コンテンツに移動
Cloud
ブログ
お問い合わせ 無料で開始
Cloud
ブログ
お問い合わせ 無料で開始
Google Cloud

Cloud OnAir 番組レポート : Google Cloud でセキュアにアプリケーションを開発しよう

2019年3月14日
Google Cloud Japan Team

Cloud OnAir は、Google Cloud の製品をわかりやすく解説し、最新の情報などをいち早く皆様にお伝えする Online 番組です。

3 月 7 日の放送は、「Google Cloud でセキュアにアプリケーションを開発しよう」がテーマです。クラウド化において最も懸念されるものの 1 つがセキュリティです。Google Cloud におけるセキュリティの考え方と、お客様のアプリケーションやデータを安全かつ適切に開発、運用するための実践的な手法を番組でご紹介します。今回は、権限管理、アプリケーション、データインフラについて、デモも交えながら、Google Cloud で提供するサービスや機能を解説します。

権限管理

最初に紹介するサービスが Identity and Access Management(IAM)です。グループを使って 役割を管理すること、それぞれの役割に対して権限を割り当てる際に利用します。関連する機能が、Cloud IAM Conditions です。この機能を使用すると、Google Cloud Platform(GCP)リソースに対して条件付きの属性ベースのアクセス制御を定義して適用できます。すなわち、構成条件が満たされている場合にのみ、ID(メンバー)に権限を付与できます。たとえば、本番環境に関する問題が発生した場合、ユーザーに対して一時的なアクセス権を構成したり、本社の従業員に対してリソースへのアクセスを制限したりできます。

セキュアなアプリケーションを作る

ここで紹介するサービスや機能は以下の通りです。
  • Cloud Firewall Rules :指定した構成に基づいて、仮想マシン(VM)インスタンスとの間のトラフィックを許可または拒否できます。  
  • Shielded VMs : rootkit や bootkit なども防御するセキュリティコントロールにより堅牢化された仮想マシンです。
  • Container Optomized OS : Chromium OS ベースで作られた Compute Engine や Kubernetes Engine(GKE)で利用可能なセキュアで軽量な OS です。
  • Container Registry 脆弱性スキャン  : コンテナイメージのパッケージに存在する脆弱性を識別。Ubuntu、Debian、Alpine のパッケージにある脆弱性を特定します。
  • Binary Authorization : 信頼されたコンテナイメージのみを GKE 上にデプロイすることを保証するセキュリティコントロール機能です。
  • Identity-Aware Proxy(IAP) : ID とコンテキストを使用して、アプリケーションや VM へのアクセスを保護。当該ユーザが権限を持っていた場合にリソースへのアクセスを許可します。
  • Container Identity for Customers and Partners : サードパーティの Identity を使った認証を、アプリケーションに簡単に組み込むことができます。
  • Cloud Armor  : サービス拒否攻撃やウェブ攻撃からサービスを保護します(関連資料: Cloud Armor : インターネットに接続されたサービスを DDoS 攻撃から防御)。

データインフラを保護する

データインフラをセキュアにするため、ここでは VPC 内フローログ、監査ログ、暗号鍵の持ち込みと管理、データの不正利用や漏洩防止について関連サービスや機能を紹介します。
  • VPC Service Controls : Google Cloud Storage や BigQuery、Cloud Bigtable など、API ベースの GCP サービスに保存されたデータにセキュリティ境界を作成します。セキュリティ境界は、ID の盗難、IAM ポリシーの誤構成、悪意ある内部者、侵害された仮想マシンによるデータ漏洩リスクの軽減に役立ちます(関連資料:GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法)。
  • Cloud Key Management Service : オンプレミス型と同じ方法でクラウド サービスの暗号鍵を管理できます。Cloud KMS を使用すれば、Google Cloud Platform に保存するシークレットや機密データを保護できます。
  • Stackdriver : サービス、コンテナ、アプリケーション、インフラストラクチャのモニタリングを管理します。フローログは Stackdriver Logging で表示できます。また、複数の監査ログも参照可能です。これらのログは Stackdriver Logging からエクスポートして、Google Cloud Storage に長期保存することもできます。

VPC Service Controls については、デモもあわせてご覧ください。

https://storage.googleapis.com/gweb-cloudblog-publish/images/pasted_image_0_1.max-500x500.png

2019 年 3 月 7 日放送  Google Cloud でセキュアにアプリケーションを開発しよう

番組で説明した資料はこちらで公開しています。

https://storage.googleapis.com/gweb-cloudblog-publish/images/cloud-onair-google-cloud-201937-1-638.max-700x700.jpg
[Cloud OnAir] Google Cloud でセキュアにアプリケーションを開発しよう 2019年3月7日 放送 from Google Cloud Platform - Japan

Cloud OnAir では、各回 Google Cloud のエンジニアがトピックを設け、Google Cloud の最新情報を解説しています。過去の番組、説明資料、さらには視聴者からの質問と回答はこちらよりご覧いただけます。 最新の情報を得るためにもまずはご登録をお願いします。

投稿先
関連記事
https://storage.googleapis.com/gweb-cloudblog-publish/images/global_2022.max-700x700.jpg
Google Cloud

ChromeOS、Android における日本語環境の改善 vol.2

執筆者: Google Cloud Japan Team • 所要時間: 3 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/hero_image_sapporo_horizontal.max-700x700.jpg
Public Sector

札幌市と Google Cloud のデジタル改革に向けた戦略的提携について

執筆者: Google Cloud Japan Team • 所要時間: 1 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Parnter-Tech-Blog-Challenge_1.max-700x700.jpg
Partners

Google Cloud Partner Tech Blog Challenge の 2023 年度受賞者発表

執筆者: 齋藤 豪 • 所要時間: 7 分

https://storage.googleapis.com/gweb-cloudblog-publish/images/Keyword_Social_-_1920x1080.width-1300.max-700x700.png
AI & Machine Learning

Gemini 時代の新たな一歩

執筆者: Google Cloud Japan Team • 所要時間: 2 分