概要
GCP の Security Command Center (以下 SCC) で何ができるか知りたい。
以前 GCP のセキュリティサービスを確認したところ、 この SCC に集約されているようだ。
Security Command Center
SCC は GCP のセキュリティモニタリングを行うサービス。
設定不備、脅威情報の検出、アセットの把握などを行ってくれる。
アラートとして Slack へ通知したい場合、無償プランだと自力で構築する必要がある。
料金体系
SCC のプランには Standard と Premium の 2 つある。
有償プランである Premium tier だと検知できる範囲が広いが、費用にプラス 5% 追加される。
Standard tier だと一部のサービスしか利用できない。
| サービス | 説明 | プラン |
|---|---|---|
| Security Health Analytics | 設定不備のチェック | Standard(一部) |
| Web Security Scanner | 公開 URL と IP に対してユーザ定義スキャン | Standard(一部) |
| Event Threat Detection | プロジェクトの Audit ログから脅威を検知 | Premium |
| Container Threat Detection | コンテナランタイム攻撃を検知 | Premium |
| Security Health Analytics | CIS や PCIDSS などのコンプライアンスチェック | Premium |
| Web Security Scanner | 公開 URL と IP に対してマネージドスキャン | Premium |
Security Command Center の機能
機能の一覧としては下記。公式より引用。(正直ドキュメント難しい)。
| 機能名 | 機能の説明 |
|---|---|
| アセットの検出とインベントリ | アセット、データ、Google Cloud サービスを組織全体で検出し、1 か所に表示します。検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別します。 |
| 機密データの識別 | Cloud DLP を使用して、どのストレージ バケットに規制対象のセンシティブ データがあるかを把握できます。また、過失による漏えいを防止し、情報適格性の原則に基づいてアクセスが制御されるようにします。Cloud DLP は Security Command Center と自動的に統合されます。 |
| アプリケーションの脆弱性の検出 | Web Security Scanner を使用して、App Engine アプリケーションを危険にさらすクロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を発見します。Web Security Scanner は Security Command Center と自動的に統合されます。 |
| アクセス制御のモニタリン | Google Cloud リソース全体に適切なアクセス制御ポリシーが配置されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにします。Forseti(Google Cloud のオープンソース セキュリティ ツールキット)は、Security Command Center と統合されています。 |
| Google の異常検出 | Google が開発した組み込みの異常検出技術により、ボットネット、暗号通貨の採掘、異常な再起動、不審なネットワーク トラフィックなどの脅威を特定します。 |
| サードパーティ製セキュリティ ツールの入力 | Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を、Security Command Center に統合します。出力を統合すると、次のものが検出できます。 – DDoS 攻撃 – 不正使用されたエンドポイント – コンプライアンス ポリシー違反 – ネットワーク攻撃 – インスタンスの脆弱性と脅威 |
| リアルタイムの通知 | Pub/Sub 通知と統合することで、Security Command Center のアラートをメールや SMS で受け取ることができます。 |
| REST API とクライアント SDK | Security Command Center REST API またはクライアント SDK を使用すると、既存のセキュリティ システムやワークフローとの統合が容易になります。 |
Standard tier ( 無償プラン )
簡単な設定不備に関しては Standart tier だけでも検出可能。
Security Health Analytics (Standard)
2要素認証、パブリックアクセスのチェックができる。
2SV_NOT_ENFORCEDNON_ORG_IAM_MEMBEROPEN_FIREWALLOPEN_RDP_PORTOPEN_SSH_PORTOPEN_TELNET_PORTPUBLIC_BUCKET_ACLPUBLIC_COMPUTE_IMAGEPUBLIC_IP_ADDRESSPUBLIC_LOG_BUCKETPUBLIC_SQL_INSTANCESSL_NOT_ENFORCEDWEB_UI_ENABLED
Web Security Scanner
公開URL や IP に対してユーザ定義(カスタムスキャン)が行える。
Premium tier ( 有償プラン )
Premium tier を有効にした場合、驚異検知、コンテナセキュリティ、Web脆弱性スキャンなどのサービスが利用可能となる。
Event Threat Detection
AWS の GuardDuty のような機能。
- Malware
- Cryptomining
- Brute force SSH
- Outgoing DoS
- IAM anomalous grant
- Data exfiltration
Container Threat Detection
コンテナセキュリティ。AWS だと Inspector が近い?
- Added binary executed
- Added library loaded
- Reverse shell
Security Health Analytics
セキュリティ標準にどれほど準拠しているかを確認する機能。AWS だと SecurityHub?
- CIS 1.0
- PCI DSS v3.2.1
- NIST 800-53
- ISO 27001
Web Security Scanner
簡単な脆弱性診断をする機能。これは AWS にはなかったはず。
- Cross-site scripting (XSS)
- Flash injection
- Mixed-content
- Clear text passwords
- Usage of insecure JavaScript libraries
使ってみる
Security command Center を有効にする
公式ドキュメントは「Security Command Center の設定」だが、以下がわかりやすい。
アラートとして Slack へ通知
自分の場合は Slack へ通知が来るようにしている。
コメント