Google Cloud Platform Japan 公式ブログ: Security & Identity

コンテナのセキュリティ（第 3 回）: Grafeas で管理するコンテナイメージのメタデータ

2018年6月12日火曜日

編集部注 : コンテナのセキュリティをテーマとする連載の第 3 回目です。Google とパートナー数社が発表した GrafeasGrafeas

“Build” メタデータは、ビルドポリシーに従ってコンテナイメージをビルドしたことの証明に使用できます。ビルドには、チェックインされたソースコードを持つ信頼性の高いビルダを使用します。

“Package Vulnerability” メタデータは、脆弱性スキャンサービスの情報を含んでおり、脆弱性を抱えたコンテナのデプロイポリシーを策定するのに役立ちます。

“Image Basis” メタデータは、コンテナの元になったベースイメージと、コンテナイメージ構築時に使われた追加レイヤの情報を含んでいます。

“Package Manager” メタデータは、コンテナイメージにどのパッケージがインストールされているかを示します。

“Deployment History” メタデータは、どのリソースがいつデプロイされたかを突き止めるのに使用できます。

Kubernetes Admission ControlleroccurrencesResponse := grafeas.ListOccurrencesResponse{} imageUrl := "https://gcr.io/myproject/name@sha256hash" hasFixableVulnerability := false // Iterate through occurrences looking for vulnerability occurrences for this image for _, occurrence := range occurrencesResponse.Occurrences { resourceUrl := occurrence.ResourceUrl if imageUrl != resourceUrl && occurrence.Kind != grafeas.Note_PACKAGE_VULNERABILITY { continue } details := occurrence.GetVulnerabilityDetails() issues := details.GetPackageIssue() // This vulnerability is fixable, we should not insert an attestation for _, i := range issues { if i.FixedLocation != nil { hasFixableVulnerability = true } } } // If there are no fixable vulnerabilities, create an attestation occurrence if !hasFixableVulnerability { occ := &grafeas.Occurrence{ ResourceUrl: imageUrl, NoteName: "projects/vulnerabilty-certification/notes/vuln-free", Details: &grafeas.Occurrence_AttestationDetails{ AttestationDetails: &grafeas.AttestationAuthority_AttestationDetails{ Signature: &grafeas.AttestationAuthority_AttestationDetails_PgpSignedAttestation{ PgpSignedAttestation: &grafeas.PgpSignedAttestation{ Signature: "MySignature", ContentType: grafeas.PgpSignedAttestation_SIMPLE_SIGNING_JSON, KeyId: "ThisIsMyKeyId", }, }, }, }, } req := grafeas.CreateOccurrenceRequest{Occurrence: occ} }Kelsey Hightower 執筆のチュートリアル Grafeas を活用して 50 万のコンテナイメージを管理している Shopify

コンテナはいつ作成されたか

コンテナ内でどのようなコードが実行されているか

コンテナは誰が作成したのか

実行中のコンテナはどこに配置されているのか

コンテナに既知の脆弱性は存在するのか、存在する場合はコンテナを本番環境から取り除き、交換しなければならないのか

Grafeas コミュニティにご参加を！in-totoGrafeas のコミュニティ* この投稿は米国時間 4 月 12 日、Shopify の Security Engineer である Felix Glaser と、Google Container Registry の Software Engineer である Wendy Dembowski によって投稿されたもの（投稿はこちら）の抄訳です。- By Felix Glaser, Security Engineer, Shopify; and Wendy Dembowski, Software Engineer, Google Container Registry

Google Cloud データベースセキュリティのベストプラクティス

2018年6月12日火曜日

Google Cloud Platform 最初に考慮すべきことGoogle のマネージドストレージサービスセキュリティモデル共有責任PCI SAQ A アクセス制御VPC（Virtual Private Cloud）ファイアウォールルールForseti SecurityGoogle Compute EngineCloud KMS（Key Management Service）

データのセキュリティHIPAAPCIGDPRSOX盗難防止タグ優れた災害復旧計画構成、設定長くて複雑サービスアカウントCloud IAMユーザーが知る必要のある部分だけStackdriver

Cloud Functions ウェブフックアラートポリシーchownchmod複数のツールUbuntu の AppArmor アプリケーションで考慮すべきことGoogle の暗号化 SQL プロキシ

こちらのソリューションガイドサニタイズ自己ホストデータベースで問題になること

物理的にセキュアUbuntuRed Hat設定管理さまざまな製品できる限りハードニングすべき組織としてのセキュリティNIST 発行の 2017 Digital Identity Guidelines 参考文献

