Cloud Identity-Aware Proxy : クラウド アプリケーションのアクセス保護

リフト＆シフトとクラウド ネイティブのどちらのアプリケーションであるかに関係なく、適切な社内ユーザーだけを対象に、シンプルで保護されたアプリケーション アクセスを提供したいと、システム管理者やデベロッパーは考えています。

先月開催された Google Cloud Next '17 において、私たち Google は Cloud Identity-Aware Proxy（Cloud IAP）のベータ版をリリースしました。Cloud IAP は、ユーザーの ID を確認したうえでアプリケーションへのアクセスを認めるかどうかを判断し、Google Cloud Platform 上のクラウド アプリケーションへのアクセスを制御します。

Cloud IAP はお客様のアプリケーションのインターネット フロントエンドとして機能するため、これを利用すると、アプリケーションに対するグループ ベースのアクセス制御、TLS 終端、Cloud IAP の基礎となっている Google Cloud Load Balancer による DoS 防御のメリットが得られます。ユーザーとデベロッパーは、インターネットのパブリック URL としてアプリケーションにアクセスし、VPN クライアントの起動や管理は不要です。

Cloud IAP を導入すれば、デベロッパーはアプリケーションのカスタム コード開発に専念できます。あとは、アプリケーションを選択し、アクセス リストにユーザーとグループを追加してアプリケーションをデプロイするだけで、強力な不正アクセス保護機能が働きます。その他のことは Google に任せておけばよいのです。

Cloud IAP の実際

一方、デベロッパーは、HTTPS ウェブ アプリケーションを記述し、Cloud Load Balancer の背後のインターネットにそれをデプロイします。Cloud Load Balancer は、ID チェックとアクセス ポリシーの適用のためのリクエストを Cloud IAP に渡します。ユーザーがまだサインインしていない場合は、ポリシーの適用前に、サインインを求めるプロンプトが表示されます。

よりセキュアにアプリケーションにアクセスできる高速かつ信頼性の高い手段が必要なら、Cloud IAP は最適です。もはや VPN の壁に囲まれた庭にアプリケーションを隠す必要はありません。セキュリティは Cloud IAP に任せておき、デベロッパーにはもっと得意な仕事をしてもらいましょう。貴重な企業データの保護が強化され、セキュリティ チームも安心できます。

Cloud IAP は、Google の BeyondCorp に書かれているコンテキストを意識したセキュアなアクセスを実現するツール スイートの一部です。Security Key Management 機能で提供されるフィッシング攻撃防御で Cloud IAP を補完することも、ぜひ検討してください。

Cloud IAP の料金

* この投稿は米国時間 4 月 17 日、Product Manager である Ameet Jani によって投稿されたもの（投稿はこちら）の抄訳です。

- By Ameet Jani, Product Manager