More Related Content Similar to [Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送 (20) More from Google Cloud Platform - Japan (20) [Cloud OnAir] GCP で構築するセキュアなサービス。基本と最新プロダクトのご紹介 2018年11月1日 放送4. Google: a leader
in public cloud platform
native security
The Forrester Wave™: Public Cloud Platform Native Security Q2 2018. The
Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and
Forrester Wave™ are trademarks of Forrester Research, Inc. The Forrester
Wave™ is a graphical representation of Forrester's call on a market and is
plotted using a detailed spreadsheet with exposed scores, weightings, and
comments. Forrester does not endorse any vendor, product, or service
depicted in the Forrester Wave. Information is based on best available
resources. Opinions reflect judgment at the time and are subject to change.
6. Google では、1 分おきに、
1000 万
のスパムメールや悪意のあるメール をフィルター
悪意のあるコンテンツを含む URL
30 億
台のデバイスを毎日保護
Google は、過去最大の DDoS 攻撃に対して
1000 倍の帯域を確保 4
不正な侵入をクラウドを利用することで防ぐ
1
Enterprise Phishing Susceptibility and Resiliency Report, 2016 2
Worldwide DDoS Attacks and Cyber Insights Research Report from Neustar, 2017 3
Kaspersky Security Bulletin, 2016 4
Wired, 2018
91%
フィッシングメールからサイバー
攻撃がはじまる確率 1
企業がランサムウェア攻撃を
受けている頻度
毎40 秒3
84%
2016年に DDoS 攻撃を
受けた組織の確率
この中で、86% は 2 回以上の攻撃を受けている2
7. GCP Strategic Focus Areas
信頼できる
インフラ
アイデンティティ
と アクセス管理
プライバシー、
データ保護と GRC
インテリジェント
な脅威検出
インフラを
セキュアにする
リソースやアクセス
ポリシーをセキュアに
設定する
データを安全に管理、
正しいガバナンスと
コンプライアンス
プロアクティブな
リスク監視と対応
16. SJC (JP, HK, SG) 2013
Unity (US, JP) 2010
Faster (US, JP, TW) 2016
PLCN (HK, LA) 2019
Monet (US, BR) 2017
Junior (Rio, Santos) 2018
Tannat (BR, UY, AR) 2018
Indigo (SG, ID, AU) 2019
3London
3
Netherlands
33
Belgium
Los Angeles
Finland
4Iowa
3 N. Virginia
3
S. Carolina
3 Montreal
3
São Paulo
3
Tokyo
3Osaka
3
Taiwan
3
Hong Kong
3
Mumbai
3
Sydney
3
Singapore
3Oregon
Frankfurt
3 Zürich
3
3
Dunant (US, FR) 2020Curie (CL,US) 2019
世界最大の
ネットワーク
現在のリージョン
とゾーン数
今後のリージョン
とゾーン数
ネットワーク
125 以上
エッジポイント
17. Proprietary + Confidential
全てのデータを デフォルトで暗号化
Google Cloud への接続
は、 TLS 暗号化が必須 データはチャンクに分割
され、それぞれが異なる
暗号鍵で暗号化
データ暗号化キーは、
キー暗号化キーでラッ
プ
暗号化されたチャンクと、ラップされた
暗号化キーは、Google のストレージ
インフラ全体に分散
Cloud OnAir
18. Proprietary + Confidential
Google 内のサービス間通信も暗号化
Application Layer Transport Security (ALTS)
● TLS ではなく、Google サービスに最適化した
ALTS を独自開発して利用
● 安全な認証と暗号化
● ハードやソフト(物理マシン、サービス、企業
ユーザー)も含めた信頼モデル
● プロトコルバッファを使用
● アプリからは透過
● 最新の暗号プロトコルを導入可能
Cloud OnAir
19. データの削除
4つのステージで安全にデータを削除
ステージ 1 - 削除リクエスト
ステージ 2 - ソフト削除
ステージ 3 - アクティブ ストレージ システムからの論理削除
ステージ 4 - 保存期間満了によるバックアップ ストレージシステム
からのデータの削除
https://cloud.google.com/security/deletion/
Cloud OnAir
21. Confidential & Proprietary
主な支援機能の一覧
Customer
Supplied
Encryption Key
Cloud Armor
G Suite
Enterprise
ネットワーク
セキュリティ
運用
セキュリティ
ストレージ
セキュリティ
VPC Service Control
Org Policy
Cloud VPN /
Interconnect
Identity Aware
Proxy (IAP)Firewall
Cloud KMS
Stackdriver
Logging
認証・認可
Forseti
IAM / Service
Account
OS Login API
アプリケーションセ
キュリティ
Container
Registry
Security Scanner
Container
Optimized OS
Cloud Endpoints
VPC Flow Log
22. Shielded VMs
Shielded VMは、rootkit や bootkit なども防御するセ