OWASP Secure Configuration Guide

OS 固有ハードニングガイド

データベース固有ハードニングガイド

2017 NIST Digital Identity Guidelines

* この投稿は米国時間 4 月 11 日、GCP Solutions Architect の Ian Maddox によって投稿されたもの（投稿はこちら）の抄訳です。- By Ian Maddox, GCP Solutions Architect

ゲスト投稿 : PCI DSS 準拠の e コマースサイトを GCP でスムーズに構築した Oro

2018年5月25日金曜日

編集部注 : Google では最近セキュリティ関連の発表を相次いで行っており、本稿でもセキュリティをテーマにした Oro, Inc. からの投稿を紹介します。Google Cloud Platform 上で e コマースサービスの OroCommerce を運営している同社は、意外なほど簡単かつ短期間で PCI DSS コンプライアンスに準拠できたことに満足しています。同社の情報セキュリティ責任者にそのプロセスを説明していただいたので、ご一読ください。PCI DSSOroOroCommerceGoogle Cloud Platform

PCI DSS 準拠インフラストラクチャの構築

サービス構築で使用するプラットフォームは PCI DSS に準拠していなければなりません。これは、コンプライアンス認証のための直接的な要件です。

プラットフォームは、セキュアなネットワークの構築に必要なツールと方法を提供していなければなりません。

共同責任

Virtual Private CloudCloud Identity and Access ManagementCompute EngineStackdriver MonitoringLoggingBigQuery* この投稿は米国時間 4 月 4 日、Oro Inc. の Information Security Officer である Sergiy Fakas によって投稿されたもの（投稿はこちら）の抄訳です。- By Sergiy Fakas, Information Security Officer, Oro Inc.

コンテナのセキュリティ（第 2 回）: ノードイメージとコンテナイメージ

2018年5月24日木曜日

編集部注 : コンテナのセキュリティをテーマにした連載の第 2 回目です。Google Kubernetes EngineGoogle Cloud Platform

ノードイメージ : Container-Optimized OS か Ubuntu

コンテナイメージ : すぐに利用できる Debian と Ubuntu のイメージが Google Container Registry にあります。もちろん、独自イメージも導入可能です。

ノードイメージ : Container-Optimized OS（COS）Container-Optimized OS（COS）Chromium OS

最小限の OS フットプリント : COS は GCP 上でのコンテナ実行に最適化されており、実行をサポートするうえで絶対に必要な機能とパッケージだけに絞り込まれています。コンテナが自らの依存コードをパッケージングしているため、攻撃面が大幅に縮小するとともにパフォーマンスが向上しています。

読み出し専用の rootfs : COS のルートファイルシステム（rootfs）は読み出し専用でマウントされています。しかも、そのチェックサムはカーネルブートのたびにチェックされます。rootfs が改竄されていればカーネルはブートしません。また、他のいくつかのマウントがデフォルトで実行不能に設定されています。

ステートレスなシステム構成 : rootfs が読み出し専用なのはセキュリティ的には都合がよいことですが、そのままではシステムは実用上使い物になりません（たとえば、システムログインのためにユーザーを作成、追加できなければ困ります）。そこで私たちは、rootfs をカスタマイズして、/etc をステートレスにしました。そうすれば、起動時に設定を書き込めるようにしつつ、リブート時に設定が残らないようにすることができます。つまり、COS ノードはリブートのたびにクリーンな状態で起動します。ユーザーのホームディレクトリ、ログ、Docker イメージなどは rootfs の一部ではないので、リブート後も永続化されます。

セキュリティが強化されたカーネル : COS には、Chromium OS Linux Security Module（LSM）の一部機能など、セキュリティ強化を目的としたカーネル機能が複数組み込まれています。たとえば、LoadPin（Chromium OS の LSM の 1 つ）と読み出し専用 rootfs、rootfs チェックの組み合わせにより、カスタムカーネルモジュールのロードによるカーネルの改竄を防ぐことができます。また、IMA、AUDIT、APPARMOR などの Linux 機能は、セキュリティポリシーの裏をかいて何かを隠すことを難しくします。

