Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送

1,717 views

Published on

GCP のセキュリティはどうやって確保されているの?安全なサービスを構築するにはどうしたらいいの?そんな疑問にお答えしながら更に最新の情報をお送りします。

Published in: Technology
  • Be the first to comment

[Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送

  1. 1. Cloud Onr Cloud OnAir Cloud OnAir GCP で構築するセキュアなサービス - 基本と最新プロダクトのご紹介 - 2018 年 11 月 1 日 放送
  2. 2. Agenda Cloud OnAir 1 3 2 4 Google Cloud のセキュリティの基礎 クラウドを安全に利用するために IAM と BeyondCorp まとめ
  3. 3. Cloud OnAir Cloud OnAir Google Cloud のセキュリティの基礎
  4. 4. Google: a leader in public cloud platform native security The Forrester Wave™: Public Cloud Platform Native Security Q2 2018. The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester Wave™ is a graphical representation of Forrester's call on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions reflect judgment at the time and are subject to change.
  5. 5. セキュリティがクラウドの長所に エンタープライズでクラウド利用が増加している理由 1. アジリティの重要性(45 %) 2. セキュリティへの信頼(44 %) 3. 経費節減(34 %) MIT Sloan Management Review の調査レポートによる (回答者は 509 人以上の経営者と IT リーダー)
  6. 6. Google では、1 分おきに、 1000 万 のスパムメールや悪意のあるメール をフィルター 悪意のあるコンテンツを含む URL 30 億 台のデバイスを毎日保護 Google は、過去最大の DDoS 攻撃に対して 1000 倍の帯域を確保 4 不正な侵入をクラウドを利用することで防ぐ 1 Enterprise Phishing Susceptibility and Resiliency Report, 2016 2 Worldwide DDoS Attacks and Cyber Insights Research Report from Neustar, 2017 3 Kaspersky Security Bulletin, 2016 4 Wired, 2018 91% フィッシングメールからサイバー 攻撃がはじまる確率 1 企業がランサムウェア攻撃を 受けている頻度 毎40 秒3 84% 2016年に DDoS 攻撃を 受けた組織の確率 この中で、86% は 2 回以上の攻撃を受けている2
  7. 7. GCP Strategic Focus Areas 信頼できる インフラ アイデンティティ と アクセス管理 プライバシー、 データ保護と GRC インテリジェント な脅威検出 インフラを セキュアにする リソースやアクセス ポリシーをセキュアに 設定する データを安全に管理、 正しいガバナンスと コンプライアンス プロアクティブな リスク監視と対応
  8. 8. セキュリティと“信頼” についての考え方 1. 検証可能でセキュアな基盤を作る 2. 運用を可視化し、透明性を高める 3. 信頼できる第三者を通して検証する 4. コントロールの実装をシンプルにする 5. これらを継続し続ける
  9. 9. 検証可能なセキュアな基盤 サービス 展開 オペレーションと デバイスのセキュリティ ハードウェア インフラストラクチャ ストレージ サービス アイデンティティ インターネット通信
  10. 10. セキュリティ 要件を満たしな がら、イノベー ションを加速す る
  11. 11. Cloud OnAir Cloud OnAir クラウドを安全に利用するために
  12. 12. Cloud OnAir “ Google はインフラを保護 ” “ お客様はアプリケーションを保護 ” 責任共有モデル
  13. 13. PaaS App Engine Big Query SaaS Gmail Drive IaaS Compute Engine Cloud Storage コンテンツ アクセスポリシー 利用 デプロイ Webアプリのセキュリティ アイデンティティ 運用 アクセスと認証 ネットワークセキュリティ Guest OS, データとコンテンツ 監査ログ ネットワーク ストレージ+暗号化 安全なカーネルとIPC ブート ハードウェア Google が管理 お客様が管理 クラウドセキュリティの責任は、お客様と Google で共有
