カスタム制約を使用してセキュリティ対策を管理する

このページでは、組織のポリシー サービスのカスタム制約を使用して、次の Google Cloud リソースに対する特定のオペレーションを制限する方法について説明します。

  • securityposture.googleapis.com/Posture
  • securityposture.googleapis.com/PostureDeployment

組織のポリシーの詳細については、カスタムの組織のポリシーをご覧ください。

組織のポリシーと制約について

Google Cloud 組織のポリシー サービスを使用すると、組織のリソースをプログラマティックに一元管理できます。組織のポリシー管理者は組織のポリシーを定義できます。組織のポリシーは、Google Cloud リソース階層内のGoogle Cloud リソースやそれらのリソースの子孫に適用される、制約と呼ばれる一連の制限です。組織のポリシーは、組織レベル、フォルダレベル、またはプロジェクト レベルで適用できます。

組織のポリシーは、さまざまな Google Cloud サービスに事前に定義された制約を提供します。ただし、組織のポリシーで制限されている特定のフィールドをカスタマイズ可能な方法でよりきめ細かく制御する必要がある場合は、カスタム制約を作成して、組織のポリシーでそれらのカスタム制約を使用することもできます。

ポリシーの継承

デフォルトでは、組織のポリシーは、そのポリシーを適用したリソースの子孫に継承されます。たとえば、フォルダにポリシーを適用した場合、 Google Cloud はそのフォルダ内のすべてのプロジェクトにそのポリシーを適用します。この動作の詳細と変更方法については、階層評価ルールをご覧ください。

利点

セキュリティ ポスチャーでカスタムの組織のポリシーを使用すると、次のことができます。

  • 特定の STATE で対策を作成できるようにする
  • 特定のタイプのポリシーでポスチャの作成を許可する
  • 特定のターゲット リソースへのポスチャーのデプロイを許可する
  • 特定のポスチャーでポスチャーのデプロイを許可する

始める前に

  • 組織 ID を確実に把握します。
  • Google Cloud CLI をインストールして初期化します。
    1. Install the Google Cloud CLI.
    2. To initialize the gcloud CLI, run the following command:

      gcloud init
  • 必要なロール

    組織のポリシーを管理するために必要な権限を取得するには、組織のリソースに対する組織のポリシー管理者roles/orgpolicy.policyAdmin)の IAM ロールを付与するよう管理者に依頼してください。ロールの付与については、プロジェクト、フォルダ、組織へのアクセスを管理するをご覧ください。

    必要な権限は、カスタムロールや他の事前定義ロールから取得することもできます。

    カスタム制約を作成する

    カスタム制約は、組織のポリシーを適用しているサービスでサポートされるリソース、メソッド、条件、アクションを使用して YAML ファイルで定義されます。カスタム制約の条件は、Common Expression Language(CEL)を使用して定義されます。CEL を使用してカスタム制約で条件を作成する方法については、カスタム制約の作成と管理の CEL セクションをご覧ください。

    カスタム制約を作成するには、次の形式で YAML ファイルを作成します。

    name: organizations/ORGANIZATION_ID/customConstraints/CONSTRAINT_NAME
    resourceTypes:
    - RESOURCE_NAME
    methodTypes:
    - CREATE
    - UPDATE
    condition: "CONDITION"
    actionType: ACTION
    displayName: DISPLAY_NAME
    description: DESCRIPTION
    

    次のように置き換えます。

    • ORGANIZATION_ID: 組織 ID(123456789 など)。

    • CONSTRAINT_NAME: 新しいカスタム制約に付ける名前。カスタム制約は custom. で始まる必要があり、大文字、小文字、数字のみを含めることができます。例: custom.LbTrafficExtensionDenyBodyEvents。このフィールドの最大長は 70 文字です。

    • RESOURCE_NAME: 制限するオブジェクトとフィールドを含むGoogle Cloud リソースの完全修飾名。例: networkservices.googleapis.com/LbTrafficExtension

    • CONDITION: サポート対象のサービス リソースの表現に対して書き込まれる CEL 条件。このフィールドの最大長は 1000 文字です。条件の書き込み先として使用できるリソースの詳細については、サポート対象のリソースをご覧ください。例: "resource.extensionChains.all(value, value.extensions.all(value, value.supportedEvents.all(value, value.contains("BODY"))))"

