このページでは、Secured Landing Zone サービスの概要について説明します。
概要
Google では、セキュリティ ブループリントを通じてベスト プラクティスを提供し、Google Cloud にワークロードをデプロイする際にセキュリティとコンプライアンスの目標を達成できるようにしています。ブループリントをデプロイして、Google Cloud リソースをプロビジョニングできます。リアルタイムでのリソースの操作を始めると、これらのリソースを安全に使用できます。
用語
Secured Landing Zone サービスの使用を開始する前に、このトピックの後半でのコンテキスト設定に役立つ用語を紹介します。
セキュリティ ブループリント
セキュリティ ブループリントは、デプロイ可能で再利用可能なベスト プラクティスの構成やポリシー アーティファクトのパッケージです。このブループリントには、特定の独自のランディング ゾーンやワークロード ソリューションを実装するための推奨アーキテクチャと、それに関連するドキュメントや証明書が含まれています。開発者は、ブループリントを組み合わせて、より複雑なインフラストラクチャ、プラットフォーム、アプリケーション サービスを組み立てることができます。セキュリティ ブループリントの詳細については、デプロイ可能なランディング ゾーンのブループリントをご覧ください。
デプロイ
デプロイとは、実際のリソースにブループリントを流し込む作業をいいます。
ランディング ゾーン
ランディング ゾーンはデプロイ済みのクラウド環境で、必要な事前構成済みのリソースと接続済みのリソースで構成されています。ここで特定のワークロードを構築できます。
セキュリティ体制のコンポーネント
デプロイメントのセキュリティ体制は、次の 3 つのコンポーネントで構成されています。
- デプロイされた各リソースのステートフル構成(デプロイの VPC サービス境界アーキテクチャ、個々のリソースの IAM 設定、定義されたラベル、データタグ、ポリシータグなど)。
- リソースによって実行されるアクションに関連する動作の制約(データアクセス パターン、管理者アクセス パターン、許可および制限される作成、読み取り、更新、削除(CRUD)のリソースなど)。
- リソース周辺およびリソース間の環境の制約と構成(組織レベルとフォルダレベルのポリシー、管理グループのロールと権限からのアクセスパス、デプロイメントやデータとやり取りするサービスのソフトウェア サプライ チェーンのセキュリティなど)。
Secure Landing Zone サービス
Secured Landing Zone サービスは、Security Command Center のプレミアム機能です。セキュリティ ブループリントから作成されたランディング ゾーンとワークロードのデプロイメントのセキュリティを次の方法で保護します。
- ブループリントに指定された構成と比較して、ステートフル管理、動作管理、環境管理のポリシー違反を検出する。
- ポリシー違反に関する Secure Landing Zone サービスの検出結果を生成する。
- 元のブループリントで指定された構成にデプロイメントを復元して、ポリシー違反のサブセットを自動的に修正する。
Secured Landing Zone
Secured Landing Zone とは、Secured Landing Zone サービスによって保護されているデプロイメントをいいます。
Terraform
Terraform は、本番環境インフラストラクチャを安全かつ予測可能な方法で作成、変更、改善できる Infrastructure as Code ツールです。Terraform は、API を宣言的な構成ファイルにコード化するオープンソースのツールです。ファイルはチームメンバー間で共有することも、コードとして扱うこともできます。また、編集、レビュー、バージョン管理を行うこともできます。インフラストラクチャをコードとして管理する方法の詳細については、Terraform を使用してインフラストラクチャをコードとして管理するをご覧ください。
Terraform 計画ファイル
Terraform を使用して実行計画を作成します。この計画では、Terraform でインフラストラクチャに加えられた変更をプレビューできます。Terraform 計画ファイルを使用すると、宣言したすべてのリソースの望ましい状態を決定し、その状態を、現在の作業ディレクトリとワークスペースで管理されている実際のインフラストラクチャ オブジェクトと比較できます。
Secured Landing Zone サービスの使用方法
セキュリティ ブループリントをデプロイすると、そのデプロイメントで Secured Landing Zone サービスのインスタンスを有効にして、元のブループリントで定義されているセキュリティ体制を保護し、適用できます。
次の図は、Secured Landing Zone サービスを使用するためのワークフローを示しています。
ワークフローには次のフェーズがあります。
ビルド: ポリシーを構成する
セキュリティ ブループリントを使用して、ランディング ゾーンにワークロード ソリューションを実装するためのセキュリティ ポリシーを構成します。これには、アーキテクチャ、ネットワーク セキュリティ、許可されるデータフロー、ロギングなど、基盤となるリソースに関するセキュリティのベスト プラクティスが含まれます。Terraform では、宣言型構成ファイルを使用して、リソースの表現、初期化、プロビジョニングを行うことができます。
デプロイ: リソースを構成する
Terraform ツールと Terraform 計画ファイルを使用して構成を適用し、リソースをデプロイします。
実行: 検出と修正
特定のデプロイメントについて Secured Landing Zone サービスのインスタンスを有効にします。Secured Landing Zone サービスは、デプロイメントで最初に定義されたポリシーからのポリシー違反をリアルタイムで検出、警告、修正するのに役立ちます。Secured Landing Zone サービスは、デプロイされたリソース(デプロイ ステージを参照)を追跡し、インフラストラクチャのセキュリティ体制の変更を追跡します。これにより、ポリシー違反を識別し、適切な修復アクションを呼び出します。これらのポリシー違反が識別され、関連する検出結果として表示されます。
セキュリティ違反が発生すると、検出結果が生成されます。利用可能な検出カテゴリと修復の詳細については、Security Landing Zone サービスの検出結果の修正をご覧ください。