GCP Security Command Center 何ができるか

2021.01.31

概要

GCP の Security Command Center (以下 SCC) で何ができるか知りたい。

以前 GCP のセキュリティサービスを確認したところ、 この SCC に集約されているようだ。

GCP と AWS セキュリティサービス比較
概要 やりたいこと GCP のセキュリティをちゃんとしたい。 アカウントセキュリティを一旦は目的とする。AWS の場合とかだと GuardDuty とりあえず有効にしておけとかのレベルのやつ。 GCP セキュリティサービス GCP プロジェ...
runble1.com
2020.12.26

Security Command Center

SCC は GCP のセキュリティモニタリングを行うサービス。
設定不備、脅威情報の検出、アセットの把握などを行ってくれる。

アラートとして Slack へ通知したい場合、無償プランだと自力で構築する必要がある。

Terraform で GCP Security Command Center のアラートを Slack 通知
概要 やりたいこと Security Command Center のアラートを Slack 通知したい。 以下の流れで通知できるとのこと。NotificationConfig について掘り下げる。 SCC -> NotificationC...
runble1.com
2021.02.01

料金体系

SCC のプランには Standard と Premium の 2 つある。
有償プランである Premium tier だと検知できる範囲が広いが、費用にプラス 5% 追加される。

Standard tier だと一部のサービスしか利用できない。

サービス説明プラン
Security Health Analytics設定不備のチェックStandard(一部)
Web Security Scanner公開 URL と IP に対してユーザ定義スキャンStandard(一部)
Event Threat Detectionプロジェクトの Audit ログから脅威を検知Premium
Container Threat Detectionコンテナランタイム攻撃を検知Premium
Security Health AnalyticsCIS や PCIDSS などのコンプライアンスチェックPremium
Web Security Scanner 公開 URL と IP に対してマネージドスキャンPremium

Security Command Center の機能

機能の一覧としては下記。公式より引用。(正直ドキュメント難しい)。

機能名機能の説明
アセットの検出とインベントリアセット、データ、Google Cloud サービスを組織全体で検出し、1 か所に表示します。検出スキャンの履歴を確認し、新しいアセット、変更されたアセット、削除されたアセットを識別します。
機密データの識別Cloud DLP を使用して、どのストレージ バケットに規制対象のセンシティブ データがあるかを把握できます。また、過失による漏えいを防止し、情報適格性の原則に基づいてアクセスが制御されるようにします。Cloud DLP は Security Command Center と自動的に統合されます。
アプリケーションの脆弱性の検出Web Security Scanner を使用して、App Engine アプリケーションを危険にさらすクロスサイト スクリプティング(XSS)や Flash インジェクションなどの一般的な脆弱性を発見します。Web Security Scanner は Security Command Center と自動的に統合されます。
アクセス制御のモニタリンGoogle Cloud リソース全体に適切なアクセス制御ポリシーが配置されていることを確認し、ポリシーが誤って構成された場合や、予期せず変更された場合に通知を受け取れるようにします。Forseti(Google Cloud のオープンソース セキュリティ ツールキット)は、Security Command Center と統合されています。
Google の異常検出Google が開発した組み込みの異常検出技術により、ボットネット、暗号通貨の採掘、異常な再起動、不審なネットワーク トラフィックなどの脅威を特定します。
サードパーティ製セキュリティ ツールの入力Cloudflare、CrowdStrike、Palo Alto Networks の Prisma Cloud、Qualys などの既存のセキュリティ ツールからの出力を、Security Command Center に統合します。出力を統合すると、次のものが検出できます。
– DDoS 攻撃
– 不正使用されたエンドポイント
– コンプライアンス ポリシー違反
– ネットワーク攻撃
– インスタンスの脆弱性と脅威
リアルタイムの通知Pub/Sub 通知と統合することで、Security Command Center のアラートをメールや SMS で受け取ることができます。
REST API とクライアント SDKSecurity Command Center REST API またはクライアント SDK を使用すると、既存のセキュリティ システムやワークフローとの統合が容易になります。

Standard tier ( 無償プラン )

簡単な設定不備に関しては Standart tier だけでも検出可能。

Security Health Analytics (Standard)

2要素認証、パブリックアクセスのチェックができる。

  • 2SV_NOT_ENFORCED
  • NON_ORG_IAM_MEMBER
  • OPEN_FIREWALL
  • OPEN_RDP_PORT
  • OPEN_SSH_PORT
  • OPEN_TELNET_PORT
  • PUBLIC_BUCKET_ACL
  • PUBLIC_COMPUTE_IMAGE
  • PUBLIC_IP_ADDRESS
  • PUBLIC_LOG_BUCKET
  • PUBLIC_SQL_INSTANCE
  • SSL_NOT_ENFORCED
  • WEB_UI_ENABLED

Web Security Scanner

公開URL や IP に対してユーザ定義(カスタムスキャン)が行える。

Premium tier ( 有償プラン )

Premium tier を有効にした場合、驚異検知、コンテナセキュリティ、Web脆弱性スキャンなどのサービスが利用可能となる。

Event Threat Detection

AWS の GuardDuty のような機能。

  • Malware
  • Cryptomining
  • Brute force SSH
  • Outgoing DoS
  • IAM anomalous grant
  • Data exfiltration

Container Threat Detection

コンテナセキュリティ。AWS だと Inspector が近い?

  • Added binary executed
  • Added library loaded
  • Reverse shell

Security Health Analytics

セキュリティ標準にどれほど準拠しているかを確認する機能。AWS だと SecurityHub?

  • CIS 1.0
  • PCI DSS v3.2.1
  • NIST 800-53
  • ISO 27001

Web Security Scanner 

簡単な脆弱性診断をする機能。これは AWS にはなかったはず。

  • Cross-site scripting (XSS)
  • Flash injection
  • Mixed-content
  • Clear text passwords
  • Usage of insecure JavaScript libraries

使ってみる

Security command Center を有効にする

公式ドキュメントは「Security Command Center の設定」だが、以下がわかりやすい。

アラートとして Slack へ通知

自分の場合は Slack へ通知が来るようにしている。

Terraform で GCP Security Command Center のアラートを Slack 通知
概要 やりたいこと Security Command Center のアラートを Slack 通知したい。 以下の流れで通知できるとのこと。NotificationConfig について掘り下げる。 SCC -> NotificationC...
runble1.com
2021.02.01

参考

Security Command Center のコンセプトの概要

Cloud Security Command Center(Cloud SCC)を有効にする

コメント

タイトルとURLをコピーしました