セキュリティを第一に考えたデフォルト : COS は、いくつかの機能に適切なデフォルト値を提供することでセキュリティを強化しています。ptrace や非特権ユーザーの bpf を無効にする sysctl 設定、ロックダウンされたファイアウォールなどがそれです。このような適切なデフォルトを自動的にインスタンスに適用することは、クラスタ / プロジェクト / 組織全体のセキュリティ強化にとって大きな意味があります。

自動アップグレード : COS の自動更新機能により、実行中の VM に対してタイムリーにセキュリティパッチを送信できます。Kubernetes Engine が管理する COS でノードの自動アップグレード機能を有効にすると、セキュリティと安定性をバランスよく確保できます。

Google 社内でのソースからのビルド : COS の各パッケージは、Linux カーネル自体を含め、Chromium OS コードリポジトリのソースからビルドされます。そのため、OS に何が組み込まれ、誰がそれをチェックインし、どのバージョンからそれが導入されているかを正確に把握できます。脆弱性が見つかったときには、どのレベルであっても、すぐにパッチを適用し、パッケージを更新することができます。

脆弱性の継続的なスキャンと対策 : OS のコンポーネントに脆弱性が見つかったときは CVE スキャニングシステムがアラートを発します。脆弱性が見つかると、COS チームは、パッチを適用したリリースをお客様に提供することを最優先にして対策を講じます。また、Google のインシデント対策チームと協力して、セキュリティパッチが COS に迅速に組み込まれるように手配します。たとえば Spectre / Meltdown 脆弱性の場合、Google Cloud では脆弱性の公表前にパッチ適用済みの COS が使用可能でした。

テストと品質保証のプロセス : 新しい COS イメージは、syzkaller によるカーネルのファズテスト、クラスタレベルの Kubernetes テスト、複数のパフォーマンスベンチマークなど、さまざまなレベルで徹底的にテストされてから Google Cloud に送られます。このようにして、リリースの安定性と品質が確保されています。

COS のセキュリティドキュメントコンテナイメージ : Debian と Ubuntuセキュリティ上の観点から言えば、どちらのコンテナイメージを使用するかは重要ではありません。大切なのは、定期的にスキャンして既知の脆弱性を見つけ出すことです。

Debian は Google Container Registry から入手可能

Ubuntu は Google Container Registry から入手可能

* この投稿は米国時間 4 月 5 日、Container-Optimized OS の Software Engineer である Aditya Kali と、Cloud Container Tools の Software Engineer である Dan Lorenc によって投稿されたもの（投稿はこちら）の抄訳です。- By Aditya Kali, Software Engineer, Container-Optimized OS and Dan Lorenc, Software Engineer, Cloud Container Tools

コンテナのセキュリティ（第 1 回）: 3 つの主要領域

2018年5月18日金曜日

Google Cloud PlatformGoogle Kubernetes Engine

コンテナネットワークのセキュリティ

Kubernetes Engine 1.10 の新しいセキュリティ機能

イメージのセキュリティ

コンテナソフトウェアサプライチェーン

コンテナの実行時セキュリティ

マルチテナンシー

インフラストラクチャのセキュリティ ―― プラットフォームはコンテナに必要なセキュリティ機能を提供しているか？ : ユーザー ID、シークレット、およびネットワークを Kubernetes のセキュリティ機能を使って保護する方法です。Google が有する最良のセキュリティ機能でワークロードを保護するにあたり、Kubernetes Engine が IAM や監査ログ、ネットワーキングといった GCP のネイティブ機能をどのように使用しているかということです。

ソフトウェアサプライチェーンのセキュリティ ―― コンテナイメージは安全にデプロイできるようになっているか？ : コンテナイメージから脆弱性を取り除き、作成したイメージがデプロイの前に書き換えられないようにすることです。

実行時のセキュリティ ―― コンテナを安全に実行できるか？ : 本番環境で悪意に満ちた動きをしているコンテナを見つけ出し、ワークロード保護のために対策を講じることです。

インフラストラクチャのセキュリティ

ID 確認、認証、認可 : コンテナにおいてユーザーの ID を明らかにしてもらい、それが事実であることを確認し、そのユーザーの権限を管理するにはどうすればよいのでしょうか。

Kubernetes では、kubelet などのリソースへのアクセスを制御するために、RBAC（Role-Based Access Control）できめ細かく権限を指定できます（Kubernetes 1.8 以降、RBAC はデフォルトで有効）。
Kubernetes Engine ではプロジェクトレベルでの Kubernetes リソースへのアクセス権限を IAM で制御できます。特定のクラスタにおける Kubernetes リソースへのアクセス制限では RBAC も使用できます。

