【レポート】Policy Intelligence を使ったスマート アクセス制御についてのセッションを受けました。＃GoogleCloudNext

2021年11月24日、25日にオンラインで開催された『Google Cloud Next ’21 Recap: Japan』 に参加しました。

その中でも気になったセッションをピックアップしてレポートをしていきたいと思います。

セッション概要

今回は『Policy Intelligence を使ったスマート アクセス制御』ということでPolicy Intelligenceと呼ばれるIAMのポリシー分野の最新サービスを紹介してくれるセッションになっています。

登壇者はGoogleCloud ヘルスケア事業本部 カスタマーエンジニア 水江伸久 氏です。

最小特権の原則

これは、セキュリティを確保するためのベストプラクティスとしてユーザが職務を遂行するために必要な最小限の特権を与えるという情報セキュリティの基本的な考え方です。
しかし、クラウドの複雑化によって、最小特権を付与することが非常に困難になってきています。gartnerの調査によると、95％以上のアカウントが与えられた権限のうち3％未満しか使っていないことがわかっています。

こうなってしまうのは、

• セキュリティポリシーが正しく適用されていない
• 状況の可視化がうまくできていない
• 適切な権限がわからない

というような理由が考えられます。

クラウドは柔軟性がある分適切な管理、監査をすることが困難になってきています。

この問題を解決するためには

これらの問題はPolicy Intelligenceを使うことで解決ができます。Policy Intelligenceには3つの方針が定められています。

• システム全体を把握し、素早く問題を解決できる分析ツール
• 問題点を簡単かつ安全に修正できるRecommenderツール
• 同じミスを二度と起こさない安全なロールアウトツール

Policy Intelligenceに含まれる機能は次のスライドの通りです。

このセッションではこれらの機能がより詳しく説明されていました。

IAM Recommender

この機能では過剰なアクセス権限が付与されていた場合に簡単に修正することができます。
IAM管理者はすでにこの機能をいつでも使うことができるようになっています。

AIが推奨されるIAMの設定を自動的に作成をし、付与された権限の数と、実際に使用されている権限の数を併せて表示してくれます。データの取集や分析もすべてGoogleがしてくれたうえで最適解を提案してくれるというわけです。

詳細な操作方法についてはセッションでこのような形で説明されていましたのでぜひ動画をご覧ください。

また最新機能としてラテラルムーブメントの分析ができるようになっています。他のプロジェクトでなり替わりの権限を持つすべてのアカウントを調べることができるため、インサイダーリスクの軽減に役立てることが可能になっています。

Tips

• IAM Recommenderを使い、ラテラルムーブメントの脅威を軽減。なりすまし可能な権限を削除する。
• すべてのプロジェクトメンバーをIAM Recommenderを使いレガシーロールから移行する
• IAM Recommenderを使い必要に応じてカスタムロールを作成し、プロジェクトのほかのメンバーにも推奨する
• IAM Recommenderの優先順位付けフレームワークを使い、最初のクリーンアップアクションを決める
• 推奨事項履歴を活用し、最初特権実現への進捗を追跡し、推奨事項の適用を元に戻す

Policy Analyzer

この機能はだれが何にアクセスできるのかを把握するのに役に立つ機能になっています。

テンプレート化されたクエリを定期実行することによって高い権限を持つユーザーや本番リソースへの権限の変更を監視することができるようになっています。
クエリを選択するだけで、数秒で実行結果が出るようになっており、確認したい情報をすぐに把握することができます。

Tips

• グループのロール、バインディングを変更した場合の直接、関節のメンバーへのアクセス権の影響を詳細に把握する
• サービスアカウントのなりすましによって得られる間接的なアクセス権を把握する
• 高い特権を持つアクセス権のレポートを生成するためのクエリの作成
• データをアクセス設定ツールにエクスポートし定期的にレビューを行う
• Policy Analyzerでポリシー履歴を監査する

Policy Simulator

本番環境でのアクセス権限の変更の場合、権限を削除するのは少し怖いため、過剰な権限を付与しているにもかかわらずそのまま放置してしまっているケースがよく見られるようです。
この機能は安全にアカウントの権限変更や削除をするためのツールです。

提案されたポリシーの変更を過去90日間のアクセス履歴と照合し、変更によって影響が出ないか確認することができます。

Tips

• アクティビティ履歴データのリプレーを分析することで、ポリシー変更の影響を把握
• プロジェクト全体に対して、Policy Simulatorを実行、ポリシー変更を一度シュミレートする

Policy Troubleshooter

この機能はあるアクションが許可もしくは拒否された理由を教えてくれるものになっています。なぜアクセス拒否をされたのかを簡単に確認することができます。

Tips

• 開発者に割り当てるべき最小権限のロールを把握する
• 継承がわかりにくい場合は、Policy Troubleshooterを使いポリシーの有効性を確認
• グループやネストされたグループによって与えられた、リソースへのアクセス権のトラブルシューティングを行う

Targetのユーザー事例

Targetは全米規模のディスカウント小売業者で、1800以上の店舗とEコマースサイトがあります。GoogleCloudを効果的に活用している企業の一つといえます。

230を超えるプロジェクト数と1500人のエンジニアと開発者がいるTargetのGoogleCloudにおける戦略は

• 再現性、移植性の高い環境とエクスペリエンスの提供
• プラットフォームの抽象化、一貫した開発者エクスペリエンスの実現
• できるだけリソースにはゼロタッチ

となっています。

これに対して課題がこちらです。

この課題に対して

• IAM Recommenderを使い最小権限を実現。270万件の権限の削除に成功
• Policy Intelligenceツール群を使い可視性、厳格な管理、柔軟性、均一性を実現

というようにPolicy Intelligenceの機能を使い戦略をうまく実現しています。

まとめ

ここまで紹介したのはActiv Assistと呼ばれるGoogleCloudのリューションの一部です。これは、コストやパフォーマンス、セキュリティなどクラウド最適化をするためのツールになっています。

うまく使うことで、クラウドの管理に時間をさかず、より重要なビジネスに時間をさけるようになります。
このような便利なソリューションがGoogleCloudにはたくさんあるようなので、ぜひ有効に活用していきたいと思います！