無料の IT Heroes Summit で、Uber、Air Asia、Deloitte、ADT などの IT リーダーから最適化のヒントを学びましょう。今すぐ見る
こんにちは、クラウドエースの阿部です。 この記事は、Google Cloud Champion Innovators Advent Calendar 2023 の15日目です。 最近の Google Cloud って Firewall っぽいサービス多いよね 私が Google Cloud に入門したのは 2017年10月頃ですが、その頃の Google Cloud における Firewall と言えるサービスは VPC ファイアウォールルールと Cloud SQL の承認済みネットワークくらいだったと思います。 その後、 Cloud Armor や VPC Service Controls、ファイアウォールポリシーといった、Google Cloud のセキュリティをより強固にするためのサービスが年々追加されています。 一方で、利用者からすると「どのサービスを使うのがベスプラですか?」「こ
基本的に、サービス境界でAPIを保護し、それ以外の要素を使って特定のAPIアクセスを許可します。 サービス境界 サービス境界で保護すると、境界外から境界内、および、境界内から境界外へのGoogle Cloud APIアクセスはできなくなります。 サービス境界内のGoogle Cloud APIアクセスは可能です。 これにより、サービス境界外へのデータの持ち出しができなくなります。 また、1つのプロジェクトに設定できるサービス境界は1つだけです。 アクセスレベル できること サービス境界で保護されたAPIのリソースに対し、境界外部からのGoogle Cloud APIアクセスを許可します。 アクセスを制御できるアクセス元は以下の種類があります。 IPアドレス サービスアカウント/ユーザーアカウント デバイスポリシー なお、デバイスポリシーを使用するには、BeyondCorp Enterpri
G-genの杉村です。 本投稿では、 Google Cloud (GCP) のセキュリティ系サービスの中でも特に重要な VPC Service Controls の概念について分かりやすく解説していこうと思います。 VPC Service Controls とは VPC Service Controls って結局何ができるの? できること できないこと API コールとは? 構成例と仕様 想定構成図 境界の定義 境界の外からのアクセス / 境界の中から外へのアクセス VPC 内からのアクセス オンプレミスからのアクセス ユースケース ドライラン構成 VPC Service Controls とは VPC Service Controls は Google Cloud (旧称 GCP) のセキュリティ機能です。 「境界 (perimeter) 」と呼ばれる論理的な囲いを作り、その囲いの外から
TLDR「BigQuery IP 制限」でこの記事にたどり着いた方、この記事はあなたのための記事です :)VPC Service Controls を利用することで、 BigQuery や GCS に対する IP 制限だけでなく、データエクスポートの制限なども含めた統合的なセキュリティを、簡単に実装できますこの記事は Part 3 あるうちの Part 1 です (Part 2, Part 3) オンプレミスとの混在環境や、すでにあるオンプレを前提としたセキュリティポリシー、あるいはコンプライアンスなどに対応する際には様々なセキュリティ要件が存在すると思います。 そのような対応に Google Cloud Platform (GCP) 上で利用できる機能の一つが VPC Service Controls (以下、VPC SC)です。VPC SC は 2019 年 1 月 21 日現在、GC
Cloud Data Loss Prevention(Cloud DLP)が機密データの保護の一部となりました。機密データの保護は、機密性の高いデータを検出、分類、保護できるように設計されたサービス ファミリーです。 機密データの保護には、データの検出、検査、匿名化、データリスク分析、DLP API が含まれます。
こんにちは、上野です。 前回に引き続き、Google Cloudのセキュリティ設定第2弾です。今回は監査ログ(Cloud Audit Logs)です。 監査ログは「誰が、いつ、どこで、何をしたか」を残すログで、AWSだとCloudTrailですね。目的はAWSと同じなのですが、設定方法や見え方がけっこう異なるので、概要を掴みつつ追加の保存設定を見ていきます。 Google Cloudの監査ログ 監査ログには、管理アクティビティ監査ログ、データアクセス監査ログ、システムイベント監査ログ、ポリシー拒否監査ログの4種類存在します。 管理アクティビティ監査ログ ユーザーが VM インスタンスを作成したときや IAM権限を変更したときに記録されるログで、いわゆる一般的な監査ログです。デフォルト有効で、無効にできません。 データアクセス監査ログ BigQueryやCloud Storageなど、データ
背景 GCSのオブジェクトにアクセスログとか、KMSのアクセスログとか、特にセキュリティに関するサービスのログはなるべく詳しくほしいですよね。 GCPには監査ログという機能があるのですが、ログを出力しすぎて料金かかっちゃうかもしれないからと、Googleが気を使って、 監査ログのうちいくつかは、デフォルトで無効にしてくれてるんです! 遠慮せずに有効にしてくれればいいのにと思いますが、とりあえず機能を用意してくれるだけでも大変ありがたいので、ぜひ監査ログを有効にしましょう。 結論 GCPコンソールの Audio Logs のページにアクセスし、DEFAULT AUDIT LOGGINGから、全部にチェックをつけて有効にすればOK https://console.cloud.google.com/iam-admin/audit 使い方によっては料金が結構かかるかもしれないので、必ずBudget
