されます。この分析には、強力で効率的なグループ拡張、サービス アカウントのなりすまし、条件付きアクセス分析、リソース拡張などが含まれます。さらに、より詳しい分析や記録のために、結果を BigQuery テーブルまたは Cloud Storage バケットにエクスポートすることもできます。強化された CAI の UI では、独自の柔軟なクエリの作成や、包括的な答えの迅速な取得がより簡単になっています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/policy_analyzer.max-1200x1200.jpg

現状のアセットの可視化

Cloud Asset Inventory は、Active Assist プラットフォームを通じて 7 種類のアセット分析情報を提供するようになりました。この新しいアセット分析情報は、組織の IAM ポリシー内で異常を事前に検出するのに役立ちます。これにより、セキュリティ体制を改善できる可能性があります。分析情報は、組織レベル、フォルダレベル、またはプロジェクト レベルで集約できます。

7 種類のアセット分析情報は以下のとおりです。

  • IAM ポリシーの外部メンバー

  • サービス アカウントのなりすましを行っている外部ユーザー

  • ポリシー編集者のロールを持つ外部メンバー

  • クラウド ストレージ バケットを表示できる外部ユーザー

  • 現在も IAM ポリシー内に存在する、退職したユーザーまたはグループ

  • すべてのユーザーまたはすべての認証済みユーザーを含む IAM ポリシー

  • オーナーのロールを持つ退職したユーザーのみが含まれるプロジェクト

Google Cloud のお客様は、最近リリースされたすべての機能をすぐにご利用いただけます。方法については、こちらのドキュメントをご覧ください。皆様からのフィードバックをお待ちしております。ご不明な点がございましたら、メールをお寄せください。


-Cloud Asset Inventory プロダクト マネージャー Sophia Yang
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud と Swift、支払いに関する不正行為に対する対策として高度 AI / フェデレーション ラーニング技術を先駆けて開発

執筆者: Vineet Dave • 所要時間: 9 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_melcari_horizontal.max-700x700.jpg
Customers

メルカリ: Mandiant のサイバー防御ソリューションを活用し、安心・安全なサービス基盤をさらに強化

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Defender’s Advantage - 防御側の優位性 :効果的なサイバー防御のためのアプローチと考え方

執筆者: Mandiant • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_AkwXJZn.max-700x700.png
Public Sector

AI のセキュリティを確保: 国家安全保障のミッションを推進

執筆者: Ron Bushar • 所要時間: 2 分