ロギング : コンテナに対する変更はどのようにしてロギング、監査できるのでしょうか。

Kubernetes では Audit Logging が自動的に API の監査ログを取得します。イベントがメタデータ、リクエスト、リクエストへのレスポンスのいずれであるかに基づいて、ロギングを設定できます。
Kubernetes Engine は Cloud Audit Logging と統合されており、Stackdriver Logging や GCP コンソールのアクティビティ画面で監査ログを表示できます。監査対象となることが多い操作はデフォルトでロギングされ、表示やフィルタリングが可能です。

シークレット : Kubernetes はどのようにしてシークレットを格納し、コンテナ化アプリケーションはどのようにしてそれにアクセスするのでしょうか。

Kubernetes ではシークレットは etcd に格納され、アプリケーション層で暗号化できます。
Kubernetes Engine でもシークレットは etcd に格納されますが、データはデフォルトではストレージ層で暗号化されます。Kubernetes Engine は現在、アプリケーション層でシークレットを暗号化していません。

ネットワーキング : ネットワーク内のコンテナをどのようにセグメント化し、どのようなトラフィックフローを許可すべきでしょうか。

Kubernetes ではネットワークポリシーを使ってポッドネットワークのセグメント化の方法を指定できます。ネットワークポリシーは、特定のポッドが通信できるポッドとエンドポイントを定義します。
Kubernetes Engine ではクラスタ全体に対してネットワークポリシーを作成、管理できます。また、現時点ではベータですが、プライベート IP だけでマスターとノードを定義する限定公開クラスタも作成できます。

ソフトウェアサプライチェーンのセキュリティ

コンテナを実行するホスト OS

コンテナイメージとコンテナの実行に必要なすべての依存ファイル。必ずしも自分で構築したイメージではないことに注意が必要です。Docker Hub のようなパブリックリポジトリのコンテナイメージも含まれます。

コンテナ内で実行されるアプリケーションコード本体。これはコンテナセキュリティの範囲外ですが、ベストプラクティスに従い、既知の脆弱性をスキャンする必要があります。セキュリティ脆弱性の観点からコードを必ず見直すとともに、脆弱性を見つけ出すためにファジングなどの高度なテクニックの導入も検討してください。OWASP Top 10 ウェブアプリケーションセキュリティリスクは、何を避けるべきかを知るうえで役に立つサイトです。

実行時のセキュリティ

システムコールやネットワーク呼び出し、その他の情報を活用し、基準から外れた異常な動作を検出すること

たとえば、別のネットワークへのコンテナの分離、コンテナの一時停止もしくは再起動による潜在的な脅威の修復

イベント発生時の詳細なログやコンテナイメージによるイベントの原因、状況の特定

環境内で認められる動作の種類の実行時ポリシーと分離による限定化

コンテナは強力なセキュリティ境界ではないGoogle Cloud Platform プロジェクトこちらのホワイトペーパー* この投稿は米国時間 3 月 29 日、Security & Privacy の Product Manager である Maya Kaczorowski によって投稿されたもの（投稿はこちら）の抄訳です。- By Maya Kaczorowski, Product Manager, Security & Privacy

Cloud Security Command Center で GCP 環境をモニタリング

2018年5月8日火曜日

Cloud Security Command CenterAlpha発表Google Cloud Platform

Cloud SCC は、1 つの集中管理ダッシュボードにセキュリティ情報を集約します

クラウドサービスとリソースを可視化

Cloud SCC は、組織レベルとプロジェクトレベルでクラウド資産を幅広く可視化します

Google と主要パートナーから得られるセキュリティの強力なインサイトを活用Google ツールとの連携による検出DLP APIForseti

Cloud SCC のこれらのビューは、オープンソースの GCP セキュリティツールキット Forseti が検出した権限の変更を示しています

ビルトイン型の異常検知機能により、お客様のクラウド環境に対する脅威を特定できます

この Cloud SCC “カード” は、DLP API で検出された機密データを示しています　　　　　

セキュリティパートナー製品との連携による検出オープンで柔軟なプラットフォームを活用Cloud SCC を今すぐお試しくださいドキュメントお申し込み* この投稿は米国時間 3 月 27 日、Senior Product Manager の Andy Chang によって投稿されたもの（投稿はこちら）の抄訳です。- By Andy Chang, Senior Product Manager

