クラウドへのデプロイの迅速化とセキュリティ向上
Google Cloud Japan Team
※この投稿は米国時間 2021 年 12 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
クラウドでサービスを構築する多くの場合において、デプロイの速度とセキュリティは最優先事項です。特に、セキュリティに関するガイダンスが分散している、見解というより参考情報として書かれている、実際に環境に実装するためのツールが不足している場合、デプロイの速度とセキュリティの両立が互いに矛盾しているように見えることがあります。しかし、必ずしも矛盾するわけではありません。実際、このような問題に対処するために、セキュリティ基盤ブループリントが作成されました。Google は最近、このブログでブループリントについて解説し始めました。ブループリントとは何か、誰のためのものかを紹介して、セキュリティ中心のインフラストラクチャを構築、維持するためにブループリントが推奨するいくつかのベスト プラクティスの概要を示し、これらのベスト プラクティスをデプロイ可能な Terraform モジュールに変える自動化リポジトリから始める方法を紹介しています。
本日の投稿では、Google Cloud ユーザーがセキュリティ基盤ブループリントを調整、採用し、クラウド環境にデプロイした際の実際の体験談に焦点を当てています。規模も業種もさまざまなお客様より、その開発チームとビジネスに貴重な影響がもたらされたと報告をいただいています。ユーザーと協力して意見に耳を傾けたところ、セキュリティ基盤ブループリントがどのように価値をもたらすかについて、全体的に以下のようなテーマが上位に浮かび上がってきました。
Google Cloud のセキュリティ機能とベスト プラクティスについて、新規ユーザーの教育に役立つ。
セキュリティに関する基本的な判断を 1 つのリソースに集約し、Google の意見を反映した基準テンプレートを提供する。
セキュアなデプロイとセキュアな運用を加速する自動デプロイ可能な例を提示する。
パートナーは、セキュアな基盤上に、主題に特化したソリューションを構築できるようになる。
これらの各特性をより詳しく見ていきましょう。
Google Cloud のセキュリティに関するお客様への説明
Google Cloud にワークロードを移行することで、モダナイゼーションと改善を行う多くの機会が生まれますが、その中にはインフラストラクチャのセキュリティ対策の強化も含まれます。ただし、オンプレミス環境でのセキュリティ管理に慣れている場合、Google Cloud に移行すると、新しいインフラストラクチャ プリミティブ(利用可能なビルディング ブロック)、制御の抽象化(セキュリティ ポリシーの管理方法)、ユーザーと Google Cloud 間の運命共有モデルについての知識も必要になります。
セキュリティ基盤ブループリント ガイドは、これらのトピックを、Google Cloud のセキュリティ機能について新規ユーザーを教育するための包括的なリソースにまとめています。同ガイドでは、ネットワーク、リソース階層、アクセスの提供方法など、さまざまな内容を扱っています(最近のブログ投稿で紹介しています)。同ガイドは、お客様がアーキテクチャを設計し、より安全な環境作りを支援するためのポリシーとガイドを策定する際の参考文書となります。すでにセキュリティ戦略を確立しているお客様は、このブループリントを使用して既存のアーキテクチャを検証し、Google Cloud のセキュリティ向けに確立されたベスト プラクティスに沿うよう調整することが可能です。
クリックすると、詳細なセキュリティ基盤ガイドにアクセスできます
セキュリティ専門家による明確なガイド
デプロイのセキュリティを確保するために利用可能なプロダクトやオプションについて理解したら、次はその知識をセキュリティ戦略に反映させる番です。ただし、この作業は、相互に依存し合う大規模で複雑な意思決定の網を解きほぐそうとすることとなるため、困難なプロセスになる可能性があります。
でもご安心ください。セキュリティ基盤ブループリントがこのような大変な作業を代行してくれます。セキュリティ基盤ブループリントは、強固なセキュリティ対策を確立する、検証された意思決定を提供するよう設計されています。言い換えれば、Google Cloud にワークロードを安全にデプロイするための、独自のベスト プラクティスとして記述されています。また、現在だけでなく今後のプロダクト構成を深く理解したプラットフォーム メーカー自身によって書かれたものです。