キュリティコントロールにより堅牢化された 仮想マシン
です
特権の昇格、リモート攻撃、悪意ある内部者などの高
度な脅威から VM を保護します。
セキュアで測定可能なブート、仮想 TPM(Trusted
Platform Module)、UEFI ファームウェア、および
整合性の監視により、ワークロードが信頼され、検証
可能であることを保証します。
改ざん防ぐために証明書を使用し VM の整合性を検
証します。
Cloud OnAir
23. Binary Authorization
Binary Authorization は、
信頼されたコンテナイメー
ジのみを GKE 上にデプロ
イすることを保証する
セキュリティコントロール
機能です
検証済みイメージのみが、ビルドリリースプロセス
と統合できます
Kubernetes Engine にデプロイする前にシグネチャの
検証を強制することができます。
開発中に、信頼された認証局により署名されたイメージが
必要となります。
Cloud OnAir
24. Container Registry 脆弱性スキャン
コンテナレジストリ 脆弱
性スキャンは、CI / CD
パイプラインの早い段階で
セキュリティ上の脆弱性を
特定します
Ubuntu、Debian、Alpine のパッケージにある
脆弱性を特定します。
常時更新されるデータベースにより、スキャンが常に
最新であることを保証します。
検出可能な脆弱性を拡張するために、既存のツールを
プラグインすることができます。
Cloud OnAir
25. Container Optimized OS
● Google Compute Engine, Kubernetes Engine で利用可能なセキュア・軽量 OS
○ Chromium OS ベース
○ 最低限のプロセスのみ動作
○ ブート時、ブートイメージの改竄チェック
○ 大部分が read only もしくは ephemeral fs
○ コンテナは sandbox で動作
○ AppArmor によるプロセス制限
○ サービス listen ポートの最小化
○ 自動 OS アップデート
https://cloud.google.com/container-optimized-os
/docs/concepts/security
Cloud OnAir
26. Cloud HSM
Cloud HSM は、Google Cloud Platform のクラウドホスト型
ハードウェアセキュリティモジュール(HSM)サービスです
FIPS 140-2 レベル 3 認定 HSM で暗号操作を実行すること
により、コンプライアンス要件を満たします
HSM マネージドサービスで、運用にかかるオーバーヘッドを
削減します
Cloud KMS との容易な統合
コストは HSM の操作に対する費用のみなので安価
Cloud OnAir
27. Cloud Armor (WAF, DoS 対策を備えた GSLB)
● HTTPS ロードバランサに付属するセキュリティ機能
○ WAF (SQLi, XSS 等, ルール設定可能)
○ DDoS 対策
○ IP Whitelist/Blacklist
○ Geo Based Access rule
https://cloud.google.com/armor/
https://cloudplatform.googleblog.com/2018/03/getting-to-know-Cloud-Ar
mor-defense-at-scale-for-internet-facing-services.html
Cloud OnAir
28. VPC Flow Logs
● VPC 内部の通信フローのログを取得
○ src/dest IP, src/dest port,
protocol number
○ 各種メトリクス
○ 外部への通信もログ可能
○ 5 秒間の統計値
https://cloud.google.com/vpc/docs/using-flow-lo
gs
Cloud OnAir
29. 悪意ある内部ユーザへの対策 VPC Service Control
GCPサービス内の
データ
ゾーン外の
VPC
ゾーン内の
VPCネットワーク
VM to
GCP service
GCP service
to
GCP service
ペリメータ
ゾーン
● 権限があってもアクセスできな
いペリメータゾーンを定義
● ゾーン内では通常の API アク
セスが可能
● ゾーンをまたぐ API コールを止
め、データの移動を防ぐ
Cloud OnAir
32. Identity and Access Management (IAM) とは
誰が どういう操作を 何に対して どういう条件下で
Google アカウント
Google グループ
サービスアカウント
役割
組織 / フォルダ
プロジェクト
リソース
IP
時間
制御
内容
具体例
Cloud OnAir
35. Secure LDAP
○ G Suite アカウントや Cloud
Identity を LDAP アプリケーショ
ンへ連携
○ 既存アプリや外部サービスの
活用
○ ディレクトリ情報の一元管理
Cloud
Identity
Custom LDAP-based apps
Secure
LDAP
Traditional 3P apps (SAP,
Atlassian Jira, etc)
IT infrastructure: VPN,
RADIUS, proxy, etc
39. BeyondCorp: Google が目指すセキュアなアクセス
~ VPN が不要な状況に応じた安全なアクセス ~
正社員
契約社員
CRM
VM
ERP
VM RP
G Suite
他 SAML連携サービス IdP
安全な端末
Identity-Aware
Proxy,
VPC SC
Proxy
アクセスレベル ポリシー
・IP アドレス範囲による G Suite アプリ接続の制御
・ユーザー属性 (正社員、契約社員 ) による G Suite アプリ
の制限
・会社で管理するデバイスからのみ G Suite へアクセス
・社外からのアクセスは会社端末からのみ、かつ契約社
員は社外からアクセスさせない
2 要素認証
Security
44. BeyondCorp で VPN 不要かつセキュアな世界
Google アカウント
端末での検証:
アイデンティティ + セキュ
リティ体制
Identity-Aware Proxy:
HTTPs アプリケーション
への認証
Identity-Aware Proxy:
SSH/TCP 認証
VPC Service Controls:
GCP APIs への
セキュリティゾーン
G Suite アプリ
ケーションへの
アクセス制御
/API
kobayashi@abc.xyz
と
物理セキュリティキー
でのログイン
9-5pmの間のみ
HR アプリへ
アクセス可能
HR 部門は
会社貸与の端末で
SSH アクセスが必須
属性で利用可能な
アプリを制御
@abc.xyz ユーザ
かつ
10.234.11.189
からの接続のみ許可