Cloud Armor : インターネットに接続されたサービスを DDoS 攻撃から防御

2018年5月7日月曜日

CEO Security ForumGoogle Cloud Armor規模の経済

「最大規模の攻撃を受け止めるには、50 万本の YouTube 動画を同時に、かつ HD 品質で視聴するのと同じ帯域幅が必要になります。」
— Damian Menscher 博士、Google の DDoS 防御担当
Google Cloud Platformグローバル HTTP（S）負荷分散インフラストラクチャへの DDoS 攻撃に対するビルトイン防御「私たちはいくつかの業界団体と密接に協力して新手の脅威を追跡しており、それによって私たち自身と他の人々を保護しています。さらに、頻繁に標的として狙われる krebsonsecurity.com のようなサイトをホストしています。新しい攻撃の手口をいち早く把握するためです。そうすることで、それらが蔓延する前に防御を設計し、ボットネットを解体できます。」
— Damian Menscher 博士、Google の DDoS 防御担当
Cloud Armor : ポリシードリブンの大規模なアプリケーション防御を実現

「Cloud Armor は、Google がどのように包括的かつ多層的なセキュリティ防御戦略のイノベーションを起こし続け、ネットワークエッジで管理できる機能豊富なセキュリティ制御レイヤを提供しているかを示す好例です。」
— Matt Hite 氏、Evernote のネットワークエンジニア
Cloud Armor の機能

HTTP（S）負荷分散により、インフラストラクチャへの DDoS 攻撃からサービスを守る。

セキュリティポリシーを構成し、ルールとその評価順序を指定する。

トラフィックの許可、ブロック、プレビュー、ロギングを実施する。

IPv4 および IPv6 トラフィックの IP ホワイトリストおよびブラックリストを運用する。

高度なルール言語を使ってカスタムルールを作成し、これを適用することで、レイヤ 3 および HTTP（S）リクエストパラメータの任意の組み合わせに基づいて、該当するトラフィックを見つけ、そのトラフィックを許可またはブロックする（アルファリリース）。

地理ベースの制御と、SQL インジェクション（SQLi）攻撃やクロスサイトスクリプティング（XSS）攻撃に対するアプリケーション固有の防御を実現する（アルファリリース）。

Cloud Armor のセキュリティポリシーフレームワーク

Cloud Armor のルール言語（アルファリリース）

こちらのフォームブロックおよび許可されているトラフィックの可視化

パートナーエコシステムこちら今すぐお試しを！Cloud Armor のウェブサイトフィードバック* この投稿は米国時間 3 月 26 日、Cloud Networking の Product Manager である Prajakta Joshi によって投稿されたもの（投稿はこちら）の抄訳です。- By Prajakta Joshi, Product Manager, Cloud Networking

Kubernetes Engine 限定公開クラスタをベータリリース

2018年5月1日火曜日

Google Cloud PlatformGoogle Kubernetes EngineKubernetes Engine の限定公開クラスタGoogle Virtual Private CloudGoogle のマネージドサービスgcr.ioGoogle Cloud StorageGoogle BigQueryNAT ゲートウェイKubernetes Engine で限定公開クラスタを使用するIP エイリアス

# Create a Private Cluster with IP Alias auto-subnetwork) gcloud beta container clusters create --project=<project_id>> --zone= --private-cluster --master-ipv4-cidr= --enable-ip-alias --create-subnetwork=""</master_cidr_block></zone></project_id></cluster></code>マスター承認済みネットワーク今すぐお試しを！Kubernetes Engine 限定公開クラスタを作成最適な負荷分散に興味がある方へこちら* この投稿は米国時間 3 月 26 日、Google Cloud Networking の Product Manager である Ines Envid と Manjot Pahwa によって投稿されたもの（投稿はこちら）の抄訳です。- By Ines Envid and Manjot Pahwa, Product Managers, Google Cloud Networking

Cloud DLP API による機密データの厳重な管理

2018年4月26日木曜日

正式リリース機密性の高いワークロードでも使用できる対象サービス医療産業向けソリューションCloud Functions新しいチュートリアル1 GB までのデータ定義済み検出器とカスタム検出器による機密データの柔軟な特定

辞書 : 新しい機密データタイプを定義したり、定義済み InfoType を補完したりします。

正規表現パターン : 独自パターンを見つけて、機密データのデフォルトの可能性スコアを定義します。

検出ルール : 近隣のコンテキストに加えて、「銀行取引」や「納税者」、「パスポート」などのホットワードに基づき、可能性スコアを増減させるルールを定義して、カスタム辞書や正規表現パターンを強化します。