このブループリントが提示するベスト プラクティスに沿うことで、強固なセキュリティ対策を支える土台を築くことができます。このブループリントには、各意思決定に対し、決定に伴うトレードオフや決定に至った動機など、背景と論点が合わせて提示されるため、リスクを評価し、お客様のニーズに合わせてブループリントをカスタマイズできます。実際、このブループリントは、全体をそのまま使用することも、アーキテクチャやセキュリティ ポリシーを設計する際の出発点として使用することもできるよう、柔軟性を持たせて設計されています。また、このブループリントは、実務者からのフィードバック、プロダクトの更新情報、追加の脅威モデルを反映するよう定期的に更新されます。そのため、お客様のセキュリティ戦略も常に最新の状態に保つことができます。
デプロイの迅速化
クラウドへのデプロイを含め、あらゆるプロジェクトの実施において、製品化までの時間を短くすることは、普遍的な目標の一つです。デプロイの IAM、ファイアウォール、ロギング、バックアップの構成やポリシー設定を手動およびスクリプト記述で行うと、複雑さが増し、再現性が低下して、開発速度が遅くなる可能性があります。
セキュリティ基盤ブループリントを採用すると、コードは記述済みでお客様向けにテストを完了しており、ベスト プラクティスから Terraform のモジュールに変換されています。また、運用タスクは、デプロイ プロセス自体に自動化されており、デプロイの速度を上げることができます。変更点を管理、追跡することで、インフラストラクチャの状態を管理しやすくもなります。このブループリントとその基礎となる Terraform モジュールを採用することで、セキュリティ面で妥協することなくデプロイを高速化できることが一番の利点であるというお客様からのご意見をいつもいただいています。
Deloitte では、セキュリティ基盤ブループリントをお客様とともにうまく活用し、Google Cloud の安全な導入を早期に進めることができました。これは、当社独自のサービス提供手法とソリューションの開発にも役立つものです。
Arun Perinkolam 氏, Deloitte & Touche LLP プリンシパル兼米国 Google Cloud セキュリティ プラクティスおよびアライアンス リーダー
コンテキスト固有の、カスタマイズされたクラウド ガイダンスのための基盤
基本的なセキュリティのほか、お客様とパートナーには、より具体的なユースケースと、業界、地域、またはビジネスに特有の規制上の制約に基づいて満たすべき要件があることもあります。各ケースをまったく新しいものとして取り組むことは、スケールするうえで困難とも考えられます。さらに、お客様とパートナーは、それぞれの経験や専門知識から貴重な知識を得て、ソリューションの構築に活かしています。
Google Cloud が取りまとめた基礎的なセキュリティの出発点があることで、お客様とパートナーは、特定のユースケースごとに必要とされる重要な差異や強化に集中し、この基礎の上に構築を進めることができます。これにより、基本的な管理策とポリシーを再実装する必要がなくなるため、プロセスが迅速化されます。また、Google Cloud が取りまとめたリファレンスにより、お客様とパートナーの両方がセキュリティに関する取り組みをより簡単に理解し、これを Google Cloud のベスト プラクティスに合わせることができるようになります。セキュリティ基盤ブループリントにより、すべてのユーザーと消費者が同じ視点から取り組みを開始できるよう、この一貫した、基礎となる出発点が提示されます。
次のステップ
Google Cloud を初めて使用する場合、アーキテクチャとセキュリティ ポリシーを設計する場合、既存のアーキテクチャに関する意思決定とポリシーを検証し発展させる場合のいずれにおいても、セキュリティ基盤ブループリントは、デプロイをより安全に(かつ迅速に)進めるための有用なツールです。
まだお読みでなければ、このシリーズの最初の 3 つの投稿をお読みください。セキュリティ基盤ブループリントの紹介、セキュリティ基盤ブループリントが役立つトピックの概要、Terraform モジュールを使い始めるためのヒントが書かれています。ブループリント自体を直接確認される場合は、手順ガイドと Terraform の自動化リポジトリの両方で構成されていることにご注意ください。
セキュリティ基盤ブループリントに関する詳細をお読みいただき、ありがとうございます。一歩前に進んでデプロイし、セキュリティを維持しましょう。
- デベロッパー アドボケイト Alicia Williams