Google Cloud 環境では、セキュリティを保つための様々な仕組みがマネージドサービスとして準備されています。

本ブログでは一番基本的なIaaSサービスである「Google Compute Engine(以下、GCEと略記)」をベースに、Google Cloud 環境に組み込まれているサービスを利用して、お手軽に始められるセキュリティ対策についてご紹介できればと思います。
是非お得にクラウドを使い倒しましょう！

知らず識らずのうちに混入してしまった構成ミスや設定漏れが、気が付かないまま放置されることで大きな事故につながることもあります。
そんな時、Google Cloud ではマネージド機能で基本的な検知を行うことが可能です。

・利用するサービス：

「Security Comand Center (以下、 SCCと略記)」に含まれる、以下2つのスキャン機能を利用します。

・手順：
① ナビゲーションメニューの「セキュリティ」ｰ「Security Comand Center」より「スタンダードティア 」を選択します。

② その後、ウィザードに沿って設定を進めてください。

• 有効にするサービス：Security Health Analytics、Web Security Scanner
• サービスアカウントにロールを付与

設定変更は以上です。
・費用：
無料

もちろん、検知した内容をメールやSlack等に連携して通知することもできます。
無償版では基本的な範囲をカバーしてくれますが、機能的に物足りないという方は「プレミアムティア(有償版)」を選択いただくことで、より高機能なスキャンを実施することも可能です。

IaaS環境を運用していくうえで避けて通れないのが、日々発生する脆弱性対策によるパッチ適用ではないでしょうか。
Google Cloudでは自動的にOSやミドルウェアをチェックし、脆弱性情報を調査してくれる機能があります。
一部のOSについてはCVE情報や重要度についても自動的に収集してくれます。

・利用するサービス：
VM Manager
・手順：
① ナビゲーションメニューの「APIとサービス」より、「OS Config API」を有効にします。

②  ナビゲーションメニューの「Compute Engine」より、対象の仮想ＶＭに対して下図のように「カスタム メタデータ」を設定します。

前項では脆弱性情報の調査でしたが、「VM Manager」ではパッチの適用もコンソールから実施できます。

・利用するサービス：

VM Manager

・手順：

①  ナビゲーションメニューの「Compute Engine」-「VM Manager」-「パッチ」から、パッチを適用する仮想VMを選択します。

②  適用したいアップデートを選択します。

※ 今回は例として「curl」を選択しています。

③ ウィザードに沿ってバッチジョブを作成し、パッチを適用します。

以上で、パッチが適用されます。

・費用：

仮想VM 100台まで無料

今回は1台/1アップデートにて実施しましたが、複数台に対して、複数アップデートを実施することも可能です。

またスケジュール実行もできるため、運用負荷を軽減しながらアップデートを組み立てられるのではないでしょうか。

この機能も対象OSが限られているのが残念なところですが、該当のOSを利用されている方は使わない手はないでしょう。

オンプレミス環境で監査ログを取得／保管する際には、あらかじめログ保管容量の設計、機材の準備、監査対象機器への設定などが必要です。

大規模な環境では監査対象台数が増えるにつれて、機器構成や作業ボリュームも増大しますし、一方、サーバ数台の小規模な環境では監査ログの仕組みがオーバースペックとなる傾向があるかと想定されます。
そんなハードルがある監査ログですが、Google Cloud 環境では自動的に取得／保管されています。

・利用するサービス：
Cloud Audit Logs
Cloud Logging

・手順：
実は、監査ログのうち以下の３つのログはデフォルトで取得されています。

• 管理アクティビティ監査ログ
• システム イベント監査ログ
• ポリシー拒否監査ログ

「データアクセス監査ログ」を保存する場合は設定変更が必要です。
※「データアクセス監査ログ」はデータアクセスのたびにログが発生するため、膨大なログ容量となる可能性がありますので、費用面もご考慮ください。
① ナビゲーションメニューの「IAMと管理」から「監査ログ」を選択し、ログ取得対象のサービスを選択して、取得したいログタイプ(管理読み取り／データ読み取り／データ書き込み)を選択します。

以上で設定変更は終了です。

取得されたログはナビゲーションメニューより「Cloud Logging」- 「ログ エクスプローラ」にて確認することができます。

・費用：
管理アクティビティ監査ログ：無料
システム イベント監査ログ：無料
データアクセス監査ログ： プロジェクトごと、50GiB/月 まで無料 (以降$0.50/GiB)
ポリシー拒否監査ログ：プロジェクトごと、50GiB/月 まで無料 (以降$0.50/GiB)
関連するログとして、Google Cloud での共有責任モデルを実現するうえで重要な、「Google の担当者がお客様のコンテンツにアクセスした際に行った操作」を記録する「アクセスの透明性ログ」というログもあります。
事前に「組織」の構成が必要となるため、本ブログでは詳細は割愛せていただきます。

今回ご紹介した機能をまとめると、以下のようになるかと思います。

• 基本的な設定ミスを自動的にチェック
• 面倒なパッチ調査／パッチ適用も Google Cloud コンソールから実施可能
• 監査ログも設定一つで取得・保管が可能

今回は簡単に設定できるIaaSセキュリティに焦点をあてた内容でしたが、
大掛かりな設備をあらかじめ準備しなくても、使いたいときに使った分だけ支払うことができるのが
クラウドの大きなメリットです。

ランニング費用に含まれているメリットを活用しながら、TCOを見据えた最適なシステム環境をご検討いただければと思います。

最後まで読んでいただき、ありがとうございました！

当社システムサポートは、Google Cloudの導入・移行・運営支援を行っています。
クラウド移行含めた最適なシステム環境構築のご相談は、以下よりお願いいたします！