このトピックでは、Secured Landing Zone サービスを使用してセキュリティ ポリシーを適用する方法について説明します。Secured Landing Zone サービスを使用すると、セキュリティ保護されたランディング ゾーン内のリソースを追跡して、これらのリソースに対するポリシー違反を特定し、適切な修復アクションを実行できます。
Secured Landing Zone サービスは、Cloud Asset Inventory、Security Command Center の検出結果、VPC サービス境界、監査ログなどのさまざまなネイティブ Google Cloud サービスからの入力シグナルを使用します。これらのシグナルが、ブループリント用に構成されたセキュリティ ポリシーと比較して検証されます。
イベントまたはイベントのグループがポリシー違反を検出した場合、Secured Landing Zone サービスがこれをポリシー違反と見なします。ポリシー違反が検出されると、そのたびに Security Command Center に検出結果として通知されます。Secured Landing Zone サービスは、実際のユースケースとコンテキストに基づいて、これらのポリシー違反のサブセットに対する是正措置と対応を決定します。
プレミアム ティアの要件
Secure Landing Zone のサービスは、Security Command Center のプレミアム ティアでのみ有効にできます。このサービスを有効にすると、デプロイされているブループリントのリソースにポリシー違反がある場合に検出結果が表示され、対応するアラートが生成されて、自動修復アクションが選択的に実行されます。監査ログエントリを使用すると、ポリシー違反の原因と発生日時に関する情報を確認できます。検出結果と修復結果のリストの詳細については、Secured Landing Zone の検出結果の修正方法をご覧ください。
始める前に
Secured Landing Zone サービスが、モニタリングする必要があるリソースのセットを識別できるようにするには、Terraform 計画ファイルを生成して構成する必要があります。Secured Landing Zone サービスでは、計画ファイルを JSON 形式で生成する必要があります。Terraform 計画ファイルを生成する方法については、Terraform 計画をご覧ください。
必要な IAM 権限
Secured Landing Zone サービスを使用するには、組織レベルで次のロールと権限が必要です。
説明 | ロール | 権限 |
---|---|---|
Secured Landing Zone のサービス インスタンスのすべてのプロパティを表示できます | securedlandingzone.googleapis.com/overwatchViewer |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.get
securedlandingzone.googleapis.com/overwatches.list
securedlandingzone.googleapis.com/operations.get
securedlandingzone.googleapis.com/operations.list
|
Secured Landing Zone のサービス インスタンスを有効化または一時停止できます | securedlandingzone.googleapis.com/overwatchActivator |
cloudresourcemanager.googleapis.com/projects.get
cloudresourcemanager.googleapis.com/projects.list
securedlandingzone.googleapis.com/overwatches.activate
securedlandingzone.googleapis.com/overwatches.suspend
|
Secured Landing Zone サービス インスタンスへの完全アクセス権を付与します | securedlandingzone.googleapis.com/overwatchAdmin |
securedlandingzone.googleapis.com/overwatches.create
securedlandingzone.googleapis.com/overwatches.update
securedlandingzone.googleapis.com/overwatches.delete
|
Secured Landing Zone サービスによってモニタリングされているリソースを表示する
Secured Landing Zone サービス インスタンスを作成すると、モニタリング対象リソースにセキュリティ マークが追加されます。Security Command Center でリソースを表示するには、このセキュリティ マークを使用します。
リソースのリストを表示する方法は次のとおりです。
Google Cloud コンソールで Security Command Center の [アセット] ページに移動します。
アセットのリストの上部にある [フィルタ] フィールドにカーソルを置きます。メニューが開きます。
メニューの一番下までスクロールし、[セキュリティ マーク] を選択します。
Security marks:
が [フィルタ] フィールドに追加され、既存のセキュリティ マークのリストが表示されます。表示されたセキュリティ マークのリストで、Secured Landing Zone サービスのインスタンス用に作成されたセキュリティ マークを見つけて選択します。セキュリティ マークは、
securitymarks.marks.SLZ_SERVICE_INSTANCE_NAME
形式で表示されます。ここで、SLZ_SERVICE_INSTANCE_NAME
