実に4年ぶりのブログになります。最近qiitaぐらいしか書いてなかったので、今年からブログを復活させようかなぁと思っております

1/24 に開催された July Tech Festa 2021 winterでGCPのセキュリティ周りについて登壇して来ました。

今まではメインの業務はデータ基盤周り中心だったのですが、ここ1年ほどセキュリティをメインに見るようになってきていましてちょうど組織のGCPセキュリティを見直していたので、ここで得られた知見の備忘も合わせて資料を作らせてもらいました。

登壇資料「GCPでセキュリティガードレールを作るための方法と推しテク」

資料補足

セキュリティ基盤を作るのにはお金かかるけど、特に売上を上げるというわけではないので予算が降りにくい会社もあるかと思います。
なので、守るだけではなくガードレールを作ってあげることでクラウドを使うユーザは事業に集中が出来、結果売上があがるという説明までつけることが大事だと思っているのであえて事業をドライブさせるといれてます

サブネットを作った際にはセキュリティ観点からフローログのonを推奨します
SecurityCommandCenterで外部からの侵入検知機能などありますが、こちらはフローログをデータソースにするのでフローログがないと検知が出来ません ただ、フローログはonにするとログ量が増えてインフラ料金の増加につながるので、設定を見直しログ量を少なくセキュリティレベルは上げる設定に変えるのがおすすめです

• 集約の間隔
  デフォルトだと5秒なのですが、これだとログ量が多くなってしまいます 5秒毎の通信量など細かい値を取る必要がない場合は15分の設定にするのが良いかと思います 15分の間にあった通信がサマられるだけでデータが欠損することはありません

• その他のフィールド
  デフォルトではメタデータを含めるになってます メタデータとは通信の相手がGCPだった場合にGCEやVPCの名前などが取れます ただ、メタデータを含めなくても重要なIPや通信量は取れるので必要ない場合は取らないで良いと思います

• サンプルレート
  デフォルトでは50%です 50%ではデータ欠損するので100%がおすすめです

VpcServiceControlsはセキュリティを高める上では良いソリューションですが、利便性が確実に下がります
最近対応サービスも増えて来ていますが資料に載せた情報以外にも例えばCloudAssetInventoryで設定情報取る時に、VpcServiceControlsによって取れなかったり、組織のログをすべてsinkで集約しようとしたときにVpcServiceControlsによって取れなかったりと組織に１つでもVpcServiceControlsを使っているプロジェクトがあるとセキュリティの全体設計が変わってきます

SecurityCommandCenterは組織を作るとすぐに使えます、プレミアムプランにしないかぎりは無料で使えるので見たことないひとはとりあえずどんな警告が出ているか見てみましょう
ただ、SecurityCommandCenterですべての検知をしようとすると毎日ダッシュボードを見るか、検知通知機能を独自に実装する必要があります

このような基盤を一緒に作りたい！というエンジニアを募集してますので、気になるから話しを聞いてみたいというかたは是非ともtwitterからDMお願いします

登壇動画

B2：GCPでセキュリティガードレールを作るための方法と推しテク

今回JulyTechFestaに登壇することで、資料もまとめられ基盤を見直すよい機会になりました。 運営の皆様ありがとうございました。

今年は登壇を多くしていこうと思ってますので、登壇や記事に執筆依頼などございましたらDMで連絡を頂きたいと思います