WIP : GCP セキュリティサービス
目次
概要
やりたいこと
GCP のセキュリティをちゃんとしたい。
アカウントセキュリティレベルを一旦は目的とする。サービスセキュリティは後回し。
AWS の場合とかだと GuardDuty とりあえず有効にしておけとかのレベルのやつ。
GCP と AWS
一番大きいところで、プロジェクトの管理方法。
AWS はアカウント1つにプロジェクト1つ、GCP は1つのアカウントに対して複数プロジェクトを作成する。
GCP のセキュリティサービスはアカウントに対して設定するため、配下のプロジェクト全てでも有効になってしまう。
プロジェクトごとに設定ができない。
GCP と AWS セキュリティサービス
この表は更新していく。
| 役割 | GCP | AWS |
| 構成管理 | Cloud Security Scanner Cloud IAM Cloud Asset Inventory | AWS Config |
| 設定不備の検出 | Cloud Asset Inventory Security Comand Center | AWS Config Rules |
| 監査ログ | Cloud Audit Logs | AWS CloudTrail |
| コンプライアンス可視化 アラート集約 | Security Comand Center (Security Health Analytics) | AWS SecurityHub |
| 脅威検知 | Security Comand Center (Event Threat Detection) | Amazon GuardDuty |
| 機密情報の検出と保護 | Cloud Data Loss Prevention | Amazon Macie |
Landing Zone
AWS にはマルチアカウント環境のセキュアでスケーラブルな構築を行えるためのサービス、フレームワークとして Landing Zone という概念がある。
GCP にはない、もしくは親アカウントで全てを行う想定。
Security Command Center
AWS の GuardDuty / Config Rules などを複合的にまとめたもの。
組織単位でしかできない?プロジェクトごとで確認する場合は Cloud Asset API を使う。
別途記事作成。
Cloud Audit Logging
操作ログ(API Call ログ)を記録する。
BigQuery へ保存するようにしたい。
参考
[GCP] GCPサービスを勝手にまとめてみた(セキュリティ編)
【AWS/GCP】クラウドのセキュリティをサービス種別毎にAWSとGCPを比較しながら体系的に理解する