Contenu connexe
Similaire à [Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送 (20)
Plus de Google Cloud Platform - Japan (20)
[Cloud OnAir] 安心して GCP を使うための処方箋 ~ 実際のインシデントをもとに ~ 2019年11月14日 放送
- 7. Cloud OnAir
● ID の不正利用
○ Google アカウントがフィッシング被害にあった
○ サービス アカウントのキーを誤って公開してしまった
● 不正利用されたID にインスタンス作成をする権限があった
○ インスタンスを作成する権限
○ 権限を与えることができる権限
● 検知をする仕組みがなかった
○ ログを定期的に確認していなかった
想定される原因
※ これがすべてではありません
- 9. Cloud OnAir
Google アカウント の分類
Google アカウント
個人管理 (非推奨) 企業管理 (推奨)
G Suite
Cloud Identity
Premium
Cloud Identity
gmail.com 企業ドメイン 企業ドメイン
- 10. Cloud OnAir
● アカウント ライフサイクルの管理が可能
○ Active Directory との連携が可能 (Google Cloud Directory Sync )
● 2 要素認証を全員必須にすることが可能
● SAML 対応
○ Google を IdP として他アプリケーションの認証が可能
○ 他 IdP の認証を利用することも可能
● セットアップにドメイン認証が必要
○ DNS への TXT レコードの追加が必要
企業管理の Google アカウント
- 11. Cloud OnAir
Google Cloud Directory Sync (GCDS)
LDAP /
LDAP + SSL
HTTP/HTTPS
Active Directory
LDAP Directory
ユーザー
エイリアス
プロファイル
グループ
OU
GCDS
一方向の同期
差分同期
定期実行可能
マッピング
例外処理等
- 14. Cloud OnAir
GCP の組織とは
● GCP の階層管理における
最上位の概念
● G Suite / Cloud Identity の
プライマリドメインと 1:1 の関係
● IAM 権限や組織ポリシーの
階層管理が可能
example.com
A 部 B 部
チーム Eチーム DチームC
Project HProject GProduct F
VM バケット
データセッ
ト
組織
フォルダ
プロジェクト
リソース
- 15. Cloud OnAir
GCP のフォルダとは
A 部 B 部
チーム Eチーム DチームC
Project HProject GProduct F
VM バケット
データセッ
ト
フォルダ
プロジェクト
リソース
● 組織配下で複数のプロジェクトを
まとめる
● 10 階層まで
● フォルダ直下には 300 フォルダ
まで
● 組織図通りに作るのではなく
委譲できる権限や管理対象の
分かれ目で作成することが推奨
- 16. Cloud OnAir
GCP のプロジェクトとは
● GCP における
マルチテナントのキー
● すべてのリソースが
プロジェクトに紐づく
● プロジェクトごとに全く別の
環境が提供される
● 組織なしのプロジェクトは
オーナーが消えると消える
example.com
A 部 B 部
チーム Eチーム DチームC
Project HProject GProduct F
VM バケット
データセッ
ト
組織
フォルダ
プロジェクト
リソース
- 18. Cloud OnAir
GCP におけるログ
● Stackdriver Logging に集約
● ユーザー側のログもエージェント
やライブラリで送付可能
● 高速なフィルタリング
● BigQuery GCS Pub/Sub への
エクスポート
● ログの出現回数などを
メトリックにすることも可能
Stackdriver
Logging
GCP ログ
Activity
Data Access
ユーザーログ
OS
アプリ
- 20. Cloud OnAir
● プロジェクトのわけ方
○ 環境を分けたい
■ アプリケーション / マイクロ サービスごと
■ 環境種別ごと (本番/ステージング/開発/検証)
○ 同一 ユーザーに対する権限を分けたい
■ 環境種別ごと (本番/ステージング/開発/検証)
プロジェクトを細かめにわける
多くのロールはプロジェクト単位で付与することになるため、
なるべく細かく分けておけばダメージを最小化できる
- 26. Cloud OnAir
● GCP のリソース/アセットの推移をトラッキング
○ 「先週どんな構成だったか?」がわかる
● GCP 上の他のセキュリティ機能やパートナーソリューションと
連携して、現状のセキュリティの状況を俯瞰
● プロジェクトやリージョンに限らず組織レベルで
全リージョンの情報収集
Cloud Security Command Center とは
- 29. Cloud OnAir
● 組織全体の GCP リソースの設定をスキャンし、
セキュリティ観点でリスクがある設定を発見
● スキャンしてくれる設定の代表例
○ 2 要素認証が有効になっていない
○ Firewall が開いている
○ Audit Log が無効になっている
CSCC Security Health Analytics