概要
やりたいこと
GCP のセキュリティをちゃんとしたい。
アカウントセキュリティを一旦は目的とする。AWS の場合とかだと GuardDuty とりあえず有効にしておけとかのレベルのやつ。
GCP セキュリティサービス
GCP プロジェクトと AWS アカウント
AWS はアカウント1つにプロジェクトが1つ、GCP は1つのアカウントに対して複数プロジェクトを作成することができる。
ユーザ視点では、 GCP プロジェクトと AWS アカウントが一つの環境として捉えることができる。
GCP セキュリティサービス範囲
GCP のセキュリティサービスはアカウント単位で設定する。
そのため、アカウントに紐づくプロジェクト全てでセキュリティサービスが有効となる。
プロジェクトごとに on/off は可能であるが、有償プランを利用する場合、プロジェクト全体で課金額が決定される。
GCP と AWS のセキュリティサービス比較
GCP のセキュリティサービスは Security Command Center がメインとなる。
Security Command Center には無償プラント有償プランが存在する。
| 役割 | GCP | AWS |
| 構成管理 | Cloud Security Scanner Cloud IAM Cloud Asset Inventory | AWS Config |
| 設定不備の検出 | Cloud Asset Inventory (自力で構築) Security Comand Center (無償/有償) | AWS Config Rules |
| 監査ログ | Cloud Audit Logs | AWS CloudTrail |
| コンプライアンス可視化 アラート集約 | Security Comand Center (Security Health Analytics) | AWS SecurityHub |
| 脅威検知 | Security Comand Center (有償) (Event Threat Detection) | Amazon GuardDuty |
| 機密情報の検出と保護 | Cloud Data Loss Prevention | Amazon Macie |
Landing Zone
AWS にはマルチアカウント環境のセキュアでスケーラブルな構築を行えるためのサービス、フレームワークとして Landing Zone という概念がある。
GCP では Lnading Zone の記述を見つけられなかった。
Security Command Center 親アカウントに情報が集約。
Security Command Center
AWS における GuardDuty / Config Rules などのセキュリティサービスを複合的にまとめたもの。
詳しくは以下を参照。
Cloud Audit Logging
誰がどこで何をしたかなどの、操作ログ(API Call ログ)を記録する。
Logging Bucket へ保管し、有事の際に利用する。
Cloud Asset Inventory
GCP リソースがどう変化したか、変更履歴ログを記録する。
Logging Bucket へ保管し、有事の際に利用する。
参考
[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編)
【AWS/GCP】クラウドのセキュリティをサービス種別毎にAWSとGCPを比較しながら体系的に理解する
コメント