    • ACTION: condition が満たされている場合に実行するアクション。有効な値は ALLOWDENY です。

    • DISPLAY_NAME: 制約の名前。わかりやすい名前を入力してください。このフィールドの最大長は 200 文字です。

    • DESCRIPTION: ポリシー違反時にエラー メッセージとして表示される制約の説明。わかりやすい説明を入力してください。このフィールドの最大長は 2,000 文字です。

    カスタム制約の作成方法については、カスタム制約の定義をご覧ください。

    カスタム制約を設定する

    新しいカスタム制約の YAML ファイルを作成したら、組織内の組織のポリシーで使用できるように設定する必要があります。カスタム制約を設定するには、gcloud org-policies set-custom-constraint コマンドを使用します。
    gcloud org-policies set-custom-constraint CONSTRAINT_PATH
    CONSTRAINT_PATH は、カスタム制約ファイルのフルパスに置き換えます。たとえば、/home/user/customconstraint.yaml です。完了すると、カスタム制約が組織のポリシーとして Google Cloud 組織のポリシーのリストに表示されます。カスタム制約が存在することを確認するには、gcloud org-policies list-custom-constraints コマンドを使用します。
    gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
    ORGANIZATION_ID は、組織リソースの ID に置き換えます。詳細については、組織のポリシーの表示をご覧ください。

    カスタムの組織のポリシーを適用する

    ブール型制約を適用するには、それを参照する組織のポリシーを作成し、その組織のポリシーを Google Cloud リソースに適用します。

    Console

    1. Google Cloud コンソールで、[組織のポリシー] ページに移動します。

      [組織のポリシー] に移動

    2. プロジェクト選択ツールで、組織のポリシーを設定するプロジェクトを選択します。
    3. [組織のポリシー] ページのリストで制約を選択して、その制約の [ポリシーの詳細] ページを表示します。
    4. このリソースの組織のポリシーを構成するには、[ポリシーを管理] をクリックします。
    5. [ポリシーの編集] ページで、[Override parent's policy] を選択します。
    6. [ルールを追加] をクリックします。
    7. [適用] セクションで、この組織のポリシーの適用を有効にするかどうかを選択します。
    8. 省略可: タグで組織のポリシーに条件を設定するには、[条件を追加] をクリックします。組織のポリシーに条件付きルールを追加する場合は、少なくとも 1 つは無条件のルールを追加する必要があります。そうしないとポリシーを保存できないのでご注意ください。詳細については、タグ付きの組織のポリシーの設定をご覧ください。
    9. カスタム制約の場合は、[変更内容をテスト] をクリックして、組織のポリシーの効果をシミュレートできます。詳細については、Policy Simulator で組織のポリシーの変更をテストするをご覧ください。
    10. 組織のポリシーを完成させて適用するには、[ポリシーを設定] をクリックします。ポリシーが有効になるまでに最大 15 分かかります。

    gcloud

    ブール型制約を適用する組織のポリシーを作成するには、制約を参照するポリシー YAML ファイルを作成します。

          name: projects/PROJECT_ID/policies/CONSTRAINT_NAME
          spec:
            rules:
            - enforce: true
        

    次のように置き換えます。

    • PROJECT_ID: 制約を適用するプロジェクト。
    • CONSTRAINT_NAME: カスタム制約に定義した名前。たとえば、custom.LbTrafficExtensionDenyBodyEvents のようにします。

    制約を含む組織のポリシーを適用するには、次のコマンドを実行します。

        gcloud org-policies set-policy POLICY_PATH
        

    POLICY_PATH は、組織のポリシーの YAML ファイルのパスに置き換えます。ポリシーが有効になるまでに最大 15 分かかります。

    カスタム組織のポリシーをテストする

    次の例では、DRAFT 状態のセキュリティ対策の作成を防止するカスタム制約を作成します。

    制約を作成する

    1. 制約を定義するには、次の内容のファイルを constraint-active-postures.yaml という名前で作成します。

      name: organizations/ORGANIZATION_ID/customConstraints/custom.createActivePosturesOnly
      resourceTypes:
      - securityposture.googleapis.com/Posture
      methodTypes:
      - CREATE
      - UPDATE
      condition: resource.state.contains('ACTIVE')
      actionType: ALLOW
      displayName: Create only ACTIVE postures.
      description: Create only ACTIVE postures.
      

