GCP - Security Enum
Google Cloud Platform(GCP)セキュリティは、Google Cloud環境内のリソースとデータのセキュリティを確保するために設計された包括的なツールとプラクティスからなるもので、セキュリティコマンドセンター、検出とコントロール、データ保護、ゼロトラストの4つの主要セクションに分かれています。
セキュリティコマンドセンター
Google Cloud Platform(GCP)セキュリティコマンドセンター(SCC)は、GCPリソースのセキュリティとリスク管理ツールであり、組織がクラウド資産に対して可視性を得てコントロールを行うことを可能にします。包括的なセキュリティアナリティクスを提供し、脅威を検出して対応することで、ミス構成を特定し、セキュリティ基準に準拠し、他のセキュリティツールと統合して脅威の検出と対応を自動化します。
概要:セキュリティコマンドセンターの結果を視覚化するパネル。
脅威:[プレミアムが必要] 検出された脅威を視覚化するパネル。脅威について詳しくは以下を確認してください。
脆弱性:GCPアカウントで見つかったミス構成を視覚化するパネル。
コンプライアンス:[プレミアムが必要] このセクションでは、組織に対してPCI-DSS、NIST 800-53、CISベンチマークなどの複数のコンプライアンスチェックを実施できます。
アセット:使用されているすべてのアセットを表示するセクション。システム管理者(および攻撃者)にとって非常に便利で、実行中のものを1つのページで確認できます。
調査結果:GCPセキュリティの異なるセクションの調査結果を集約し、重要な調査結果を簡単に視覚化できます。
ソース:GCPセキュリティの異なるセクションの調査結果の要約をセクションごとに表示します。
姿勢:[プレミアムが必要] セキュリティポスチャは、GCP環境のセキュリティを定義、評価、監視することができます。 GCPのリソースを制御/監視する制約や制限を定義するポリシーを作成することで機能します。 https://cloud.google.com/security-command-center/docs/security-posture-overview?authuser=2#predefined-policy でいくつかの事前定義のポスチャテンプレートを見つけることができます。
脅威
攻撃者の視点からは、これが最も興味深い機能であり、攻撃者を検出できる可能性があります。ただし、この機能にはプレミアムが必要(つまり、企業は追加料金を支払う必要がある)ので、有効になっていない可能性があります。
3種類の脅威検出メカニズムがあります:
イベント脅威:Googleが内部で作成したルールに基づいてCloud Loggingからのイベントを一致させて生成された調査結果。また、Google Workspaceログをスキャンすることも可能です。
コンテナ脅威:コンテナのカーネルの低レベルの動作を分析した後に生成される調査結果。
カスタム脅威:企業が作成したルール。
両方のタイプの検出された脅威に対する推奨される対応策をhttps://cloud.google.com/security-command-center/docs/how-to-investigate-threats?authuser=2#event_responseで見つけることができます。
列挙
ポストエクスプロイテーション
pageGCP - Security Post Exploitation検出とコントロール
Chronicle SecOps: セキュリティオペレーションを高速化し、脅威の検出、調査、対応を支援する高度なセキュリティオペレーションスイート。
reCAPTCHA Enterprise: 人間のユーザーとボットを区別して、スクレイピング、資格情報詰め込み、自動攻撃などの不正活動からウェブサイトを保護するサービス。
Web Security Scanner: Google Cloudや他のウェブサービスでホストされているウェブアプリケーションの脆弱性や一般的なセキュリティ問題を検出する自動セキュリティスキャンツール。
Risk Manager: Google Cloudのリスクポジションを評価、文書化、理解するのに役立つガバナンス、リスク、コンプライアンス(GRC)ツール。
Binary Authorization: 信頼できるコンテナイメージのみがエンタープライズが設定したポリシーに従ってKubernetes Engineクラスタに展開されることを保証するコンテナ用のセキュリティコントロール。
Advisory Notifications: リソースを安全に保つための潜在的なセキュリティ問題、脆弱性、推奨されるアクションに関するアラートとアドバイザリを提供するサービス。
Access Approval: Googleの従業員がデータや構成にアクセスする前に明示的な承認を要求する機能で、追加の制御と監査可能性のレイヤーを提供。
Managed Microsoft AD: Google Cloud上で既存のMicrosoft AD依存アプリケーションやワークロードを使用できる管理されたMicrosoft Active Directory(AD)を提供するサービス。
データ保護
Sensitive Data Protection: 個人情報や知的財産などの機密データを未承認のアクセスや露出から保護するためのツールとプラクティス。
Data Loss Prevention (DLP): ディープコンテンツインスペクションを通じてデータの使用中、移動中、静止中の識別、監視、保護を行うためのツールとプロセスのセット。
Certificate Authority Service: 内部および外部のサービスのためのSSL/TLS証明書の管理、展開、更新を簡素化し自動化するスケーラブルで安全なサービス。
Key Management: 暗号キーの作成、インポート、ローテーション、使用、破棄を含むアプリケーションのための暗号キーを管理するクラウドベースのサービス。詳細は以下を参照:
Certificate Manager: SSL/TLS証明書の管理と展開を行い、ウェブサービスやアプリケーションへの安全で暗号化された接続を確保するサービス。
Secret Manager: APIキー、パスワード、証明書などの機密データの安全で便利なストレージシステムで、これらのシークレットをアプリケーションで簡単かつ安全にアクセスおよび管理できる。詳細は以下を参照:
ゼロトラスト
BeyondCorp Enterprise: 伝統的なVPNを必要とせずに内部アプリケーションへの安全なアクセスを可能にするゼロトラストセキュリティプラットフォームで、アクセスを許可する前にユーザーとデバイストラストを検証する。
Policy Troubleshooter: 管理者が組織内のアクセス問題を理解し解決するのを支援するツールで、なぜユーザーが特定のリソースにアクセスできるのか、アクセスが拒否されたのかを特定し、ゼロトラストポリシーの施行を支援する。
Identity-Aware Proxy (IAP): リクエストのアイデンティティとコンテキストに基づいて、Google Cloud、オンプレミス、他のクラウドで実行されているクラウドアプリケーションやVMへのアクセスを制御するサービスで、リクエストの発信元のネットワークによらずにアクセスを制御する。
VPC Service Controls: Google CloudのVirtual Private Cloud(VPC)にホストされているリソースとサービスに追加の保護層を提供し、データの流出を防止し、細かいアクセス制御を提供するセキュリティ境界。
Access Context Manager: Google CloudのBeyondCorp Enterpriseの一部で、ユーザーのアイデンティティとリクエストのコンテキスト(デバイスのセキュリティステータス、IPアドレスなど)に基づいて細かいアクセス制御ポリシーを定義し強制するツール。
最終更新