どこからでもデータをストリーミングストレージサービスにおけるネイティブな機密データ検出Cloud StorageCloud DatastoreBigQuery

定期的なスキャン : 毎日または毎週のスキャンジョブ実行のトリガリング。

通知 : ジョブを起動し、終了時に Cloud Pub/Sub 通知を受け取れるようにします。Cloud Functions を使ったサーバーレスワークロードで重要な意味を持ちます。

Cloud Security Command Center ^Alpha との連携。

SQL データ分析 : DLP スキャンの結果を、指定した BigQuery データセットに書き込み、SQL の機能を使ってスキャン結果を分析します。Google Data Studio でカスタムレポートを作成したり、指定したデータ可視化もしくは分析システムにデータをエクスポートしたりすることが可能です。

DLP スキャン結果の集計レポート

フリーテキストと構造化データの同時的なリダクションフルセットの非特定化ツール

変形タイプ

処理内容

置換

入力値を InfoType 名かカスタム値に置き換えます。

リダクション

値を除去することでリダクションします。

マスキングまたは部分マスキング

指定された数の指定された文字で入力値を置き換え、一部または全部をマスキングします。

暗号化ハッシュによる仮名化

指定された暗号鍵で生成された文字列で入力値を置き換えます。

フォーマット保持トークンによる仮名化

FFX モード操作による FPE（フォーマット保持暗号化）を使用して、同じ長さのトークンもしくはサロゲート値で入力値を置き換えます。

バケッティング

“バケット”、もしくは入力値が収まる範囲で入力値をマスキングします。

日時データ抽出

日付やタイムスタンプの一部を抽出もしくは保存します。

k- 匿名性、l- 多様性による再特定化リスクの計測k- 匿名性

データセットに含まれる特定可能な個人を k- 匿名性で検出

クラウドエコシステムにおけるワークロードと DLP API の連携

DLP テンプレート : テンプレートを使えば、データをどのように検査し、変形するかを定義して保存することができます。あとは、API 呼び出しやワークロードでそのテンプレートを参照するだけです。テンプレートは、新しい API 呼び出しやコードをデプロイし直さなくても更新できます。

トリガー : たとえば毎日、毎週、毎月といった形で定期的にデータをスキャンするジョブをセットアップできます。

アクション : 大規模なスキャンジョブが終了したときに Cloud Pub/Sub で通知を送るように DLP API を設定できます。これは、サーバーレス、イベント駆動型のエコシステムで機能する堅牢なシステムを構築するうえですばらしい方法です。

Cloud Security Command CenterAlphaAlphaこちら

DLP API と Cloud SCC を連携させれば、GCP 内にある機密データ関連のリスクを検出できる

* この投稿は米国時間 3 月 23 日、GCP Product Management の Scott Ellis によって投稿されたもの（投稿はこちら）の抄訳です。- By Scott Ellis, GCP Product Management

より高い透明性の確保のために - Access Transparency

2018年4月20日金曜日

MIT Sloan Management Review の調査Google Cloud Audit LoggingGoogle Cloud Platform 可視性を高める Access Transparency

業界をリードするデータ保護管理お客様との契約上の義務を果たすために必要な場合 Access Transparency を試すにはこちらの登録フォームこちらのドキュメントSAP のウェブサイト* この投稿は米国時間 3 月 22 日、Product Manager の Joseph Valente によって投稿されたもの（投稿はこちら）の抄訳です。- By Joseph Valente, Product Manager

GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法

2018年4月19日木曜日

Google Cloud Platform 1. VPC Service Controls ^Alpha で機密データを秘匿VPC Service Controlsお申し込み 2. Cloud Security Command Center ^Alpha でデータとアプリのリスクを把握Cloud Security Command CenterForsetiお申し込み 3. Access Transparency による透明性の向上こちらのページ 4. Cloud Armor で DDoS 攻撃を防ぐインフラストラクチャへの DDoS 攻撃に対するビルトイン防御グローバル HTTP（S）負荷分散ドキュメント 5. DLP API による機密データの発見、分類、編集ドキュメント 6. あらゆるユーザー、あらゆるデバイスからクラウドアプリへの簡単かつ安全なアクセスを実現する Cloud Identity発表ドキュメント 7. FedRAMP 認定により、GCP のセキュリティメリットを米国の連邦および州政府、地方自治体が享受可能にFedRAMP Package Access Request Form 8. セキュリティパートナーシップの新展開こちらのブログ記事

