実践!Cloud Run セキュリティ Google Cloud アプリケーション モダナイゼーション スペシャリスト 内間 和季 Table of Contents Cloud Run を運用する前に知っておきたいこと ユーザーアクセスの制御 サービス間通信の制御 ワークロードの保護 より厳密に制御するために まとめ 01 02 03 04 05 06 Cloud Run を運用する前に 知っておきたいこと 01 Cloud Run とは ● フルマネージドなコンテナ実行環境 ● 数秒でデプロイ ● HTTPS に対応、カスタム ドメインも可 ● 言語やライブラリ依存なし ● ポータブル ● クラスタ管理など不要 Cloud Run の特徴 高速なデプロイ ステートレスなコンテナ 高速に 0 to N スケール 数秒でデプロイし URL を付与 サーバーレス・ネイティブ 管理するサーバー
こんにちは D2C エンジニアの羽原です。 この記事は、D2C m-tech Advent Calendar Day8の記事です はじめに Google Cloudの機能としてVPC Service Controlsがあります。 こちらの機能を用いることで、Google Cloudのリソースに対して仮想的な境界を作りデータの制御を行うことが可能となります。 しかし、設定項目が多くどのような操作がコントロール配下になり、システムに影響がでるかわからないことも多くあります。 本記事では、実際の設定事例を交えながら、どのような点に気をつけて設定を行ったかをお伝えできればと思います。 VPC Service Controlsとは VPC Service Controls(VPC SC)は、Google Cloudのセキュリティ機能の一部であり、境界と呼ばれる論理的な囲いを作ることで、データを内部か
最近仕事でGCPを使うのですが、 AWSとGCPでは、VPCに対する考え方が違います。 色々と紛らわしかったので、メモがてらまとめてみました。 大きな違い VPCサービスはその思想に大きな違いがあります。 まずAWSはリージョンありきです。 リージョン(東京とかシンガポールとか)を選んで、 その中にVPCを作って、 その中にSubnetを作って・・・という流れです。 対してGCPはリージョンを選択せずにVPCを作ります VPCを作ったらその中にSubnetを作ります。 そのSubnetはいろんなリージョンに作成可能です。 図にすると下記のようなイメージです。 それぞれパーツは同じですが、大小関係が違います。 具体的に言うと、下記の違いがあります。 AWS ・リージョンをまたいでVPCを作成できません ・VPCはIPレンジを持ちます GCP ・リージョンをまたいでVPCを作成できます ・VP
フィードバックを送信 VPC Service Controls を有効にするためのベスト プラクティス コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、Google Cloud 組織で VPC Service Controls の保護を構成して適用する際の推奨プロセスについて説明します。 VPC Service Controls を不用意に有効にすると、既存のアプリケーションで問題が生じ、停止する可能性があります。有効化は慎重に計画し、時間をかけてデータの収集、テストの実施、違反ログの分析を行うことをおすすめします。VPC Service Controls オペレーション チームとアプリケーション チームの関係者がこのタスクを実行できる状態であることを確認してください。 VPC Service Controls にオンボーディングする
基本的に、サービス境界でAPIを保護し、それ以外の要素を使って特定のAPIアクセスを許可します。 サービス境界 サービス境界で保護すると、境界外から境界内、および、境界内から境界外へのGoogle Cloud APIアクセスはできなくなります。 サービス境界内のGoogle Cloud APIアクセスは可能です。 これにより、サービス境界外へのデータの持ち出しができなくなります。 また、1つのプロジェクトに設定できるサービス境界は1つだけです。 アクセスレベル できること サービス境界で保護されたAPIのリソースに対し、境界外部からのGoogle Cloud APIアクセスを許可します。 アクセスを制御できるアクセス元は以下の種類があります。 IPアドレス サービスアカウント/ユーザーアカウント デバイスポリシー なお、デバイスポリシーを使用するには、BeyondCorp Enterpri
はじめに GCP のクラウドサービスのデータ制御をする VPC Service Controls がある。 初めて使用するので、前半に内容把握を、後半に実際に軽く試した内容を記載する。 VPC Service Controls とは ざっくり言うと下記な感じ。 サービス境界(Perimeter)を作成して GCP サービスのデータ (API) に対して境界外向けのアクセスをブロックできる リスク低減には VPC Service Controls と IAM との併用が推奨 アクセスレベルを設けるとサービス境界外からのアクセスを許可できる 以下、ドキュメントの内容を元に調査・まとめた学習メモとなる。 概要 下記、項目別にVPC Service Controls の概要 ドキュメントの内容をまとめた。 ほぼドキュメント内容のままだが、正確にはドキュメント先を参照してください。 VPC Serv
G-genの杉村です。 本投稿では、 Google Cloud (GCP) のセキュリティ系サービスの中でも特に重要な VPC Service Controls の概念について分かりやすく解説していこうと思います。 VPC Service Controls とは VPC Service Controls って結局何ができるの? できること できないこと API コールとは? 構成例と仕様 想定構成図 境界の定義 境界の外からのアクセス / 境界の中から外へのアクセス VPC 内からのアクセス オンプレミスからのアクセス ユースケース ドライラン構成 VPC Service Controls とは VPC Service Controls は Google Cloud (旧称 GCP) のセキュリティ機能です。 「境界 (perimeter) 」と呼ばれる論理的な囲いを作り、その囲いの外から
