Mais conteúdo relacionado Semelhante a [Cloud OnAir] Talks by DevRel Vol.2 セキュリティ 2020年8月6日 放送 (20) Mais de Google Cloud Platform - Japan (18) [Cloud OnAir] Talks by DevRel Vol.2 セキュリティ 2020年8月6日 放送6. Cloud OnAir
● セキュリティ プロダクトは多岐に渡り関わる人も異なる
○ 個別のブレークアウト セッション
○ 英語では約 20 セッション
○ 更に Serverless, Anthos のセキュリティは Application Modernization の週にもあります
● GCP 上のリスクを管理しセキュリティポリシーを維持したい
○ セキュリティ管理者向け (Cloud Security Command Center)
■ SEC212-JP Cloud Security Command Center によるセキュリティ管理
● Security Command Center Premium が発表
● ユーザーにとって安全なアプリケーションを作りたい
○ ユーザー保護 (reCAPTCHA Enterprise, WebRisk API)
■ SEC107-JP お客様をサイバー攻撃から保護する Google テクノロジー
日本語セッションの紹介
8. Web Risk API
とは?
Google が常にアップデートしている、安全では
ないウェブリソースのリストを使って、クライアント
アプリケーションが URL をチェックすることができ
る Google Cloud のサービスです。
フィッシング リンク
マルウェア リンク
正当なリンク
スパムリンク
望まないソフトウェア リンク
WebRiskAPI
11. Cloud OnAir
● サービス アカウントは操作の主体であると同時に対象のリソースでもある
○ そのサービス アカウントを管理できる役割
■ 作成、削除、 JSON キーの発行
○ そのサービスアカウントとしてふるまえる役割
■ 署名、API を叩くためのアクセス トークン、OpenID Connect トークンの発行
■ サービス アカウントとして振る舞えるサービス アカウント
● (...サービスアカウント) として振る舞えるサービス アカウント
○ (...サービスアカウント) として振る舞える… (繰り返し)
■ 委任チェーン
■ 詳しくは 有効期間が短いサービス アカウント認証情報の作成
サービス アカウントもリソース
12. Cloud OnAir
● IAM ポリシーの適切な設定は慣れないと難しい
○ 今誰が何にアクセスできるかが分からない
○ 本当に必要なロールがどれなのかがわからない
○ なぜアクセスに失敗しているのかがわからない
なぜアクセスに成功しているのかもわからない
○ IAM ポリシーを変えたらどう影響が出るかが分からない
IAM ポリシー設定の難しさ
14. Cloud OnAir
● 本当に必要なロールがどれなのかがわからない
○ IAM Recommender (GA)
● なぜアクセスに失敗しているのかがわからない
なぜアクセスに成功しているのかもわからない
○ IAM Troubleshooter (GA)
● 今誰が何にアクセスできるかが分からない
○ IAM Policy Analyzer (Beta)
● IAM ポリシーを変えたらどう影響が出るかが分からない
○ Policy Simulator (Alpha)
Policy Intelligence を構成する機能
16. Cloud OnAir
● 機械学習で IAM Policy の設定をサポートする Policy Intelligence
○ 更にクラウド オペレーション全般を支援する Active Assist ポートフォリオを発表
● Policy Intelligence (IAM Recommender, Policy Troubleshooter, ...) についてもっと知りたい
○ SEC216: Minimizing Permissions Using IAM Recommender
■ Uber による Recommendation の自動適用事例など
○ SEC222: Using Policy Intelligence to Achieve Least Privilege Access
■ Policy Intelligence 全体の紹介
● Cloud IAM を詳細に知り、 API を通してプログラムから設定したい
○ SEC302: Advanced IAM: Hacks, Tips, and Tricks for Policy Management
適切な Cloud IAM 設定をしたい方におすすめのセッション
18. Cloud OnAir
● Before コロナ
○ 社内システムはオフィスから使うのがノーマル
○ リモートからのアクセスは出張時などの例外
■ 例外的なので本当に必要な人のみが VPN で社内ネットワークに入ってアクセス
● With コロナ
○ 社内システムにアクセスするためだけに出社を要求することは避けたい
○ 社内システムはリモートから使うのがニューノーマル
■ もはや例外ではない → VPN で全て対応できる?
With コロナにおける変化
19. Cloud OnAir
● これまではオフィスへの出社が社内システムにアクセスするための比較的強い条件だった
○ 攻撃者は簡単にはオフィスには入れなかった
○ VPN は社外から接続先のネットワークにフルアクセスできるようになる裏口
■ 一部の人にしか許可できず協力会社などは対象としづらかった
● リモートワークのためほぼすべての人が社外から社内システムにアクセスする必要がある
○ 社内ネットワークへのアクセスができれば社内システムが使えるモデルの破綻
○ 安全ではない私物のデバイスから VPN に繋げると情報漏洩する危険も
● VPN に依存せずに社内システムの安全を確保するゼロトラストを実現するソリューション
○ BeyondCorp リモートアクセス
リモートワーク時代の VPN におけるリスク
21. Cloud OnAir
● Cloud Identity-Aware Proxy (略称は Cloud IAP)
○ Web アプリケーションに Google アカウント認証を追加できる
■ IAM ポリシーに承認するユーザー、グループ、ドメインを設定
○ 対応するバックエンド
■ Compute Engine, Kubernetes Engine, App Engine
■ オンプレミス
○ 社内システムごとに特定のユーザー以外アクセスできなくする
● Context-Aware Access (Access Context Manager, Cloud IAM Conditions)
○ 更にリクエスト元の情報に応じてアクセス可否を決める
○ アクセス元のデバイスが社用であるか、適切なセキュリティ設定がされているか
○ /admin のパスは管理者のみなど別の条件を設定可能
● 興味がある方向けのセッション
○ SEC226 Getting Started With BeyondCorp: A Deeper Look into IAP
BeyondCorp リモート アクセス