Dome9 : Payment Card Industry Data Security Standard（PCI DSS）に対応したコンプライアンステストスイートを開発し、Dome9 Compliance Engine で提供しています。

Rackspace : Rackspace Managed Security は、GCP でフルマネージドのセキュリティサービスを企業に提供しています。

RedLock : RedLock Cloud 360 Platform は、脅威防御を実現するクラウド型のセキュリティおよびコンプライアンスソリューションです。Google Cloud 環境の可視性や管理を向上させます。

Google Cloud ブログG Suite ブログConnected Workspaces ブログ* この投稿は米国時間 3 月 21 日、GCP Security and Privacy の Director of Product Management である Jennifer Lin によって投稿されたもの（投稿はこちら）の抄訳です。- By Jennifer Lin, Director of Product Management, GCP Security and Privacy

Google Cloud のセキュリティパートナーシップを拡充

2018年4月18日水曜日

こちらの投稿Auth0Check PointCloudflareDome9FortinetGoogle Cloud PlatformPalo Alto NetworksQualysRackspaceRedLockStackRoxSumo Logicこちらのページ* この投稿は米国時間 3 月 21 日、Head of Security Partnerships の Vineet Bhan と、Technical Program Manager の Ashish Verma によって投稿されたもの（投稿はこちら）の抄訳です。- By Vineet Bhan, Head of Security Partnerships and Ashish Verma, Technical Program Manager

フローで学ぶ Cloud IAM

2018年3月23日金曜日

Google Cloud PlatformCloud Identity and Access Management

ドキュメントを読むCloud IAM のドキュメントベストプラクティスのガイダンス役割について試してみる概要GCP ポリシーに関するチュートリアル要件を IAM にマッピングGCP Console実装ユーザーとグループを作成するGoogle アカウントGoogle グループ階層を理解するすべての GCP リソースをグループ化

組織レベルフォルダレベルプロジェクトレベル役割について機能的役割もしくはプロダクト固有の役割を定義するネットワーキング課金Cloud Storage の特定のバケットBigQuery のデータセットCloud Pub/Sub のトピックやサブスクリプションカスタムロールを定義するIAM 権限の変更ログIAM ポリシーを定義するCloud IAM ポリシーを定義する{ "bindings": [ { "role": "roles/owner", "members": [ "user:alice@example.com", "group:admins@example.com", "domain:google.com", "serviceAccount:my-other-app@appspot.gserviceaccount.com"] }, { "role": "roles/viewer", "members": ["user:bob@example.com"] } ] }IAM ポリシーをテストするprojects.setIamPolicy メソッドのページForseti SecurityIAM Explainバージョン管理を使う

純粋な JSON として記述する

サポートされている言語の API を利用する

Cloud Deployment Manager を利用し、宣言テンプレートとして記述する

Terraform などのオープンソースツールを使用する

Cloud Source Repositoriesポリシーを適用するAPIGCP ConsoleCloud Deployment ManagerTerraform適用API次のステップCloud Audit Logging* この投稿は米国時間 3 月 8 日、Cloud Solutions Architect の Grace Mollison によって投稿されたもの（投稿はこちら）の抄訳です。- By Grace Mollison, Cloud Solutions Architect

Google Cloud Platform Japan Blog

コンテナのセキュリティ（第 3 回）: Grafeas で管理するコンテナイメージのメタデータ

Google Cloud データベースセキュリティのベストプラクティス

ゲスト投稿 : PCI DSS 準拠の e コマースサイトを GCP でスムーズに構築した Oro

コンテナのセキュリティ（第 2 回）: ノードイメージとコンテナイメージ

コンテナのセキュリティ（第 1 回）: 3 つの主要領域

Cloud Security Command Center で GCP 環境をモニタリング

Cloud Armor : インターネットに接続されたサービスを DDoS 攻撃から防御

Kubernetes Engine 限定公開クラスタをベータリリース

Cloud DLP API による機密データの厳重な管理

より高い透明性の確保のために - Access Transparency

GCP サービスとデータの保護、管理を支援するセキュリティの新しい方法

Google Cloud のセキュリティパートナーシップを拡充

フローで学ぶ Cloud IAM

12 か月間のトライアル

Labels

Archive

Feed

Company-wide

製品・サービス

デベロッパー