WIP : GCP セキュリティサービス

2020年12月30日

概要

やりたいこと

GCP のセキュリティをちゃんとしたい。

アカウントセキュリティレベルを一旦は目的とする。サービスセキュリティは後回し。
AWS の場合とかだと GuardDuty とりあえず有効にしておけとかのレベルのやつ。

GCP と AWS

一番大きいところで、プロジェクトの管理方法。
AWS はアカウント1つにプロジェクト1つ、GCP は1つのアカウントに対して複数プロジェクトを作成する。

GCP のセキュリティサービスはアカウントに対して設定するため、配下のプロジェクト全てでも有効になってしまう。
プロジェクトごとに設定ができない。

GCP と AWS セキュリティサービス

この表は更新していく。

役割GCPAWS
構成管理Cloud Security Scanner
Cloud IAM
Cloud Asset Inventory
AWS Config
設定不備の検出Cloud Asset Inventory
Security Comand Center
AWS Config Rules
監査ログCloud Audit LogsAWS CloudTrail
コンプライアンス可視化
アラート集約
Security Comand Center
(Security Health Analytics)
AWS SecurityHub
脅威検知Security Comand Center
(Event Threat Detection)
Amazon GuardDuty
機密情報の検出と保護Cloud Data Loss PreventionAmazon Macie

Landing Zone

AWS にはマルチアカウント環境のセキュアでスケーラブルな構築を行えるためのサービス、フレームワークとして Landing Zone という概念がある。

GCP にはない、もしくは親アカウントで全てを行う想定。

Security Command Center

AWS の GuardDuty / Config Rules などを複合的にまとめたもの。

組織単位でしかできない?プロジェクトごとで確認する場合は Cloud Asset API を使う。

別途記事作成。

Cloud Audit Logging

操作ログ(API Call ログ)を記録する。

BigQuery へ保存するようにしたい。

参考

[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編)

【AWS/GCP】クラウドのセキュリティをサービス種別毎にAWSとGCPを比較しながら体系的に理解する

3大クラウドAWS、Azure、GCPの機能を比較したら見えてきたサービスごとの違いと特徴とは?

AWS/Azure/GCPサービス比較 2020.12

GCP

Posted by さいき