TLDR「BigQuery IP 制限」でこの記事にたどり着いた方、この記事はあなたのための記事です :)VPC Service Controls を利用することで、 BigQuery や GCS に対する IP 制限だけでなく、データエクスポートの制限なども含めた統合的なセキュリティを、簡単に実装できますこの記事は Part 3 あるうちの Part 1 です (Part 2, Part 3) オンプレミスとの混在環境や、すでにあるオンプレを前提としたセキュリティポリシー、あるいはコンプライアンスなどに対応する際には様々なセキュリティ要件が存在すると思います。 そのような対応に Google Cloud Platform (GCP) 上で利用できる機能の一つが VPC Service Controls (以下、VPC SC)です。VPC SC は 2019 年 1 月 21 日現在、GC
はじめに 本記事はQualiArts Advent Calendar 2020 14日目の記事です。 今回は、Google Cloud Platform (GCP)のオブジェクトストレージであるGoogle Cloud Storage (GCS)に対して、同じくGCPのサービスであるVPC Servive Controls (VPC-SC)とAccess Context Manager (ACM)でIP制限をかける構成の紹介と、その構成をTerraformで管理する方法についてまとめます。 なお、Access Context Managerの一般的に広まっている略語を見つけられなかったため、本記事では勝手にACMとしています。(AWS Certificate Managerと被ってしまいますがご了承ください。) 前提知識 VPC Servive Controls https://cloud
フィードバックを送信 サポートされているプロダクトと制限事項 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、VPC Service Controls でサポートされているプロダクトとサービスについて説明します。また、特定のサービスとインターフェースに関する既知の制限事項についても説明します。 サポートされているすべてのサービスを一覧表示する VPC Service Controls でサポートされているすべてのプロダクトとサービスの完全なリストを取得するには、次のコマンドを実行します。 gcloud beta access-context-manager supported-services list プロダクトとサービスのリストを含むレスポンスが返されます。 NAME TITLE SUPPORT_STAGE AVAILABLE_ON_R
G-gen の藤岡です。当記事では、Google Cloud(旧称 GCP)の BigQuery に特定の IP アドレスからのアクセスのみを許可する VPC Service Controls を設定しつつ、Looker Studio には IP アドレスの制限をかけずレポートを閲覧できるようにする方法を紹介します。 サービス・機能の概要 VPC Service Controls Looker Studio サービスアカウントの権限借用 VPC Service Controls と Looker Studio 実施内容 構成図 事前準備 Cloud Storage の設定 BigQuery の設定 Looker Studio でレポートの作成 パターン1 VPC Service Controls の設定 確認 パターン2 サービスアカウントの作成 VPC Service Controls
フィードバックを送信 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 お客様所有 IP アドレスの使用 Google Cloud にお客様所有 IP アドレス(BYOIP)を移行できます。Google でお客様が IP 範囲を所有することが確認され、IP アドレスが Google Cloud にインポートされると、これらの IP アドレスをサポートされるリソースに割り振ることができます。 ライブ マイグレーションを使用すると、Google がプレフィックスのルート アドバタイジングを開始するタイミングを制御できます。デフォルトでは、ライブ マイグレーションは利用できません。アクセス権をリクエストするには、Google Cloud カスタマー エンジニアにお問い合わせください。 始める前に お客様所有の IP アドレスを Google Cloud に移行する
要約 ECSでWebサーバーを動かしてみようとしたら、表題の通りの問題が発生。 問題解決に至るまでに何を調べたか、何を考えたかを書いた。 (2020/12/02追記) ちなみに、投稿から2年経ってますが、この記事の主眼はECSの知識と言うより原因調査の考え方なので、読む価値は無くなってないんじゃないかなと思います。 それに、ECSやVPCの仕様が根本的に変わったってことも無いと思いますし。 問題発生 いい加減にECS勉強しておかなきゃと思い、試しにウィザードに沿ってECSクラスターを作って見たところ、Run Taskでエラーになる。 Unable to run task No Container Instances were found in your cluster. 確かに、ECS Instancesのタブには1つもインスタンスが表示されない。だが、EC2のダッシュボードには「ECS
Eureka EngineeringLearn about Eureka’s engineering efforts, product developments and more.
概要 IPv4におけるIPsecについて調べる AWSのVPNサービスで提供されているルータの設定テンプレートを読み解く IPsecについて 概要 Security Architecture for the Internet Protocol IPsecとは特定のプロトコルを指すものではない。いくつかの要素をもとに成り立つ、IPのセキュリティ設計。 AH, ESP, IKE, SA(それぞれ後述) IP通信を透過的にセキュア化する アプリケーションプロトコル(HTTPなど)を変更することなしに利用できる cf. SSL/TLS IPsecは「トンネリング」と「暗号化」の機能をもつため、VPNで利用される RFC RFCを読むなら、まずこれに目を通したほうがいい. IPsec関連のRFCの見通しをよくするための"Road Map" https://tools.ietf.org/html/rf
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く