セキュリティ総まとめ - 2022 年第 1 四半期のニュースやリリースから
Google Cloud Japan Team
※この投稿は米国時間 2022 年 5 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。
セキュリティの世界は絶えず変化しています。サイバーセキュリティという進化し続ける開発競争では、新しいツールとともに新しい脅威が生まれています。今回お届けするセキュリティ総まとめの第 1 回では、Google Cloud が取り組んでいるデータとアプリケーションの安全保護対策をすべて取り上げます。この定期発行シリーズでは、変化が激しくリスクの高い、被害防止対策に必要なリソースを確保するのに役立つニュースやガイダンスをご紹介していきます。
GKE クラスタへの最小権限の原則の適用
GKE クラスタへのアクセスは、他のリソースと同じように、最小権限の原則に基づいたものである必要があります。グループや個別のロール、Identity and Access Management ツールを使用して、Google Cloud の Kubernetes クラスタへのアクセスの主体とアクションを制限します。これらの原則に基づいて、Kubernetes API のどの要素を誰が使用するかということだけでなく、クラスタへのアクセス方法も制御できます。詳しくは、Anthony Bushong の動画をご覧ください。
CI / CD パイプラインのセキュリティ確保
継続的インテグレーションとデプロイ(CI / CD)のパイプラインに信頼できるコードのアーティファクトのみが入ってくるようにするには、Google Cloud で Binary Authorization を活用して、署名付きビルドのみが通過できるようにします。詳しくは Martin Omander と XIaowen Lin による動画インタビューとチュートリアルをご覧ください。
サービス拒否攻撃やフラッド攻撃からの保護
アプリケーションはウェブ上に公開されると、たちまち攻撃の潜在的なターゲットとなります。Cloud Armor を使用することで、分散型サービス拒否攻撃(DDoS)や HTTP POST フラッド攻撃など、さまざまなトラフィック攻撃から保護できるようになります。Cloud Armor では、アプリケーションの通常のトラフィック パターンの状態を学習したあと、異常をモニタリングし、アラートを生成するか、お客様に代わって介入し不正なトラフィックをブロックします。この動画では、Arman Rye が詳細を説明しています。
Palo Alto Networks と連携してサイバー攻撃の脅威から防御
エンドポイント保護やネットワーク モニタリングに Palo Alto Networks 製品を使用している場合、これらのシステムからの信号を Google Cloud のセキュリティ ツールに統合できるようになりました。Palo Alto Networks Cortex XDR からデバイスのヘルス情報を取り込むことで、エンドポイントの状態に対する可視性を高め、信頼性の高い決定を行えるようになります。BeyondCorp Enterprise のユーザーであれば、アクセス ポリシーに Cortex XDR のメタデータを組み込んで、ポリシー体制に関する追加情報を活用し、信頼できるデバイス情報をもう一段階追加することで、さらに自信を持って運用できるようになります。詳しくは、Palo Alto Networks の Mason Yan 氏へのインタビューをご覧ください。
Apache Log4j 2 の脆弱性への対応
Apache Log4j 2 の脆弱性が攻撃者に利用された場合、脆弱なサーバー上で任意のコードが実行可能になってしまいます。詳しくは、Google サイバーセキュリティ対応チームが発信した log4j の脆弱性情報(CVE-2021-44228 と CVE-2021-45046)とお客様が影響を受けているかどうかの確認方法に関する投稿をお読みください。こちらの投稿には、Binary Authorization のルールや Security Command Center などの Google Cloud プロダクトを使用して、クラウド デプロイを安全に保つ方法に関するアドバイスも記載されています。
ご健闘をお祈りいたします。データ保護をお忘れなく。
- Google Cloud シニア デベロッパー リレーション エンジニア Max Saltonstall