  14. 14. Cloud OnAir “ Google はインフラを保護 ” “ お客様はアプリケーションを保護 ” 責任共有モデル
  15. 15. Google 独自設計のハードウェア 直接設計に関与してリスクを減らす 専用チップ 専用サーバ 専用 ストレージ 専用ネットワー ク 専用データセ ンター Proprietary + ConfidentialCloud OnAir
  16. 16. SJC (JP, HK, SG) 2013 Unity (US, JP) 2010 Faster (US, JP, TW) 2016 PLCN (HK, LA) 2019 Monet (US, BR) 2017 Junior (Rio, Santos) 2018 Tannat (BR, UY, AR) 2018 Indigo (SG, ID, AU) 2019 3London 3 Netherlands 33 Belgium Los Angeles Finland 4Iowa 3 N. Virginia 3 S. Carolina 3 Montreal 3 São Paulo 3 Tokyo 3Osaka 3 Taiwan 3 Hong Kong 3 Mumbai 3 Sydney 3 Singapore 3Oregon Frankfurt 3 Zürich 3 3 Dunant (US, FR) 2020Curie (CL,US) 2019 世界最大の ネットワーク 現在のリージョン とゾーン数 今後のリージョン とゾーン数 ネットワーク 125 以上 エッジポイント
  17. 17. Proprietary + Confidential 全てのデータを デフォルトで暗号化 Google Cloud への接続 は、 TLS 暗号化が必須 データはチャンクに分割 され、それぞれが異なる 暗号鍵で暗号化 データ暗号化キーは、 キー暗号化キーでラッ プ 暗号化されたチャンクと、ラップされた 暗号化キーは、Google のストレージ インフラ全体に分散 Cloud OnAir
  18. 18. Proprietary + Confidential Google 内のサービス間通信も暗号化 Application Layer Transport Security (ALTS) ● TLS ではなく、Google サービスに最適化した ALTS を独自開発して利用 ● 安全な認証と暗号化 ● ハードやソフト(物理マシン、サービス、企業 ユーザー)も含めた信頼モデル ● プロトコルバッファを使用 ● アプリからは透過 ● 最新の暗号プロトコルを導入可能 Cloud OnAir
  19. 19. データの削除 4つのステージで安全にデータを削除 ステージ 1 - 削除リクエスト ステージ 2 - ソフト削除 ステージ 3 - アクティブ ストレージ システムからの論理削除 ステージ 4 - 保存期間満了によるバックアップ ストレージシステム からのデータの削除 https://cloud.google.com/security/deletion/ Cloud OnAir
  20. 20. Cloud OnAir “ Google はインフラを保護 ” “ お客様はアプリケーションを保護 ” 責任共有モデル
  21. 21. Confidential & Proprietary 主な支援機能の一覧 Customer Supplied Encryption Key Cloud Armor G Suite Enterprise ネットワーク セキュリティ 運用 セキュリティ ストレージ セキュリティ VPC Service Control Org Policy Cloud VPN / Interconnect Identity Aware Proxy (IAP)Firewall Cloud KMS Stackdriver Logging 認証・認可 Forseti IAM / Service Account OS Login API アプリケーションセ キュリティ Container Registry Security Scanner Container Optimized OS Cloud Endpoints VPC Flow Log
  22. 22. Shielded VMs Shielded VMは、rootkit や bootkit なども防御するセ キュリティコントロールにより堅牢化された 仮想マシン です 特権の昇格、リモート攻撃、悪意ある内部者などの高 度な脅威から VM を保護します。 セキュアで測定可能なブート、仮想 TPM(Trusted Platform Module)、UEFI ファームウェア、および 整合性の監視により、ワークロードが信頼され、検証 可能であることを保証します。 改ざん防ぐために証明書を使用し VM の整合性を検 証します。 Cloud OnAir