本稿はJCB Advent Calendar 2022の12/7の記事です。 JCBデジタルソリューション開発部の四方です。 本記事では、Google Cloud Platform(以下、GCP) のリソースとSpreadsheetで作成した管理台帳のデータを比較するプログラムをリファクタリングした話について記述させていただきます。 背景について 弊社では以下のPCIDSSの要件を満たすため、変更検出メカニズム(以下、監査ツール)をGoogle Apps Script(以下、GAS)を用いて実装、運用しております。 重要なシステムファイル、構成ファイル、またはコンテンツファイルの不正な変更(変更、追加、および削除を含む)を担当者に警告し、重要なファイルの比較を少なくとも週に一度実行するようにソフトウェアを構成する 監査ツールではSpreadsheetによる管理台帳を設計ドキュメントとし、こ
こんにちは。Google Cloud Japan でカスタマーエンジニア(プリセールスエンジニア)をしている有賀です。 クラウドサービス利用のご相談に乗っていると、ときどき(しばしば?)、ウェブコンソール(クラウドサービスを設定するためのウェブページ。Google Cloud では Cloud Console と呼びます。)や、API へのアクセスをアクセス元の IP アドレスで制限したい、というご要望を受けることがあります。 インターネットでサービスを公開する際のアクセス制限として、ID とパスワードだけでは不安(パスワードが漏れたらアクセスされ放題に!)だから、追加でアクセス元の IP アドレスで制限する、というのはそこそこ一般的におこなわれていたかと思います。(ゼロトラストのアプローチもあると思いますが、それはまたの機会に。:-) こういった機能をオンプレミスで提供する場合は、ファイ
こちらは バイセルテクノロジーズ Advent Calendar 2021 の 22日目の記事です。 前日の記事は飯島さんの「SentryでGoのcustom errorをstack trace付きで表示する」でした。 こんにちは。開発 2 部の今井です。 バイセルでは主にサーバサイドの開発に携わっています。 本記事では、現在進めている新規プロジェクトのインフラを構築するうえで検討する機会がありました「GCP でセキュアなサービスを構築するうえで考えたこと」についてご紹介します。 アーキテクチャの全体像 本記事で紹介すること Cloud Storage のアクセス制限について 注意点 Cloud Load Balancer を利用したアクセス制限について まとめ 最後に 参考にさせていただいたサイト アーキテクチャの全体像 私が所属しているプロジェクトでは GCP を利用しており、簡単な全
この記事はUnipos advent calendar 23日目の記事です。 この記事では、僕が最近取り組んでいたシークレット情報の管理と運用について得られた知見を書いていこうと思います。 23日の日付が変わるか変わらないか、ギリギリのラインで書いております。 過ぎました。すみません。 そして、zennへの記事の投稿は初めてです。よろしくおねがいしますmm シークレット情報とは シークレット情報といえば、ぱっと思いつくものは外部サービスと通信する際に使用するtoken類がぱっと思いつきますが、それ以外にもsqlサーバーやキャッシュサーバーに接続するためのパスワードなども挙げられると思います。今回はこういった情報をシークレット情報と呼んでいきます。 これらの情報をどのようにで扱うべきか書いていきます。 リポジトリはプライベートだし、扱うも何も安全じゃない?? そんなことはありません。確かにリ
(2021 年 12 月 14 日 21:00 JST 追記:WAF ルールのチューニングについて続編を書きました) Google Cloud Japan Advent Calendar 2021 の 12 日目…ではありません。(12 日目の記事はこちらです。お、たまたま脆弱性関連ですね。) 年の瀬も差し迫った 2021 年 12 月 10 日(金)、Apache Log4j 2 の脆弱性に対するゼロデイ攻撃が可能であることが明らかになりました。 Google Cloud の WAF サービスである Cloud Armor でも、本脆弱性への対策の一つとして使える WAF ルールがリリースされたのでご紹介します。 Cloud Armor WAF rule to help address Apache Log4j vulnerability | Google Cloud Blog
概要 以前、CloudRunで秘匿情報を扱うのにberglas(GCPで秘匿情報を扱うためのOSS)を使用しましたが、2020年1月23日公式にGCPで秘匿情報を扱うためのサービスであるSecretManagerが公開されました。 紹介記事 制限事項 まだベータ提供です。 東京リージョンもまだありません。(一番近くて台湾) なので、GAでないと困る人や、秘匿情報を国外に保持したくない人はまだ使えないです。 ただ、今後GCPで秘匿情報を扱うのはこれが標準になっていくと思われます。 使い方 シークレットを作成する セキュリティ→シークレットマネージャーから作成します。 「sample-secret」というキーで、「usagisan」という文字列を格納しています。 なお、gcloudコマンドで作成する手順は、上記紹介記事の中に記載があります。 クライアント シークレットを読み取る例は、下記ドキュ
AWSやGCPを利用する際によく対面するセキュリティ対応について各クラウドでのソリューションを比較しながら、サービスや方針についてまとめました。 この記事の範囲 主に、Webサービス/アプリ開発でのクラウド利用におけるセキュリティについての話がメインです PCI DSS とか ISMS とかの難しい話はしません(というかできないよ\(^o^)/) パブリッククラウドにおけるセキュリティ パブリッククラウドにおいて、まず最初に押さえるべきは「責任分担モデル」です。簡単にいうと、クラウドサービス自体の運用に関しての責任はクラウドプロバイダが持つ。クラウドサービスの利用の仕方に関する責任は自分たちで持つ。ってやつです。 これは大体どのプロバイダも一緒なので、覚えておくといいと思います。 引用: https://aws.amazon.com/jp/compliance/shared-r
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く