コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
セキュリティ & アイデンティティ

ゼロトラストが必須: 新たな BeyondCorp Enterprise 機能でお客様をサポート

2021年8月27日
https://storage.googleapis.com/gweb-cloudblog-publish/images/beyond_corp_ent.max-2600x2600.jpg
Google Cloud Japan Team

※この投稿は米国時間 2021 年 8 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

BeyondCorp Enterprise が 1 月にリリースされてから、Google のチームは、お客様による利用方法を理解し、お客様がゼロトラストの導入を継続する際に役立つサポートを提供できるよう、お客様と連携してきました。ゼロトラストは、セキュリティ全体を強化し、ユーザー エクスペリエンスを改善するうえで効果的な手段です。ゼロトラスト導入に BeyondCorp Enterprise をぜひお役立てください。本日は BeyondCorp Enterprise の新機能を 3 つご案内します。この機能は、お客様のユーザーが簡単かつ安全に主要なアプリケーションにアクセスできるように設計されています。

VPC-SC を経由した証明書ベースのアクセス

最初にご紹介するのは、GCP API 向け証明書ベースのアクセスです。これは VPC Service Controls(VPC-SC)を経由して行われるもので、このたび一般公開されました。署名なし認証情報を使用して Cloud Console と Google Cloud API へのアクセスを認証する方法は従来と変わりありませんが、この認証情報が誤って公開されると、不正なアクセスを目論む攻撃者に見つかり、利用される可能性が非常に高くなります。証明書ベースのアクセスを使用すると、認証情報に加え確認済みデバイスの証明書が提供された場合のみアクセスを認可することで、認証情報が盗難に遭うことや、誤って公開されることを防げます。現在、8 種類の VPC-SC リソース(GCE、GKE、Pub/Sub、Spanner、Cloud KMS、GCS、BigQuery、Logging)のクライアント証明書に対するネイティブ サポートを提供しています。今後さらにサポート対象を増やす予定です。こうした API に対する証明書ベースのアクセスを利用される場合は、Google のドキュメントのページをぜひご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/VPC-SC.max-1900x1900.jpg

オンプレミス コネクタ

次にご紹介するのは、オンプレミス リソースに接続する方法をお客様が選べる Google のオンプレミス コネクタです。こちらもこのたび一般公開されました。お客様はコネクタをデプロイすることで、(Google Cloud の外部にある)HTTP または HTTPS ベースのオンプレミス アプリケーションを、Identity-Aware Proxy(IAP)で保護できます。オンプレミス アプリに対しリクエストが行われると、IAP はこのリクエストを認証して承認し、続いてリクエストをコネクタにルーティングします。オンプレミス アプリケーションにコネクタをデプロイする方法については、Identity-Aware Proxy のドキュメントのページに記載されている詳細なガイダンスをご覧ください。

構成が容易なカスタム アクセス ポリシー

最後にご紹介するのは、BeyondCorp Enterprise の背後にあるゼロトラスト ポリシー エンジンである Access Context Manager でさらに多くのゼロトラスト アクセス条件が利用できるようになったことです。新たな属性を活用できることで、管理者は、アプリケーションと Google Cloud リソースを保護する詳細なアクセス制御ポリシーを、多様な方法で構築できるようになりました。次の 3 つの新たな属性のセットは公開プレビュー中です。お客様は本日から利用できます。

  • 日時
    ゼロトラスト アクセスを評価する際は、多くの場合、リソースへのユーザーのアクセスを特定の日時(シフト勤務者または臨時従業員に対してなど)に制限する必要があります。日時の制限は、企業のお客様による特定の時間、日付、範囲に基づいたアクセス制御を有効にする機能です。

  • 認証情報の安全度
    セキュリティ侵害を防ぐためには、2 段階認証プロセスの構成が欠かせません。アクセス制御ポリシーのもう 1 つの条件として認証情報の安全度を利用することで、企業はハードウェア セキュリティ キーやその他の形式の多要素認証に基づいてアクセス制御を実施できます。BeyondCorp Enterprise は現在、プッシュ通知、SMS コード、2SV ソフトウェア キーとハードウェア キー、ワンタイム パスワード、任意の MFA 形式の一般的な使用をサポートしています。

  • Chrome ブラウザ
    ユーザーが安全な環境からリソースにアクセスしていることを確実にするため、管理者は、ユーザーのブラウザ環境でこれらの脅威とデータ保護機能がオンになっていることを確かめるゼロトラスト ポリシーを設定できます。ACM のカスタム アクセスレベルで使用できる新しいアクセス条件には、管理状態、最小バージョンに加え、リアルタイムの URL チェック、ファイルのアップロードまたはダウンロード分析、一括テキスト(貼り付け)分析、セキュリティ イベント レポートが有効であることがあります。

Google はこれからも発展を続けます

Google は今後もお客様に充実したサポートをご提供してまいります。BeyondCorp Enterprise の詳しい情報については、Enterprise Strategy Group から最近リリースされた BeyondCorp Enterprise Technical Validation レポートをぜひご覧ください。このレポートには、このソリューションの評価として、「ESG は、オンプレミス、SaaS、クラウド アプリケーションへの安全なアクセスを提供するための BeyondCorp Enterprise の構成が迅速かつ容易であることを検証しました」と書かれています。

ここでご紹介した新機能や、ゼロトラスト分野で Google が行っている興味深いタスクについて詳しくは、こちらから登録して Google Cloud Next ‘21 をご覧ください。さまざまなセキュリティ セッションをご用意しています。

-Google Cloud セキュリティ担当プロダクト マネージャー Jian Zhen

イベント
Google Cloud Next の登録受付を開始(開催日: 10 月 12~14 日)

2021 年 10 月 12~14 日に開催される Google Cloud Next に今すぐご登録ください。

執筆者: Google Cloud Japan Team • 所要時間: 1 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/CloudNext21.max-900x900.jpg
投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/state_of_dora_2024.max-700x700.jpg
DevOps & SRE

DORA レポート第 10 版のハイライト

執筆者: Nathen Harvey • 所要時間: 8 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/17_-_Security__Identity_NrORvDT.max-700x700.jpg
Security & Identity

Google Cloud での MFA の必須化について知っておくべきこと

執筆者: Mayank Upadhyay • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Cloud_CISO_Perspectives_header_4_Blue.max-700x700.png
Security & Identity

Cloud CISO の視点: サイバー フィジカル システムのレジリエンスを高める 10 の方法

執筆者: Phil Venables • 所要時間: 5 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/gcp_security.max-700x700.jpg
Public Sector

ガバメントクラウドのセキュリティと効率性を向上させる IaC 利用

執筆者: Google Cloud Japan パブリックセクター本部 • 所要時間: 5 分