  23. 23. Binary Authorization Binary Authorization は、 信頼されたコンテナイメー ジのみを GKE 上にデプロ イすることを保証する セキュリティコントロール 機能です 検証済みイメージのみが、ビルドリリースプロセス と統合できます Kubernetes Engine にデプロイする前にシグネチャの 検証を強制することができます。 開発中に、信頼された認証局により署名されたイメージが 必要となります。 Cloud OnAir
  24. 24. Container Registry 脆弱性スキャン コンテナレジストリ 脆弱 性スキャンは、CI / CD パイプラインの早い段階で セキュリティ上の脆弱性を 特定します Ubuntu、Debian、Alpine のパッケージにある 脆弱性を特定します。 常時更新されるデータベースにより、スキャンが常に 最新であることを保証します。 検出可能な脆弱性を拡張するために、既存のツールを プラグインすることができます。 Cloud OnAir
  25. 25. Container Optimized OS ● Google Compute Engine, Kubernetes Engine で利用可能なセキュア・軽量 OS ○ Chromium OS ベース ○ 最低限のプロセスのみ動作 ○ ブート時、ブートイメージの改竄チェック ○ 大部分が read only もしくは ephemeral fs ○ コンテナは sandbox で動作 ○ AppArmor によるプロセス制限 ○ サービス listen ポートの最小化 ○ 自動 OS アップデート https://cloud.google.com/container-optimized-os /docs/concepts/security Cloud OnAir
  26. 26. Cloud HSM Cloud HSM は、Google Cloud Platform のクラウドホスト型 ハードウェアセキュリティモジュール(HSM)サービスです FIPS 140-2 レベル 3 認定 HSM で暗号操作を実行すること により、コンプライアンス要件を満たします HSM マネージドサービスで、運用にかかるオーバーヘッドを 削減します Cloud KMS との容易な統合 コストは HSM の操作に対する費用のみなので安価 Cloud OnAir
  27. 27. Cloud Armor (WAF, DoS 対策を備えた GSLB) ● HTTPS ロードバランサに付属するセキュリティ機能 ○ WAF (SQLi, XSS 等, ルール設定可能) ○ DDoS 対策 ○ IP Whitelist/Blacklist ○ Geo Based Access rule https://cloud.google.com/armor/ https://cloudplatform.googleblog.com/2018/03/getting-to-know-Cloud-Ar mor-defense-at-scale-for-internet-facing-services.html Cloud OnAir
  28. 28. VPC Flow Logs ● VPC 内部の通信フローのログを取得 ○ src/dest IP, src/dest port, protocol number ○ 各種メトリクス ○ 外部への通信もログ可能 ○ 5 秒間の統計値 https://cloud.google.com/vpc/docs/using-flow-lo gs Cloud OnAir
  29. 29. 悪意ある内部ユーザへの対策 VPC Service Control GCPサービス内の データ ゾーン外の VPC ゾーン内の VPCネットワーク VM to GCP service GCP service to GCP service ペリメータ ゾーン ● 権限があってもアクセスできな いペリメータゾーンを定義 ● ゾーン内では通常の API アク セスが可能 ● ゾーンをまたぐ API コールを止 め、データの移動を防ぐ Cloud OnAir
  30. 30. Access Transparency お客様のデータにアクセ スした手段や理由を記 録し表示します Google エンジニアによる GCP 上の顧客データに対する 操作の記録を 企業のユーザ様へ​ ほぼリアルタイムでアクセスできるよう API や UI を提供します Cloud OnAir
  31. 31. Cloud OnAir Cloud OnAir IAM と BeyondCorp
  32. 32. Identity and Access Management (IAM) とは 誰が どういう操作を 何に対して どういう条件下で Google アカウント Google グループ サービスアカウント 役割 組織 / フォルダ プロジェクト リソース IP 時間 制御 内容 具体例 Cloud OnAir
  33. 33. グループに対して役割を割り当てる ユーザ グループ 役割 リソース プロジェクト A プロジェクト B インスタンス管理者 BigQuery ユーザ 太郎 データサイエンティスト Cloud OnAir
  34. 34. 階層レベルごとに権限/ロールがある ● 上位で設定されたものは下位に 継承される ● 権限委譲できる単位でフォルダを 分ける example.com A 部 B 部 チーム Eチーム Dチーム C Project HProject GProduct F VM バケット データセッ ト 組織 フォルダ プロジェクト リソース