は Secured Landing Zone サービス インスタンスの名前に対応します。必要なセキュリティ マークが表示されない場合は、
Security marks:
の直後にある [フィルタ] フィールドに Secured Landing Zone インスタンスの名前を入力します。
このリストには、Secured Landing Zone サービス インスタンスに関連付けられているすべてのリソースが表示されます。
Secured Landing Zone サービス インスタンスをテストする
Secured Landing Zone のサービス インスタンスを作成したら、サンプルテストを実施して、想定どおりに動作するかを確認できます。このために、ポリシー違反を手動で作成することもできます。
以下に、ポリシー違反を作成して Secured Landing Zone サービス インスタンスをテストする方法の例を示します。
Cloud Storage バケットのアクセス制御を変更する
以下に、アクセス制御違反を作成する例を示します。デプロイされたブループリントのセキュリティ ポリシーでは、バケットレベルでの IAM 権限によるアクセス制御が可能です。これを粒度の高いアクセス制御に変更すると、Cloud Storage バケットに対するデータ漏洩のリスクが高くなります。個々のオブジェクト レベルでオブジェクトへのアクセス権を付与できるため、デプロイ済みのポリシー違反になります。アクセス制御違反を作成する方法は次のとおりです。
- Google Cloud コンソールで、Cloud Storage ブラウザページに移動します。
現在選択されているプロジェクトの一部であるバケットがブラウザリストに表示されます。 - バケットのリストで、目的のバケットをクリックします。
- [権限] タブをクリックします。
- [Access control] フィールドで、[均一に切り替える] リンクをクリックします。このフィールドは、均一なバケットレベルのアクセスを有効にしてから 90 日後に消えます。
- 表示されるダイアログで [きめ細かい管理] を選択します。
- [保存] をクリックします。
生成された検出結果を表示するには、Security Command Center で検出結果を表示するをご覧ください。
詳細な監査ログモードをプロジェクト レベルで無効にする
プロジェクト レベルで詳細な監査ログモードを無効にする例を次に示します。デプロイされたブループリントのセキュリティ ポリシーでは、Cloud Storage オペレーションの詳細なリクエストとレスポンスの情報が適用されます。このポリシーの適用を無効にすると、キャプチャされたデータの完全性が制限され、ストレージ リソースの規則遵守に影響を与える可能性があります。プロジェクト レベルで詳細な監査ログモードを無効にするには、次の手順を行います。
- Google Cloud コンソールで、[組織のポリシー] ページに移動します。
- プロジェクト プルダウン メニューから必要なプロジェクトを選択します。
- 「詳細な監査ログモード」というポリシー名のリストをフィルタリングします。
- ポリシーをクリックします。
- [ポリシーの詳細] ページで、[編集] をクリックします。
- 既存の適用ルールがある場合は、ルールを削除します。
- [ルールの追加] をクリックします。
- 詳細な監査ログモードを無効にするには、[オフ] をクリックします。
- 変更を保存します。
生成された検出結果を表示するには、Security Command Center で検出結果を表示するをご覧ください。
検出結果を Security Command Center で表示する
Google Cloud コンソールで、Security Command Center の [検出] ページに移動します。
必要に応じて、Google Cloud プロジェクトまたは組織を選択します。
[検出] のビューで、[表示] の横にある [ソースタイプ] をクリックします。
[Secured Landing Zone] を選択します。作成したポリシー違反に関連付けられた有効な検出結果が表示されます。
特定の検出結果の詳細を表示するには、テーブル内のカテゴリの下に表示されている検出結果の名前をクリックします。
監査ログ情報を表示するには、[ソース プロパティ] タブをクリックします。監査ログエントリには、ポリシー違反の原因と発生日時に関する情報が表示されます。
ページを更新します。
[検出] のビューで、[表示] の横にある [ソースタイプ] をクリックします。検出結果が Secured Landing Zone サービスによって修復されたため、有効な検出結果が表示されなくなりました。監査ログエントリが更新され、ポリシー違反の修正者と修正日時に関する情報が表示されます。
Security Command Center で Secured Landing Zone サービスの検出結果を表示する
Secured Landing Zone サービスは、デプロイされたブループリントのセキュリティ ポリシーの違反を特定するたびに、その検出結果を Security Command Center に表示します。検出結果の作成方法については、Google Cloud コンソールで検出クエリを作成するをご覧ください。
特定の種類のアセットについて Secured Landing Zone のサービスの検出結果を表示するには、次の手順を行います。
Google Cloud コンソールで Security Command Center の [検出] ページに移動します。
[クイック フィルタ] パネルで、以下を選択します。
- [ソースの表示名] セクションで、[Secured Landing Zone] を選択します。
- (省略可)[プロジェクト ID] セクションで、アセットを表示するプロジェクトの ID を選択します。
- [リソースの種類] セクションで、表示するリソースタイプを選択します。
[検出結果クエリの結果] パネルで検出結果のリストが更新され、選択内容に一致する検出結果のみが表示されます。