こんにちは。クラウドエースSREチームの亀梨です。
Cloud組織管理下にあるプロジェクトのGCPリソースのアセット管理、セキュリティ違反に関する知見の検出ができる、「Security Command Center」を使ってみました。
大人数で多数のGCPプロジェクトを運用していくと、どうしても全体を把握することは難しく、組織全体のプロジェクトを横断的に監査できるツールは、必要だと思います。
背景
以下GCP公式日本語ブログに記載の通り、2018年5月に「Security Command Center」がalphaリリースされていました。
そして、2019/4/11にgenerally available(GA)となっています。
このサービスは、組織リソースに対する操作となるため、G Suiteの契約ないしCloud Identityで組織を取得する必要があり、気軽に試すことが難しいかと思います。
そこで、「実際、有効化してみたらどのような情報が取れるのか?」を検証してみました。
私は、過去記事でオレオレ組織を作成しているため、クラウドエース社の組織とは独立したkamenashi.test.cloud-ace.jpというドメイン名の組織を保有しています。(サブドメインになっていますが、リソースとしての扱いは完全に別な組織になります)
今回、この組織を使ってSecurity Command Center(以降、GSCC)を有効化してみます。
興味をお持ちになられた方は、上記の拙著記事を参考にCloud Identityで組織を作成してみてください。(Cloud Identity Free Planを選択すれば追加コストはかかりません。)
GSCCの有効化
GSCCの有効化は、Cloud Console>Marketplaceで実施します。
有効化が完了すると、コンソールの「セキュリティ」メニューに「セキュリティ コマンド センター」が加わります。
プロジェクトリソースを選択している状態では、下記の通り、組織を選択するように注意書きが表示されます。「次へ」を押すと、プロジェクトの所属している組織リソースへ移動します。
アセットディスカバリー(存在するオブジェクトの検出)機能の範囲を定義します。
有効化が完了しましたが、日次バッチが未実行のためリソースがリストアップされていません。
ここで「再スキャン」を実行してみましたが、即座に反映はされませんでした。
ここで一日時間を置いてみました。
検出結果を見てみる
16時間ほど経過した翌日、再度見てみたところ、組織内のリソースがリストアップされています。
プロジェクト単位・リソース種別ごとの絞り込み、各プロジェクト内の当該リソース画面への遷移が可能です。
個々のリソースの詳細を閲覧することができます。
そのリソースのownerもわかるため、過去の経緯がわからなくなったインスタンスの調査等に役立つでしょう。
なお、この時点では「知見」は検出されませんでした。
おわりに
ざっくりとGSCCの画面を見てみましたが、いかがでしたでしょうか。
なんとなくGCEインスタンス一覧を眺めるだけでも、「命名規則に従っていない、一時的に作成して消し忘れたインスタンス」等に気付けそうです。
個々のProject単位であれば、Cloud Asset APIで取得が可能ですが、組織としてあまさず監査が可能であるという点にGSCCの強みがあると感じました。
- 採用について
クラウドエースでは、コンテナオーケストレーションやインフラの抽象化、IaC、immutable infrastructure、CI/CDを前提としたSIを一緒に進めていく仲間を募集しております。
↓ ↓ ↓ ↓ ↓ ↓ ご応募はこちらからどうぞ! ↓ ↓ ↓ ↓ ↓ ↓
👉 https://www.cloud-ace.jp/recruit/ 👈
↑ ↑ ↑ ↑ ↑ ↑