GCP Security Command Center 何ができるか

概要

やりたいこと

GCP の Security Command Center (以下 SCC) で何ができるか知りたい。

ざっくり GCP のセキュリティサービスを確認したところ、 SCC に集約されているようだ。

Security Command Center

SCC は GCP のセキュリティモニタリングを行うサービス。
アセットの把握や設定不備や脅威情報の検出などを行ってくれる。

SCC のプランには Standard と Premium の 2 つある。
有料プランである Premium tier だと検知できる範囲が広いが、費用にプラス 5% 追加される。

サービス説明プラン
Security Health Analytics設定不備のチェックStandard(一部)
Web Security Scanner公開 URL と IP に対してユーザ定義スキャンStandard(一部)
Event Threat Detectionプロジェクトの Audit ログから脅威を検知Premium
Container Threat Detectionコンテナランタイム攻撃を検知Premium
Security Health AnalyticsCIS や PCIDSS などのコンプライアンスチェックPremium
Web Security Scanner 公開 URL と IP に対してマネージドスキャンPremium

Security Command Center の機能

機能の一覧としては下記。公式より引用

機能名機能の説明
アセットの検出とインベントリアセット、データ、Google Cloud サービスを組織全体で検出し、1 か所に表示します。検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別します。
機密データの識別Cloud DLP を使用して、どのストレージ バケットに規制対象のセンシティブ データがあるかを把握できます。また、過失による漏えいを防止し、情報適格性の原則に基づいてアクセスが制御されるようにします。Cloud DLP は Security Command Center と自動的に統合されます。
アプリケーションの脆弱性の検出Web Security Scanner を使用して、App Engine アプリケーションを危険にさらすクロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を発見します。Web Security Scanner は Security Command Center と自動的に統合されます。
アクセス制御のモニタリンGoogle Cloud リソース全体に適切なアクセス制御ポリシーが配置されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにします。Forseti(Google Cloud のオープンソース セキュリティ ツールキット)は、Security Command Center と統合されています。
Google の異常検出Google が開発した組み込みの異常検出技術により、ボットネット、暗号通貨の採掘、異常な再起動、不審なネットワーク トラフィックなどの脅威を特定します。
サードパーティ製セキュリティ ツールの入力Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を、Security Command Center に統合します。出力を統合すると、次のものが検出できます。
– DDoS 攻撃
– 不正使用されたエンドポイント
– コンプライアンス ポリシー違反
– ネットワーク攻撃
– インスタンスの脆弱性と脅威
リアルタイムの通知Pub/Sub 通知と統合することで、Security Command Center のアラートをメールや SMS で受け取ることができます。
REST API とクライアント SDKSecurity Command Center REST API またはクライアント SDK を使用すると、既存のセキュリティ システムやワークフローとの統合が容易になります。

Standard tier

Security Health Analytics(Standard)

2要素認証、パブリックアクセスのチェックができる。

  • 2SV_NOT_ENFORCED
  • NON_ORG_IAM_MEMBER
  • OPEN_FIREWALL
  • OPEN_RDP_PORT
  • OPEN_SSH_PORT
  • OPEN_TELNET_PORT
  • PUBLIC_BUCKET_ACL
  • PUBLIC_COMPUTE_IMAGE
  • PUBLIC_IP_ADDRESS
  • PUBLIC_LOG_BUCKET
  • PUBLIC_SQL_INSTANCE
  • SSL_NOT_ENFORCED
  • WEB_UI_ENABLED

Web Security Scanner

公開URL や IP に対してユーザ定義(カスタムスキャン)が行える。

Premium tier

Event Threat Detection

AWS の GuardDuty のような機能。

  • Malware
  • Cryptomining
  • Brute force SSH
  • Outgoing DoS
  • IAM anomalous grant
  • Data exfiltration

Container Threat Detection

  • Added binary executed
  • Added library loaded
  • Reverse shell

Security Health Analytics

  • CIS 1.0
  • PCI DSS v3.2.1
  • NIST 800-53
  • ISO 27001

Web Security Scanner 

  • Cross-site scripting (XSS)
  • Flash injection
  • Mixed-content
  • Clear text passwords
  • Usage of insecure JavaScript libraries

使ってみる

Security command Center を有効にする

公式ドキュメントは以下だがすごいわかりにくい。。

以下がわかりやすい。

参考

Security Command Center のコンセプトの概要

Cloud Security Command Center(Cloud SCC)を有効にする