411 Views
December 26, 23
スライド概要
Jagu’e’r はじめてラウンジ × 人材育成分科会 コラボ Meetupで使用した発表資料
https://jaguer.jp/beginner-nurturing/
SIerでクラウドの導入支援してるエンジニア。クラウドや機械学習に興味があってコツコツと勉強しています。発言は個人の見解であり所属する組織の公式見解ではありません。 kaggle:http://kaggle.com/kkmax1015 Atcorder:https://atcoder.jp/users/kkmax
Google Cloudで 発見的統制ツール を作った話
自己紹介 ■所属 株式会社野村総合研究所 マルチクラウドインテグレーション事業部 DX事業推進部 ■パブリッククラウド歴 AWS:1年くらい Google Cloud:10か月くらい ■好きなGoogle Cloudのサービス Cloud Asset Inventory Kotaro Kamata (鎌田 康太郎) ■格言・座右の銘 無駄なことを考えて無駄なことをしないと 伸びない(By イチロー)
普段のお仕事
CCoEとしてセキュリティ対策を支援 社内のプロジェクトに対し、セキュリ ティ面の統制支援をやっています。 代わりにセキュリティ の設定を監理するよ! 忙しくて手が回らな いよ!!! • • クラウドセキュリティを監理 セキュリティ運用を支援
今日お話しすること →発見的統制をツールを作った話
発見的統制とは?? • 予防的統制 セキュリティインシデ ントに繋がる行為を予 め防止する。 • 発見的統制 意図しない操作などに より生じたセキュリ ティの潜在的な脅威を 発見する。 ◼ IAMで最小限の権限に絞る ◼ 組織ポリシーで一部の設定を 禁止する。 ◼ Cloud Monitoringでリスクの ある操作を検知するポリシー を設定する。
こんなものを作りました。 発見的統制ツール 監視先 Security Command Center 検知事項が発生した場合、 発見的統制ツールへ 通知を実施。 VPC-SC Ingres sルール Google Cloudプロジェクト Cloud Pub/Sub VPC-SC Google Cloud プロジェクト Cloud Logging Asset Inventory 検知事項が発生した場合、 発見的統制ツールへ通知 を実施。 Cloud Pub/Sub VPC Ingres sルール Egress ルール サーバーレス VPC アクセス コネクタ Cloud NAT SCC通知用 Functions ログシンク用 Functions Asset Inventory 用Functions Cloud Pub/Sub Cloud Scheduler 日次での設定 をチェック
どんなことを検知しているの? 社内のガイドラインに掲載されている項目。 CISベンチマークの項目が多め。 ⚫ Cloud Storageがを一般公開していないことをチェック ⚫ ファイアウォールが設定変更された場合に検知 ⚫ GKEでBinary Authorizationを有効にしているかをチェック など
どうやって作ったの? Security Command Center(SCC)の ドキュメントを見ながらせっせと作っていました。
どうやって作ったの? Security Command Center(SCC)の ドキュメントを見ながらせっせと作っていました。 SCCが具体的に何をチェックしてい るのか、ドキュメントで公開してくれ ている。
Q. SCCだけ使えば良いのでは?
SCCだけだとシンプル 監視先 Security Command Center 発見的統制ツール Pub/Sub Cloud Functions
SCCを活用したかったが。。。 Q. 何でSCCだけにしなかったの? A. Standard(無料)プランだと検知したい項目を 全てカバー出来なかった。 Q. SCC Premium(有料プラン)を使えば良いのでは? A. PoC用途で使うような環境には高価すぎた。 (以前は料金体系が定額のものしかなかった。) Q. SCC Premiumも従量課金で使えるよ? A. 一通り完成した後に発表された。使いたい。。。
自作して良かったこと ⚫ ランニングコストは割と安い。 →サーバーレス VPC アクセス コネクタが3000程 かかるが、その他はまとめても500円以下くらい。 ⚫ 脆弱な設定がそのままだと、継続してアラートを出せる。 →SCCは定期スキャンの結果を継続して通知をしてくれ ない仕様だった。(ダッシュボードは更新される。)
不便なこと ⚫ ダッシュボードがない。 →利用者からのニーズは高いが、現状作れていない。 (SCCはもちろんダッシュボードが用意されている。) ⚫ アラート抑止機能を別途考えなきゃいけない。 →一定期間、特定のアラートを抑止したい場面も 出てくるが、今は対応できていない。 (SCCならミュートルールを設定すれば良さそう。)
まとめ
まとめ ⚫ Google Cloudのサービスを使えば発見的統制ツールを 自作できる。 →Asset Inventoryの情報を見れば大抵の設定は 検知できる。とても助かる。 ⚫ でもSCC Premium使えるならそのほうが良いと思う。 → SCC Premiumの従量課金額が許容範囲内なら 使いたい。今後試算して比較してみます!
ありがとうございました!!!