近年急速に活用が進むパブリッククラウドですが、同時にパブリッククラウド特有のセキュリティ事故も多発しています。 本スライドでは、パブリッククラウド特有のセキュリティ脅威や事例について紹介し、それらに対する防御の考え方を示すことで より安全にパブリッククラウドを活用いただくことを目的としています。
この記事は、LayerX Tech Advent Calendar 2022 10日目の記事です。 @ken5scal です。CTO室やらFintech事業部やらで色々やっています。 今日は、Github ActionからGoogle WorkspaceのReports APIをキーレスで 実行する件について紹介したいと思います。 めちゃくちゃハマり半年の熟成を経て実装できたので、その喜びとともにお送りいたします。 背景 今までAPIを実行するアクセスキーといったクレデンシャルの多くは静的な値やファイルの形をとっていました。 故に取り扱いを間違えると重大な窃取や漏洩に繋がる可能性が高くなります。 そういったリスクを低減する定期的なローテーションが良いプラクティスとされていましたが、人手によるローテーションは作業漏れによる可用性の面でのリスクに繋がり兼ねません。 つまり人類は愚か 幸いなこと
※この投稿は米国時間 2021 年 11 月 13 日に、Google Cloud blog に投稿されたものの抄訳です。 一般に報告されているほぼすべてのクラウドにおける侵害は、基盤となるクラウド インフラストラクチャを不正使用した攻撃ではなく、構成ミスから引き起こされています。構成ミスがセキュリティ リスクの原因であり続けているのは、ほとんどのセキュリティおよびコンプライアンス対策が後から講じられるためです。各種チームが関与するのは CI/CD プロセスの後半になってからなので、構成ミスがビルドプロセス中ではなくランタイム時に特定されるのです。ランタイム セキュリティに頼ることで、開発者とセキュリティ担当者の間に摩擦も生じます。その理由は、ランタイム ツールは本質的に CI/CD プロセスの最後にデプロイされるものであるため、多くの場合、本番環境への移行への最終関門あるいはそれを阻害す
2021年10月14日 Google × mercari に学ぶ!Kubernetesの活用法とセキュリティ
概要 自分の所属企業であるAqua SecurityがTFsecというOSSを買収しました。 blog.aquasec.com TFsecはどういうツールかというとTerraformの静的解析スキャナーです。Terraformの設定ファイルを渡すことでセキュリティに関する設定ミスを主に検知してくれます。 github.com そのアナウンスに伴い、TFsecは自分が開発している脆弱性スキャナーであるTrivyに統合されました。TrivyではTerraformに加えDockerfileやKubernetesなど、いわゆるInfrastructure as Code(IaC)の設定ミスを検知するマネージドポリシーも提供しています。他にもJSONやYAMLなど一般的なファイルフォーマットに対応しているため自分でポリシーを書くことでそれらの検知にも使えます。CloudFormationやAnsib
キーなしの API 認証 - サービス アカウント キーを必要としない Workload Identity 連携によるクラウド セキュリティの向上 ※この投稿は米国時間 2021 年 4 月 9 日に、Google Cloud blog に投稿されたものの抄訳です。 多くの組織が、オンプレミスやクラウドなど、複数のプラットフォームで動作するアプリケーションを持っています。Google Cloud Platform(GCP)API を呼び出すアプリケーションにおいては、管理者がよく直面する課題として、GCP への認証に使用される有効期間が長いサービス アカウント キーの安全性の確保があります。その例として、次のようなアプリケーションが挙げられます。 Google Cloud Storage に保存されている機密データセットにアクセスする、AWS または Azure で実行される分析ワークロー
フィードバックを送信 AWS サービスや Azure サービスと Google Cloud を比較する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 最終更新: 2024 年 5 月 24 日 次の表に、一般提供の Google Cloud サービスと、それに対応するアマゾン ウェブ サービス(AWS)または Microsoft Azure のサービスを示します。この表は、サービスタイプ、機能、サービス名などのキーワードでフィルタできます。今後も最新の情報をお届けするために、フィードバックをお寄せください。 Sign in to your Google Cloud account. If you're new to Google Cloud, create an account to evaluate how our products perform i
フィードバックを送信 Google インフラストラクチャのセキュリティ設計の概要 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このコンテンツの最終更新日は 2023 年 6 月で、作成時点の状況を表しています。お客様の保護の継続的な改善のために、Google のセキュリティ ポリシーとシステムは変更される場合があります。 PDF 版をダウンロード はじめに このドキュメントでは、Google の技術インフラストラクチャのセキュリティ設計の概要について説明します。このドキュメントは、セキュリティ管理者、セキュリティ アーキテクト、監査者を対象としています。 このドキュメントの内容は次のとおりです。 Google のグローバル技術インフラストラクチャは、Google の情報処理ライフサイクル全域でセキュリティを確保するように設計されています。このインフラス
(2019/04 追記 この記事の情報は古いです。今では、GCPのIAMでも IAM Custom Roles によってカスタマイズしたロールが作れたり、Cloud IAM Conditions が登場してリソースの制限がしやすくなったりしています。また、メディア管轄のAWS Organizationsの活用については 「これ危ない設定じゃないでしょうか」とヒアリングするための仕組み @AWS Summit Tokyo 2018 もご覧ください) メディア事業(アメーバなど)を中心にAWS/GCPを担当している柿島大貴です。前回は、Google Cloud Platform(GCP)の各プロジェクトでコストを追える環境を作る を書きました。前回の続報としては、一部には使ってもらいつつも、可視化の部分で cloudyn を検証中です。 今回は、GCPのリソースの認可の話になります。GCPの利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く