  35. 35. Secure LDAP ○ G Suite アカウントや Cloud Identity を LDAP アプリケーショ ンへ連携 ○ 既存アプリや外部サービスの 活用 ○ ディレクトリ情報の一元管理 Cloud Identity Custom LDAP-based apps Secure LDAP Traditional 3P apps (SAP, Atlassian Jira, etc) IT infrastructure: VPN, RADIUS, proxy, etc
  36. 36. Context-Aware Access ユーザーのデバイスや場所、 およびその他の属性に基づ いて、 詳細なアクセスポリシーを定 義し適用することができます ユーザー ID とリクエストのコ ンテキストに基づき、 GCP ワークロード(API、リ ソース、アプリケーション) および G Suite へのアクセス を制御します Cloud OnAir
  37. 37. ● ゼロトラスト=全てのネットワークを信用しない ● 全サービスへのアクセスは、ユーザ認証と デバイス認証と厳密な権限設定により管理 ● Google の社員は、VPN 接続無しで仕事ができる ● Identity-Aware Proxy = GCP のサービスとして公開 Access Proxy Single Sign On Access Control Engine Device Inventory User Inventory Trust Repository BeyondCorp : 概念の考案から実装までをまとめた研究論文 進化するリモートアクセスとセキュリティモデル BeyondCorp Cloud OnAir
  38. 38. BeyondCorp: Google が目指すセキュアなアクセス ~ VPN が不要な状況に応じた安全なアクセス ~ 正社員 契約社員 CRM VM ERP VM RP G Suite 他 SAML連携サービス IdP 安全な端末 Identity-Aware Proxy, VPC SC Proxy アクセスレベル ポリシー ・IP アドレス範囲による G Suite アプリ接続の制御 ・ユーザー属性 (正社員、契約社員 ) による G Suite アプリ の制限 ・会社で管理するデバイスからのみ G Suite へアクセス ・社外からのアクセスは会社端末からのみ、かつ契約社 員は社外からアクセスさせない 2 要素認証 Security
  39. 39. Google’s BeyondCorp のコンポーネント ポリシー ポリシーの 定義と適用 属性 ID、デバイス、位 置などユーザー のリクエスト状況 の理解 アプリケーション とデータ GCP、G Suite、 オンプレを含むす べてのアプリケー ションの保護 ポリシー, 属性, アプリケーションとデータ Cloud OnAir
  40. 40. プロキシ従業員 デバイス クラウド サービス ルール ERP VM CRM VM Bucket API データへのアクセス Cloud OnAir
  41. 41. プロキシ従業員 デバイス クラウド サービス ルール ERP VM CRM VM Bucket API 様々なリスクへの対応 本物の ユーザー? 接続が認められ た端末? 特権アカウントで あるか? ネットワークパス に脆弱はない か? このユーザーは アプリケーションにア クセス可能か? Cloud OnAir
  42. 42. プロキシ従業員 デバイス クラウド サービス ルール ERP VM CRM VM Bucket API Google Cloud - BeyondCorp の主な特徴 クラウドと ID 管理 強力なアイデン ティティとフィッ シング耐性認証 デバイス管理 TLS 認証 ポリシーの集中管 理 アクセス コントロール TLS 認証の確認 Cloud OnAir
  43. 43. BeyondCorp で VPN 不要かつセキュアな世界 Google アカウント 端末での検証: アイデンティティ + セキュ リティ体制 Identity-Aware Proxy: HTTPs アプリケーション への認証 Identity-Aware Proxy: SSH/TCP 認証 VPC Service Controls: GCP APIs への セキュリティゾーン G Suite アプリ ケーションへの アクセス制御 /API kobayashi@abc.xyz と 物理セキュリティキー でのログイン 9-5pmの間のみ HR アプリへ アクセス可能 HR 部門は 会社貸与の端末で SSH アクセスが必須 属性で利用可能な アプリを制御 @abc.xyz ユーザ かつ 10.234.11.189 からの接続のみ許可
  44. 44. Cloud OnAir Cloud OnAir 本日のまとめ
  45. 45. 本日のまとめ Cloud OnAir 1 3 2 4 セキュリティを確保してビジネスを加速する Googleが提供するセキュアなインフラ 開発時の留意事項 最新動向のご紹介

×