      ORGANIZATION_ID は、実際の組織 ID に置き換えます。

    2. 制約を適用します。

      gcloud org-policies set-custom-constraint ~/constraint-active-postures.yaml
      
    3. 制約が存在することを確認します。

      gcloud org-policies list-custom-constraints --organization=ORGANIZATION_ID
      

      出力は次のようになります。

      CUSTOM_CONSTRAINT ACTION_TYPE  METHOD_TYPES   RESOURCE_TYPES                                   DISPLAY_NAME
      custom.Posture    ALLOW        CREATE,UPDATE  securityposture.googleapis.com/Posture           Create only ACTIVE postures.
      

    ポリシーを作成する

    1. 次の内容のポリシーを含む policy-active-postures.yaml という名前のファイルを作成します。

      name: projects/PROJECT_ID/policies/custom.createActivePosturesOnly
      spec:
        rules:
        - enforce: true
      

      PROJECT_ID は、実際のプロジェクト ID に置き換えます。

    2. ポリシーを適用します。

      gcloud org-policies set-policy ~/policy-active-postures.yaml
      
    3. ポリシーが存在することを確認します。

      gcloud org-policies list --project=PROJECT_ID
      

      出力は次のようになります。

      CONSTRAINT                       LIST_POLICY    BOOLEAN_POLICY    ETAG
      custom.createActivePosturesOnly  -              SET               COCsm5QGENiXi2E=
      

    ポリシーを適用したら、セキュリティ対策でポリシーの適用が開始されるまで 2 分ほど待ちます。

    ポリシーのテスト

    DRAFT 状態のセキュリティ対策を作成して、ポリシーをテストします。

    gcloud scc postures create POSTURE_NAME \
        --posture-from-file=PATH_TO_POSTURE_YAML_FILE
    

    次のように置き換えます。

    • POSTURE_NAME: セキュリティ対策の一意の名前
    • PATH_TO_POSTURE_YAML_FILE: 姿勢ファイルのパス

    出力は次のようになります。

    ERROR: (google.cloud.securityposture.v1.SecurityPosture.CreatePosture)
    FAILED_PRECONDITION: Operation denied by org policy on resource
    'organizations/996122346870/locations/global':
    ["customConstraints/custom.createActivePosturesOnly":
    "Create only ACTIVE postures."].
    

    一般的なユースケースのカスタム組織ポリシーの例

    次の表に、一般的なユースケースのカスタム制約の構文を示します。

    説明 制約の構文
    すべてのセキュリティ対策で ACTIVE 状態を必須にする
        name: organizations/ORGANIZATION_ID/customConstraints/custom.createActivePosturesOnly
        resourceTypes:
        - securityposture.googleapis.com/Posture
        methodTypes:
        - CREATE
        - UPDATE
        condition: "resource.state.contains('ACTIVE')"
        actionType: ALLOW
        displayName: Require all security posture to
        have ACTIVE state
        description: All security posture must have ACTIVE state

    Security Command Center でサポートされているリソース

    次の表に、カスタム制約で参照できる Security Command Center リソースを示します。

    リソース フィールド
    securityposture.googleapis.com/Posture resource.annotations
    resource.description
    resource.name
    resource.policySets.description
    resource.policySets.policies.complianceStandards.control
    resource.policySets.policies.complianceStandards.standard
    resource.policySets.policies.constraint.orgPolicyConstraint.cannedConstraintId
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.allowAll
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.denyAll
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.enforce
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.parameters.fields
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.resourceTypes.included
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.values.allowedValues
    resource.policySets.policies.constraint.orgPolicyConstraint.policyRules.values.deniedValues
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.actionType
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.condition
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.description
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.displayName
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.methodTypes
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.name
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.customConstraint.resourceTypes
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.allowAll
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.denyAll
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.enforce
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.parameters.fields
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.resourceTypes.included
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.values.allowedValues
    resource.policySets.policies.constraint.orgPolicyConstraintCustom.policyRules.values.deniedValues
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.customOutput.properties.name
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.description
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.recommendation
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.resourceSelector.resourceTypes
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.config.severity
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.displayName
    resource.policySets.policies.constraint.securityHealthAnalyticsCustomModule.moduleEnablementState
    resource.policySets.policies.constraint.securityHealthAnalyticsModule.moduleEnablementState
    resource.policySets.policies.constraint.securityHealthAnalyticsModule.moduleName
    resource.policySets.policies.description
    resource.policySets.policies.policyId
    resource.policySets.policySetId
    resource.state
    securityposture.googleapis.com/PostureDeployment resource.annotations
    resource.description
    resource.name
    resource.postureId
    resource.postureRevisionId
    resource.targetResource

    次のステップ